So erkennen Sie Phishing und schützen sich vor Attacken

Phishing sind im Allgemeinen illegale Methoden von Cyber- Kriminellen, die darauf abzielen, an sensible Daten von Personen zu gelangen, um diese zu betrügerischen Zwecken zu mißbrauchen.

Phishing hat sich in den letzten Jahren sehr stark auf Online- Banking fokussiert, wodurch Geschädigte  finanzielle Verluste erleiden können. Aber auch persönliche Zugangsdaten für Online Communitys werden gerne durch Phishing "gefischt", um die Identität eines Users mißbrauchen zu können.  Auch das Sammeln von e-mail Adressen unter falschem Vorwand, zum Beispiel ein Gewinnspiel mit verlockenden Preisen, bei dem zur Teilnahme die e-mail Adresse hinterlassen werden muss, fällt unter Phishing, wenn das Gewinnspiel tatsächlich gar nicht existiert. In solchen Fällen geht es letztlich meist darum, ihre e-mail Adresse zu verkaufen oder für Marketing- Zwecke zu nutzen.

Eine Phishing Attacke beginnt meist mit einer Phishing Mail

Der erste Kontakt bei einer Phishing Attacke ist überwiegend die sogenannte Phishing Mail, seltener auch eine Phishing SMS oder in extrem dreisten Fällen der gute alte Telefon- Anruf.

Die meisten Phishing Mail's folgen dem gleichen Strickmuster: Optisch ist die e-mail bei einer Phishing Attacke so aufbereitet, dass sie den Anschein erweckt, der Absender wäre ein seriöses Unternehmen oder eine Institution. Will ein Betrüger beispielsweise an Online- Banking Daten,  wird er sich bevorzugt als Großbank mit starker Marktpräsenz ausgeben, um eine gewisse "Kunden- Treffer- Quote" bei seiner Phishing Spam Attacke zu erreichen.  Häufig mißbrauchen die Betrüger das Logo oder die gesamte Corporate Identity der Firma, die als vermeintlicher Absender vorgetäuscht werden soll, um die Glaubwürdigkeit zu erhöhen. In einer Phishing Mail werden Sie in der Regel mit: "Sehr geehrter Kunde" oder ähnlich angesprochen und unter einem möglichst glaubhaften Vorwand dazu aufgefordert, sensible Daten wie Kontonummern, Passwörter, Tan's, Benutzernamen etc. entweder:

• direkt per e-mail mitzuteilen oder gängiger weil glaubhafter:
• die vermeintliche Webseite des vorgetäuschten Unternehmens zu besuchen, um dort die übliche Anmeldeprozedur zu vollziehen und weitere Daten einzugeben. Mitunter werden Sie danach zu der tatsächlichen Webseite des Unternehmens weitergeleitet.

Tipp: Phishing Schutz von Bit Defender Internet Security

Hier ein Beispiel einer Phishing Mail, die einmal im Umlauf war. Als Absender wurde die Stadtsparkasse München  vorgetäuscht:

Potentielle Kunden sollten in diesem Beispiel auf den "Form Ausfüllen" Link klicken und dann auf der fingierten Ziel- Website, der Phishing Seite, sensible Daten eingeben, die einen Betrug ermöglichen sollten.

Die Banken setzen leistungsfähige Technologien ein, um Phishing Mails abzufangen und die betrügerischen Phishing Websites zu identifizieren und schnellstmöglich sperren zu lassen. Dennoch kann es immer wieder vorkommen, dass eine Phishing Mail in ihrem Postfach landet und der Zufall es will, dass diese Mail den Anschein erweckt, als wäre ihre Hausbank der Absender. Bedenken Sie jedoch:

Keine Bank wird ihre Kunden jemals dazu auffordern, sicherheitsrelevante Daten wie Kontonummern, Passwörter, TAN's u.s.w. per e-mail oder Telefon zu übermitteln oder unter vermeintlichen Sicherheitsvorwänden in Formulare auf Websites einzugeben!

So reagieren Sie richtig, wenn Sie eine ungebetene e-mail mit entsprechenden Aufforderungen erhalten:

• Klicken Sie nicht auf enthaltene Links.
• Hat die Phishing Mail Datei- Anhänge, öffnen Sie diese keinesfalls.
• Antworten Sie auch dann nicht auf die e-mail, wenn Sie dazu aufgefordert werden.
• Übermitteln Sie niemals sensible Daten per Standard e-mail. Das sollten Sie auch generell vermeiden, denn eine normale, nicht verschlüsselte e-mail ist in etwa so sicher, wie die gute alte Postkarte, die Sie mit der Post verschicken. Theoretisch kann jeder, der das technische Know How hat, die Inhalte einer e-mail scannen und sich aneignen.
• Informieren Sie ihre Bank über diese e-mail und sichern Sie selbige.

