In unserer neuen Blogreihe dreht sich alles um IT Security. Wir versuchen praktische Tipps zu geben, wie sich der moderne Workflow etwas sicherer gestalten lässt und welche Gefahren tagtäglich lauern.
Der erste Artikel befasst sich mit Phishing. Bestimmt haben Sie in der Vergangenheit auch bereits Mails erhalten, von denen Sie nicht sicher waren, ob sie wirklich von der entsprechenden Person oder Firma stammen oder ob Sie dem, was in der Mail steht, Glauben schenken sollen. Doch wie kann man erkennen ob eine Mail möglicherweise gefälscht ist? Dies und mehr werden Sie im Weiteren erfahren.

Was ist Phishing?

Das Wort «Phishing» wurde aus dem englischen Wort «fishing» gebildet und bezeichnet verschiedenartige Versuche, um Menschen zu täuschen und dazu zu verleiten bestimmte Handlungen zu machen oder bestimmte Daten über sich Preis zu geben. Dazu werden wie bereits erwähnt, gefälschte E-Mails versendet aber auch gefälschte SMS oder gar ganze Webseiten eingerichtet, welche darauf ausgelegt sind die entsprechenden Informationen (wie beispielsweise Kreditkarteninformationen) an den Angreifer weiter zu leiten. Oft werden Phishing Angriffe mit Massenmails gestartet, welche mehr oder weniger wahllos an Tausende Mail Adressen versendet werden. Es kommt allerdings auch vor, dass Phishing betrieben wird, um beispielsweise eine Firma gezielt anzugreifen. Dazu werden zuerst Informationen zur Firma gesammelt und dann einzelne Mitarbeiter mit sehr gezielten Methoden «gephisht». In solch einem Fall spricht man vom «Spearphishing». Wie man sehen kann ist also jeder in Gefahr, einmal Opfer solcher Angriffsmethoden zu werden. Umso wichtiger ist es, bei der täglichen Arbeit die Augen offen zu halten und verdächtige Mails zu erkennen und zu überprüfen.

Wie kann ich solche Mails erkennen?

Wichtig ist sicher immer ein gesundes Misstrauen gegenüber Mails. Fast alles in einer Mail kann gefälscht werden. Bei sehr guten Phishing Mails ist es manchmal auch für Profis nicht gleich von Anfang an ersichtlich, ob eine Mail nun echt ist oder nicht. Es gibt allerdings einige einfache Methoden, um sich schon sehr schnell ein Bild machen zu können, ob eine Mail möglicherweise gefälscht ist.

Sich Fragen stellen:

Macht es Sinn, dass mir dieser Absender diese Mail gesendet hat?
Bekomme ich zum Beispiel eine Rechnung von einem Online Shop, bei dem ich gar nichts bestellt habe, wird die Mail wahrscheinlich nicht echt sein. In diesem Fall niemals den Anhang der Mail öffnen um zu prüfen, ob die Rechnung echt ist! Besser ist es, sich auf dem Onlineshop in sein Kundenkonto einzuloggen und zu prüfen, ob tatsächlich eine unbezahlte Rechnung vorhanden ist. Alternativ kann auch zum Telefon gegriffen und nachgefragt werden.

Falls der Absender beispielsweise ein Mitarbeiter aus der Firma ist, kann man zu ihm gehen und ihn Fragen ob er diese Mail versendet hat. Auch hier ist wichtig: Unbedingt das Medium für die Nachfrage wechseln. Habe ich also eine Mail erhalten werde ich ihn nicht per Mail fragen, ob er das war, da das Risiko da ist, dass mir in diesem Fall der Angreifer antwortet. Wir haben bereits öfter erlebt, dass ganze Konversationen mit den Angreifern geführt wurden und dadurch die Mitarbeiter der Meinung waren, dass sie sicher sind, dass es sich um diese Person handelt.

