Sicherheit + Datenschutz 18. März 2020 5 Min Lesezeit

RSA-Report: Verdoppelung der Phishing-Angriffe

Geschrieben von
Roger Klein
Bild: RSA Security LLC.

Der Security-Spezialist RSA hat seinen Betrugsreport für das letzte Quartal 2019 vorgelegt. Die Zahlen sind eindeutig: Onlineangriffe haben massiv zugenommen – und Phishing führt die Hitliste an. Dabei geben Nutzer aufgrund einer betrügerischen Mail oder eines Anrufs freiwillig Daten wie Passwörter, PINs und TANs preis.

Details zum RSA-Report

  • Vom 01.10. bis zum 31.12.2019 gab es weltweit über 250.000 bekanntgewordene Betrugsangriffe.
  • Alle zwei Minuten wird so ein Angriff durchgeführt – allerdings nicht immer erfolgreich.
  • Phishing-Angriffe sind die häufigste Variante, weil Rechner und Server technisch sicherer geworden sind. Der Mensch ist heute die grösste Schwachstelle – das nutzen Kriminelle aus, so die Autoren des Reports.
  • Die Zahl der Phishing-Angriffe hat sich im Vergleich zum Vorjahreszeitraum fast verdoppelt.

RSA schlüsselt die Bedrohungen nach Art, Umfang und regionaler Verteilung auf – mit dem Ziel, Firmen, Organisationen und Nutzer zu sensibilisieren und die Betrugsbekämpfung zu fördern. Deutschland liegt nach den USA auf Platz zwei der Länder, von deren Hostern Phishing-Angriffe ausgehen – gefolgt von Malaysia, Indien und Russland. Dabei greifen Kriminelle aus Deutschland offenbar auch am häufigsten deutsche Nutzer an: Phishing-Angriffe haben sich hierzulande gegenüber dem Vorjahr verdoppelt. Auch andere Betrugsarten nahmen zu: Finanzmalware wuchs um 41 %, Angriffe auf oder durch Apps um 175 %, Betrugsversuche in sozialen Medien um 62 %.

Bekannte Kriminelle mit neuen Geräten bei Phishing-Angriffen

RSA unterscheidet Angriffe nach Konten und Geräten. Geräte wechseln häufiger – Konten bleiben oft gleich. 60 % der Angriffe kamen von neuen Geräten, aber von bereits bekannten Konten. Kontoübernahmen sind damit ein bevorzugter Angriffsvektor. Beim Online-Banking sieht es etwas anders aus: Dort wechseln Nutzer den Account in weniger als einem von 100 Fällen, und auch das Login-Gerät bleibt meist dasselbe. Trotzdem besteht das Betrugsvolumen zu 41 % aus einer Kombination von neuem Konto und neuem Gerät. Laut RSA deutet das darauf hin, dass Kriminelle mit gestohlenen Zugangsdaten sogenannte Mule-Konten einrichten – zwischengeschaltete Konten, über die sie Zahlungen von den Opferkonten abgreifen.

Phishing in Zeiten von Corona

Die Corona-Pandemie ruft auch Betrüger auf den Plan. Offline gehen sie von Haus zu Haus und gaukeln älteren Personen Corona-Tests vor, die sofort in bar zu bezahlen sind. Online versenden sie Phishing-Mails, die auf Verunsicherung und Angst setzen. Panik schwächt das Urteilsvermögen – genau das ist der Hebel. Die Mails kommen angeblich von der Sparkasse, einem anderen Bankinstitut oder gleich von der WHO. Sie betten sich in das aktuelle Mailaufkommen ein, das von seriösen Warnungen und Hinweisen geprägt ist: Firmen informieren Kunden über Service-Umstellungen, Händler verweisen auf Online-Angebote, Paketdienstleister melden Änderungen bei der Zustellung. Aktuell (Stand 23.03.2020) stechen zwei Phishing-Varianten besonders hervor:

  • Eine angeblich von der WHO stammende englischsprachige Mail enthält Gesundheitshinweise, die sich in einem Anhang befinden sollen. Wer ihn anklickt, holt sich Malware auf den Rechner.
  • Eine angeblich von der Sparkasse oder einer anderen Bank stammende deutschsprachige Mail gibt in seriösem Tonfall und einwandfreiem Deutsch an, dass Filialen aus Gesundheitsschutzgründen schliessen müssten und nur noch Online-Banking möglich sei. Die Aufforderung: Zugangsdaten eingeben, damit ein «genauer Abgleich» stattfinden könne.

