Phishing-E-Mails: Was tun im Ernstfall?

Eine verdächtige E-Mail ist im Postfach? Schon ein falscher Klick kann Malware einschleusen oder Passwörter stehlen. Als IT-Profi wissen Sie, dass unüberlegte Handlungen von Mitarbeiterinnen und Mitarbeitern die größte Gefahr darstellen.

Nutzen Sie diese kompakte Übersicht, um Ihr Team zu sensibilisieren – von gefährlichen Anhängen über Erkennungsmerkmale bis hin zur richtigen Reaktion. Teilen Sie das Wissen (oder diesen Link), bevor etwas passiert.

Der Branchenverband Bitkom schreibt: „Am häufigsten berichten Unternehmen von Schäden durch Ransomware (31 Prozent), dahinter folgen Phishing-Attacken (26 Prozent), Angriffe auf Passwörter (24 Prozent) und Infizierung mit Schadsoftware (21 Prozent)“.

Phishing-E-Mails erkennen: Darum geht’s allgemein

Das Wort Phishing ist eine Abwandlung des englischen Verbs to fish (zu Deutsch: angeln) und stammt aus dem Hackerbereich. Im übertragenen Sinne bedeutet es, dass ein Köder ausgeworfen wird, um potenzielle Opfer dazu zu verleiten, anzubeißen.

Fallen Ihre Kolleginnen und Kollegen darauf herein, können Cyberkriminelle Zugriff auf ihre Anmeldedaten, den Computer oder andere Ziele im Netzwerk erlangen. Das Haupteinfallstor sind in der Regel E-Mails, doch Phishing ist nicht auf das digitale Postfach beschränkt.

Phishing findet auf vielen weiteren Kommunikationswegen statt: Beispielsweise über Chat, SMS, QR-Codes und sogar über das Telefon, wo mittlerweile mithilfe von KI die Stimme einer anderen Person imitiert werden kann.

Geschulte Mitarbeiterinnen und Mitarbeiter sind die beste Verteidigung gegen solche Angriffe. Sie erkennen potenzielle Attacken, bevor Schaden entsteht. Um Phishing-E-Mails identifizieren zu können, ist es wichtig, die potenziellen Angriffsziele zu verstehen. Zugangsdaten sind besonders häufig im Visier.

Was tun gegen Phishing? Kennen Sie die Ziele!

Da sich die Angriffsmethoden ständig weiterentwickeln, läuft seit jeher ein Katz-und-Maus-Spiel zwischen Hackern und Sicherheitsprofis.

Kriminelle versuchen, Usernamen, Passwörter, Sitzungs-Token oder ähnliche Daten zu stehlen, um Zugriff auf Ihre Kommunikation oder Unternehmensinformationen zu erhalten. Gelingt ihnen das, versenden sie beispielsweise echte E-Mails aus der Buchhaltung mit betrügerischen Anweisungen und falschen Kontoinformationen.

Wie Unbefugte sich Zugriff verschaffen

Cyberkriminelle nutzen verschiedene Wege, um in Systeme einzudringen, beispielsweise über Sicherheitslücken in Websites, veraltete Software, Zero-Day-Exploits oder schwach konfigurierte Netzwerke.

Wenn Schadsoftware auf diese Weise auf einen Computer gelangt, können die Kriminellen Daten stehlen, Systeme übernehmen oder sogar ganze Firmennetzwerke lahmlegen, wie es bei Ransomware der Fall ist.

Dabei handelt es sich um besonders kritische Attacken auf Unternehmensinfrastrukturen. Kriminelle verschlüsseln nach einem erfolgreichen Angriff die Daten und fordern Lösegeld (im Englischen: ransom).

Abgesehen von den oben genannten Lücken in Hard- oder Software ist eine Phishing-E-Mail der am häufigsten genutzte Weg, um schadhaften Code oder gefälschte Inhalte zu verbreiten.

Wer neben den Zielen auch die technischen Hintergründe versteht, kann Phishing-Attacken effektiv erkennen. Im Wesentlichen nutzen sie zwei Methoden, um ihre Ziele in Ihrem Unternehmen zu erreichen: gefälschte Links und fingierte Anhänge.

Was tun gegen gefälschte Links in Phishing-E-Mails?

Die eiserne Grundregel lautet: Links in E-Mails niemals ungeprüft anklicken! In E-Mails eingebettete gefälschte Links verweisen auf schadhafte Websites. Dabei kann entweder der PC direkt infiziert werden oder User gelangen auf eine Website, die vorgibt, eine vertrauenswürdige Seite zu sein, tatsächlich aber gefälscht ist.

Ein Beispiel dafür ist eine täuschend echte Anmeldeseite von Outlook, die jedoch nicht von Microsoft betrieben wird.

Spoofing-Links: Fiese Tricks in Phishing-E-Mails

Um gefälschte Links zu tarnen, werden oft sogenannte Homoglyphen verwendet. Das sind Symbole, die ähnlich aussehen, jedoch in ihrer Computer-Codierung unterschiedlich sind. Dadurch entstehen beispielsweise die folgenden beiden Links:

www.googIe.de

www.google.de

Auf den ersten Blick sehen beide URL gleich aus. Allerdings ist in dem ersten Link das L von Google ein großes „i“, anstelle eines kleinen „L“. Bei längeren Website-URL wird es um so schwerer, eine Homoglyphe in einem gefälschten Link zu erkennen.

Hüten Sie sich vor dem Aufruf sogenannter spoofed URL (gefälschte Links), indem Sie zunächst mit dem Mauscursor über den Link fahren, ohne zu klicken. Mithilfe des Mouse-over-Effektes (z. B. per Pop-up-Fenster direkt über dem Cursor oder als Einblendung ganz unten links in Ihrem Webbrowser) erhalten Sie weitere Informationen über einen Link.