Handelt es sich um den Schreibstil dieser Person?
Wenn ein Mitarbeiter immer seine Mails auf Deutsch schreibt und dann plötzlich eine Mail auf Englisch kommt, handelt es sich eventuell nicht um diese Person. Ausserdem sind Phishing Mails oft gespickt mit Schreibfehlern. Kann es sein, dass diese Person plötzlich Schreibfehler macht, obwohl sie das nie getan hat? Genau gleich verhält es sich auch bei Mails von Firmen. Eine offizielle Firmen E-Mail die voll mit Schreibfehlern ist, sollte hier verdächtig wirken.

Macht es Sinn, dass die entsprechenden Informationen angefragt werden?
Eine Bank wird nie nach den Kennwörtern für das E-Banking fragen oder nach der PIN der Karte. Solche Anfragen sollten einen stutzig machen.
Ausserdem sollte man immer hellhörig werden wenn man aus dem nichts aufgefordert wird Geld zu überweisen oder ähnliches. Oft wird man zum Beispiel über einen angeblichen Gewinn benachrichtigt und aufgefordert, die Bearbeitungsgebühr im Voraus zu überweisen. Wenn sie in einem solchen Fall zahlen, können sie davon ausgehen, dass Sie das Geld nie wiedersehen werden.

Die Mail prüfen:

Ist die Mailadresse die Richtige?
Für «einfachere» Spam Mails werden oft falsche Mail Adressen genutzt und die Mailadresse, welche vorgegaukelt wird, nur als Absendername hinterlegt.
Im folgenden Bild ist ersichtlich, dass nur der Absendername gefälscht wurde und die Mail von einer falschen Mailadresse aus gesendet wurde:

Sind die Links korrekt?
Oft werden in Mails gefälschte Links eingesetzt, um die Opfer auf gefälschte Webseiten weiter zu leiten. Links können überprüft werden, in dem mit der Maus darübergefahren, aber nicht geklickt wird.

Hier sollte man sich dann folgende Fragen stellen:
Geht dieser Link auf die richtige Webseite? Ist irgendetwas verdächtig an diesem Link? Sehr viele unlesbare Zeichen im Link könnten versteckter Code sein, der etwas tut.
Klassiker sind auch immer wieder Domains, welche sehr ähnlich zur angeblichen Domain sind.
Beispiele sind hier: Gooogle.ch statt Google.ch oder in unserem Fall könnte es Gliomen.ch anstatt Gilomen.ch sein.

Als Beispiel hier ein Mail welches vorgibt, von Amazon zu kommen. Die Mail ist ansprechend gestaltet und zeigt ganz harmlos etwas Werbung. Wenn wir uns aber die Links genauer anschauen stellen wir fest, dass diese nicht auf Amazon zeigen. Ausserdem ist die Mailadresse nicht von Amazon. Wir können also davon ausgehen, dass diese Mail nicht echt ist:

Was tun, wenn bereits etwas passiert ist?

Es kann jedem passieren, dass er auf eine solche Mail reinfällt. Das muss Ihnen daher nicht peinlich sein. Wichtig ist als erstes: Nicht in Panik verfallen.
Als nächstes müssen Sie den Vorfall unbedingt an Ihre IT Verantwortlichen oder an uns melden. Bitte leiten Sie die Mail nicht per Weiterleitungsfunktion weiter. Ziehen Sie sie auf den Desktop und fügen Sie sie als Anhang an eine neue E-Mail an. Nur so ist gewährleistet, dass die Mail sauber analysiert werden kann. Weisen Sie in der Betreffzeile darauf hin, dass es sich um eine verdächtige Mail handelt. Beschreiben Sie ausserdem in der Mail was Sie getan haben (geantwortet, auf Links geklickt, usw.). Anschliessend löschen Sie die Mail aus Ihrem Postfach. Gerne analysieren wir die Mail für Sie und geben Ihnen Anweisungen, was Sie tun sollten um den Schaden zu verhindern oder einzugrenzen.

Falls Sie Mails erhalten und Sie nicht sicher sind ob es sich um eine Phishing Mail handelt, dürfen Sie uns selbstverständlich gerne kontaktieren, damit wir das gemeinsam mit Ihnen anschauen können.