Sicherheit

Phishing-Mails: Der Marshmallow-Test für Erwachsene

Das Marshmallow-Experiment ist eine der bekanntesten Studien in der Psychologie. Er untersucht, wie gut vierjährige Kinder der Versuchung widerstehen können, einen Marshmallow sofort zu essen. Für den Aufschub wurde das Kind mit einem zusätzlichen Marshmallow belohnt. Was für Erwachsene einfach sein mag, ist für Kinder eine nicht zu unterschätzende Herausforderung.

Phishing-Nachrichten sind eine moderne Abwandlung dieses Experiments. In beiden Experimenten geht es um die Impulskontrolle oder die Fähigkeit zur Selbstkontrolle. Empfänger sind besonders anfällig, wenn die Nachricht eine emotionale Reaktion verursacht, also gezielt Angst, Neugier oder Geldgier durch die Nachricht angesprochen wird.

Schaffen Sie es, nicht auf den Link zu klicken?

Für den Empfänger der Phishing Nachricht gilt es der Versuchung zu widerstehen auf einen Link zu klicken und Daten einzugeben. Es gilt dem Impuls zu widerstehen das Informationsbedürfnis zu befriedigen: Ob tatsächlich das eigene Konto gehackt wurde, eine Rechnung nicht bezahlt wurde, wohin der Millionengewinn ausgezahlt werden soll oder ob gleich der Gerichtsvollzieher vor der Tür steht.

So erkennen Sie Scams, Fake-, und Phishing-Mails

»Sehr geehrter Kunde,« ist keine professionelle Kundenansprache.

Folgende Punkte sollte ein Empfänger einer Nachricht überprüfen. Jedes Merkmal leistet einen Beitrag, eine Phishing-Nachricht zu erkennen. Je mehr Fehlermerkmale vorliegen, umso höher ist die Wahrscheinlichkeit, dass der Versender einen Betrug plant.

1. Der erste Indikator, ob es sich um eine Phishing Nachricht handelt, ist der Absender. Ein existierender Absender, zu dem eine Vertragsbeziehung besteht, wirkt vertrauensvoll und erleichtert es Betrügern deswegen, den Adressaten zu einem Klick zu verleiten. Fast jeder ist Kunde bei Unternehmen wie Google, Facebook, Dropbox oder Whatsapp. Es ist also nicht überraschend, eine Nachricht von einem dieser Unternehmen zu erhalten. Betrüger nutzen diesen Vertrauensvorschuss. Absender lassen sich jedoch kinderleicht fälschen.

Die Anzeige des Absenders kann also nur dazu dienen, einen Betrüger zu entlarven, der einen unbekannten oder offensichtlich falschen Absender verwendet. Anhand des Absenders läßt sich die Echtheit der Nachricht nicht eindeutig verifizieren.

2. Verursacht der Betreff Stress und motiviert Sie schnell zu handeln, sollten Sie vorsichtig sein. Beispiele, die eine starke emotionale Reaktion hervorrufen und verunsichern sind:

  • Konto gesperrt
  • Inkasso eingeschaltet
  • Rechnung nicht gezahlt
  • Ihre Anmeldung bei XYZ
  • Sicherheitsbenachrichtigung
  • Verifizierung jetzt durchführen
  • Wichtige Mitteilung zu Ihrem Kundenkonto
  • Datensicherheit verletzt | Zahlungsdaten entwendet

3. Fehlt die persönliche Anrede mit Vornamen und Namen obwohl der Absender Sie kennt, sein Sie vorsichtig. Seriöse Anbieter machen sich die Mühe, ihre Kunden persönlich anzusprechen, wenn ihnen der Name und Vorname ihrer Kunden bekannt ist. Es gibt aber auch Phishing-Schreiben, die über einen umfangreicheren Datensatz verfügen und Sie richtig ansprechen und vielleicht sogar Ihre Postadresse kennen.

Vermeintlich nur Ihnen bekannte Informationen lassen sich teils aus öffentlichen Registern beschaffen oder kaufen. Die Anschrift und die Telefonnummer von Inhabern einer .com/.net/.org-Domain sind beispielsweise im öffentlich zugänglichen WHOIS gespeichert und werden von Spam-Versendern gerne abgeschöpft. Ein Whois-Domain-Privacy-Schutz kann hier helfen.

4. Betrüger drohen gerne damit, das Konto sofort zu sperren, wenn der Inhaber nicht umgehend reagiert. Oder es ist bereits gesperrt und kann nur entsperrt werden, wenn persönliche Angaben gemacht werden. Die vermeintliche Dringlichkeit ist ein guter Indikator für eine Phishing-Nachricht.

  • Ihr E-Mail-Account wurde gesperrt
  • Ihr Facebook-Account wurde suspendiert
  • Data Breach Notification
  • Your Password Expires in Less Than 24 Hours
  • Immediate Change of Password Required
  • A Delivery Attempt was made

5. Meist lassen sich Phishing-Mails anhand einer fehlerhaften Rechtschreibung oder Grammatik identifizieren. Manchmal werden auch deutsche Zeichen wie Umlaute oder das Eszett falsch dargestellt. Auffällig sind auch umständlich oder unnatürlich formulierte Sätze. Dennoch tauchen auch professionell formulierte Phishing-Schreiben auf.

