Tipps eines Pentesters zum Thema Spam und Phishing
Die 5 goldenen Regeln für Spam-Mails & Phishing
Die 5 goldenen Regeln für Spam-Mails & Phishing
Die Corona-Pandemie verschafft Betrügern einen neuen Aufschwung.
Spam-Mails auszusortieren gehört für viele von uns zum Arbeitsalltag. Die Sender solcher Nachrichten haben verschiedene Ziele: Geldüberweisungen von gutgläubigen Opfern, persönliche Daten abgreifen oder auch das Infizieren von Rechnern mit Malware.
Die globale Krise rund um das Coronavirus hat Spammern einen neuen Aufschwung gegeben. Europol 1 und Interpol 2 warnen vor einer erhöhten Anzahl an Scam- und Phishing-Versuchen. Beim sogenannten „Covid-19 Fraud“ nutzen Angreifer Unsicherheiten und die Neugier der Menschen aus.
Aufschluss darüber, wie man Phishing Mails erkennt, und wie man richtig damit umgeht, können diese fünf goldenen Regeln geben:
Spam-Mails erkennen:
Nicht alle Spam-Mails sind einfach zu erkennen. Gekonnte Betrüger können Mails täuschend echt aussehen lassen. Auf folgende Punkte muss man achten:
Rechtschreibung und Grammatik:
In E-Mails, die aus einem professionellen Umfeld stammen, wird meist sehr genau auf Rechtschreibung und Grammatik geachtet. Fallen hier mehrere grobe Fehler auf, oder wirkt der Text als wäre er automatisch übersetzt worden, ist Vorsicht geboten.
Beunruhigender Inhalt:
E-Mails mit Warnungen, dass Accounts gelöscht werden oder in Zukunft plötzlich kostenpflichtig sind etc. sind häufig Spam-Mails. Die Angreifer versuchen damit das Opfer zu beunruhigen, um persönliche Informationen abzugreifen.
Frage nach persönlichen Informationen:
Firmen, die auf Cybersicherheit achten, fragen nicht in E-Mails nach persönlichen Informationen, und schon gar nicht nach Bank und Kreditkartendaten.
Vermeintliche (Groß-) Gewinne:
Gewinne mit großen Geldsummen und ähnliches (z.B. Adelige, die jemanden suchen, um das Vermögen zu „vererben“) sind nahezu immer Fake. Falls man wirklich bei einem Gewinnspiel
mitgemacht hat, muss man genau überprüfen, ob das Mail vom richtigen Absender kommt. Bestenfalls hält man telefonisch mit dem Veranstalter des Gewinnspiels Rücksprache, bevor man Daten preisgibt.
Wer seine E-Mail-Adresse im Internet öffentlich macht, muss auch damit rechnen, vermehrt Spam-Mails zu bekommen. Besondere Vorsicht ist geboten, wo man seine Firmen-E-Mail angibt. Breaches und
Leaks aus der Vergangenheit haben gezeigt, dass Zugangsdaten auch bei bekannten und großen Konzernen nicht immer sicher sind. Am besten ist es, zusätzlich zur Firmen- und privaten E-Mail-Adresse noch eine „Junk“ E-Mail-Adresse zu haben. Mit dieser kann man sich bei Seiten anmelden, von denen man keine E-Mails erhalten möchte. Eine Alternative dazu bieten Dienste, die "Wegwerf“-E-Mails anbieten, wie z.B. https://10minutemail.com/.
Möchte man wissen, ob die eigene E-Mail bereits Teil eines Datenleaks ist, kann man das unter https://haveibeenpwned.com/ überprüfen.
Antwortet man auf Spam, gibt man dem Angreifer bekannt, dass die Adresse valide ist und aktiv verwendet wird. In der Regel führt dies zu mehr Spam und gezielteren Angriffen. Sogenanntes „Scambaiting“ (das absichtliche Hinhalten von Scammern) birgt viele Risiken und sollte nur von Personen durchgeführt werden, die entsprechende Vorsichtsmaßnahmen einhalten.
Des Weiteren sollen Kettenmails nicht weitergeleitet werden, da die Inhalte oft dubios sind und sich somit rasch verbreiten. Auf diese Art konnten im vergangenen Jahr unter anderem viel Falschinformationen über das Coronavirus verbreitet werden.
Die meisten E-Mail-Programme (Outlook, Thunderbird etc.) bieten eine Option an, externe Inhalte zu blockieren. Dadurch werden Bilder und Anhänge, die von einem externen Server geladen werden würden, vorerst blockiert. Erst wenn man aktiv bestätigt, dass externe Inhalte geladen werden sollen, werden diese nachgeladen.
Spammer können aufgrund von externen Inhalten erkennen, ob eine E-Mail geöffnet worden ist oder nicht. Dadurch lässt sich auch bestätigen, dass es die jeweilige Adresse gibt. Wenn externe Inhalte blockiert werden, können Spam-Mails gelöscht werden, bevor ein Risiko entsteht. Zudem ist es dadurch nicht möglich, dass man aus Versehen Anhänge herunterlädt, die man nicht herunterladen will.
Während viele Spam-Mails einfach zu erkennen sind, gibt es auch manche, die täuschend echt sein können. Zum Beispiel kann eine Spam-Mail wie ein legitimer Newsletter aussehen, aber wenn man auf
den „Unsubscribe"-Button klickt, gelangt man auf eine Website mit Schadcode.
Generell sollte jede E-Mail genau untersucht werden, bevor man auf einen Link darin klickt oder einen Anhang herunterlädt. Bevor man auf einen Link klickt, kann man z.B. mit der Maus darüber „hovern“, um angezeigt zu bekommen, wohin der Link wirklich führt. Wenn man einen Link öffnet, sollte man immer darauf achten, dass die Seite eine sichere Verbindung aufbaut (erkennbar am https:// am Anfang der URL oder am Vorhängeschloss Symbol, das vom Browser in der Adressleiste angezeigt wird).
Generell ist bei E-Mails immer Vorsicht geboten. Befolgt man diese Regeln, ist es unwahrscheinlich, Opfer eines Phishing-Angriffes zu werden. Für Unternehmen ist es besonders wichtig, ihre Mitarbeiter und Mitarbeiterinnen entsprechend im Umgang mit E-Mails zu schulen.
Wir helfen gerne dabei!
Wenn Sie mehr darüber erfahren möchten, wie ATI Ihre IT-Schwachstellen identifiziert und Ihren Schutz vor Angreifern gezielt stärkt, wenden Sie sich bitte an unsere versierten Sicherheitsexperten.