Die Phishing Seite (Pishing Website)

Sind Sie doch versehentlich einer Aufforderung oder einem Link aus einer Phishing Mail oder SMS gefolgt, befinden Sie sich im Anschluss sehr wahrscheinlich auf einer Phishing Seite. Unter einer Phishing Seite versteht man eine gefälschte (im Jargon: gefakte) Website, die im Webbrowser nahezu genauso aussieht wie die originale Website einer bestimmten Firma oder Institution. Das Layout einer Website fast exakt nachzubilden, bereitet keinem guten Webdesigner Schwierigkeiten . Eine professionelle Phishing Seite ist deshalb kaum am Layout vom Original zu unterscheiden. Dennoch können Sie eine Phishing Seite mit etwas Wissen um den Aufbau einer Internetadresse (Domain) sicher identifizieren.

So erkennen Sie eine Phishing Seite

Jede Internet Adresse, meist auch nur kurz Domain genannt, ist eindeutig und auch einmalig. Und genau daran können Sie erkennen, ob Sie auch wirklich an der richtigen Adresse sind oder ihnen jemand eine täuschend ähnliche Phishing Seite unter falscher Adresse vortäuscht. 

Bleiben wir beim Beispiel des Online Banking und sehen uns die Adresse der Postbank in der Adresszeile eines Browsers an, unter der das Banking Portal zu erreichen ist:

Bei der deutschen Bank sieht die Banking Adresse so aus:

Der grün hinterlegte Firmenname in weisser Schrift rechts neben dem kleinen Logo- Icon besagt, dass der Domain- Betreiber das sogenannte "Extended Validation Zertifikat" von einer unabhängigen Zertifizierungsstelle erhalten hat. Um dieses Zertifikat zu bekommen, müssen sich Domain Betreiber strengen Überprüfungen aussetzen. Wenn Sie den Firmennamen grün hinterlegt in weisser Schrift in der Adresszeile ihres Browsers sehen, können Sie davon ausgehen, dass die Website echt ist und es sich nicht um eine Phishing Seite handelt.

Ältere Webbrowser können dieses Zertifikat unter Umständen jedoch nicht anzeigen. Prüfen Sie doch einmal anhand unserer Beispiele, ob Sie das grüne Feld in ihrem Browser sehen. Es kann natürlich auch einfach vorkommen, dass ein Domaininhaber (wie wir zum Beispiel) das Extended Validation Zertifikat nicht besitzt, weil er keine Notwendigkeit sieht. Bei sicherheitskritischen Anwendungen wie Online- Banking wird zwar jeder renommierte Anbieter im Sinne seiner Kunden über das Zertifikat verfügen, doch ein genauerer Blick auf die Internetadresse eines Anbieters ist  immer empfehlenswert, weil es diese nur einmal geben kann.

Fokussieren Sie die eigentliche Internet Adresse

Die Internet Adresse ist Bestandteil der sogenannten URL. Im Falle einer Website enthält die URL die Topleveldomain, die Domain, eine eventuelle Subdomain, die Abkürzung des genutzten Übertragungsprotokolls und unter Umständen noch einen Pfad auf dem Webserver. Der typische Aufbau einer URL bei Online Banking Angeboten ist:

https://banking.namederbank.de/pfad/auf/dem/server

• https ist das Protokoll, das zur Übertragung von Daten genutzt wird. Es bedeutet Hypertext Transfer Protocol Secure und überträgt Daten verschlüsselt. Es findet fast immer bei der Übermittlung sensibler Daten Anwendung. Werden keine sicherheitsrelevanten Daten übertragen, wird bei Webseiten meist das Protokoll http genutzt.
• de ist in diesem Fall die sogenannte Top Level Domain (TLD). Top Level Domains sollten ursprünglich Auskunft über das Herkunftsland, die Art einer Institution oder den Zweck einer Website geben. Bis auf wenige Ausnahmen sind die meisten heute jedoch frei registrierbar. Gängige TLD's sind beispielsweise:
  .de(Deutschland), .at(Österreich), .ch(Schweiz), .us(USA), .ru(Russland), .com(kommerzielle Angebote und Unternehmen), .info(Informationsseiten), .org(Organisation), .eu(Europa) u.s.w.
• namederbank ist der eigentliche Domainname und hierarchisch der TLD .de untergeordnet
• banking ist eine "Subdomain" und ihrerseits der eigentlichen Domain namederbank hierarchisch untergeordnet. Eine Subdomain ist eine Art Unteradresse und wird häufig verwendet, um ein bestimmtes Angebot innerhalb der gesamten Webseite über eine bestimmten Subdomain erreichbar zu machen. Meist hat dies strukturelle Gründe. Jede Domain kann eine oder mehrere Subdomains haben, muß es aber nicht
• /pfad/auf/dem/server ist der genaue Serverpfad zur genutzten Datei, für uns hier nicht wichtig. Der Pfad ergibt sich aus der Verzeichnisstruktur auf dem Webserver