Die WHO-Mail dürften viele hierzulande ignorieren. Die Sparkassen-Mail ist perfider: Seit dem 23.03.2020 melden tatsächlich deutsche Geldinstitute Filialschliessungen. Einige werden darauf hereinfallen. Dabei gilt wie immer: Keine Bank verlangt jemals die Preisgabe von Zugangsdaten. Auch ein Abgleich von Adresse oder Telefonnummer ist vollkommen überflüssig. Sparkassenkunden können sich über echte Massnahmen auf dem Sparkassen-Blog informieren. Wer eine solche Mail erhält, sollte sie sofort löschen – aber Vorsicht: Vor dem Löschen das Online-Banking nicht öffnen. Manche Mails platzieren auch ohne Anhang ein Spionageprogramm. Die sicherste Massnahme: Mail löschen (ohne jeden Klick), alle Programme schliessen, Rechner neu starten, sofort einen Antivirencheck durchführen.

Produktangebote als Aufhänger für Phishing

Auch eine auf den ersten Blick harmlose Werbemail kann ein Phishing-Angriff sein. Derzeit werden Atemschutzmasken, Desinfektionsmittel und weitere Schutzprodukte gegen Corona angeboten. Wer darauf klickt, landet in einem vermeintlichen Online-Shop, der allein zu Betrugszwecken eingerichtet wurde. Zwei kriminelle Zwecke erfüllt er:

  • #1: Kunden bestellen und bezahlen dort Produkte, die niemals geliefert werden. Sensationell günstige Preise – auch für schwer erhältliche Produkte wie Atemschutzmasken – liefern den Motivationskick. Diese Masche gibt es schon länger, bisher oft mit dem Aufhänger günstiger Heimelektronik.
  • #2: Beim Bestell- und Bezahlvorgang hinterlassen Kunden wertvolle Daten, die für weitere Betrugsversuche – bevorzugt weitere Phishing-Angriffe – genutzt werden.

In Krisenzeiten zählt: auf vertrauenswürdige Kontakte setzen, den gesunden Menschenverstand einschalten. Ein neuer Online-Shop bewirbt uns kaum jemals per Direktmailing – er kennt uns schlicht nicht, ausser er hätte unsere E-Mail-Adresse durch illegalen Adresshandel erworben. Seriöse neue Shops machen durch Online-Werbung und Suchmaschinenoptimierung auf sich aufmerksam. Auch das kann freilich ein Betrugsansatz sein.

Wie sind Phishing-Mails zu erkennen?

Es gibt mehrere Indizien. Die wichtigsten:

  • #1: Der Inhalt ist fragwürdig – wie im Fall der vermeintlichen Mail vom Geldinstitut. Banken fragen keine Passwörter ab.
  • #2: Die Rechtschreibung ist mangelhaft. Kriminelle aus anderssprachigen Regionen sind selten hochgebildet. Achtung: Phishing-Mails werden zunehmend professioneller aufgesetzt (siehe oben).
  • #3: Die Mail drängt zu einer Handlung, die man von sich aus niemals durchführen würde – etwa ein Passwort preiszugeben. Sie erzeugt Zeitdruck: Wer nicht sofort reagiere, solle Schaden erleiden, zum Beispiel eine Kontosperrung.
  • #4: Der Absender stimmt nicht. Aus der Mail-Adresse der Sparkasse Hamburg (haspa@haspa.de) wird plötzlich haspa@haspa1.de, aus noreply@amazon.com wird noreply@amzon.com. Das sollte misstrauisch machen – ist aber manchmal nicht so schnell zu entdecken.

Eine vergleichsweise junge Methode: Das Mail-Konto einer Person wird gekapert und versendet dann Mails an deren eigene Kontakte. Wenn die vermeintliche eigene Schwester auf ein neues Angebot verweist oder ein Passwort abfragt, gelten die Punkte #1 bis #3: Was misstrauisch macht, ist wahrscheinlich Betrug. Im Zweifel einfach anrufen und nachfragen – damit weist man die betroffene Person gleichzeitig auf ihr gekapertes Konto hin. Auch unklare Empfangswege sind ein Signal. Wer mehrere Mailadressen nutzt, sich mit gmail.com bei PayPal angemeldet hat und plötzlich auf der web.de-Adresse eine angebliche PayPal-Zahlung erhält, wird angegriffen – PayPal kennt die web.de-Adresse schlicht nicht.

Tags: CybercrimeStudie
Über die Autor:in

Roger Klein

Geschäftsführer dataloft GmbH. WordPress seit Version 3, Frauenfeld. Verantwortet bei dataloft Strategie, Architektur und KI-Integration. Baut mit Mattes und Elena rundum.dog, die grösste deutschsprachige Hunde-Wissensplattform.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2020-01-27 DSGVO: Datenlecks nehmen zu – Aufsichtsbehörden greifen härter durch 2020-10-01 Was RDP Angriffe für Anwender und Unternehmen bedeuten 2020-03-25 Achtung im Home-Office: Corona bewirkt Zunahme von Cyber-Kriminalität

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG