Viele Menschen sind sich absolut sicher, dass sie Phishing-E-Mails schon aus einem Kilometer Entfernung erkennen können. In einer kürzlich durchgeführten Umfrage, erreichten jedoch nur 5% der Befragten eine 100-prozentige Erfolgsquote beim Erkennen simulierter Angriffe nach solchen Mustern. Das ist vielleicht auch ein Hinweis darauf, warum Bösewichte immer noch Erfolg mit diesen Methoden haben.
Die Umfrage und der Test der amerikanischen Seite security.org unter mehr als 900 Amerikanern ergab außerdem, dass 9 von 10 Befragten die Definition von Phishing ziemlich genau kannten. Auch wusste die überwiegende Mehrheit, dass solche Angriffe häufig mit einer E-Mail beginnen. Andererseits waren aber nicht alle Befragten mit anderen Formen von Phishing vertraut.
Daher eine kurze Auffrischung: In der einfachsten Form wird Phishing mit einer unerwünschten E-Mail, einem Text oder einer anderen Form elektronischer Kommunikation versucht. Der Angreifer versucht sich als vertrauenswürdige Institution auszugeben und Ihre Daten zu stehlen. Diese Informationen, wie z. B. Ihre Anmeldeinformationen, versucht der Angreifer dann für schädliche Zwecke zu verwenden, wie zum Beispiel für Betrug und Identitätsdiebstahl oder zum Verkauf oder Missbrauch. Leider mit zunehmendem Erfolg. Laut dem jüngsten Internet Crime Report des FBI stieg die Zahl der Opfer von Phishing-Angriffen zwischen 2015 und 2018 um 59%. Dazu kommt eine hohe Dunkelziffer.
Doch zurück zur Umfrage: Fast die Hälfte der Befragten hat Phishing nicht mit Malware-Kampagnen in Verbindung gebracht, während eine ähnlich große Zahl mögliche Zusammenhänge zwischen Betrug und Werbung unbekannt waren. Auch die Möglichkeit des Phishings über soziale Medien war etwa einem Drittel der Untersuchungsteilnehmer unbekannt. Nach Erkenntnissen von ESET-Forschern, sind soziale Medien immer wieder Ausgangsort und Ziel von Phishing-Angriffen.
Es trat auch ein Generationsunterschied zu Tage. Während Millennials mit Phishing-Kampagnen auch in sozialen Medien rechnen, konnten sich über Sechzigjährige dies kaum vorstellen. Dafür war sich diese Altersgruppe besonders bewusst, dass E-Mails für Phishing eingesetzt werden.
Tipps gegen Phishing
Selbst wer sich der allgegenwärtigen Phishing-Angriffe bewusst ist, ist nicht immer davor gefeit jede Phishing-Mail zu erkennen. Wissenschaftler haben sogar einen Test entwickelt, der die Anfälligkeit von Menschen für Betrug anhand von Persönlichkeitsmerkmalen misst.
Es gibt jedoch einige einfache, praktische Tipps, wie Sie sich vor Phishing-Angriffen schützen können:
- Niemals auf Links klicken, Dateien runterladen oder Anhänge in Nachrichten öffnen, auch nicht, wenn diese aus einer bekannten, vertrauenswürdigen Quelle stammen. Es sei denn, Sie sind sich absolut sicher, dass die Nachricht echt ist.
- Überprüfen Sie immer die E-Mail-Adresse der Absender. Firmen und Institutionen verwenden normalerweise ihre eigene Domain und beispielsweise keine Google Mail-Adresse.
- Achten Sie auf schlechte Rechtschreibung und Grammatikfehler. Viele Phishing-E-Mails sind voll davon.
- Domänen beachten: häufig werden Domänen geringfügig geändert, sodass sie der Domäne eines legitimen Dienstanbieters ähneln.
- Lassen Sie sich nicht drängen. Häufig versuchen Phishing-Mails ein Gefühl von Dringlichkeit oder Bedrohung zu erzeugen um die Empfänger unter Druck zu setzen.
Eine detailliertere Übersicht von verräterischen von Phishing-Anzeichen finden Sie im englischen Artikel Phish Allergy – Recognizing Phishing Messages.
Oder schauen Sie sich die informativen "NoPhish Videos zur Erkennung von gefährlichen Anhängen und Links" der Forschungsgruppe SECUSO an.
Wenn Sie sich selbst testen wollen, dann können Sie Googles Phishing-Test durchführen. Finden Sie heraus wie gut Sie bösartige Mails erkennen können.