Die komplette Wahrheit über Viren & Co.

Montag, 16. Oktober 2023

In unserem Aufklärungsprojekt schreiben wir oft über Betrug im Internet und über von Cyberkriminellen verwendete betrügerische Tricks. Phishing gehört zu den populärsten Betrugsverfahren und basiert auf Social Engineering. Wir haben dieses Thema bereits mehrmals angeschnitten.

Warum ist Phishing so populär? Dies lässt sich durch das Aufwand-Gewinn-Verhältnis erklären. In der Regel erfordert Phishing keine komplizierten Technologien: Opfer übermitteln Betrügern Geld und/oder vertrauliche Informationen freiwillig. Cyberkriminelle verwenden verschiedene Tricks, die dank Leichtgläubigkeit und Fahrlässigkeit der Nutzer wirken. Mit der Entwicklung digitaler Technologien und neuer Kommunikationskanäle erscheinen neue Tools und Möglichkeiten für Internetbetrüger.

Zu den häufigsten Phishing-Verfahren gehören gefälschte Websites. Solche Websites werden von Cyberkriminellen erstellt und können entweder zum direkten Diebstahl von Informationen und Geld genutzt werden oder als Zwischenglied in komplexeren Betrugsschemas dienen. In dieser Ausgabe des Projekts „Die komplette Wahrheit über Viren & Co.“ teilen wir mit Ihnen, wie Sie eine Phishing-Website erkennen, um nicht auf betrügerische Tricks hereinzufallen.

Wie sind Sie auf die Website gelangt?

Köder werden über verschiedene Kommunikationskanäle verbreitet. E-Mails, SMS-Nachrichten, Messenger, soziale Netzwerke, Werbebanner und sogar kostenpflichtige Suchmaschinenwerbung – Cyberkriminelle verwenden all diese und weitere Tools, um Links zu ihren Phishing-Ressourcen zu verbreiten. Beispiel: Sie erhalten eine SMS-Nachricht von einem Unbekannten. Sie werden aufgefordert, den in der SMS-Nachricht enthaltenen Link zu öffnen, um zusätzliches Einkommen zu erzielen. So überzeugend der Text auch sein mag, führt der Link zu 99,99% zu einer Phishing-Ressource. Alle Informationen (personenbezogene Daten, Bankkarten etc.), die Sie auf dieser Website eingeben, werden gestohlen. Daher ist es wichtig, Betrug von Anfang an erkennen zu können. Dafür reicht es, die einfache Regel einzuhalten: Betrachten Sie alle Links, die von Unbekannten stammen, als verdächtig.

Am häufigsten werden potenziellen Opfern gut bezahlte Jobs, niedrige Preise, attraktive Sonderangebote und Sozialleistungen versprochen. Früher waren Pop-up-Banner mit Gewinnbenachrichtigungen sehr populär. Aber auch heutzutage verwenden Cyberkriminelle diese altbekannten Tricks immer noch und verdienen daran.

In einigen Fällen können aktuelle Webbrowser-Versionen verhindern, dass der Nutzer eine Phishing-Website öffnet. Leider nicht immer. In der Regel sperren Webbrowser Websites, die über kein gültiges und vertrauenswürdiges digitales Zertifikat verfügen. Solche Sicherheitsmaßnahmen sind leider nicht sicher genug und werden mühelos von Cyberkriminellen umgangen: Betrüger nutzen kostenlose Sicherheitszertifikate. Daher ist Ihr kritisches Denken der beste Schutz vor Betrug: Analysieren Sie immer, wie Sie auf eine Website gelangt sind.

Natürlich können Links zu Phishing-Ressourcen nicht nur von Unbekannten stammen. Betrachten wir daher einige weitere Merkmale, die auf Phishing hinweisen könnten.

Achten Sie auf das Design und die Funktionalität der Website

Phishing-Websites lassen sich in zwei Kategorien unterteilen: Ressourcen, die Websites bekannter Unternehmen nachahmen, und sonstige Phishing-Ressourcen. Zur ersten Kategorie gehört z.B. eine gefälschte Anmeldeseite eines Onlineshops oder einer staatlichen Einrichtung. Zur zweiten Kategorie gehört z.B. die Phishing-Seite eines erdachten Zahlungssystems. Es gibt auch Hybride – Phishing-Websites, die das Logo und weitere Elemente des Corporate-Designs einer bekannten Firma nutzen, aber nicht deren Website nachahmen, z.B. eine Website, auf der angebliche Verlosungen im Namen dieser Firma durchgeführt werden. Bei all diesen Ressourcen handelt es sich um Phishing. Sie werden von Cyberkriminellen entwickelt und verwaltet und haben nichts mit den Unternehmen zu tun, deren Logos genutzt werden. Vergessen Sie nicht: Betrüger tun ihr Bestes, um das Vertrauen des Nutzers zu gewinnen. Aus diesem Grund werden Phishing-Websites oft als Websites bekannter Unternehmen getarnt.

