Phishing Mails sind heutzutage allgegenwärtig. Viele Nutzer finden diese Art von Nachrichten in Ihrem Spam – oder „Unbekannt“ Ordner im E-Mail-Konto. Je nach Verhalten des Nutzers kann hier von verschiedenen Gefahrenstufen ausgegangen werden. Von geringer Gefahrenstufe mit nur wenig Schäden in Form von Geldverlust bis hohe Stufe mit massiver Gefahr. Es beginnt damit, indem man die Phishing Mail geöffnet hat.
Die Phishing-Mail
„Ihr PayPal-Konto muss überprüft werden“. So oder so ähnlich könnte der Betreff einer Phishing-Mail aussehen. Ein vermeintlich gut gemeinter Hinweis, dass sich jemand Fremdes zugriff auf ihr Online-Banking Konto verschafft hat, wird genutzt, um Nutzer in die Irre zu führen. Denn eigentlich möchte der Absender selbst Zugriff auf das Konto erhalten.
Die Mail enthält häufig einen Link zu einer Webseite, die ähnlich wie zum Beispiel PayPal aussieht, welche zunächst zu einem Login-Fenster führt. Doch Vorsicht, dies ist nicht wirklich der Anbieter, nachdem es ausschaut. Trägt man dort seine Daten ein, werden diese an den Angreifer weitergeleitet und das richtige Konto des Dienstes ist einer massiven Gefahr ausgesetzt.
Geringe Gefahr – Phishing-Mail geöffnet
Die niedrigste Gefahr geht davon aus, wenn eine Phishing Mail geöffnet wurde. Bei den meisten modernen Mailprogramme wie zum Beispiel Microsoft Outlook geschieht dies sehr schnell, da im Gegensatz zu früher ein einzelner Klick ausreicht, damit die Mail im seitlichen Fenster geladen und angezeigt wird. In den Anfangszeiten von E-Mails war hierfür noch ein Doppelklick nötig.
Dennoch setzt man sich hierdurch einer geringen bis keiner Gefahr aus. Ist dem Mailprogramm der Absender oder der Mailserver, über den die E-Mail kam, unbekannt, so werden mögliche Bilder häufig nicht nachgeladen. So entsteht keine Verbindung vom Nutzer zum Angreifer. Es empfiehlt sich den Absender genauer zu überprüfen. Meist stammt dieser gar nicht vom Anbieter selbst, wie in dem nachfolgenden Bild zu sehen ist.
Kommt einem dies zwielichtig vor, einfach die Nachricht dauerhaft löschen. Sollte es einmal zu einem Problem mit dem Konto kommen, wird ein seriöser Anbieter Sie lediglich darauf hinweisen und keinen direkten Link zum Anmelden mitschicken bzw. Sie nur über ein internes Nachrichtensystem auf der Plattform darüber informieren.
Niedrige Gefahr – Bilder nachgeladen
Klickt ein Nutzer zur besseren Lesbarkeit der Nachricht auf „Bilder anzeigen“, wird eine Verbindung zu einem Server aufgebaut und die etwaigen Bilder der E-Mail werden nachgeladen. Dies können auch „unsichtbare“ Bilder sein, die beispielsweise dem Zweck dienen, dem Angreifer mitzuteilen, dass Sie als Opfer, die Nachricht geöffnet haben. Sie können anschließend damit rechnen, häufiger diese Art von Phishing-Nachrichten zu erhalten, da ein Angreifer sichergehen kann, dass das von Ihnen verwendete Konto aktiv ist. Weiter erhält dieser Informationen über das System, den verwendeten Mail Client, die aktuelle IP – Adresse und damit verbunden den aktuellen Aufenthaltsort.
Mittlere Gefahr – Link angeklickt
Klickt man auf einen Button oder einen Link in der Phishing Mail, wird es schon gefährlicher. Auch wenn moderne Browser gut abgeschottet sind, kann nun ein Angreifer weitere Angriffsvektoren wie das Ausführen von Code in dem Browser des Nutzers verwenden. Jedoch heißt dies nicht automatisch, dass bereits viel mehr Informationen an den Angreifer geflossen sind als beim Nachladen der Bilder. Hierfür muss ein ausgeklügelter Algorithmus auf der Webseite des Angreifers laufen, damit mögliche Angriffe wie Java-Script Infektionen auf dem System des Anwenders landen. Sollten Sie ein Antivirenprogramm einsetzen, kann man nur hoffen, dass die Sicherheitssoftware diese Art von Angriff erkennt und unterbindet.