Der Bezahlanbieter PayPal war bereits Ziel eines solchen Phishing-Angriffs, bei dem die Domain PayPaI.com mit großem i verwendet wurde.

Phishing-Mail erkennen: falsches Opt-out

Besonders perfide: Manche E-Mails tarnen sich als Newsletter. Und von denen kommen mitunter ziemlich viele in Firmenpostfächern an. Manche mag man lesen, manche möchte man direkt wieder loswerden.

Der gemeine Trick besteht in dem Falle darin, den Link hinter dem „Abmelden“-Text oder Button mit einem fingierten Link zu versehen. Statt eine Opt-out-Seite installieren User dann Malware oder landen auf einer getarnten Log-in-Seite, die sich als eine andere Homepage ausgibt, z. B. Facebook, PayPal, Ebay etc.

Gefährliche Anhänge in Phishing-E-Mails erkennen

Bei Anhängen sind die technischen Methoden die gleichen wie bei gefälschten Links: Entweder enthält der Anhang selbst schadhaften Code, installiert Malware oder gibt vor, eine Anmeldeseite eines bekannten Anbieters zu sein, z. B. die Startseite von Amazon, Facebook oder hiesige Online-Banking-Portale. Statt eines erfolgreichen Log-ins werden die Daten per Formular an die Kriminellen geschickt.

Wie fingierte Anhänge beim Phishing funktionieren

Dokumente mit dynamischen Inhalten können über Makros oder eingebetteten Code Malware installieren, sobald sie geöffnet werden. Verdächtige Dateiendungen sind: *.exe, *.js, *.scr, *.zip, *.iso oder Office-Dateien mit Makros (.docm, .xlsm).

Achtung: Oft verschleiern Cyberattacken mithilfe von doppelten Endungen die Dokumente, z. B. Dokument.pdf.exe. Öffnen Sie verdächtige Dateien nur in isolierten Umgebungen, wie beispielsweise Windows-Sandbox (WSB) und lassen Sie Makros in Microsoft Office grundsätzlich immer deaktiviert:

Unter Windows: Öffnen Sie die Office-Anwendung (z. B. Excel oder Word), klicken Sie auf Datei und dann auf Optionen. Wählen Sie im linken Bereich Trust Center und dann Einstellungen für das Trust Center. Navigieren Sie zu den Makroeinstellungen und wählen Sie die Option Alle Makros ohne Benachrichtigung deaktivieren oder Alle Makros deaktivieren, außer digital signierten Makros aus, um die sicherste Einstellung zu wählen.

Unter MacOS: Öffnen Sie die Office-Anwendung und klicken Sie oben links neben dem Apfel auf den Namen des Programms, z. B: Word. Klicken Sie auf Einstellungen und im aufgeklappten Menü auf Sicherheit. Sie sehen gleich oben auf die Auswahlmöglichkeiten für den Umgang mit Makros.

Aber auch weniger auffälligere Anhänge führen zum Ziel der Kriminellen, z. B. ein getarntes ausführbares Installationsprogramm mit dem Namen DHL-Sendungsverfolgung.exe. Der Namen wirkt harmlos, beim Start des Programms öffnet diese Hintertür aber angreifenden Personen Tür und Tor.

Phishing-E-Mails melden: Wie gehe ich am sichersten vor?

Wurde ein Link oder ein Anhang in einer Phishing-E-Mail geöffnet? Dann trennen Sie den Computer zunächst vom Internet. Ziehen Sie das Kabel oder deaktivieren Sie die WLAN-Funktion!

Sensibilisieren Sie Ihre Teams, potenzielle Phishing-Vorfälle umgehend zu melden. Dadurch ermöglichen sie es Ihnen, Untersuchungen durchzuführen und präventive Maßnahmen zu ergreifen, um Sie und Ihre Kolleginnen und Kollegen vor möglichen Bedrohungen zu schützen.

Wenn Ihre Mitarbeiterinnen und Mitarbeiter eine verdächtige E-Mail erhalten haben, sollten sie diese auf keinen Fall an Sie weiterleiten lassen. Manche Schadprogramme führen die Makros oder Scripts bereits beim Weiterleiten automatisch aus. Die .eml-Methode ist sicherer:

Lassen Sie Ihre User im Falle eines Falles eine neue E-Mail erstellen. Die verdächtige Mail muss als .eml-Datei beigefügt werden – nicht per Kopieren und Einfügen!

Wenn Sie und Ihre Teams diese Maßnahmen befolgen und eine wache Haltung bewahren, können Sie das Risiko, Opfer von Phishing-Angriffen zu werden, erheblich reduzieren.

Denken Sie immer daran: In der sich ständig weiterentwickelnden Landschaft der Cybersicherheit sind Vorsicht und Skepsis Ihre besten Verbündeten. Greifen Sie im Zweifel zum Hörer: Rufen Sie die Kollegin oder den Kollegen an, der eine verdächtige E-Mail geschickt hat. Verwenden Sie dafür die bekannte Rufnummer – und nicht die, die womöglich in der dubiosen Post hinterlegt ist.

Und all das gilt unabhängig vom Betriebssystem! Zwar bietet Windows aufgrund der Verbreitung die größte Angriffsfläche, aber auch für MacOS und Linux existiert Schadsoftware, die per Phishing-E-Mail verschickt werden kann. Bleiben Sie wachsam.

Managed Service Provider bieten im Rahmen ihrer Dienstleistungen Schulungen zur Sensibilisierung für Phishing-Gefahren an, die Mitarbeiterinnen und Mitarbeiter kontinuierlich aufklären.

IT-Redakteur
BUCS IT