Wenn Sie jetzt denken „Na klar!“, gehören Sie zu denen, die diesen Beitrag lesen sollten. Denn eine solche gibt es nicht. Die durchaus beabsichtigte Verwechslung mit Ihrer „DATEV eG“ war im Mai 2021 der bösartige Kniff einer kriminellen Phishing-Attacke, mit der Stellenbewerber verleitet werden sollten, persönliche Daten preiszugeben - bis hin zu einem Foto ihres Personalausweises, das via WhatsApp an den getarnten Urheber geschickt werden sollte.
Ein Super-GAU in Sachen Identitätsdiebstahl für alle, die damals die betrügerisch nachgebaute DATEV-Seite nicht als solche erkannt haben und auf die geforderte Übermittlung persönlicher Daten eingegangen sind.
Das Thema ist also nicht neu und bleibt leider aktuell wie wir an der aktuellen Phishing-Attacke mit gefälschten Mails von einer vermeintlichen DATEV-Adresse sehen. Seien wir selbstkritisch: Wie leicht kann es auch einem selbst passieren, dass man auf die Mail eines scheinbar bekannten und damit vertrauenswürdigen Absenders antwortet, ohne sich zuvor vergewissert zu haben, dass der Absender auch tatsächlich jener ist, der zu sein er vorgibt.
Zur Erinnerung – was ist Phishing genau?
Phishing ist, so beschreibt es Wikipedia, der Versuch, „sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben. Ziel des Betrugs ist es, an persönliche Daten eines Internet-Benutzers zu gelangen oder ihn zur Ausführung einer schädlichen Aktion zu bewegen.“ Oftmals mündet die Mail darum in der Aufforderung, einem Link zu folgen. Hier sollen die Nutzer dann persönliche Daten wie ihre Kontoverbindung, TANs oder Passwörter eingeben. So gelangen die Täter an hochsensible Daten. Gefährlich sind auch Anhänge, die unbemerkt Malware installieren, etwa einen Keylogger, der alle Tastatureingaben aufzeichnet, wozu dann auch Passwörter und andere vertrauliche Daten gehören, die wiederum einen Identitätsdiebstahl ermöglichen.
Am Anfang einer Phishing-Attacke steht in 96% aller Fälle eine E-Mail, deren Absender gefälscht ist und die vermeintlich von einer Vertrauensperson oder -institution stammt und nach einer – zumeist rasch zu gebenden – Antwort verlangt. Der Aufbau einer gewissen Druckkulisse („eilt“, „dringend“ oder „bitte möglichst sofort“ soll dabei unsere Besonnenheit, unsere Skepsis angesichts ungewöhnlicher Aufforderungen überlisten. Leider oftmals mit Erfolg. Ein weiteres und hiermit verknüpftes Einfallstor sind nachgebaute Websites, die den echten auf den ersten Blick täuschend ähnlich sehen und deren URL auch den Originalen bis auf wenige Abweichungen gleichen. Die Zeiten, in denen diese Seiten sich regelmäßig mit abstruser Grammatik, hanebüchener Orthografie und verstammelten Aufforderungen verrieten, („Du geb ein Passwort for Ihr Konto!“) sind vorbei. Auch die Phishing-Seiten werden immer professioneller, wenngleich sie bei genauem Lesen doch oftmals noch sprachliche Fehler enthalten. Man wird jedenfalls einem Bewerber, der das Unternehmen noch nicht kennt, kaum Leichtfertigkeit vorwerfen können, wenn er auf eine „Datev AG“ hereinfällt. Darum hier …
… sechs Tipps zur Abwehr von Phishing-Attacken
- Wie erkennt man Phishing-Mails? Sie haben eine gefälschte E-Mail-Absenderadresse. Vergleichen Sie sie im Zweifel genau mit der Ihnen aus vorgängiger Korrespondenz vorliegenden Adresse, die Abweichungen sind gegebenenfalls nur minimal. Beispiel: amazo@com statt amazon@com. Fragen Sie, wenn sie sich unsicher sind, persönlich beim Absender nach. Zum Beispiel in einem Telefonat.
- Werden Sie zur Preisgabe vertraulicher Daten aufgefordert? Baut der Absender eine Druckkulisse auf, drängt zu schneller Reaktion oder fordert Sie auf, Stillschweigen zu bewahren? Seien Sie auf der Hut! Dies sind sehr deutliche Anzeichen dafür, dass der Absender der Mail womöglich nicht vertrauenswürdig ist. Fragen Sie auch hier gegebenenfalls persönlich beim vermeintlichen Absender nach.
- Kontrollieren Sie mit einem Mouseover das Ziel einer Verlinkung, die Ihnen mit einer E-Mail mitgeliefert wird. Sprechen Sie IT-Experten in Ihrem Umfeld an, ob sie Ihnen bei der Darstellung der tatsächlichen Zieladresse der Verlinkung helfen können. Klicken Sie nie einfach auf einen Hyperlink mit unbekanntem Ziel!
- Kontrollieren Sie die Mail auf sprachliche Ungenauigkeiten. Grammatik- oder Rechtschreibfehler sind verdächtig, ebenso wie Zeichenfehler bei Umlauten oder die unmotivierte Schreibung von ä,ü und ö als ‚ae‘ ‚ue‘ und ‚oe‘, wenn der Text angeblich von einem deutschen Standort aus gesendet, also mit mutmaßlich deutscher Tastatur geschrieben wurde. Auch unpersönliche Anreden sollten Sie verdächtig stimmen.
- Öffnen Sie keine Anhänge von E-Mails, deren Vertrauenswürdigkeit nicht durch eine zweifelsfreie Herkunft als gesichert gelten kann. Behandeln Sie die Inhalte von Anhängen genauso aufmerksam wie die Mails selbst.
- Nehmen Sie regelmäßig an aktuellen Sicherheitsunterweisungen teil, die Sie darüber aufklären wie Sie auf neue Formen von Phishing-Angriffen sicher reagieren können. Nutzen Sie zum Selbststudium oder aber für Awareness-Maßnahmen die Hinweisseiten des Bundesamtes für Sicherheit in der Informationstechnik, BSI zum Thema Phishing.