6. Das wichtigste Erkennungsmerkmal für Phishing ist die URL. Diese ist in HTML-E-Mails nicht immer erkennbar, kann aber sichtbar gemacht werden, indem man den Mauszeiger wenige Sekunden über dem Link schweben läßt (hover over). Man kann ihn auch mit einem Rechtsklick (Kontextmenu) kopieren und in ein Dokument einfügen, um ihn zu überprüfen. So wird sichtbar, ob im HTML-Code ein abweichendes Ziel versteckt wurde.

Der wichtigste Bewertungsschritt ist es, die Top-Level-Domain und die Second-Level-Domain zu identifizieren. In Phishing-Mails wird versucht, das wahre Ziel eines Links zu verschleiern. Dafür werden Zeichenfolgen vor oder hinter die eigentliche Ziel-URL gesetzt. Um einen validen Link vorzugaukeln werden in der E-Mail zusätzlich tatsächliche Unternehmenslinks platziert – beispielsweise auf die echte Datenschutzerklärung oder das Impressum des Unternehmens. Dies verleiht dem entscheidenen Phishing-Link mehr Glaubwürdigkeit.

Mit unserem Phishing-Check können Sie eine Phishing-URL untersuchen. PhishingCheck analysiert die URL und zeigt Ihnen die Zieldomain an, indem die irrelevanten Bestandteile der Phishing-URL entfernt werden.

Beispiele gefälschter E-Mails, die suggerieren von PayPal zu sein – tatsächlich sind alles Phishing-Links, die nicht zu Paypal führen:

Phishing-LinkZielBemerkung
http://h.paypal.de-checking.net/de/ID.php?u=LhsdoOKJfsjdsdvgde-checking.netÜber zusätzliche Subdomains wird eine valide Paypal-URL vorgetäuscht
paypal.secure.server.deserver.deÜber zusätzliche Subdomains wird eine valide Paypal-URL vorgetäuscht
paypal-secure.onlinepaypal-secure.online.online ist eine neue Domain-Endung
paypal.de@secure-server.de/secure-environmentsecure-server.deDie vermeintliche Domain vor dem @ ist ein Benutzername, keine echte Domain
http://signin.paypal.com@10.19.32.4/oIP 10.19.32.4Die vermeintliche Domain vor dem @ ist ein Benutzername, keine echte Domain. Es wird nur eine IP angegeben, keine Domain
http://63.17.367.23/pc/verification.htm?=https://www.paypal.com/IP 63.17.167.23Die vermeintliche Domain ist eine Abfrage (Query-String), mit dem zusätzliche Informationen übertragen werden, die serverseitig verarbeitet werden. Es wird eine IP angegeben, keine Domain.
http://paypal.com.de.cgi-bin.webscr.cmd-login-submit.dispatch.sicherkontrolle.su/cgi-bin/sicherkontrolle.suÜber zusätzliche Subdomains wird eine valide Paypal-URL vorgetäuscht
https://www.paypaI.depaypai.deDas I ist ein großes i, wird aber leicht mit einem kleinen L verwechselt.

Online-Sicherheit beginnt bei Ihnen: Tipps zum Schutz Ihrer Daten

Wenn Du in Eile bist, mache einen Umweg.

— japanisches Sprichwort

  1. Legen Sie sich Bookmarks der Seiten an, die sie regelmäßig aufrufen (Banken, Webmail-Konten, Cloud-Dienste usw.). Anstatt über den Link in der E-Mail zu navigieren, rufen Sie Ihre Bookmarks auf. So vermeiden Sie zusätzlich, sich bei der Eingabe der URL zu vertippen.
  2. Eine Suche über Google kann bei bekannten Unternehmen helfen, die richtige URL zu finden. Bei weniger bekannten Webseiten besteht jedoch das Risiko, dass sich SEO-optimierte Anbieter dazwischen drängen.
  3. Keine Attachments ausführen, wenn Sie nicht sicher sind, dass sie von einem sicheren Absender stammen.
  4. Kritische Daten nur dann eingeben, wenn die Verbindung per SSL verschlüsselt ist. Dies erkennt man daran, dass in der URL ein https verwendet wird und die richtige Unternehmensdomain angezeigt wird. Dennoch ist es wichtig darauf zu achten, dass es sich um die richtige Domain handelt. Denn Betrüger können für eine ähnlich aussehende Domain ein echtes SSL-Zertifikat erwerben1 und eine sichere Verbindung zu einer gefälschten Domain anbieten.
  5. Wo verfügbar, empfiehlt es sich, die zweistufige Verifizierung oder die Zwei-Faktor-Authentifizierung zu aktivieren.


Phishing: Eine überschätze Gefahr?

