Datenklau per „Phishing“: So entlarven Sie Betrüger

Phishing ist kein witziger Internet-Trend, sondern eine gefährliche Betrugsmasche mit der es Kriminelle auf Bank- und Login-Daten von Internetnutzern abgesehen haben. Was genau dahinter steckt, wie man den Betrug schnell aufdecken kann und was zu tun ist, falls man eine Phishing-E-Mail entdeckt hat, erklärt unser Experte und Sage IT-Chef Matthias Laux in diesem Beitrag.

Es geht so schnell: Im Posteingang findet man eine Mail von einer Firma, mit der man gelegentlich zu tun hat – Amazon, eBay, Facebook oder viele andere mehr – mit einem Link, auf den man klicken soll. „Ihr Konto ist nicht ausgeglichen – bitte klicken Sie hier für weitere Informationen“ oder „Ihr Konto wurde gehackt – bitte ändern Sie Ihr Passwort und klicken Sie hier“.

Man wird auf eine absolut echt aussehende Seite weitergeleitet mit der Aufforderung, entsprechende vertrauliche Informationen (beispielsweise die Login-Daten für das Online-Banking) einzugeben – oder das System hat sich sogar direkt durch den Link ein Schadprogramm eingefangen. Die genannten Firmen sind in diesen Fällen natürlich nicht die Absender, sondern es handelt sich um eine Phishing-Email. Die Betrüger werden immer besser und diese Art von E-Mails sind immer schwerer von legitimen Informationen zu unterscheiden.

Ein Danke an aufmerksame Kunden

Auch eine Handvoll Sage Kunden hat in diesen Tagen leider eine Phishing-Mail erreicht. Wir geben daher aus aktuellem Anlass Tipps, wie man Phishing-Mails entlarvt und mit diesen umgeht. Zunächst einmal müssen wir uns aber bei unseren aufmerksamen Kunden bedanken. Es ist gut und richtig, uns Phishing-Mails zu melden, damit wir der Sache nachgehen können.

Sollten Sie Opfer von Phishing-Mails werden, bitten wir daher auch Sie: Melden Sie diese! Sage Kunden schreiben bitte – so schnell es geht – eine E-Mail an info[at]sage.de.

Wir gehen der Sache umgehend auf den Grund und leiten erste Maßnahmen ein. Zum Beispiel gibt das internationale Security Team der Sage Gruppe bei Angriffen mit Schadsoftware, die von den führenden Herstellern von Antiviren-Software noch nicht erkannt wird, entsprechende Informationen an diese Hersteller weiter, damit die notwendigen Aktualisierungen an deren Kunden so schnell wie möglich weitergegeben werden können.

Im aktuellen Fall haben wir aber natürlich auch unsere Kunden umfassend informiert – auch darüber, wie mit solchen Mails umzugehen ist. Gerade Banken, aber auch andere namhafte Anbieter, sind immer wieder von solchen Angriffen betroffen. Dahinter steckt natürlich die berechtigte Annahme, dass alleine aufgrund der Anzahl der Kunden die Erfolgs-Wahrscheinlichkeit für eine Phishing-Mail beispielsweise an Kunden der Deutschen Bank höher ist als für einen kleinen Online-Händler für einen eher engen Kundenkreis.

So gehen Sie am besten mit Phishing-Mails um

Es gibt einige Indizien, wie man derartige Mails erkennen kann. Dazu hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einige Tipps zusammengestellt, die wir hier noch etwas ergänzt haben:

