Jamie-Dee Zielke
Jamie-Dee Zielke

System Administrator

Hardware Schrauber

Programmier Chaot

In love with Linux

Jamie-Dee Zielke
Jamie-Dee Zielke

System Administrator

Hardware Schrauber

Programmier Chaot

In love with Linux

Kontakt
Blog Post

Phishing-Angriffe – Plump, aber extrem erfolgreich!

29. Februar 2024 Allgemein by jdz
Phishing-Angriffe – Plump, aber extrem erfolgreich!

Was ist Phishing?

Erklären wir es mal anhand eines einfachen Beispiels..
Ihr durchforstet in Ruhe eure komplett überfüllten Mails und zwischen den üblichen Angeboten, Newslettern und vielleicht der ein oder anderen Nachricht von der Arbeit, ploppt plötzlich eine E-Mail oder Nachricht auf: “Hey, du hast einen Preis gewonnen! Klick einfach hier, um deinen Gewinn abzuholen.” Oder vielleicht etwas Dramatischeres wie: “Achtung! Dein Paket konnte nicht zugestellt werden. Bitte bestätige deine Daten.” Klingt verlockend? Oder zumindest besorgniserregend genug, um darauf zu klicken. Tja, willkommen in der Welt des Phishings – der digitalen Version von “Ich hab da eine Brücke zu verkaufen” (was bedeutet, dass jemand entweder extrem naiv oder leichtgläubig ist). Diese Masche ist so alt wie das Internet selbst, aber lass dich nicht täuschen: Trotz ihrer plumpen Erscheinung sind Phishing-Angriffe verdammt effektiv. Warum? Weil sie auf das älteste Werkzeug im Buch setzen: die menschliche Neugierde und manchmal auch die Angst.

Plumpheit siegt

Besonders häufig kommen Phishing-Angriffe als Mail daher. “Hallo, bei deinem Web-Konto wurde eine komische Aktivität festgestellt. Klicken Sie auf diesen Link um ihr Konto zu überprüfen”. Das alleinig genügt gerne schon. Das verwenden von “Du” und “Sie” habe ich hier mal bewusst eingesetzt, da einige Mails nur durch Online-Übersetzer gejagt werden um sie an viele verschiedene Benutzer zu versenden. Das kann schon mal ein erstes “Dead-Giveaway” sein, dass es sich um eine Spam-Mail handelt. Denn keine seriöse Mail springt zwischen “Du” und “Sie” her – sie bleibt konstant!
Aber Moment mal, das klingt doch so offensichtlich, oder? Niemand würde doch wirklich auf so etwas reinfallen, oder? Nun ja, das denkst du vielleicht, aber die Realität zeigt uns immer wieder, dass es anders ist. Denn genau hier liegt die perfide Genialität von Phishing: Es setzt auf einfache, aber effektive psychologische Tricks, um seine Opfer zu täuschen. Das Verwenden von persönlichen Ansprachen wie “Hallo [dein Name]” oder das Schaffen einer Dringlichkeit durch Aussagen wie “Ihr Konto wurde gehackt! Sofort handeln!” – all das sind bewährte Taktiken, die Menschen dazu bringen, in Panik zu geraten und vorschnell auf Links zu klicken, ohne genauer hinzusehen. Denn jetzt mal ehrlich, wer würde denn nicht sofort in Not und Panik geraten, wenn dir Google ne Mail schickt, in welcher geschrieben steht, dass jemand versucht dein Konto zu knacken?!
Die Plumpheit ist simultan ein Fluch und ein Segen. Für, ich nenne sie mal, erfahrenere Nutzer sind diese Mails mit einem Blick sofort enttarnt (auch wenn es sehr gut getarnte Phishing Mails gibt, jeder kann darauf hereinfallen!), jedoch zielen solche Mails gerne auf die eher Unwissenden ab. Du erkennst vielleicht die Masche, deine Mutter eher weniger und deine Oma überweist so eben dem Prinzen aus einem fiktiven Land eine Menge Geld.

Welche Phishing Arten gibt es?

Ne Menge. Eine wirklich große Menge! Facettenreich sind sie noch dazu, weshalb es sich immer lohnt wenn man sich regelmäßig über die gängigsten Betrugsmaschen informiert. Letztes Jahr geisterten ja die ganzen “Hallo Mama” SMS durch die Handys. Ich möchte hier aber mal drei spezifische Arten genauer beleuchten, da sie, zumindest meiner Meinung nach, wohl am häufigsten vorkommen.

E-Mail Phishing

Wie vorhin schon beschrieben tauchen solche Scams gerne als E-Mail auf. Von “Ey, dein Paket konnte nicht zugestellt werden” bis hin zu “Hallo, ich bin ein Prinz aus WoAuchImmer, sende mir Geld und ich sende dir das doppelte zurück” ist alles dabei. Check doch mal deinen Spam Ordner und lies dir mal ein paar Sachen durch. Was da für verrückte und krumme Mails herumliegen ist wahrlich ein Wunder. “Penis Vergrößerungen” oder auch “FedEx could not deliver your package because the address you provided is invalid” [Übersetzung: FedEx konnte dein Paket nicht zustellen, da die angegebene Adresse ungültig ist.]. Besonders bei den FedEx Mails musste ich sehr schmunzeln. Ich importiere wirklich nur wenig, habe stets den genauen Überblick meiner Bestellungen. Warum sollte ich also auf ein Paket warten, dass mit FedEx zugestellt wird? Aber hier ist der Punkt: Diese Phishing-Angriffe funktionieren aus einem einfachen Grund – sie spielen mit unseren Emotionen und Ängsten. Der Gedanke an ein verpasstes Paket oder die Möglichkeit, dass unsere persönlichen Daten in Gefahr sein könnten, treibt uns dazu, impulsiv zu handeln. Und das ist genau das, was die Angreifer wollen!
Und bitte überprüft die Absender-Mail.. Seriöse Mails habe ihre eigene Domain, Scammer in der Regel nicht. Und wenn die Domain auch nur fast so aussieht, wie die “Richtige”, überprüft sie so oft es geht!
Und wie zum Teufel kommen die Scammer eigentlich an unsere Namen? Nun, oft nutzen sie einfach die Informationen, die wir ihnen freiwillig zur Verfügung stellen. Viele von uns haben E-Mail-Adressen im Format Vorname.Nachname@Domain, und voilà, der Scammer hat jetzt deinen Namen und kann ihn in seine hinterlistigen Botschaften einbauen. Wie man sich davor schützen kann ohne direkt auf Fantasienamen umzusteigen? Nutzt eure Initialen oder lasst ein paar Sachen aus. Nehmen wir als Beispiel einfach mal “Hans Mustermann”. Statt also nach dem Vornamen-Nachnamen Prinzip zu verfahren, kann auch ein hns.mustermann@domain genügen. Nun würde in der Mail vermutlich “Hallo Hns!” stehen und somit würde der Betrug direkt auffliegen.

SMS Phishing

Hallo Mama, mein Handy ist kaputt gegangen. Hier ist meine neue Nummer. Schreibe mir bitte eine WhatsApp Nachricht.“. Wer in letzter Zeit die Nachrichten verfolgt hat weiß genau, dass dies die aktuelle Masche von SMS Betrug ist. Hier wird versucht schnell Kontakt mit einem Scammer aufzubauen, der damit lockt, dass man dem eigenen Kind in Nöten zu unterstützen versucht.
Die Botschaft ist klar: “Mama, Papa, ich bin in Schwierigkeiten und brauche deine Hilfe!” Es ist eine einfache, aber wirksame Taktik, die darauf abzielt, die Emotionen der Eltern zu nutzen, um sie zu einer impulsiven Reaktion zu verleiten. Denn welcher Elternteil könnte widerstehen, seinem Kind in einer vermeintlichen Notlage zu helfen?
Diese Art von SMS-Phishing ist besonders perfide, da sie die natürliche Fürsorge und Sorge der Eltern ausnutzt. In dem Moment, in dem die Nachricht eintrifft, setzt ein Reflex ein, der dazu veranlasst, sofort zu handeln, dem Kind zu helfen. Es ist ein psychologisches Spiel, bei dem die Betrüger auf die instinktive Reaktion der Eltern setzen, ohne dass sie Zeit zum Nachdenken haben.
Aber keine Sorge, es gibt natürlich Möglichkeiten solche Nachrichten zu überprüfen.
Natürlich sollte man sofort Fragen stellen, die nur das Kind auch wirklich beantworten kann. WhatsApp verlangt keine Gebühr, also nervt die Person bis es nicht mehr geht. Oder ruft sie einfach an, verlangt Sprachnachrichten, gewisse Fotos.. was auch immer. Wenn diese nicht eintrudeln, schmeißt den Kontakt in den Müll.
Was am besten hilft ist, wenn man die Taktik vorher mit seinem Kind bespricht: Vereinbart gewisse “Code-Wörter”, mit welchen man sofort das eigene Kind identifizieren kann.
Besonders lustig ist es jedoch, wenn jüngere Menschen solche SMS erhalten. Ich selbst erhielt auch schon diverse male “Hallo Mama…” Nachrichten. Da war meine Frage zu erst: Seit wann habe ich ein Kind und vor allem, seit wann bin ich eine Frau?

