Tipps zum Vermeiden von Phishing

Es dürfte allgemein bekannt sein, dass wir unsere Kreditkartendaten nicht an irgendwelche afrikanischen Prinzen weitergeben, die uns unverhofft Millionen schenken wollen. Dennoch sind Cyberangriffe per Phishing auch weiterhin überaus beliebt und dazu noch erfolgreich. Laut einem aktuellen Bericht von Verizon hat im vergangenen Jahr jeder fünfte Mitarbeiter eine Phishing-E-Mail geöffnet.

Zum Glück gibt es viele Möglichkeiten, wie Sie Phishing vermeiden und Ihre Identität sowie persönliche Daten schützen können. In diesem Artikel stellen wir Ihnen einige der markantesten Phishingbetrügereien im Jahr 2018 vor. Außerdem erklären wir, wie Emsisoft Anti-Malware mit Phishing umgeht, und geben Ihnen ein paar einfache Schritte an die Hand, damit Sie selbst kein Opfer von Phishingangriffen werden.

Was ist Phishing?

Phishing ist eine Form des sogenannten Social Engineerings, also die Manipulation der Anwender. Hierbei geben sich Cyberkriminelle als seriöse Institutionen oder Personen aus, um vertrauliche Informationen wie Benutzernamen, Kennwörter oder Kreditkartendaten zu stehlen. Die Vielfalt von Phishingkampagnen reicht dabei von Massenmails bis hin zu detailliert ausgearbeiteten Betrugsversuchen, die sich auf ein ganz bestimmtes Ziel konzentrieren.

Typische Phishingversuche kommen in der Regel per E-Mail. Die Kriminellen geben sich dabei als scheinbar seriöses Unternehmen wie Amazon, PayPal oder Microsoft aus. Sie werden dann gebeten, Ihre Anmelde- oder Bankdaten zu bestätigen – meist über eine gefälschte Website, die ihrem Original zum Verwechseln ähnlichsieht. Geben Sie dann Ihre Informationen ein, landen diese direkt bei den Angreifern. Unglaublich, aber wahr: Jeden Monat werden etwa 1,4 Millionen dieser Phishingwebsites erstellt.

Sicher haben Sie auch schon einmal eine dieser E-Mails erhalten, in der Ihnen gegen eine kleine Anzahlung ein Vermögen versprochen wird. Es dürfte keine Überraschung sein, dass bei diesem sogenannten Vorschussbetrug – außer dem Betrüger vielleicht – niemand reich wird.

E-Mails gelten immer noch als beliebteste Verbreitungsmethode. Doch auch andere Kommunikationskanäle (soziale Netzwerke, Chats, SMS, Anrufe usw.) sind nicht vor Phishing sicher.

Markante Phishingbetrügereien im Jahr 2018

1. DSGVO-Phishing über Airbnb

Im Mai 2018 trat in der Europäischen Union die Datenschutz-Grundverordnung (kurz DSGVO – eine Richtlinie zur Standardisierung der Datenschutzgesetze in allen europäischen Ländern) verbindlich in Kraft. Wenn Sie sich die E-Mails durchgelesen haben, die zu diesem Zeitpunkt von nahezu jedem Unternehmen verschickt wurden, um über ihre diesbezüglich geänderten Datenschutzerklärungen zu informieren, haben Sie sicher schon einmal davon gehört.

Einige Betrüger wollten daraus Kapital schlagen, indem sie sich als Airbnb ausgaben und Phishingmails über @mail.airbnb.work verschickten. Die richtige Airbnb-Domain lautet jedoch @airbnb.com. In der E-Mail wurde behauptet, dass Airbnb-Gastgeber keine neuen Buchungen annehmen oder Nachrichten empfangen können, wenn die Gäste nicht zunächst der neuen Datenschutzerklärung zustimmen würden. Anbei war dann ein Link zu einer gefälschten Webseite, auf der die E-Mail-Empfänger Ihre Anmelde- und Zahlungsdaten angeben sollten.

