Internetbetrüger jagen jetzt mit Speeren
„Spear-Phishing“heißt die Methode, gezielt die E-Mail-Adressen von Personen anzuschreiben, um an deren Daten zugelangen.
SAARBRÜCKEN Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt, dass sich seit Anfang Juli Fälle häufen, in denen Cyber-Kriminelle versuchen, EMail-Zugangsdaten über gefälschte Mails und Webseiten zu erbeuten. Die Angreifer senden dem BSI zufolge täuschend echt aussehende Nachrichten, in denen sie beispielsweise vorgeben, dass Auffälligkeiten bei der Nutzung des Postfachs beobachtet worden seien oder in denen sie neue Sicherheitsfunktionen anbieten. In jedem Fall werden Nutzer dazu aufgefordert, einen Link in der Mail anzuklicken, der dann auf eine gefälschte Webseite verweist, auf der Opfer ihre Zugangsdaten eingeben sollen. Wenn Nutzer diese Daten preisgeben, erhalten die Hacker Zugang zum E-Mail-Konto, so die Warnung des BSI. Dieses Vorgehen wird auch als Phishing (eine Wortneuschöpfung vom englischen „fishing“, deutsch: „angeln“) bezeichnet.
Um ihre Erfolgschancen zu erhöhen, verschicken Hacker PhishingMails in der Regel wahllos an möglichst viele Nutzer gleichzeitig. In dem konkreten Fall seien aber zu einem guten Teil gezielt Konten bestimmter Personen angeschrieben worden, so das BSI. Diese spezielle Form des Phishing wird auch Spear-Phishing (Speerfischen) genannt. Die aktuelle Angriffsserie richte sich bisher in erster Linie gegen Yahoo- und Gmail-Konten von Funktionsträgern aus Politik und Wirtschaft. Bis in Regierungskreise seien Attacken gemeldet worden, so BSI-Präsident Arne Schönbohm.
Das Muster sei vergleichbar mit den Angriffen auf die Demokratische Partei bei der Präsidentschaftswahl 2016 in den USA oder gegen die französische En MarcheBewegung. Es sei daher nicht auszuschließen, dass die Hacker ähnlich wie in Frankreich und den USA versuchen könnten, Einfluss auf die diesjährige Bundestagswahl zu nehmen.
Es sei außerdem wahrscheinlich, dass die Kriminellen es auch auf andere Postfächer abgesehen haben, so das BSI. Bereits 2016 habe die Behörde beobachtet, dass Webseiten registriert wurden, die sich für breiter gestreute Angriffe auch auf Konten von web.de und gmx.de eignen. Sie könnten demnach Teil der gleichen Angriffsserie und auch gegen Privatpersonen gerichtet sein. Das BSI empfiehlt daher dringend Vorsichtsmaßnahmen, mit denen Verbraucher sich vor solchen Angriffen schützen können.
So dürften wichtige geschäftliche Mails grundsätzlich nicht über private Postfächer verschickt werden. Das gelte besonders dann, wenn sensible Kundendaten enthalten sind. Außerdem sollten E-Mails immer verschlüsselt versendet werden. Einige E-Mail-Anbieter bieten eigene Verschlüsselungsfunktionen an, daneben gibt es Erweiterungen für E-Mail-Software oder eigene Programme, die etwa Mails, die über Outlook verschickt werden, verschlüsseln. Das BSI empfiehlt dafür das hauseigene Programm Gpg4win. Eine Alternative stellt Pretty Good Privacy (PGP) dar.
Das BSI empfiehlt außerdem, die sogenannte Zwei-Faktoren-Authentifizierung zu verwenden, bei der zum Einloggen neben Benutzername und Passwort auch eine Bestätigung per Smartphone erforderlich ist. Außerdem sollten Passwörter nie auf Webseiten eingegeben werden, die aus E-Mails heraus verlinkt sind. Stattdessen sollte die Adresse selbst eingegeben oder ein vorher überprüftes Lesezeichen verwendet werden, so das Bundesamt.
Des Weiteren sollten Nutzer immer sichergehen, dass sie ihre Passwörter nur auf verschlüsselten Webseiten eingeben. Das ließe sich daran erkennen, dass in der Adresszeile https statt nur http steht und an einem kleinen Schloss neben der Adresse. Zusätzlich muss der Teil der Adresse, der zwischen https:// und .de steht, immer geprüft werden. Das Bundesamt bittet Nutzer, die auf eine Mail stoßen, deren Inhalt auf einen gezielten Angriff hindeutet, diese nicht zu löschen, sondern zur Kontrolle ans BSI (meldestelle@bsi.bund.de) weiterzuleiten.
Haben Nutzer den Verdacht, dass sie ihre Zugangsdaten versehentlich auf einer nicht vertrauenswürdigen Seite eingegeben haben, sollten sie ihr Passwort umgehend ändern und im E-Mail-Konto überprüfen, wann der letzte Login-Versuch unternommen wurde, falls der E-Mail-Betreiber diese Funktion anbietet.