Viele Nutzer unterschätzen, wie schnell man sich von einem Link in einer E-Mail (Phishing) täuschen lassen kann: Die Mail ist perfekt gemacht, man ist sich sicher den Absender zu kennen, hat gerade wenig Zeit und der Klick auf den Link ist automatisch passiert – ohne nachzudenken. Jeder macht Fehler und hinterher ist man auch immer schlauer als zuvor. Daher ist es an der Zeit zu lernen, wie einfach man zum Teil Phishing-Mails erkennen kann oder wie sich Links prüft lassen.
Die tägliche Flut an Mails
Ein Büroangestellter erhält durchschnittlich über 120 E-Mails pro Tag. Dazu kommen oft noch persönliche E-Mails. Auf diese Weise sind 200 Mails pro Tag die man sichten und sortieren musss keine Seltenheit. Eine Grundregel der Cybersicherheit besagt, dass Ihre persönliche Cyber-Abwehr die ganze Zeit funktionieren muss, die Kriminellen Sie jedoch nur ein einziges Mal zum Narren halten müssen.
Die einfachste Möglichkeit, gefährliche Links, also Phishing-Betrug zu vermeiden, besteht darin, niemals auf einen Link in einer E-Mail zu klicken. Wenn Sie eine E-Mail von einer Bank, einem Einzelhändler oder einem Kreditkartenunternehmen erhalten, in der Sie gefragt werden, ob Sie etwas nachverfolgen möchten, sollten Sie direkt deren Website aufrufen. Noch besser: Sie kontaktieren den Fragenden telefonisch. Aber im Alltag ist das oft unpraktisch und kostet zu viel Zeit.
Mail-Spam gibt es schon sehr lange und er gehört weiterhin zu den Tools, auf die sich Kriminelle am meisten verlassen, weil er funktioniert. Das zeigen auch die letzten Spam-Trends.
Schlüsselwörter fürs Gehirn, wie „frei“ oder „kostenlos“
Bestimmte Taktiken und Worte stören unsere normalen Denkprozesse und machen es viel einfacher, uns zu täuschen. Dazu gehören Wörter wie zum Beispiel „frei“ oder „kostenlos“.
“Sie können irgendetwas frei oder kostenlos anbieten und sicher sein, es gibt immer jemanden der den Link anklickt”, sagte Kayleigh O’Donovan vom Phishd-Team von MWR Infosecurity kürzlich zu unserem Cyber Security Sauna-Podcast. „Wir arbeiten mit großen Finanzorganisationen und teuren Anwaltskanzleien zusammenarbeiten, wissen Sie, wirklich gut bezahlte Einzelpersonen. Wenn Sie ihnen per Mail eine kostenlose Dose Cola anbieten, können Sie sicher sein, dass sich jemand findet der den Link anklickt. Es wird immer einen hohen Prozentsatz an Klickraten für solche Dinge geben.”
Die Kenntnis der Phishing-Taktik reicht nicht aus, um Angriffe zu verhindern. Das Aufbauen einer Sicherheitskultur ist das, was Phisd für Arbeitsplätze empfiehlt. Das meiste davon kann man sich selbst beibringen. Es ist sogar recht einfach selbst einen Link zu überprüfen.
Der schwebende Mauszeiger als Detektiv
Wenn Sie in einer Nachricht in Ihrem Mail-Programm einen Link sehen, insbesondere einen der in Text eingebettet ist, bewegen Sie einfach den Mauspfeil darüber und lassen ihn kurz stehen. Unten links am Bildrand erscheint dann die Internetadresse, die hinter dem Link versteckt ist. Überprüfen Sie diese, ob sie wirklich auf das Ziel zeigt, zu dem sie wollen.
Den Mauszeiger für Infos positionieren: Die Mail stammt wirklich von Paypal.
Erweitern Sie verkürzte Links
Sogenannten verkürzte Links werden oft auch als Falle eingesetzt, da sie verbergen, wohin sie führen. Twitter ist der einzige Dienst, der diese Links aus Platzgründen benötigt. Für eine bessere Sicherheit hat das Unternehmen vor Jahren bereits einen eigenen Shortener entwickelt. Wer einen Link untersuchen will, wohin er wirklich führt, kann einen kostenlosen Service wie CheckShortURL nutzen.
Mails nur als Klartext anzeigen lassen
Dies ist eine eher fortgeschrittene Taktik. Durch das Anzeigen von E-Mails ohne HTML und Bilder lassen sich in der Mail eingefügte Links schnell überprüfen. Sie können Ihren Outlook-Posteingang so einrichten, dass alle E-Mails als purer Text und klare Links angezeigt werden. Oder Sie wählen in Google Mail einen beliebigen E-Mail „Nur-Text anzeigen“, indem Sie auf die drei vertikalen Punkte neben der Schaltfläche „Antworten“ und dann auf „Original anzeigen“ klicken. Der Text wird in einem neuen Tab angezeigt. Allerdings: erschrecken Sie nicht, denn Sie bekommen dann in Outlook und Gmail jeweils viel HTML-Code zu sehen.
Gmail zeigt auf Wunsch den Original-Code jeder Mail
Die Mail-Anzeige in Outlook lässt sich auch auf Nur-Text umstellen.
Neue Top-Level-Domains als Täuschungsmanöver
An der Top-Level-Domain lässt sich eigentlich erkennen, ob ein Link seriös ist oder nicht. Er beginnt zum Beispiel mit https://www.bahn.de/…. oder Microsoft.com. Das klappt aber nur bei bekannten Domains. „Angreifer können sich etwa eine neue Domain microsoft.xyz besorgen, die endet dann zum Beispiel mit .film oder .ki. Schließlich kann sich auch Microsoft nicht alle verfügbaren Domains in allen Ländern der Welt sichern“ erklärte Janne Kauhanen, Moderator unseres Cyber Security Sauna-Podcasts.
F-Secure Safe kennt die unsicheren Links
Vor gefährlichen Links warnt zum Beispiel auch der Browserschutz in F-Secure SAFE. F-Secure erfasst und ständig neue Links und Websites auf ihre Reputation. Sobald sich Schadcode oder ein Angriff hinter einer Seite versteckt, warnt der Browser-Schutz und öffnet die Seite erst gar nicht.
Kategorien