Hohe Gefahr – Anhang der E-Mail geöffnet
Häufig enthalten Phishing-Nachrichten auch Anhänge. Diese können beispielsweise Word, PDF bis hin zu ausführbaren Dateien sein. Diese Dateien sollten auf keinen Fall geöffnet werden. Dokumentenbasierte Dateien können Schadcode enthalten, die durch Sicherheitslücken in Betrachtungsprogrammen wie Microsoft Word oder Adobe Acrobat Reader zur Ausführung gebracht werden kann und so das System des Nutzers infizieren.
Ausführbare Dateien können direkt zur Ausführung gebracht werden, hier ist keine Sicherheitslücke in externer Software vonnöten. Sollte ein Nutzer einen Anhang geöffnet haben, so müssen nicht sofort Änderungen am System des Nutzers erkennbar sein. Einige Programme der Angreifer – wie Trojaner – laufen im Hintergrund und warten ab, dass der Nutzer sich auf Seisten anmeldet, wo Geld zu holen ist, indem diese den Nutzer auf die entsprechenden Seiten der Angreifer leiten. Andere Schadprogramme wiederum versuchen den Anwender zu erpressen und verschlüsseln alle vorhandenen Daten auf der Festplatte.
Hat ein Mailanwender einen Anhang einer Phishing Mail geöffnet, herrscht akuter Handlungsbedarf. Auch ein Antivirenprogramm muss die entsprechende Schadsoftware nicht finden. Der Nutzer selbst sollte schnellstmöglich alle Passwörter seiner Dienste auf einem anderen Gerät ändern und das möglicherweise infizierte Gerät von einem IT-Experten untersuchen lassen. Vollständige Sicherheit bietet nur eine komplette Neuinstallation des Gerätes. Sollte die Festplatte verschlüsselt sein, kann man nur hoffen, dass das letzte Backup nicht allzu lange her ist.
Extreme Gefahr – Link in der Phishing-Mail geöffnet und Daten eingegeben
Die höchste Gefahr im Aspekt des Geldverlustes herrscht, wenn ein Nutzer den in der E-Mail vorhandenen Link geöffnet und anschließend seine Daten eingegeben hat. Ist dies der Fall, hat ein Angreifer vollständigen Zugriff auf das Konto. Auch eine Zwei-Faktor Authentifizierung kann durch das Angeben der Daten zum Beispiel auf PayPal umgangen werden.
Ist dies passiert, hilft es nur noch schneller als der Angreifer zu sein. In Höchstgeschwindigkeit sollte auf einem anderen Gerät das Passwort zum Online-Banking geändert werden. Dann kann man „Glück“ haben und es kam noch nicht zu einer ungewollten Transaktion durch den Angreifer.
Es empfiehlt sich generell, für jede Transaktion immer ein sicheres TAN-Verfahren zu verwenden. Hat ein Angreifer zum Beispiel den Hauptcomputer manipuliert, kann man auf dem TAN-Gerät möglicherweise noch erkennen, dass die letzten Ziffern der IBAN nicht mehr passen oder der Betrag angepasst wurde und eine Transaktion abbrechen. Das mTAN-Verfahren sollte dabei nicht mehr verwendet werden.
Wenn erkannt worden ist, dass die aufgerufene Webseite eine Phishing-Webseite ist, dann sollte diese schnellstmöglich geschlossen werden. Im Anschluss sollte geprüft werden, ob Dateien unfreiwillig heruntergeladen worden sind. Falls ja, sollte der Download abgebrochen und die Datei gelöscht werden. Zusätzlich sollte überlegt werden, ob bereits sensible Informationen eingegeben und eventuell geändert werden müssen.
Um am Handy Links auf Seriosität zu prüfen, ist es nötig, eine längere Zeit mit dem Finger auf den Link zu tippen. Ein kurzer Tipp ruft die Seite auf, ein längerer zeigt an, wohin der Link tatsächlich führt.
Das Passwort sollte schnellstmöglich geändert werden. Im Anschluss ist die Aktivierung der Zwei-Faktor-Authentifizierung zu empfehlen. Wichtig zu erwähnen ist, dass das Passwort grundsätzlich geändert werden sollte und nicht nur ein Ausrufezeichen hinzugefügt oder eine Nummer hoch oder Buchstabe ergänzt werden sollte. Zusätzlich sollte dort, wo ein ähnliches Passwort verwendet wird, ebenfalls das Passwort geändert werden.