Social Media Phishing

Phishing über soziale Netzwerke ist ebenfalls nichts neues.. Von Identitätsdiebstahl im Sinne von: “Hey, ich bin eine Berühmtheit” bis hin zu komischen Sex- oder Pornobots, die euch versuchen auf eine obskure Seite zu locken. Auch hier heißt es wieder: Augen genau auf machen und den Verstand verwenden.
Ist der Kontakt seriös, der euch angeschrieben hat? Was verlangt jener? Sobald eine fremde Seite im Spiel ist, klickt bloß nicht drauf! Blockt den Kontakt am besten.
Was hier versucht wird ist durch Freude und Triebe den Nutzer auf Fake- oder Scamseiten zu locken. Oder es wird einfach direkt im Chat nach wichtigen Informationen verlangt.
Kein Promi schreibt euch aus heiterem Himmel an. Nein, die gut aussehende Dame mit ihrem Google-Übersetzer Deutsch, die nicht auf deine Nachrichten direkt eingeht, will nicht auf eine andere Seite wechseln, weil ihr der Facebook Chat zu unhandlich ist. Das ist aber nicht nur auf Chats beschränkt. Generell sollte jede Form dieser Masche bestens vermieden werden. Nehmt nicht irgendwelche zufälligen Freundschaftsanfragen auf Steam oder Facebook an. Klickt auf keine Links. Irgendwelche Tweets oder Posts sind auch keine seriösere Möglichkeit.
Glücklicherweise gibt es ja seit ein paar Jahren Verifikationshaken, die genau zeigen, welche Accounts echt und welche nachgemacht sind. Auch wenn Twitter / X das ganze etwas über Board geworfen hat.

Vorgehen bei Phishing Nachrichten

Es gelten immer die gleichen Grundmaßnahmen:
-> Überprüft den Kontakt / das Unternehmen / den Absender
-> Überprüft bestens die Rechtschreibung und Grammatik
-> Du erwartest keine Meldung von einem spezifischen Unternehmen? Dann kriegst du auch keine Meldungen
-> (Komische) Links sind immer tabu!
-> Es gibt immer andere Kontaktmöglichkeiten. Wenn du z.B. einer Mail misstraust, versuche anderweitig in Kontakt zu treten. Beispiel: PayPal meldet eine komische Transaktion. Statt auf den Link in der Mail zu klicken, öffne direkt die normale PayPal Seite oder App und kontrolliere dort nach, ob es denn stimmt.
-> Überprüfe nicht nur den Namen des Absenders, sondern auch die E-Mail-Adresse oder Telefonnummer. Manchmal können Phisher gefälschte Absendernamen verwenden, um legitime Unternehmen nachzuahmen.
-> Sei skeptisch gegenüber unerwarteten Anfragen nach persönlichen Informationen, Passwörtern oder Zahlungen. Seriöse Unternehmen werden niemals nach sensiblen Daten in einer unaufgeforderten Nachricht fragen.
-> Informiere dich stets über aktuelle Phishing-Taktiken.
-> Verbreite das Wort und teile jedem mit, wenn gerade wieder ein neuer Phishing Scam rum geht.

“Ich habe eine Nachricht erhalten, was nun?!”

Ganz einfach: Gar nichts! Klick nichts an und mache auch nichts. Diese Nachrichten werden wie wild in die freie Internetlaufbahn gefeuert.
Melde die Scams so gut es geht:
– Eine scheinbare Berühmtheit meldet sich bei dir? Benachrichtige die “richtige” Person über den Faker
– Unternehmen will XYZ von dir? Viele Unternehmen haben ein Online-Formular, wo man Scam-Mails melden kann
– Du kannst es nicht einordnen? Kein Problem, es gibt genügend Verbraucherschutzorganisationen oder Internet-Service-Providern an die du dich wenden kannst.

“Ich bin darauf hereingefallen, was nun?”

Das ist natürlich nicht gut. Zuerst solltest du jedoch klären, was genau passiert ist und welche Art von Angriff es war. Ging es um finanziellen Betrug, Bedrohung oder Belästigung? In solchen Fällen ist es ratsam, den Vorfall gegebenenfalls bei der Polizei zu melden. Allerdings kann die Polizei nur bedingt helfen und ist nicht immer die geeignete Anlaufstelle.
Kontaktiere Verbraucherschutzorganisationen oder Anti-Phishing-Organisationen – diese können dir mehr helfen, als ich es hier in diesem Artikel je könnte.
Wichtig ist aber, dass man sich dafür nicht schämen sollte! Da ist man halt auf den Scam reingefallen, etwas daran ändern kann man jetzt eh nicht. Also habe den Mut und suche die Hilfe, die dir zusteht!

Fazit

Phishing-Mails sind, trotz stumpfem Vorgehen, immer noch verdammt erfolgreich. Wären sie es nicht, wäre diese Art des Scams schon vor Jahren ausgestorben. Den Verstand benutzen und immer genau alles doppelt und fünffach überprüfen kann nie schaden. Wer in die Falle tappt, sollte schnell handeln. Macht darauf aufmerksam, verbreitet die Information über die aktuellsten Maschen und helft anderen aus, die darin vielleicht nicht so informiert sind! Und bitte verachtet nicht jene, bei denen der Köder funktionierte, sondern unterstützt sie so gut es geht!

Verweise auf Verbraucherschutzorganisationen und Anti-Phishing-Organisationen

Hier findet ihr immer die aktuellsten Informationen zu Phishing-Angriffe und habt eine Anlaufstelle, sollte der Köder bei euch funktioniert haben.

Phishing Initiative | Informationen und Meldung
ENISA | Informationen und Hilfe
Bundesamt für Sicherheit und Informationstechnik | Informationen, Meldungen und Hilfe
Anti-Phishing Working Group | Informationen, Meldungen und Hilfe
Verbraucherzentrale Bundesverband | Informationen und Beratung

Write a comment

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.