Die Angst der Anderen
Wenn das Corona-Virus zum Einfallstor wird
Wenn Krisen Unruhe bringen, schlägt die Stunde derjenigen, die davon profitieren wollen. Das Corona-Virus, das die Welt in Atem hält, ist ein Beispiel. Wie man sich vor Phishing-Angriffen, die sich an prominente Themen und Debatten hängen, schützt, verrät Michael Veit, Sicherheitsexperte bei Sophos.
Phishing-E-Mails sind immer eine Plage, aber bislang bezogen auf ihr Thema als Sendungsverfolgung oder persönlicher E-Mail des Vorgesetzten, dem sogenannten Spearpot Phishing, wenig anstößig. Doch mit der aktuellen Phishing-Attacke, die sich hinter einer E-Mail im Namen und mit dem Logo der Weltgesundheitsorganisation WHO zu Sicherheitshinweisen zum Corona-Virus versteckt, erreicht uns eine Phishing-Mail besonders geschmackloser Art. So klickt der Empfänger im Glauben, sich wichtige Sicherheitsmaßnahmen herunterzuladen, auf den Link – und fängt sich damit erst recht etwas ein.
“Cyberkriminelle nutzen jede Gelegenheit, um neue Opfer zu finden, deren Daten sie stehlen oder deren Smartphones und Rechner sie übernehmen und beispielsweise mit Ransomware infizieren können“, sagt Michael Veit. “Wie perfide und skrupellos die Täter dabei sind, zeigt das Ausnutzen der Ängste vor dem Corona-Virus. Wer jedoch ein paar Grundregeln bei der E-Mail-Nutzung beherzigt und aktuellen Endpoint-Schutz auf allen Geräten einsetzt – auch auf Smartphones – der lässt solche Angriffe ins Leere laufen.“
Der Fall "Corona"
Phishing-Angriffe folgen alle einer ähnlichen Choreografie. Geübte Leser des Englischen erkennen schnell die vielen Rechtschreib- und Grammatikverfehlungen in der E-Mail. Auch der Link, auf den man klicken soll, ist dubios: eine kompromittierte Musikseite mit seltsamem Namen, die auf den ersten Blick keinerlei Verbindungen zu irgendeiner bekannten Gesundheitsorganisation aufweist. Hier gibt es allerdings ein Problem: Die meisten E-Mails werden auf mobilen Geräten gelesen und dort funktioniert die Mouse-over-Funktion nicht. Es gestaltet sich damit sehr aufwendig, die Adresse und Links in der URL zu überprüfen. Zudem führt die verbreitete Annahme, dass nur PCs von Cyberkriminellen angegriffen werden, oftmals zu einem sorglosen Umgang mit mobilen Geräten. Ein Umstand, der sie zu beliebten Zielen macht.
Obwohl simpel gehalten, ist die Betrugsseite dennoch effektvoll. Sie stellt sich wie das Original der WHO da. Nur lockt ein Pop-up-Fenster der Kriminellen zur Eingabe von Daten. Auch die starke gesellschaftliche Aufmerksamkeit, die das Thema derzeit erfährt, führt dazu, dass Informationen darüber plausibel erscheinen: WHO, Corona, Sicherheitshinweise. Das klingt nach einer nachvollziehbaren Kausalkette. Und schon ist man dem Phishing aufgesessen.
Wie man sich vor Phishing-Angriffen schützen kann
- Ruhe bewahren: Phishing-E-Mails haben ein Ziel. Sie sollen den Empfänger unter Druck setzen, damit er den Link anklickt. Bei Unsicherheit gilt daher als erste Regel immer: Ruhe bewahren und erst einmal nichts machen. Schließlich hat man ja nach dem – vermeintlich gut gemeinten Ratschlag – auch nicht gefragt. Wer trotzdem Fragen zum Thema der Phishing-E-Mail, sei es nun Altersvorsorge, Klimaschutz oder Corona-Virus, hat, sollte lieber selber recherchieren.
- Nicht vom Namen beeindrucken lassen: Ob WHO, Bundeskanzlerin, Rentenkasse oder Schulleitung – Cyberkriminelle wissen ganz genau, welche Adressanten Eindruck schinden und die Aufmerksamkeit auf sich ziehen. Auch hier gilt: Nicht vorschnell agieren und Ruhe bewahren.
- REchtschreibg und Gramatick: Vielleicht nicht immer so auffällig, aber sie sind da: Fehler. Aufmerksames Lesen allein kann vor einem Phishing-Angriff schützen.
- Malware-Schutz für Smartphone und Tablets: Unseren Computer schützen wir vor Viren & Co. Das Smartphone, das wir täglich benutzen, wird dagegen oftmals stiefmütterlich behandelt, wenn es um die Sicherheit geht. Gerade bei Smartphones ist eine Malware-Schutzfunktion aber besonders wichtig, da hier Links nur schwer überprüft werden können. In Kombination mit sorgsamem Verhalten kann man das Risiko so deutlich minimieren.
- Keine Daten in ein Formular eingeben, nach denen eine Website nie fragen würde: Warum sollten die Websites von Weltgesundheitsorganisation oder Greenpeace nach der E-Mail-Adresse und sogar einem Passwort fragen? Abfragen dieser Art sind bei genauer Betrachtung meist sinnlos. Deshalb im Zweifel lieber nichts eingeben. Oder in einem kurzen Telefonat die Richtigkeit und Notwendigkeit klären.
- Das Passwort ändern, wenn es in falsche Hände gelangt: Ist es doch einmal passiert und man ist auf einen Betrug hereingefallen, dann heißt es: schnell handeln und das gestohlene Passwort sofort ändern, bevor die Kriminellen es ausprobieren.
- Konsequente Passwort-Hygiene: Passwörter sollten niemals mehrfach verwendet werden. Denn das macht es Betrügern, die das Codewort erbeutet haben, sehr einfach, auch andere Konten zu kompromittieren. Ein Passwortsystem oder ein Passwortmanager können dabei helfen, den Überblick zu bewahren.
- Zwei-Faktor-Authentifizierung: Umständlich, aber wirkungsvoll: Die Zwei-Faktor-Authentifizierung ist für Kriminelle eine große Hürde und nimmt dem Passwort-Diebstahl seine Macht. Schließlich haben Cyberkriminelle so nur einen Teil des Zugangsschlüssels.
Lesen Sie mehr zum Thema