Eine Internetadresse setzt sich, getrennt durch einen Punkt,  aus der Topleveldomain, der Domain und -wenn vorhanden- einer oder mehrer Subdomains zusammen und folgt immer der von rechts nach links zu lesenden Hierarchie :

subdomain<----.domain<-----.Topleveldomain

Beispiele mit Subdomain:

meine.deutsche-bank.de
motors.ebay.com
de.wikipedia.org

Beispiele ohne Subdomain:

elbsenf.de
bundesregierung.de
max-mustermann.info

Häufig findet sich noch www. vor der eigentlichen Domain, zum Beispiel "www.elbsenf.de" oder "www.max-mustermann.info". Im Grunde ist das www. (steht für WorldWideWeb) auch eine Subdomain, die jedoch keine spezielle Bedeutung mehr hat und heute nur noch aus "kosmetischen" Gründen benutzt wird, da die Internet- User sich an das www. gewöhnt haben.

Ihr Augenmerk brauchen Sie bei der Internetadresse nur auf die Domain und die Topleveldomain legen, denn diese Kombination kann es immer nur einmal geben. Zum Beispiel: namederbank.de

Damit Phishing Betrüger ihre gefälschten Webseiten im Internet erreichbar machen können, brauchen sie eine andere Adresse als die, unter der die orginale Webseite zu finden ist. Sehr gerne wird der originale Name der Domain so abgewandelt, dass es auf den ersten Blick möglichst nicht auffällt. Da Domain- Namen frei wählbar sind, sind der Kreativität hier keine Grenzen gesetzt. Am Beispiel namederbank.de könnten abgewandelte Adressen für eine Phishing Seite so aussehen:

nomederbank.de
namederbânk.de
namedeiank.de
name-der-bank.de
namederbang.net

Gerne wird auch die Null "0" für das "o" oder das "i" für das"l" eingesetzt Ebenfalls möglich ist die Kombination des originalen Namen der Domain mit einer "exotischen" Topleveldomain, die noch frei registrierbar ist. Typische Beispiele wären die TLD's  .sh für die britsche Insel Sankt Helena im Südatlantik oder .cc für die Kokos Inseln im indischen Ozean. Zum Beispiel:

namederbank.cc
namederbank.sh

Wenn Sie also Zweifel an der Originalität einer Webseite haben, dann vergleichen Sie am besten die Domain und die Topleveldomain der verdächtigen Seite mit der originalen Adresse. Haben Sie diese nicht im Kopf und nicht im Browser gespeichert, können Sie einfach ein neues Browserfenster oder einen neuen Tab (beim Internet Explorer auch Registrierkarte genannt)  öffnen und eine Suchmaschine bemühen. Wenn Sie z.Bsp. den Namen ihrer Bank in die Suchmaschine eingeben, werden Sie die Orginalseite auf den ersten Plätzen finden. Besuchen Sie diese Seite über den Suchmaschinen- Link, sehen Sie in der Adresszeile ihres Browsers die URL mit der richtigen Internet Adresse. Stellen Sie daraufhin Abweichungen in der Domain und der TLD der zweifelhafte Seite fest, sollten sie diese sofort verlassen und ihren Rechner einem Viren- Scann unterziehen!

Anhand der genauen Betrachtung einer Domain lässt sich relativ sicher bestimmen, ob es sich um eine Original- Adresse handelt oder nicht. Eine absolute Garantie gibt es jedoch nicht. Bei einigen TLD's wie zum beispiel der nicht- länderspezifischen .com ist es theoretisch möglich und praktisch auch schon geschehen, Zeichensätze zu mischen. Das bedeutet, das man beispielsweise das kyrillische "a" für ein lateinisches "a" verwendet. Für das menschliche Auge ist der Unterschied nicht erkennbar. Enthält eine Domain wie namederbank.com ein oder mehrere kyrillische "a", ist dies technisch eine völlig andere Adresse, als wenn nur das lateinische "a" vorkommt.
Diese "Maschinen- Logik"  machen sich Phisher unter Umständen zu nutze, um Internet- Usern optisch nahezu perfekt die vermeintlich richtige Webadresse einer Firma oder Institution vorzugaukeln. Die Webbrowser zeigen diese internationalisierten Adressen in Punicode an, so dass für den Betrachter kein Unterschied zum Original erkennbar ist. 