2. Gefälschte Tickets zur FIFA-Weltmeisterschaft

Betrugsversuche rund um aktuelle Großveranstaltungen sind häufig ebenfalls sehr überzeugend. Dann sinkt auch bei eigentlich vorsichtigen Anwendern die Hemmschwelle gegenüber unaufgefordert erhaltenen Nachrichten. Cyberkriminelle haben sich hier gnadenlos eines der größten Ereignisse unseres Planeten zu Nutze gemacht und anlässlich der FIFA Weltmeisterschaft 2018 eine Reihe von Phishingangriffen gestartet.

Im Vorlauf der WM berichteten viele Leute davon, E-Mails von Schwarzhändlern erhalten zu haben, die zu horrenden Preisen Tickets zu den eigentlich ausverkauften Spielen anbieten. Sie haben es wahrscheinlich schon erraten, aber die Tickets kamen nie an. Es wurden lediglich die Bankdaten der Käufer abgegriffen. Darüber hinaus wurden Opfer auch mit Versprechen für günstige Reisevisa, Flugtickets, Unterkünfte und dergleichen gelockt.

3. Netflix-Rechnungsbetrug

Mit über 130 Millionen Mitgliedern ist Netflix nicht nur bei Film- und Serienfans überaus beliebt. Der Unterhaltungsgigant steht auch bei Cyberkriminellen hoch im Kurs. 2018 waren etliche Phishingmails zu Netflix im Umlauf, in denen die Empfänger dazu gedrängt wurden, ihre Zahlungsdaten zu aktualisieren, da ihr Konto anderenfalls annulliert würde. Der enthaltene Link führte wie so oft auf eine überzeugend aussehende Website, auf der Benutzername, Kennwort und Zahlungsdaten des Opfers abgefragt – also gestohlen – werden.

4. Zunehmend ausgefeilteres Vishing

Beim Vishing (kurz für Voice Phishing) wird das Opfer über einen Anruf dazu gebracht, vertrauliche Informationen herauszugeben. Das Konzept ist zwar nicht neu, wurde aber in den vergangenen Jahren immer ausgefeilter. Fortschritte in der Automatisierung und Stimmerkennung ermöglichen es Angreifern nun, mit einer Mischung aus Robotern und menschlichen Anrufern noch überzeugender bekannte Marken zu imitieren und ihre Beute hereinzulegen.

Wie verhindert eine Antivirus-Software Phishing-Angriffe?

Viele moderne Antivirenlösungen bieten eine Schutzebene, die Phishing-Angriffe abwehren soll. Dabei verhindern diese Produkte jedoch nicht, dass die Phishingmail in Ihrem Posteingang landet. Stattdessen erkennen sie die betrügerischen Websites und blockieren sie, bevor Sie darauf zugreifen und vertrauliche Daten eingeben können.

Doch woran erkennt eine Software, ob eine Website sicher oder gefälscht ist? Um diese Frage zu beantworten, müssen wir uns zunächst anschauen, wie HTTPS (HyperText Transfer Protocol Secure) funktioniert.

HTTPS ist ein Kommunikationsprotokoll, über das Daten zwischen Ihrem Browser und dem verbundenen Webserver ausgetauscht werden. Das „S“ steht dabei für „secure“ (also sicher). Es zeigt an, dass Daten auf der jeweiligen Website verschlüsselt übertragen werden. Ob eine Website HTTPS verwendet, können Sie anhand ihrer URL oder an dem Schloss-Symbol in der Adressleiste Ihres Browsers erkennen.

Der Einsatz von HTTPS hat in den vergangenen Jahren stark zugenommen. Dem aktuellen Transparenzbericht von Google zufolge, werden 86 % aller in den USA im Browser Chrome geöffneten Websites über HTTPS geladen. Vor zwei Jahren waren es gerade einmal um die 60 %.

Dank der großflächigen Verbreitung von HTTPS ist das Internet sicherer geworden. Für einige Antivirus-Unternehmen gestaltet es sich jedoch eher als eine Herausforderung.

Weshalb?

