Von Hackern ist keine Moral zu erwarten

Wo Krisen Unruhe bringen, wächst die Stunde derjenigen, die meinen, davon profitieren zu können. Das Corona-Virus, das die Welt derzeit in Atem hält, ist ein aktuelles Beispiel für die Abwesenheit sämtlicher Moralkodizes in der Cyberkriminalität. Wie man sich vor Phishing-Angriffen, die sich an prominente Themen und Debatten heranhängen, schützen kann, verrät Michael Veit, Sicherheitsexperte bei Sophos.

Phishing-E-Mails sind immer eine Plage, aber bislang thematisch als Sendungsverfolgung oder persönlicher E-Mail des Vorgesetzten (Spearpot-Phishing) wenig anstößig. Doch mit der Phishing-Attacke, die sich hinter einer E-Mail im Namen (und mit Logo) der Weltgesundheitsorganisation WHO zu Sicherheitshinweisen zum Corona-Virus versteckt, erreicht uns wieder einmal eine Phishing-Mail in besonders geschmackloser Aufmachung.  Mit einem Klick soll der Empfänger die Sicherheitsmaßnahmen herunterladen und – fängt sich damit erstrecht etwas ein.

„Cyberkriminelle nutzen jede Gelegenheit, um neue Opfer zu finden, deren Daten sie stehlen oder deren Smartphones und Rechner sie übernehmen und beispielsweise mit Ransomware infizieren können“, so Michael Veit. „Wie perfide und skrupellos die Täter dabei sind, zeigt das Ausnutzen der Ängste vor dem Corona-Virus. Wer jedoch ein paar Grundregeln bei der E-Mail-Nutzung beherzigt und aktuellen Endpoint-Schutz auf allen Geräten einsetzt – auch auf Smartphones – der lässt solche Angriffe ins Leere laufen.“

Michael Veit, Security-Evangelist bei Sophos

Pars pro Toto: Corona-Phishing-Attacke

Phishing-Angriffe durchlaufen alle eine ähnliche Choreografie: Geübte Leser des Englischen erkennen schnell die vielen Rechtschreib- und Grammatikverfehlungen in der E-Mail. Auch der Link, auf den man gebeten wird zu klicken, ist dubios: eine kompromittierte Musikseite mit seltsamem Namen, die auf den ersten Blick keinerlei Verbindungen zu irgendeiner bekannten Gesundheitsorganisation aufweist. Da die meisten E-Mails jedoch auf mobilen Geräten gelesen werden, funktioniert die „Mouse over“- Funktion dort nicht, und damit lassen sich auch Absende-Adresse und Links in der URL nur sehr aufwändig überprüfen. Die Annahme, nur PCs seien infektanfällig, führt zu sorgloserem Umgang mit mobilen Geräten und kann die Infektion beschleunigen.

Dennoch: die Betrugsseite ist sehr simpel, aber effektvoll. Sie stellt sich wie das Original der WHO da. Nur lockt hier das Pop-up-Fenster der Kriminellen zur Eingabe von Daten.

Zudem: Die starke gesellschaftliche Beschäftigung mit dem Thema, auf das das Phishing aufspringt, führt dazu, dass Informationen darüber plausibel erscheinen: WHO, Corona, Sicherheitshinweise. Das klingt nach einer nachvollziehbaren Kausalkette.

Ruhe bewahren, Nachdenken und Vorsorgen – probate Tipps gegen Phishing-Angriffe

Was kann man tun, um nicht Opfer von Phishing-Attacken zu werden, die sich an aktuelle Debatten anhängen? Sophos-Experte Michael Veit hat acht bewährte Sicherheitsmaßnahmen zusammengetragen.

  1. Ruhe bewahren: Phishing-E-Mails wollen ihre Empfänger unter Druck setzen, einen Link anzuklicken. Hier gilt: Ruhe bewahren und erst einmal gar nichts machen. Schließlich hat man diesen ungefragten Ratschlag nicht in Auftrag gegeben. Wenn man zu dem Thema der Phishing-E-Mail akute Fragen hat (ob Corona, Klimaschutz, Altersvorsorge, etc.) lieber selbst recherchieren.
  2. Nicht vom Namen beeindrucken lassen.: Ob WHO, Bundeskanzlerin, Rentenkasse oder Schulleitung: Cyberkriminelle wissen, welche Adressenten die Aufmerksamkeit auf sich ziehen. Nicht vorschnell agieren.
  3. REchtschreibg. und Gramatick„: Vielleicht nicht so auffällig wie hier, aber sie sind da: Fehler. Aufmerksames Lesen und sei es nur eine kleine Auffälligkeit kann bereits vor einem langwierigen Phishing-Angriff schützen.
  4. Malware-Schutz für Smartphone und Tablets: Unseren Computer schützen wir vor Viren & Co., aber das Smartphone, das wir täglich benutzen, nicht? Gerade da die Überprüfung von Links kaum möglich ist, ist eine Malware-Schutzfunktion eine sinnvolle Basis und kann in Kombination mit sorgsamem Verhalten das Risiko für eine Infektion deutlich minimieren.
  5. Keine Daten in ein Formular eingeben, nach denen eine Webseite nie fragen würde: Warum sollten die Webseiten von Weltgesundheitsorganisation, Greenpeace etc. nach E-Mail-Adresse und sogar Passwort fragen? Diese Abfrage ergibt bei genauer Betrachtung zumeist wenig Sinn. Deshalb im Zweifel lieber nichts eingeben. Oder in einem kurzen Telefonat die Richtigkeit klären.
  6. Falls das Passwort in falsche Hände kam – das Passwort ändern: Es kann passieren, dass man sich nicht an den „Ruhe bewahren“-Hinweis halten konnte. Daten sind eingegeben und nun fällt einem der Betrug auf. Dann heißt es: schnell handeln und das gestohlene Passwort sofort ändern, bevor die Kriminellen es ausprobieren.
  7. Saubere Passwort-Hygiene: Passwörter sollten niemals mehrfach verwendet werden. Denn das macht es Betrügern, die das Codewort erbeutet haben, sehr einfach, durch sämtliche Konten zumarschieren. Ein Passwortsystem oder ein Passwortmanager können hier helfen.
  8. Zwei-Faktor-Authentifizierung: Umständlicher, aber sehr wirkungsvoll: die Zwei-Faktor-Authentifizierung ist für Kriminelle eine starke Barriere und nimmt dem Passwort-Diebstahl seine Allmacht, denn der Kombinationspartner fehlt.

#Sophos