Auffällig ist, dass solche Websites meist viele Fehler aufweisen: Rechtschreibfehler, minderwertiges Layout, nicht funktionierende Schaltflächen und andere Elemente. Cyberkriminelle suchen nach Opfern und führen Nutzer mit verlockenden Angeboten, reißerischen Schlagzeilen, bekannten Logos, gefälschten positiven Bewertungen und anderen Tricks irre. Die Qualität wird in den Hintergrund gerückt – Die betrügerische Ressource muss so schnell wie möglich gestartet werden. Sie sollten also auf die Qualität der Website achten. Auf Phishing-Ressourcen ist in der Regel nur die Funktionalität verfügbar, die für die Funktion des Betrugsschemas notwendig ist. In anderen Bereichen der Website finden Sie höchstwahrscheinlich Fehler – je komplexer die Website, desto mehr Fehler.

Achten Sie auf den Domain-Namen

Der Domain-Name einer Website kann viel aussagen. Alle Website-Namen müssen einzigartig sein. Es ist technisch unmöglich, eine Website unter dem Namen einer bereits bestehenden Website zu registrieren. Daher nutzen Cyberkriminelle ähnliche Namen. Z.B. könnte eine Phishing-Website, die die Website von Doctor Web nachahmt, unter dem Namen drveb-av.de oder doctorweb-av.de registriert werden. Oft werden einige Buchstaben durch visuell ähnliche Buchstaben ersetzt oder eine oder mehrere Ziffern hinzugefügt. Es ist ein Fall bekannt, wo Betrüger die Website der bekannten Marke Shein gefälscht haben. Für den gefälschten Onlineshop wurde der Name sheim668 genutzt. Der Betrug scheint offensichtlich zu sein, trotzdem sind viele Nutzer darauf hereingefallen. Sollten Sie den kleinsten Zweifel an der Harmlosigkeit einer Website haben, lesen Sie deren Namen aufmerksam!

Achten Sie auf die Second-Level-Domain einer Website, z.B. „drweb-av“ im Namen shop.drweb-av.de. Wenn sich dieser Teil des Namens vom originalen Namen der Website unterscheidet, handelt es sich dabei um eine Fälschung. Was Third-Level-Domains („shop“ in unserem Beispiel) angeht, brauchen Sie sich keine Sorgen darum zu machen. Third-Level-Domains können nur vom tatsächlichen Websiteinhaber registriert werden. „shop.drveb-av.de“ ist eine gefälschte Website.

Achten Sie auf das digitale Zertifikat der Website

Wie oben erwähnt, verwenden Cyberkriminelle kostenlose digitale Zertifikate, um den in Webbrowsern integrierten Schutz zu umgehen und verifiziert zu werden. Kein Wunder, dass die Verbindung mit Phishing-Websites über das geschützte HTTPS-Protokoll erfolgt. In dieser Hinsicht möchten wir ein wichtiges Detail erwähnen.

Die populärste Zertifizierungsstelle, die kostenlose digitale Zertifikate ausstellt, ist Let's Encrypt. Sie ermöglicht es Websiteinhabern, ein kostenloses Sicherheitszertifikat zu erhalten, damit die Website von Besuchern, Webbrowsern und Suchmaschinen als vertrauenswürdig angesehen wird und damit die Datenübertragung über einen geschützten Kanal erfolgt. Leider machen auch Cyberkriminelle davon Gebrauch. Von Let's Encrypt ausgestellte Zertifikate werden auf unzähligen Phishing-Websites installiert. Auf offiziellen Websites großer Unternehmen werden solche Zertifikate praktisch nie installiert. Wenn ein Let's Encrypt Zertifikat auf der Website eines bekannten Onlineshops oder einer Bank verwendet wird, sollten Sie vorsichtig sein: Mit großer Wahrscheinlichkeit handelt es sich dabei um eine Phishing-Website. Gute News: Sie können Informationen über das Zertifikat selbständig prüfen.

So prüfen Sie ein Zertifikat in Chrome. Klicken Sie auf das Schlosssymbol links vom Namen der Website. Klicken Sie im angezeigten Fenster auf Verbindung ist sicher und dann auf Zertifikat ist gültig. Ein Fenster mit Informationen über das Zertifikat wird geöffnet. Prüfen Sie Informationen im Bereich Ausgestellt von. „R3“ im Punkt Allgemeiner Name (CN) und „Let's Encrypt“ im Punkt Organisation (O) weisen darauf hin, dass das Zertifikat von Let's Encrypt ausgestellt wurde.