Viele Antivirenprodukte überwachen Ihren Internetdatenverkehr, um Phishingversuche zu erkennen und zu blockieren. Wie jedoch oben schon erwähnt wurde, wird bei HTTPS der Datenverkehr verschlüsselt. Die Antivirus-Software kann also mit ihren bisherigen Mitteln nicht mehr nachvollziehen, ob eine Website bösartig ist.

Folglich bleiben Antivirus-Unternehmen im Wesentlichen drei Optionen, um Phishingangriffe abzuwehren, wobei jede ihre eigenen Vor- und Nachteile hat:

1. Filtern des Netzwerkverkehrs

Wie bereits beschrieben, kann Antivirus-Software aufgrund der Verschlüsselung von HTTPS nicht nachvollziehen, welche Webseiten Sie aufrufen, und damit eine HTTPS-URL auch nicht auf ihre Sicherheit überprüfen.

Es gibt verschiedene Arten, über HTTPS geladenen Netzwerkverkehr zu filtern, um das zu umgehen:

HTTPS Interception

Die meisten Antivirenprodukte nutzen HTTPS Interception, also das Abfangen von HTTPS. Dazu installieren sie einen lokalen Proxy-Server, der alle SSL-Zertifikate (Codestücke, die für eine sichere Kommunikation zwischen Ihrem Gerät und der Website sorgen) nachahmt, um einen Man-in-the-middle-Angriff nachzustellen. Wenn Sie dann eine HTTPS-Website aufrufen, wird die ausgehende Verbindung über diesen lokalen Proxy-Server geleitet, der dann wiederum ein neues sogenanntes Wildcard-SSL-Zertifikat ausstellt und sich damit als die Website ausgibt. Erst dann überprüft er sie auf ihre Sicherheit. Wird die Seite als sicher eingestuft, wird sie an Ihren Browser weitergeleitet und auf dem Bildschirm angezeigt. Gilt die Website als unsicher, sendet der Proxy eine Warnmeldung an den Browser.

Das Problem dabei ist jedoch, dass Ihr Browser nur das vom Proxy-Server erzeugte SSL-Zertifikat sieht und folglich das Sicherheitszertifikat der eigentlichen Website nicht überprüfen kann.

Mit diesem Ansatz wird zwar relativ viel blockiert, allerdings birgt er erhebliche Sicherheitsrisiken. Zunächst einmal sind Sie wesentlich verletzlicher gegenüber bösartigen Man-in-the-middle-Angriffen. Außerdem können Sie durch die erneute Verschlüsselung über das nachgestellte Sicherheitszertifikat nicht sicher sein, ob Ihre Verbindung zu einer Website tatsächlich sicher ist oder nicht. Das hätte zur Folge, dass Sie möglicherweise vertrauliche Informationen über eine ungesicherte Verbindung übertragen.

HTTPS Interception wirft auch Fragen zum Datenschutz auf. Eine Sperrliste aller bekannten Phishing-URLs wäre einige 100 MB groß und müsste ständig aktualisiert werden. Sie lokal auf dem Computer zu speichern, wäre also höchst unpraktisch. Antivirenprodukte, die anhand von URLs filtern, speichern ihre Sperrlisten daher auf ihren eigenen Servern und Fragen jedes Mal die URL ab, wenn Sie eine Website aufrufen. Indem jede von Ihnen aufgerufene URL serverseitig überprüft wird, könnte das Antivirus-Unternehmen theoretisch bei Bedarf eine Liste aller von Ihnen besuchten Websites erstellen.

Filtern auf Servernamensanzeige

Eine weitere Möglichkeit, um Phishing-Angriffen vorzubeugen, ist das Filtern des Netzwerkverkehrs auf unverschlüsselte Teile der HTTPS-Verbindung, etwa die Servernamenanzeige (SNI – Server Name Indication). SNI ist eine Erweiterung des TLS-Protokolls, auf dem HTTPS aufbaut. Wird die SNI genutzt, versendet der Client den Hostnamen, mit dem er sich beim ersten TLS-Handshake (also eine Datenflusssteuerung) verbinden möchte. Da die SNI nicht verschlüsselt wird, kann die Antivirensoftware nachvollziehen, mit welchem Host eine Verbindung hergestellt werden soll und ermitteln, ob dieser schädlich ist oder nicht. Gilt der Host als schädlich, greift die Software ein und blockiert das Laden der Seite.

