Tipps & Tricks: Die Anatomie einer Phishing-Mail – um Hacker-Attacken frühzeitig zu erkennen

Wie man betrügerische E-Mails zum Abgreifen von Passswörtern oder Kontoinformationen an einigen prägnanten Merkmalen erkennt.

Phishing – ein IT-typisch zusammengezogener Begriff aus Password und Fishing – meint das betrügischere Abfangen („Fischen“) von Passwörtern mittels fingierter E-Mails und Links auf gefälschte Landing Pages. Wegen der Nutzung von E-Mails ist Phishing einer der ältesten Angriffsarten. Trotzdem ist diese Methode nach wie vor einer der erfolgreichsten Wege, wie Hacker Zugang zu sensiblen Daten erhalten.

Laut des Data Breach Investigations Reports 2018 des amerikanischen Telekommunikationsanbieters Verizon ist Phishing an 70 Prozent der Verstöße beteiligt, die eine Social Engineering-Komponente enthalten.

Dabei ist die Phishing-Masche reichlich simpel: Die betrügerischen E-Mails scheinen von einem seriösen Unternehmen zu stammen. Diese haben das Ziel, Empfänger zu täuschen und sie dazu zu bringen, entweder auf einen bösartigen Link zu klicken oder einen infizierten Anhang herunterzuladen, um damit in aller Regel finanzielle oder vertrauliche Informationen zu stehlen.

Früher waren diese Mails noch einigermaßen leicht am holprigen Deutsch und schlechten Formatierungen zu erkennen. Aber auch hier zeigt sich die zunehmende Professionalisierung der Hacker-Szene. Entsprechend wichtig ist es für jeden Nutzer, sich die wichtigsten anatomischen Merkmale einer Phishing-Mail zu vergegenwärtigen, um solche Hackerangriffe frühzeitig zu erkennen.

Zum Beispiel in der Betreffzeile: So zielen Phishing-Kampagnen in der Regel darauf ab, durch intensive Sprach- und Angsttaktiken ein Gefühl der Dringlichkeit zu schaffen, beginnend mit der Betreffzeile der E-Mail. Häufige Themen sind etwa die Gefährdung von sensiblen Daten wie der Kreditkartennummer oder einem Konto. Dies geschieht, um den Empfänger zur schnellen Reaktion zu bewegen, ohne besser und genauer auf Anzeichen eines möglichen Betrugs zu achten.

Wie beim Betreff wird auch im Text einer Phishing-Mail in der Regel eine drängende Sprache verwendet, um den Leser zum Handeln ohne Nachdenken zu veranlassen. Und auch wenn die allgemeine Sprachqualität der Phishing-Mails deutlich zugenommen hat, weisen viele dieser Nachrichten nach wie vor Grammatik- und Rechtschreibfehler oder unübliche Formulierungen auf.

Ein weiteres Indiz ist der Absender: Wesentlich für den Erfolg einer Phishing-Mail ist es, Authentizität zu suggerieren. Der Empfänger soll glauben, dass die Mail von einem seriösen Unternehmen stammt. Daher scheint die E-Mail von einer legitimen Person innerhalb eines renommierten Unternehmens zu stammen, wie beispielsweise dem Kundensupport einer Bank. Bei genauerem Hinsehen kann man jedoch erkennen, dass sowohl der Name des Absenders als auch die E-Mail-Adresse des Absenders lediglich die Fälschung einer bekannten Marke ist und nicht ein echter Anbieter.

Schließlich sind Phishing-E-Mails sind oft unpersönlich und richten sich an den Empfänger als „Benutzer“ oder „Kunde“ – ein wichtiges und deutliches Warnsignal. Auch wenn (legitime) Unternehmen Massen-Mails versenden, wenden diese sich in der Regel mit einer persönlichen Anrede an ihre Kunden.

Das Zentrum einer Phishing-Mail bildet meist ein Link, der auf eine scheinbar legitime Seite leitet. Diese Links werden oft verschleiert dargestellt – etwa durch einen Link-Verkürzer wie Bit.ly – oder so formatiert, dass sie wie ein legitimer Link aussehen, der dem Unternehmen und der Nachricht der gefälschten E-Mail entspricht. Fährt man mit der Maus jedoch über den Link (natürlich ohne zu klicken!), wird die echte bösartige Adresse angezeigt. Manche E-Mail-Programme ermöglichen es, den Quelltext einer E-Mail darzustellen – auch hier findet sich dann die tatsächliche Web-Adresse.

Wenn man auf einen Phishing-Link klickt, wird man oft auf eine bösartige Zielseite – die sogenannte Landing Page – geleitet. Auch hier gibt mehrere Möglichkeiten, eine bösartige Landing Page zu erkennen:

  • Web-Adresse: Die Web-Adresse einer bösartigen Zielseite versucht, ein legitimes Unternehmen nachzuahmen, aber Fehler wie falsche Schreibweisen und unsichere Verbindungen deuten auf eine gefährliche Website hin.
  • Fehlende Navigation und Fußzeile: Das Ziel einer bösartigen Landing Page ist es, die Daten der Opfer zu erfassen. Daher sind diese Seiten oft stark reduziert und schmucklos. Oft fehlen auch Details, die bei den originalen Seiten vorhanden sind, etwa Kopf- und Fußzeilen.
  • Inkorrekte Schreibweisen: Wie in der Phishing-Mail oder der Web-Adresse ahmt die bösartige Landing Page ein echtes Unternehmen nach. Entsprechend genau sollte man auf mögliche falsche Schreibweisen achten, beispielsweise „Appel“ statt „Apple“.
  • Informationsgewinnung: Das Ziel von Phishing-Betrügereien ist es, Opfer dazu zu bringen, persönliche oder finanzielle Informationen einzugeben, so dass böswillige Seiten fast immer eine Art von Formular zur Eingabe von Informationen enthalten, das leicht von der legitimen Zielseite des Unternehmens abweicht. Beispielsweise müssen etwa Passwörter oder TANs eingegeben werden, wo dies auf den legitimen Seiten nicht der Fall ist.

Natürlich weisen nicht alle Phishing-Mails alle genannten Anzeichen auf, noch dazu im gleichen Maße. In der folgenden Infografik gibt’s die wichtigsten anatomischen Merkmale noch einmal kompakt auf einen Blick – zum Vergrößern zwei Mal anklicken:

Quelle: Varonis

Verwandte Artikel:

Tipps & Tricks: Wie anonym ist „anonymes Surfen“ wirklich?

Datenschutz-Paradoxon: User wollen Kontrolle, aber keine Bequemlichkeit aufgeben

Die Wahrscheinlichkeit eines Cyberangriffs im Vergleich mit Einbruch & mehr

Jeder 2. Deutsche fürchtet, beim Online-Shopping zu viele Vorlieben preiszugeben

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*