Interview mit unserem Service-Techniker Tom Kleemann zum Thema Betrugs-E-Mails
Interview mit unserem Service-Techniker Tom Kleemann zum Thema Betrugs-E-Mails
(R)edaktion/Interviewführung: Richard Jones
(T)echnischer Spezialist: Tom Kleemann
R: Guten Morgen Tom! Als Service-Techniker betreust du einige unserer Kunden und kommst dabei oft mit Anwendern und deren Problemen in Berührung. Ein Problem, dass sich inzwischen immer mehr hervortut, ist das der Betrugs-E-Mails. Wie oft hast du inzwischen solche E-Mails erlebt?
T: Hallo Richard! Betrugs-E-Mails sind inzwischen eine ernstzunehmende Gefahr. Die Taktung der erhaltenen Mails steigt und steigt; inzwischen stellen wir bei unseren Kunden im Durchschnitt mehr als drei Versuche pro Woche fest.
R: Wer ist von diesen E-Mails betroffen?
T: Grundsätzlich kann jeder, der ein E-Mail-Konto aktiv nutzt, zum Ziel von Betrügern werden. Die Chance steigt für die Nutzer, deren Daten frei zugänglich im Netz verfügbar sind. Spezialisierte Betrugs-E-Mails zielen vor allem auf Abteilungen ab, die Überweisungen durchführen.
R: Wie haben sich Betrugs-E-Mails in den letzten Jahren verändert?
T: Die Methoden der Betrüger werden definitiv raffinierter und schwieriger zu durchschauen. Während sich Betrüger früher häufig als Fremde ausgaben, die eine hohe Belohnung für finanzielle Unterstützung in Aussicht stellten, sind es heute oftmals maßgeschneiderte Angriffe, die z.B. den Geschäftsführer simulieren und zu einer eiligen Zahlung auffordern. Dabei wird auch die E-Mail-Adresse gefälscht. Früher wurde dabei breit gestreut und nicht zwischen privaten Haushalten und geschäftlichen Adressen unterschieden, heute sind vor allem Buchhaltungsabteilungen im Fadenkreuz der Betrüger. Aber auch Phishing-Mails sind stark im Trend.
R: Was genau sind diese Phishing-Mails?
T: Dabei handelt es sich um E-Mails, die das Ziel haben, Daten – z.B. Zugangs- oder personenbezogene Daten – abzuschöpfen. Hierzu wird oftmals eine E-Mail eines großen Anbieters häufig genutzter Dienste und Applikationen kopiert, der Link, der zur Anmeldeseite des vermeintlichen Anbieterportals führt, hat jedoch ein anderes Ziel: eine täuschend echt gestaltete Seite, die allein dazu dient, beim Login Benutzernamen und Kennwort offenzulegen. Dabei werden meist Gründe, wie eine Überprüfung der Sicherheitseinstellungen, vorgeschoben, die zur Handlung auffordern. Häufig gefälscht werden E-Mails und Webseiten von Banken. Zuletzt hatten wir zahlreiche Angriffe mit gefälschten Paypal-Mails.
R: Was macht die E-Mails so gefährlich?
T: Die Authentizität: Zwar sind noch viele der E-Mails für die meisten Nutzer klar als Betrug erkennbar – dazu zählen beispielsweise schlecht ins Deutsche übersetzte Texte – aber die Betrüger werden immer besser. Sie sind aufgrund der Vielzahl an Informationen, die über das Netz zugänglich sind, schwer zu durchschauen.
Eine leicht durchschaubare Betrugs-E-Mail, die uns erst kürzlich erreichte.
Gerade bei Weiterleitungen zu Phishing-Portalen werden Originalseiten so gut simuliert, dass es kaum möglich ist, diese vom Original zu unterscheiden. Es werden Subdomains angelegt, die nur dem geschulten Auge auffallen. Da die gleichen Masken wie in auf den Originalseiten genutzt werden, wird dem Anwender vorgegaukelt, er sei dort, wo er sich vermutet.
Und wenn die Texte dann auch noch kurzgehalten sind, bieten sie wenige Identifikationspunkte für den Leser; man erkennt nicht, dass es sich um eine fremde Person handelt, immerhin kommt die E-Mail ja scheinbar von der E-Mail-Adresse des Chefs.