Zum Filtern des Netzwerkverkehrs gehört auch das Blockieren des Datenverkehrs zu IP-Adressen, die auf Phishingwebsites verweisen. Mitunter können das auch ganze IP-Bereiche sein.

2. Browser-Erweiterungen

Phishing lässt sich auch mithilfe von Browser-Erweiterungen vermeiden. Erweiterungen dürfen im Browser Verbindungsversuche abfangen und auf Inhalte von Webseiten zugreifen, selbst wenn die Verbindung oder Webseite verschlüsselt ist. Sie sind allerdings in gewisser Weise eingeschränkt. Während die anderen hier erwähnten Methoden für alle auf Ihrem System laufenden Anwendungen funktionieren, sind Erweiterungen immer nur mit dem Browser kompatibel, für den sie entwickelt wurden.

3. Abfangen der Auflösung des Hostnamens

Wie Sie vielleicht wissen, verfügt jedes mit dem Internet verbundene Gerät über eine IP-Adresse, anhand der andere Systeme das Gerät finden können. Mithilfe des DNS (Domain Name System) kann diese Zahlenfolge in eine Bezeichnung übersetzt werden, die für den Menschen leichter zu lesen ist. Der Hostname „google.com“ lässt sich beispielsweise wesentlich einfacher merken als die IP-Adresse 173.194.32.195.

Die Auflösung des Hostnamens ist der Vorgang, bei dem der Hostname (z. B. google.com) in seine IP-Adresse (in unserem Beispiel 73.194.32.195) konvertiert wird. Einige Antivirenprogramme verhindern Phishing, indem sie diesen Prozess unterbrechen und damit schädliche Webseiten am Laden hindern. Das geschieht entweder durch das Abfangen der DNS-Pakete oder durch das Konfigurieren eines DNS-Servers mit einer entsprechenden Sperrliste (z. B. SafeDNS, OpenDNS usw.).

Wie geht Emsisoft mit Phishing um?

Emsisoft Anti-Malware setzt zur Abwehr von Phishing zwar auf das Filtern des Netzwerkverkehrs, wir werden jedoch keinen HTTPS-Datenverkehr abfangen und entschlüsseln. Unser Internetschutz-Modul blockiert stattdessen Verbindungen basierend auf ihrer IP-Adresse oder auf Informationen aus unverschlüsselten Daten, etwa HTTP oder bei TLS-basierten Verbindungen wie HTTPS die SNI. Dadurch kann unsere Software im Gegensatz zu Phishingscannern, die auf bestimmte Browser beschränkt sind, mit allen Programmen arbeiten. Darüber hinaus fragen wir URLs niemals über unsere Server ab, sondern nutzen eine lokal gespeicherte Sperrliste. Unsere Anwender dürfen sich also sicher sein, dass wir nicht nachvollziehen können, welche Websites sie besuchen.

Zwar bringt das Abfangen von HTTPS zahlenmäßig höhere Blockierungsraten bei Phishing, aber das ist uns ein derartiger Eingriff in die Privatsphäre und Sicherheit unserer Anwender nicht wert. Erst recht nicht, da jede moderne Browser-Software über einen eigenen starken Phishingschutz verfügt. Laut einem Bericht von NSS Labs zur Sicherheit von Webbrowsern aus dem Jahr 2017 schützen:

• Microsoft Edge vor 99 Prozent der Phishingangriffe,
• Google Chrome vor 87 Prozent der Phishingangriffe und
• Mozilla Firefox vor 70 Prozent der Phishingangriffe.

Diese Zahlen zeigen, dass höchstwahrscheinlich jede fragwürdige URL, auf die Sie beim Surfen stoßen, automatisch von Ihrem Browser blockiert wird. Emsisoft Anti-Malware – und was das angeht jede andere Antivirus-Software auch – soll Ihnen letztendlich nur eine zweite Meinung bieten und mögliche durch die Maschen geschlüpfte Ausreißer abfangen. In einem unserer vergangenen Blogbeiträge haben wir bereits unsere Meinung zum Abfangen von HTTPS dargelegt.

