Der IT-Sicherheitsblog

„In der letzten Lotterie des FBI habe ich 20 Millionen Dollar gewonnen. Ich habe zwar nicht gewusst, dass das FBI Lotterien veranstaltet, ich habe auch nicht teilgenommen ... aber ich habe gewonnen. Ich muss nur noch auf diesen komischen Link in der Mail klicken, um meinen fetten Gewinn zu kassieren.“

Klingt gut! Klingt zu gut, um wahr zu sein. Ist auch nicht wahr. Wenn etwas zu gut klingt um wahr zu sein, dann ist es auch nicht wahr. Es soll nur der Gier-Schalter im Gehirn eingeschaltet werden. Und der schaltet gleichzeitig das Denken und damit die Vorsicht aus.

„Angeblich ermittelt das BKA gegen mich wg. MP3-Download. Werde ich jetzt verhaftet? Nochmal Glück gehabt, denn gegen Zahlung von 50 Euro über einen anonymen Zahlungsdienstleister kann ich mich frei kaufen. Und den Zahlungscode muss ich an eine E-Mail-Adresse in ein dubioses Land schicken. Da habe ich ja nochmal Glück gehabt.“

Deutsche Polizeibehörden schicken immer noch Papierpost. Aber über den Schock soll der Panik-Schalter umgelegt werden und der funktioniert genauso wie der Gier-Schalter.

Die IT-Abteilung Ihres Arbeitgerbers oder Ihr Provider verschicken E-Mails, dass Ihr Postfach voll oder Ihr Passwort abgelaufen ist, niemals aus dubiosen Ländern, sondern immer von Absender-Adressen aus dem Unternehmen.

Denken Sie nach. Und löschen Sie solche E-Mails. Wenn Sie sich nicht sicher sind, fragen Sie lieber die Experten.

Phishing – so der Fachausdruck für derartige Mails – ist eine boomende, kriminelle Industrie. Virenscanner bieten einen unverzichtbaren Grundschutz, aber es bleibt ein Restrisiko und dafür benötigen Sie Ihren gesunden Menschenverstand. Seien Sie kritisch.

Klickt man auf einen Link in einer sogenannten Phishing-Mail, startet der Browser und öffnet eine Web-Seite. Diese fragt meist dreist nach Benutzernamen und Passworten sowie weiteren Informationen wie z.B. Banking-TANs. Spätestens hier sollte man innehalten und merken, dass etwas nicht stimmt. Kritischer sind Seiten, die wie dem Nutzer bekannte Portale aussehen. Hier gibt dann mancher sein Passwort ein, da die gefälschte Eingabemaske aussieht, wie die Bekannte.

Hat man Pech, geschieht beim Klick auf den Link außer dem Browserstart vermeintlich nichts. Dies sind die gefährlichen Seiten, da heimlich eine Schadsoftware auf Ihrem Rechner installiert wird. Auch beim Öffnen eines zip-, pdf oder Word-Anhangs einer Phishing-Mail wird eine Schadsoftware installiert.

Eine „beliebte“ Funktion dieser Schadsoftware ist das Ausspähen von Benutzernamen und Passworten. Die Account-Daten können dann zum weiteren Versand von Phishing-E-Mails, Zugriff auf andere Benutzerberechtigungen (viele verwenden überall dasselbe Passwort), oder dem Eröffnen von Benutzerkonten bei Diensteistern verwendet werden.

Gelangt der Angreifer in Ihren eBay Account, kann er unter Ihrem Namen Waren verkaufen. Wird Ihr Mail-Account für den Versand von SPAM missbraucht, so kann Ihr Arbeitgeber vielleicht tagelang nur eingeschränkt E-Mails verschicken, da der Mail-Server Ihres Arbeitgebers auf einer schwarzen Liste gelandet ist.

Da letztlich das Ziel ist, ohne viel Arbeit an Geld zu kommen, wird auch immer wieder versucht in Ihr Internetbanking manipulativ einzugreifen. Es gibt viele Leute, die auf diese Art schon Geld verloren haben.

Hier mal ein konkretes Beispiel für die Folgen eines Klicks:Ein Kollege in einer Uni klickt auf den Link und gibt seine Daten ein. Er fühlte sich unter Druck gestetzt und wollte sich schnell wieder freischalten lassen und hat deshlab seine Mailadresse und sein Passwort preisgegeben. Im Laufe der folgenden Nacht gab es dann sieben Anmeldungen aus Ägypten und Nigeriabeim Webmail-Server der Uni. Dabei wurden 379 Mails verfasst, einige davon mit sehr vielen Adressen im BCC-Feld. Das führte zu 129.836 versendeten Mails und 39.418 abgelehnten Mails, die dann als Unzutsellbarkeitsbenachrichtungen im Posteingang des Nutzers waren. (Dank an Max B. für die konkreten Zahlen)

Die Technische Universität München bietet zum Thema "Phishing" einen netten kleinen Phishing Selbstlerntest an. Haben Sie alle Mails richtig klassifiziert?