Oftmals findet sich der Hinweis auf Dringlichkeit und Eile im Text – „unbedingt heute noch überweisen!“ Dies führt dazu, dass der Empfänger sich ggf. weniger Zeit für die Überprüfung lässt. Wenn für den Betrüger alles glatt läuft, kommt der Empfänger nicht einmal auf die Idee, dass es sich hier um eine falsche Zahlungsaufforderung handeln könnte.
Um ein Nachfragen per Telefon zu verhindern, wird gelegentlich auch auf die Nichterreichbarkeit des vermeintlichen Vorgesetzten hingewiesen – z.B. „ich bin jetzt unterwegs und nicht erreichbar, bitte umgehend erledigen!“ – wird für den Empfänger noch mehr Druck aufgebaut, schnell und ohne nachzufragen zu überweisen.
R: Wie kann man die E-Mails erkennen, wenn sie doch so täuschend echt wirken?
T: Man sollte auf keinen Fall auf den angezeigten Namen vertrauen, sondern auch die Absender-E-Mail-Adresse prüfen. Bei Hyperlinks kann man den Mauszeiger auf die angezeigte Adresse bewegen; weicht diese hier schon vom Original ab, kann von einem Betrugsversuch ausgegangen werden.
Auch das Vorhandensein von untypischen Rechtschreibfehlern kann ein Indiz für einen Betrugsversuch sein.
Eine Betrugs-E-Mail, um eine Zahlungsaufforderung in die Wege zu leiten.
Sind personenbezogene Daten (korrekte Kundennummer, Name, Benutzername) von mir vorhanden und auch korrekt? Dies ist noch kein Garant, aber ein Anhaltspunkt; fehlen diese Daten, ist ein Betrugsversuch wahrscheinlicher.
R: Was kann man tun, um sich zu schützen?
T: Gerade bei Phishing-Mails ist es recht simpel: Wir empfehlen, nicht auf Links zu klicken, sondern auf direktem Wege auf die Originalseite zu navigieren, sich dort anzumelden und zu überprüfen, ob sich die in der E-Mail angezeigte Aufforderung dort wiederfindet.
Ein Blick auf die Adressleiste zeigt außerdem, ob die Adresse SSL-zertifiziert ist (grünes Sicherheitsschloss-Symbol); dies ist eine weitere Sicherheitshürde für Betrüger.
Das grüne Symbol zeigt eine SSL-zertifizierte Seite. Zu beachten ist auch der Eintrag „https“, der auf eine Verschlüsselung im Übertragungsprotokoll hinweist.
Bei Zahlungsaufforderungen sollte man sich telefonisch oder persönlich vom Ansprechpartner die Bestätigung geben lassen, dass sie echt ist, wenn möglich. Besser ist es allerdings, interne Prozesse einzurichten und Überweisungen auf Zuruf abzuschaffen, denn gerade, wenn es keine festen etablierten Zahlungsabläufe im Unternehmen gibt und es häufig zu solchen Zahlungsaufforderungen „zwischen Tür und Angel“ kommt, ist ein Unternehmen für diesen Angriffsvektor besonders anfällig. In Ausnahmefällen sollte zum Hörer gegriffen werden, um eine Zahlung anzuweisen.
Ein Weg, um die E-Mail-Adresse zu verifizieren, ist außerdem die Nutzung elektronischer Signaturen. Diese dienen als elektronische Unterschrift und erhöhen damit die Sicherheit.
Die Verwendung eines guten Spamfilters kann auch einen Großteil der E-Mails abfangen, sodass sie keinen Schaden anrichten.
Im Zweifel sollte nicht blind überwiesen werden, sondern beim IT-Systemhaus des Vertrauens nachgefragt werden.
Am wichtigsten ist aus unserer Sicht allerdings, dass die Anwender sich der Gefahren bewusstwerden; daher empfehlen wir, regelmäßig Mitarbeitersensibilisierungen durchzuführen.
R: Vielen Dank für diese Einblicke, Tom, und einen schönen Tag für dich!