Wie können Sie sich sonst noch vor Phishing-Betrug schützen?

Eines dürfen Anwender beim Schutz vor Phishing nicht vergessen: Ein Antivirenprogramm ist nur ein Rädchen in der Verteidigungsmaschinerie. Es gibt etliche Maßnahmen, die Sie selbst ergreifen können, wie:

1. Zuerst denken, dann klicken

Seien Sie beim Aufrufen von Links aus E-Mails, SMS, Chats oder anderen Textnachrichten immer vorsichtig – selbst, wenn sie angeblich von einem vertrauenswürdigen Absender stammen. Halten Sie zunächst nur den Mauszeiger über einen Link, bevor Sie ihn anklicken. Auf diese Weise können Sie überprüfen, ob die URL zu einer legitimen Website führt. Geben Sie niemals Kennwörter, PINs oder andere vertrauliche Daten weiter. Sollte Ihnen eine Nachricht verdächtig vorkommen, fragen Sie zunächst beim Absender nach, bevor Sie auf irgendetwas klicken.

2. Halten Sie Ihren Browser aktuell.

Entwickler veröffentlichen regelmäßig Updates, um bekannte Sicherheitslücken in Ihrer Software zu stopfen. Aktualisieren Sie also Ihren Browser, Ihr Betriebssystem und andere Anwendungen, wann immer Sie dazu aufgefordert werden. Aktivieren Sie am besten automatische Updates, sofern es diese Option gibt.

3. Überprüfen Sie, ob die Website sicher ist.

Bevor Sie vertrauliche Daten (Benutzernamen, Kennwörter usw.) auf einer beliebigen Website eingeben, überprüfen Sie unbedingt, ob diese Seite sicher ist. Das können Sie am leichtesten erkennen, wenn die URL mit einem HTTPS beginnt oder in der Adressleiste ein Schloss-Symbol angezeigt wird. Auf einigen Websites wird auch ein Vertrauenssiegel als Hinweis darauf angezeigt, dass die Seite sicher ist. Sollte Ihr Browser oder Ihre Antivirus-Software eine Website als Phishing einstufen, erhalten Sie eine Warnmitteilung und der Zugriff auf die Seite wird blockiert. Ignorieren Sie diese Warnungen nicht, wenn Sie sich nicht 100 % sicher sind, dass es sich um einen Fehlalarm handelt.

4. Installieren Sie eine Anti-Phishingerweiterung in Ihrem Browser.

Moderne Browser bieten bereits einen recht starken Schutz vor Phishing. Wenn Sie sich noch weiter absichern möchten, können Sie zusätzlich eine spezielle Anti-Phishingerweiterung installieren. Microsoft hat hierzu kürzlich Windows Defender Browser Protection (dieselbe Technologie, die auch Edge-Anwender schützt) veröffentlicht. Allerdings ist diese Erweiterung derzeit nur mit Google Chrome kompatibel.

5. Machen Sie sich mit typischen Phishingfloskeln vertraut.

Phishingangriffe können erschreckend überzeugend sein. Verdächtige E-Mails und Sofortnachrichten können Sie am einfachsten erkennen, wenn Sie mit typischen Phrasen und Merkmalen von Phishing vertraut sind. Hierzu gehören beispielsweise:

• Rechtschreib- und Grammatikfehler sowie unprofessionelle oder für den Absender untypische Formulierungen
• Eine Ausdrucksweise, die ein Gefühl der Dringlichkeit vermittelt
• Die Aufforderung, Ihr Konto, Ihre Anschrift, Bankdaten oder andere vertrauliche Daten zu überprüfen
• Neutrale Begrüßungsfloskeln, in denen Sie nicht mit Ihrem richtigen Vor- und/oder Nachnamen angesprochen, sondern als „Kunde/Kundin“ bezeichnet werden

