Aufgedeckt: Mit diesen Tricks arbeiten Phishing-Mails

Immer öfter versuchen Betrüger mit täuschend echt aufgemachten Phishing-Mails arglose Internetnutzer auf manipulierte Internet-Seiten zu locken. Aber auch technisch lernen die Angreifer immer mehr dazu.

Wenn es um Spam- oder Phishing-Angriffe geht, gehörten deutsche Nutzer zu den beliebtesten Zielen von Kriminellen. Dieses Risiko hat sich in der Corona-Pandemie nochmals verstärkt. Der Hintergrund ist dabei stets der Gleiche: Verbrecher versuchen auf leichte Weise, an schwer verdientes Geld zu kommen. Dazu bedienen Sie sich verschiedener Maschen. Mails rund um Potenzpillen, Fußpilz und Dating werden dabei zunehmend abgelöst durch Nachrichten mit kriminellem Hintergrund. Das Ziel lautet persönliche Daten abzugreifen, Schadprogramme auf dem Computer zu installieren oder diesen zu kapern und dann Lösegeld zu erpressen. Dabei gehen die Spammer immer professioneller vor. Inzwischen schreiben sie die Opfer etwa persönlich an („Sehr geehrter Herr Müller“), nutzen vertrauenswürdige Absenderadressen (etwa „service@paypal.de“) und Rechtschreibung und Aufmachung sind einwandfrei. Andere Cyber-Kriminelle zielen mit Kettenbriefen auf die Aufmerksamkeit möglichst vieler Adressaten. Die falschen Aufrufe und Warnungen werden von gutgläubigen Empfängern weitergeleitet und belasten elektronische Briefkästen weltweit. Aber auch technisch rüsten die Gauner immer mehr auf. Während ein Schutz vor Malware generell gute Arbeit leistet um Sie zu schützen, sollten Sie sich dennoch informieren, um den Cyberkriminellen immer einen Schritt voraus zu sein. Wie Sie die neuen Angriffe abwehren, erfahren Sie deswegen in diesem Ratgeber.

Phishing-Seiten mit gültigem Zertifikat

Bis vor kurzem ließen sich gefälschte Internetseiten recht einfach dadurch erkennen, dass sie kein gültiges Zertifikat aufwiesen, gekennzeichnet durch das fehlende Schloss-Symbol im Browser links vor der Adresse. Viele gefälschte Phishing-Seiten weisen aber inzwischen durchaus ein gültiges Zertifikat auf, zeigen die korrekte Domain in der Adress-Leiste und gleichen dem Original wie ein Ei dem anderen. Laut einer Studie der Anti-Phishing Working Group (www.antiphishing.org) setzen inzwischen nahezu 75 Prozent aller Phishing-Attacken auf verschlüsselte HTTPS-Verbindungen mit gültigem SSL-Zertifikat.

Das hilft:

Wenn Sie im Browser auf das Schloss-Symbol klicken und sich das Zertifikats anschauen, sehen Sie, für welche Domain es ausgestellt wurde. Ein Beispiel: Besuchen Sie die Seite der Deutschen Bank und rufen die Zertifikatsinfos auf, muss das Zertifikat unter „Ausgestellt für“ auch für www.deutsche-bank.de ausgestellt sein und nicht für eine andere Domain.

Rund drei Viertel aller Phishing-Attacken verweisen auf Seiten mit gültigem Zertifikat
Rund drei Viertel aller Phishing-Attacken verweisen auf Seiten mit gültigem Zertifikat. | Quelle: www.antiphishing.org

Phishing-Mails mit gefälschten URLs

Eine weitere neue, miese Masche ist unter dem Namen URL-Spoofing bekannt. Der Trick dahinter: Das Opfer sieht beim Aufruf einer fingierten Internetseite nicht die echte Adresse, sondern eine gefälschte. Sprich: Es sieht zwar den Inhalt der Phishing-Seite aber die Internetadresse des Originals. Technischer Hintergrund:  Eine manipulierte Internetseite sendet eine Abfrage über einen ungenutzten TCP-Port. Da dieser nicht antwortet, kann es mehrere Minuten dauern bis die URL der manipulierten Seite erscheint.

Das hilft:

Die Manipulation lässt sich mit einem geschulten Auge recht einfach aufdecken. Da der Browser noch keine Verbindung mit der echten Seite aufgebaut hat, zeigt er auch kein Schloss links vor der Adressleiste. Bei „echten“ Seiten würde das sofort erscheinen. Möglich sind derartige Attacken zudem nur durch Sicherheitslücken in Browsern. Halten Sie also Chrome, Firefox und Co. immer auf dem neusten Stand.

3 Fingierte Adressen in Phishing-Mails

Wenn HTML im E-Mail-Programm aktiviert ist, können Angreifer einfach beliebige Links hinter vermeintlich echten Internetadressen verstecken. Beispiel: In einer der Phishing-Mails befindet sich vermeintlich der Link www.deutsche-bank.de, wenn der Empfänger aber daraufklickt, landet er auf einer Phishingsite.

Das hilft:

Sie können einfach das Ziel checken, zu dem Sie Hyperlinks führen. Diese Aufgabe übernimmt zum Beispiel die Seite www.virustotal.com.  Klicken Sie hier auf URL, kopieren (nicht abtippen) den verdächtigen Link ins Feld „Search or Scan a URL“ und klicken auf Search.

Tipp: In die Phishing-Falle getappt? BSI hilft

Wer in eine Phishing-Falle getappt ist, sollte die Internetseite des Bundesamtsamts für Sicherheit in der Informationstechnik (BSI) konsultieren. Denn dort befindet sich seit neustem eine Checkliste von BSI und Polizei. Diese gibt Phishing-Opfern erste Notfallmaßnahmen an die Hand und dient als Anleitung. Noch ein Tipp: Damit es gar nicht erst soweit kommt, installieren Sie am besten den Avira Browserschutz. Das Browser-Add-on für Chrome, Edge, Firefox und Opera blockiert neben infizierten Anzeigen und Tracking auch effektiv Phishing-URLs aller Art (siehe Bild unten).

Der Avira Browserschutz kann Sie vor Phishingseiten schützen