• Die Absenderadressen sind zumeist gefälscht. Die Erkennung des gefälschten Absenders ist nur über die Header-Auswertung möglich, ein Indiz sind aber auch kleine Abweichungen zu den bekannten Absendern, die beim flüchtigen Betrachten leicht übersehen werden können.
• Die Anrede ist unpersönlich gehalten („Lieber Kunde der x-Bank!“).
• Dringender Handlungsbedarf wird signalisiert („Wenn Sie nicht sofort Ihre Daten aktualisieren, gehen diese verloren…“).Drohungen kommen zum Einsatz („Wenn Sie das nicht tun, müssen wir Ihr Konto leider sperren…“).
• Vertrauliche Daten (wie zum Beispiel PINs und TANs) werden abgefragt, etwa in einem Formular innerhalb der Mail.
• Die Mails enthalten Links oder Formulare, die vom Empfänger verfolgt beziehungsweise geöffnet werden sollen.
• Die Nachrichten sind manchmal (aber nicht immer!) in schlechtem Deutsch verfasst. Die Gründe dafür: sie werden manchmal von Computerprogrammen aus anderen Sprachen automatisch übersetzt.
• Die Mails enthalten kyrillische Buchstaben oder falsch aufgelöste bzw. fehlende Umlaute (z. B. nur „a“ statt „ä“ beziehungsweise „ae“).
• Es werden in der Mail verpixelte Logos angezeigt oder ein Logo ist leicht verändert? Gerade namhafte Anbieter versenden in ihren Mails nur Bilder in hoher Qualität, auch dies ein Indiz für eine Phishing-Mail.

Außerdem empfehlen wir, sich an folgende Grundregeln zu halten:

1. Loggen Sie sich nie über Links in Benutzer- oder Bankkonten ein, die per Mail versendet werden. Machen Sie dies immer, indem Sie die bekannte Seite des Anbieters direkt im Browser aufrufen und dort den Login nutzen.
2. Übermitteln Sie nie vertrauliche Daten per Mail wie PINs oder Passwörter.
3. Halten Sie Ihre Antiviren-Software aktuell und stellen Sie sicher, dass diese auch regelmäßig das gesamte System prüft.

Was soll ich tun wenn ich eine Phishing-Mails von einem Sage Absender erhalte?

Wenn Sie anhand dieser Tipps Phishing-Mails entdecken, die angeblich von Sage stammen, gehen Sie bitte folgendermaßen vor:

1. Bitte leiten Sie uns die Mail weiter an info[at]sage.de. Dadurch können wir den Verlauf dieser Angriffsversuche verfolgen und ggf. Gegenmaßnahmen veranlassen.
2. Löschen Sie die Mail anschließend, ohne auf einen Link geklickt zu haben

Falls Sie schon auf den Link geklickt haben …

Es ist schwer, hier allgemein gültige Verhaltensregeln zu geben, da die Angriffe sehr unterschiedlichen Charakter haben können.

Wenn Sie in einem Formular vertrauliche Daten eingegeben haben und befürchten, dass dies eine Phishing-Seite war, müssen Sie mit dem jeweiligen echten Anbieter in Kontakt treten und das Konto sperren oder zumindest den Zugang mit neuen Login-Daten versehen lassen, damit der Angreifer ausgesperrt wird. Hier ist natürlich schnelles Handeln entscheidend!

Falls der Verdacht besteht, dass eine Schadsoftware auf dem lokalen System installiert wurde, empfehlen wir Ihnen auf jeden Fall, Ihre Antivirensoftware zu aktualisieren und Ihren Rechner durch diese überprüfen zu lassen, damit eine mögliche Gefahrenquelle identifiziert und geschlossen werden kann.

Sollten Sie verdächtige Aktivität auf dem System bemerken (beispielsweise erhöhte CPU-Auslastung, ohne dass Sie selbst gerade am System arbeiten) sollte Expertenrat eingeholt werden, wie am besten vorzugehen ist. Dazu können auch weiterführende Maßnahmen wie beispielsweise eine Analyse der Firewall auf verdächtigen Datenverkehr eines Trojaners gehören.

Melden Sie sich bei uns

Wir empfehlen auch, mit Sage im Kontakt zu bleiben, denn gerade wenn ein Angriffsversuch gehäuft Kunden betrifft, wird auch von Sage eine spezifische Analyse durchgeführt, so dass unseren Kunden je nach Sachlage konkrete Empfehlungen gegeben werden können, die sich auf die jeweils aktuelle Situation beziehen.

Es sei an dieser Stelle auch nochmals betont, wie wichtig eine gute Backup-Strategie ist, um die wichtigen Daten für den Fall der Fälle zu sichern.

Sie wollen noch mehr tun in Punkto Sicherheit? Lesen Sie dann auch unsere Tipps zum Passwortschutz.

Von Dr. Matthias Laux