6. Geben Sie URLs von Hand ein oder verwenden Sie Lesezeichen, anstatt auf Links zu klicken.

Es kann sehr riskant sein, in einer beliebigen E-Mail auf einen Link zu klicken. Öffnen Sie stattdessen lieber Ihren Browser und geben Sie die URL des Unternehmens, von dem Sie die E-Mail angeblich erhalten haben, von Hand ein. Sie können in Ihrem Browser auch für Ihre am häufigsten besuchten Websites Lesezeichen anlegen, um sie bei Bedarf schneller wieder zu öffnen. Natürlich sollten Sie auch vor dem Anlegen eines Lesezeichens sichergehen, dass die Website vertrauenswürdig ist.

7. Vergessen Sie nicht, dass Phishing nicht nur Ihr Online Banking beeinträchtigen kann.

Phishing wird meistens im Zusammenhang mit Online-Banking erwähnt. Man sollte sich jedoch vor Augen halten, dass Phishingangriffe durchaus dazu verwendet werden können, um sich als nahezu jede/s Person oder Unternehmen auszugeben. Die damit verbundenen Folgen können ebenso verheerend ausfallen. Sollten Sie beispielsweise die Anmeldedaten zu Ihren E-Mail- oder Social-Media-Konten verlieren, könnte das weitreichende Auswirkungen auf Ihr Privat- und Berufsleben haben. Falls Sie darüber hinaus dasselbe Kennwort für mehrere Dienste verwenden, wären bei Verlust des Passworts für ein Konto auch alle anderen Konten betroffen.

8. Seien Sie bei Pop-ups vorsichtig.

Pop-ups sind zum Glück nicht mehr so weit verbreitet wie in der Vergangenheit, kommen aber dennoch auf einigen legitimen Websites zum Einsatz. Seien Sie unbedingt auch hier auf der Hut, wenn Sie in diese Fenster Daten eingeben. Es sind bereits etliche Fälle bekannt, bei denen sich Pop-ups als Teil der Website ausgegeben haben, in Wirklichkeit jedoch Teil eines Phishing-Angriffs waren. Google Chrome, Firefox und Microsoft Edge bieten in ihren Einstellungen die Möglichkeit, Pop-ups zu blockieren.

9. Achten Sie auch auf andere Angriffsmethoden.

E-Mails sind zwar immer noch die am häufigsten für Phishingangriffe eingesetzte häufigste Methode, das bedeutet allerdings nicht, dass andere Kommunikationskanäle sicherer sind. Auch Phishingversuche über soziale Netzwerke sind in den vergangenen Jahren immer beliebter geworden. Forscher konnten sogar schon eine Reihe von bösartigen Phishing-Apps im Google Play Store beobachten. Das macht wieder einmal deutlich, wie wichtig es ist, beim Übertragen von Daten über ein mit dem Internet verbundenes Gerät vorsichtig zu sein – unabhängig von der für die Kommunikation verwendeten Anwendung.

Kampf gegen Phishing

Indem es sich auf die Schwächen der menschlichen Natur verlässt, wird Phishing auch in Zukunft eine häufige – und wirkungsvolle – Form des Betrugs bleiben. Ganz klar spielen Antivirenprodukte eine wichtige Rolle, um derartige Angriffe zu vermeiden. Doch die Anwender müssen sich bewusst sein, wie ihre Antivirus-Software arbeitet und welche Risiken für Sicherheit und Privatsphäre eventuell damit verbunden sind.

Was halten Sie für die beste Methode, um gegen Phishing vorzugehen? Sollte Antivirus-Software HTTPS-Verkehr abfangen, um noch mehr Phishingversuche zu blockieren, auch wenn dadurch möglicherweise Ihre Privatsphäre gefährdet wird? Oder würden Sie es vorziehen, wenn Ihr Programm auf das Manipulieren von SSL-Zertifikaten verzichtet, und sich im Gegenzug mit einer etwas geringeren Blockierungsrate abfinden? Hinterlassen Sie uns gerne einen Kommentar, wie Sie dazu stehen.

Wir wünschen eine schöne (Malware-freie) Zeit.
Übersetzung: Doreen Schäfer