Zahlungsaufforderungen voller Rechtschreibfehler, viel zu verlockende Kreditangebote oder vermeintliche Gewinne im Online-Shop: Immer wieder landen bei uns Mails im Postfach, die uns mehr oder minder offensichtlich übers Ohr hauen wollen. Eine große Auswertung von Googles Mail-Servern zeigt nun: Die Angriffe sind häufig raffinierter, als man zunächst vermuten würde.
100 Millionen Phishing-Mails - also Mails, die Zugangsdaten abgreifen wollen - filtert Google nach Angaben von Elie Bursztein und Daniela Oliveira aus den Mailboxen seiner Kunden. Jeden Tag. Burzstein arbeitet als Sicherheitsforscherin beim Internetkonzern, Oliveira ist Professorin an der Universität von Florida. Beide haben gemeinsam eine Studie zu den Betrugsmails erstellt, die sie nun bei der Hacker-Konferenz Black Hat präsentierten.
Darum fallen wir auf Phishing herein
Phishing-Mails sind nicht so willkürlich, wie sie auf den ersten Blick erscheinen. "Die Phisher haben die Methode lange perfektioniert", erklärt Bursztein. Die Mails würden psychologische Tricks nutzen, um Nutzer zur Herausgabe der gewünschten Daten zu bringen, so die Experten. Am beliebtesten seien Angst vor einer Autorität, Gier oder eine emotionale Reaktion wie Mitleid. So flattern den Nutzern etwa Drohungen des vermeintlichen Chefs oder der Steuerbehörde ins Email-Fach, es wird klassisch mit Geldgewinnen gelockt oder auch mit rührseligen Geschichten.
Ob die Methode funktioniert, hängt auch mit unserer Laune zusammen. "Wenn wir uns gut fühlen, nimmt unsere Fähigkeit ab, Täuschungsversuche zu erkennen", so Oliveira. Hormone, die unsere Laune heben, machen uns demnach auch risikofreudiger - und damit anfälliger für Fallen.
+++ Lesen Sie auch: Was passiert, wenn man auf Spam antwortet - unser Autor und die Diktatorentochter+++
Hochspezialisierte Angriffe
Für eine hochgradige Professionalisierung spricht auch, dass Firmen viel häufiger angegriffen werden als Privatkunden. Google bietet als Dienstleister Firmen-Mail-Server an. Bei diesen Konten ist die Zahl der Phishing-Versuche 4,8 mal so hoch wie bei regulären Gmail-Konten.
Die Angriffe ließen sich meist in drei Kategorien einordnen, so die Forscher. Das so genannte "Spear Phishing" (Speerfischen) hätte nur einzelne Individuen im Visier, die mit speziell auf sie abgestimmten Mails befeuert würden. Beim "Boutique Phishing" wählen die Angreifer mehrere Mitarbeiter derselben Organisation als Ziel. Meist geht es um wenige Dutzend Personen. Und dann ist da "Bulk Phishing" (Massenfischen) - bei dem mit dem ganz großen Netz zufällige Opfer eingesammelt würden.
So können Sie sich schützen
Die Forscher empfehlen entsprechend, beim Öffnen von E-Mails stets skeptisch zu sein - und die Zwei-Faktor-Authentifizierung zu aktivieren. Neben dem Passwort braucht man dann noch einen generierten Code. Die bekannteste Methode per SMS empfehlen die Experten aber nicht. Manche Programme könnten einfach im Hintergrund die SMS auslesen und sich dann trotzdem einloggen. Stattdessen sollte man auf eine spezialisierte App wie den Google Authenticator setzen, so die Empfehlung. Noch besser seien spezielle USB-Sticks. Die werden allerdings nur von wenigen Diensten unterstützt.
Quellen: Black Hat, Fast Company