Nach Auffassung eines Microsoft-Forscher Teams soll Phishing überbewertet sein. Sowohl die geschätzten finanziellen Verluste als auch die Verdienstmöglichkeiten der Phishing-Betrüger wären übertrieben. So beschreiben die Autoren Phishing als ein «low-skill, low-reward» Geschäft. Das Team interpretierte bereits 2008 in einer Studie3 die steigende Anzahl von Phishing-Angriffen als einen Beweis für den schwindenden Erfolg von Phishing und greift auf eine Analogie aus dem Fischfang zurück. Fischkutter müssten immer weiter, länger und häufiger in See stechen und würden dennoch weniger als früher fangen.

Für Phishing-Mails bedeute dies: Je mehr Betrüger Phishing-Mails verschicken, umso weniger verdient der Betrüger pro Angriff. Dies führe dazu, dass der Betrüger immer häufiger versuchen wird, über Phishing mehr Geld zu verdienen. Mehr Phishing-Mails seien also kein Zeichen von Erfolg, sondern Misserfolg.

Für Unternehmen: Phishing-Seiten entfernen lassen

  • Website Takedown: Die Aufforderung an den Provider oder eine Suchmaschine, den Zugang zu problematischen Website-Inhalten und/oder Mail-Servern zu entfernen.
  • Cease & Desist (Unterlassungserklärungen): Ziel ist es, eine freiwillige Abschaltung zu erwirken.
  • Alternative Streitbeilegungsverfahren für Domains: Diese standardisierten Verfahren bestehen im Wesentlichen aus UDRP (Uniform Domain-Name Dispute-Resolution Policy) und URS (Uniform Rapid Suspension System). So kann der Beschwerdeführer im Erfolgsfall eine Domain auf sich übertragen oder diese suspendieren lassen.

Unser Partner MSA verfügt über umfangreiche Erfahrung in all diesen Maßnahmen. Die Experten von MSA stehen unseren Unternehmenskunden zur Seite und sorgen dafür, dass die Durchführung der Maßnahmen möglichst einfach und erfolgreich abläuft.

Jetzt informieren

Das Team kontert auch das naheliegende Argument, dass kein Betrüger weiter Phishing betreiben würde, wenn er dabei Verluste machen würde. So irren sich neue Phishing-Betrüger über die tatsächlichen Verdienstaussichten. Der Phishing-Mythos des hohen Gewinns bei wenig Aufwand und einer geringen Qualifikation sorge für einen ständigen Nachschub an neuen Kriminellen.

Aus der Unternehmensperspektive ist die Phishinggefahr womöglich überbewertet. Die Microsoft-Forscher zitieren in ihrer Studie die Aussage eines Paypal CSO, wonach Phishing für Paypal nicht zu den Top 5 Verlustgefahren zählt.

Die Forscher stellen jedoch nicht grundsätzlich in Abrede, dass Phishing ein großes Problem ist. Sie sehen sowohl den individuellen Schaden beim Empfänger als auch den Vertrauensverlust, den Phishing bei Usern hervorruft. Durch neue AI-Tools könnte jedoch die Qualität der Phishing-Versuche signifikant steigen und damit die Schäden und die Anzahl der Phishing-Opfer nach oben treiben.


Zurück zum Marschmallow-Experiment für Kinder: Auf die Frage, ob sich die Leistung der Kinder in den letzten 50 Jahren verbessert hat, sagten 52 Prozent der befragten Wissenschaftlicher eine Verschlechterung vorher. Anders als vermutet, sind Kinder im Laufe der Zeit jedoch besser geworden. Das konnte John Protzko von der University of California in einer Meta-Studie2 belegen. Ob auch Erwachsene eine bessere Impulskontrolle entwickelt haben, läßt sich nicht so einfach sagen. Zu der Anzahl der Phishing-Opfer und dem Schaden gibt es keine aktuelle Meta-Studie.

Fußnoten:

  1. SSL-Zertifizierungsstellen stellen hunderte Zertifikate für Phishing-Seiten aus
  2. Protzko, Kids These Days: 50 years of the Marshmallow task
  3. Cormac, Dinei in «A Profitless Endeavor: Phishing as Tragedy of the Commons»
Symbolbild: Data Breach und Cyber Attack in roten Lettern stechen aus einem in blau gehaltenen Code hervor

FBI-Cybercrime-Report: starke Bedrohung durch Phishing

Die Beschwerdestelle für Internetkriminalität des US-amerikanischen Federal Bureau of Investigation (FBI) hat ihren Jahresbericht für 2022 veröffentlicht (FBI  – Annual ...
Markenverlängerung

Betrug bei der Markenverlängerung

Markeninhaber sind häufig Ziel von dubiosen Anbietern. Sie erhalten per Brief das Angebot ihre Marke verlängern zu lassen. Wir zeigen, ...

Vertipperdomains: Fünf Tipps zu Prävention und Umgang

Typosquatter sind Trittbrettfahrer, die Vertipperdomains zu Ihrer Webseite registrieren. Auf diesen schalten sie Werbung, betreiben Phishing oder locken fehlgeleitete Seitenbesucher ...