Schadsoftware, wie beispielsweise Emotet, wird initial typischerweise per E-Mail verbreitet. Per sogenanntem Phishing werden Nutzer dazu gebracht, nachteilige Aktionen durchzuführen, die bspw. zur Installation der Schadsoftware führen. Die folgenden Hinweise zielen somit darauf ab, diesen Verbreitungsweg zu verhindern.
Was ist Phishing?
Phishing ist eine Form des Social Engineering und bezeichnet jegliche Versuche, unberechtigt an persönliche Daten zu gelangen, mit denen Identitätsdiebstahl möglich ist. Beispielsweise lassen sich mit erbeuteten Accountdaten E-Mails lesen und im Namen der „bestohlenen“ Person versenden. „Der Begriff ist ein englisches Kunstwort, das sich aus password harvesting (Passworte sammeln) und fishing (Angeln, Fischen) zusammensetzt und bildlich das Angeln nach Passwörtern mit Ködern verdeutlicht.“ [Wikipedia: Phishing]
[Quelle: https://www.youtube.com/watch?v=XgF42Jb8jxo; Bundesamt für Sicherheit in der Informationstechnik]
Warum funktioniert Phishing?
Aus der Psychologie ist bekannt, dass Menschen, grob gesagt, in zwei Systemen denken.
System 1 ist für Standardhandlungsabläufe zuständig und arbeitet schnell und automatisch ohne Nachdenken. Es wird aktiv, wenn Sie Angst haben, also schnell handeln müssen oder wenn Sie sich langweilen und wie immer handeln müssen.
System 2 hingegen ist langsam, analytisch und dominiert von Vernunft. [vgl. "Mit Angst und Langeweile Hirne hacken"]
Entsprechend zielt Phishing daraufhin ab, System 1 anzusprechen: Also entweder als erkannte Routinetätigkeit nicht aufzufallen oder Angst vor vermeintlich unweigerlich eintretenden, negativen Folgen zu erzeugen.
Es ist schwierig, ein automatisch ablaufendes System 1 zu erkennen und in System 2 zu wechseln, um das eigene Handeln zu hinterfragen. Folgende Alarmzeichen sollen Ihnen dabei helfen, dies zu erkennen.
Alarmzeichen:
- Androhung negativer Folgen, z.B. permanente Sperrung des E-Mail-Kontos und Verlust eingehender E-Mails.
- Zeitdruck, z.B. validieren Sie ihr Konto innerhalb der nächsten 24 Stunden, um einer Sperrung zu entgehen.
- Begründung wird mitgeliefert: Obwohl es paradox klingt, liefern Angreifer oftmals eine Begründung mit, warum die geforderte Handlungsweise auszuführen ist. Beispielsweise wird ein Systemupgrade angeführt oder eine Wartung. Dies ist für Laien schwer überprüfbar: Ziehen Sie andere Quellen heran, z.B. eine offizielle Störungsseite (an der HU die Störungsseite des CMS). Aktuell wird verstärkt auf die Corona-Krise Bezug genommen.
Treten die ersten beiden Alarmzeichen zusammen auf, handelt es sich bereits mit sehr hoher Wahrscheinlichkeit um Phishing.
Wie erkennen Sie Phishing-Mails?
Phishing erfolgt über unterschiedliche Kanäle. Der häufigste Verbreitungsweg findet über E-Mails statt. Möglich ist auch die Verbreitung über SMS, Posts in Social Media etc. Die Art der Gefährdung ist ebenfalls unterschiedlich. Es erfolgt die Aufforderung, Anhänge zu öffnen, gefährlichen Links zu folgen, Überweisungen zu tätigen oder sensible Daten weiterzugeben.
Phishing ist auch unterschiedlich einfach als solches zu erkennen. Phishing Mails mit sinnentstelltem Deutsch oder vielen Grammatikfehlern tauchen fast gar nicht mehr auf, da sie relativ einfach zu erkennen sind. Schwerer zu erkennen sind Phishing Mails, in denen nur eine fehlerhafte URL oder Telefonnummer verwendet wird. Ganz schwierig wird es bei sogenanntem Spear Phishing: Durch das Hacken des Accounts einer dem Empfänger bekannten Person (Kolleg*innen, Freund*innen) können sogar scheinbar authentische Mails mit plausibler Kommunikation an den Absender verschickt werden. Auch in diesen Mails wird dazu aufgefordert, einen gefährlichen Link oder Anhang anzuklicken.
Machen Sie einen kurzen Phishing-Test! (Sie werden auf die Internetseite der Hochschule Luzern weitergeleitet.)
Nachfolgend haben wir Ihnen noch einmal verschiedene Anhaltspunkte aufgelistet, an denen Sie Phishing-Mails erkennen können. Klicken Sie auf den jeweiligen Link und Sie erhalten weitere Informationen.
Empfängeradresse
Verdächtiger Betreff
Unpersönliche Anrede
Ungewöhnliche Formatierung
Aufforderung zur Bestätigung persönlicher Daten
Links
Anhänge
Viele weitere nützliche Tipps und Tricks finden Sie auf folgenden Webseiten:
- Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem informativen Video zum Thema Phishing
- Verbraucherzentrale zum Thema Phishing
- FAQ für Beschäftigte der Humboldt-Universität
- drei kurze Videos zum Thema Phishing finden Sie auf der Webseite des Karlsruher Instituts für Technologie, Forschungsgruppe SECUSO
- auf der Seite des Computer- und Medienservices CMS der HU wird auf Phishing im Universitätskontext genauer eingegangen
- drei unterhaltsame und lehrreiche Spiele zum Thema Passwörter und Phishing - Viel Spaß!