Bei der länderspezifischen Topleveldomain .de ist dies nicht möglich. Den Registraren sind diese Probleme natürlich bekannt und deshalb werden zulässige Zeichen außerhalb des lateinischen Alphabets sowie der Umlaute und des "ß" stark beschränkt. Für die deutsche Topleveldomain .de kann man die zulässigen Zeichen bei zentralen Registrierungsstelle DENIC hier einsehen.

Die Fakten einer Phishing Seite auf einen Blick

• Eine Phishing Seite immitiert eine originale Webseite auf der arglose User sensible Daten eingeben sollen um diese für betrügerische Zwecke zu mißbrauchen
• Am Layout / Design ist eine Phishing Seite nur zu erkennen, wenn die Imitation schlecht gemacht ist. Zum Beispiel fehlerhafte Rechtschreibung und Grammatik. Werden dagegen die grafischen Elemente, die Farbgebung, die Schriftarten und Texte perfekt nachgebildet, ist kaum noch eine Unterscheidung vom Original möglich
• Der genaue Vergleich der Internet Adresse, unter der eine fragwürdige Seite im Webbrowser erscheint, mit der Adresse der Original Seite gibt -bis auf seltene Ausnahmen- schnell Aufschluss, ob es sich um eine Phishing Seite handelt oder nicht
• Eine originale Website erkennt man am Extended Validation Zertifikat. Wenn der Domain- Inhaber über dieses Zertifikat verfügt, sieht man in der Adresszeile des Webbrowsers den Firmen- oder Seitennamen in weißer Schrift auf grünem Hintergrund links vor der URL. Fährt man mit der Maus über diese Fläche, erscheint die Institution, die das Zertifikat ausgestellt hat. (Siehe auch oben die Beispiele der Postbank und der deutschen Bank)
• Eine Phishing Seite enthält oftmals schädliche Software

 Phishing Virus

Phisher bedienen sich auch Schadsoftware (Malware) wie Trojaner und Viren, um an Daten zu gelangen oder den Rechner des Nutzers zum eigenen Vorteil zu manipulieren. Ein typisches Phishing Virus manipuliert oftmals die "Host-Datei" eines Anwender- Computers, was eine - häufig unbemerkte - Umleitung auf eine Phishing Seite zur Folge hat, wenn der Anwender die Original- Seite aufruft.  Es empfiehlt sich deshalb auch dann immer einen Blick auf ein eventuelles Zertifikat und die Adresse der Website zu werfen, wenn Sie diese eigenhändig im Browser eingegeben haben und die Seite geladen wurde.

Neben dem Phishing Virus sind in jüngerer Vergangenheit auch Trojaner aufgetaucht, die in der Lage sind, ihre Daten zwischen dem Computer und einer Webseite abzufangen. Bei diesen Techniken ist der klassische Mechanismus zwischen Phishing Mail (oder SMS) und Phishing Seite gar nicht mehr nötig. Entsprechend geringer ist auch die Wahrscheinlichkeit, dass der Datenklau unmittelbar bemerkt wird.

Derartige Schadsoftware verbreitet sich meist über Phishing Seiten und andere kriminelle Präsenzen im Netz (Hacker, Warez- Seiten etc.) sowie über HTML e-mails und vor allem Dateianhänge wie Bilder oder Textdokumente in e-mails.

Schutzmaßnahmen gegen Phishing Virus und andere Malware:

• Nutzen Sie möglichst immer aktuelle Firewalls und Virenscanner
• Erlauben Sie ihrem e-mail Programm nicht dem Empfang von e-mails im HTML Format (Die e-mails kommen dann im normalen mail- Format)
• Öffnen Sie keine Datei Anhänge in e-mails, deren Absender ihnen gänzlich unbekannt sind oder unseriös erscheinen.
• Meiden Sie generell zweifelhafte Webseiten (Meist ist der erste Eindruck der richtige)
• Halten Sie ihr e-mail Software und ihren Webbrowser aktuell

Tipp: Wenn Sie noch einen Computer zur Verfügung haben, auf dem Platz für ein weiteres Betriebssystem ist, können Sie sich für die Internet- Nutzung eines der Linux- Systeme installieren. Die meiste Schadsoftware ist für Windows- Systeme konzipiert und funktioniert auf anderen Systemen wie Macintosh oder Linux nicht. Damit haben Sie viele Sicherheitsprobleme vom Hals. Vor allem die Linux- Distribution Ubuntu hat sich in Puncto Anwenderfreundlichkeit einen sehr guten Ruf verdient und verbreitet sich dementsprechend auch auf Anwender- PC's. Probieren Sie es doch einmal aus, es kostet Sie nichts.