Solche Zertifikate an sich sind harmlos, werden aber selten von großen Unternehmen genutzt. Die meisten bekannten Firmen verwenden kostenpflichtige Sicherheitszertifikate. Auf der Website von Doctor Web wird z.B. ein von GlobalSign ausgestelltes Zertifikat verwendet. Für Cyberkriminelle sind kostenpflichtige Zertifikate eine Geldverschwendung: In der Regel existieren Phishing-Seiten nicht länger als ein paar Wochen.

Suchen Sie nach Informationen über das Unternehmen auf der Website

Der Inhalt und das Design der Website helfen oft zu ermitteln, ob es sich um eine Phishing-Website handelt. Lesen Sie den Bereich mit Kontaktdaten. Auf Phishing-Websites fehlen oft Bereiche wie „Kontaktdaten“, „Impressum“, „Über uns“ etc. Dies ist ein Zeichen dafür, dass die Vertrauenswürdigkeit der Website in Frage gestellt werden sollte. Manchmal geben Cyberkriminelle falsche, unter anderem gestohlene, Unternehmensinformationen an: Name und Adresse der juristischen Person, Steuernummer, Telefonnummer etc. Falls Sie Zweifel haben, prüfen Sie die angegebenen Informationen im Internet. Es könnte sich herausstellen, dass diese Daten einem anderen Unternehmen gehören. Wenn Sie nichts finden, sind die auf der Website angegebenen Informationen falsch.

Eine weitere Möglichkeit ist, dass die Phishing-Website eine legitime Website nachahmt. In diesem Fall werden alle Unternehmensinformationen kopiert und Sie sollten die Seite auf andere Phishing-Merkmale prüfen.

Nutzen Sie spezielle Tools, um Betrug aufzudecken

Nutzen Sie spezielle Dienste, die es ermöglichen, betrügerische Ressourcen zu erkennen. Hier sind einige davon:

Whois

Whois ist ein Protokoll, das es ermöglicht, offene Informationen über Registrierungsdaten für Domain-Namen und IP-Adressen zu erhalten. Whois ist zwar kein spezieller Dienst zur Erkennung von Phishing-Websites, stellt aber Informationen zur Verfügung, anhand derer betrügerische Ressourcen erkannt werden können. Um eine Website zu prüfen, kopieren Sie deren Namen und geben Sie diesen in das Formular auf der Seite www.who.is ein. In der angezeigten Tabelle finden Sie Informationen wie Websiteinhaber, Erstellungsdatum etc.

Angenommen, Sie möchten eine Website prüfen, die angeblich einem großen Unternehmen gehört. Es stellt sich heraus, dass der Inhaber eine Privatperson ist und dass die Website erst vor ein paar Wochen erstellt wurde. Daraus kann geschlossen werden, dass das Unternehmen nichts mit dieser Website zu tun hat und dass die Website höchstwahrscheinlich betrügerisch ist. Websites großer Unternehmen werden sehr selten auf natürliche Personen registriert. Dies und die Tatsache, dass die Domain erst vor kurzem registriert wurde, deutet darauf hin, dass es sich dabei um eine gefälschte Website handelt.

Es ist auch zu berücksichtigen, dass eine Phishing-Website nicht nur auf eine natürliche Person, sondern auch auf eine Briefkastenfirma registriert werden könnte. Beachten Sie das Erstellungsdatum der Website und analysieren Sie die Website mithilfe spezieller Dienste.

Analyse von Links mithilfe von Online-Diensten

Sie können einen verdächtigen Link mithilfe spezieller Online-Dienste prüfen. Dieser Dienst auf der Website von Doctor Web ermöglicht es, Links mithilfe unserer internen Datenbank zu prüfen. Die Datenbank wird täglich aktualisiert.

Es gibt andere ähnliche Dienste, z.B. VirusTotal und Phishtank. Sie funktionieren nach dem gleichen Prinzip: Die URL der zu prüfenden Website wird in das spezielle Formular eingegeben und anhand der Datenbanken von Phishing-Websites analysiert.

Diese Dienste sind gewiss nützlich, aber Sie sollten sich darüber im Klaren sein, dass das Testergebnis sowohl falsch positiv, als auch falsch negativ sein könnte. Angenommen, eine Phishing-Website wurde noch nicht zur Datenbank hinzugefügt und wird daher als harmlos eingestuft. Und umgekehrt: eine harmlose Website könnte fälschlicherweise in die Datenbank betrügerischer Ressourcen eingetragen werden. Aus diesem Grund sollten Sie alle Faktoren und Merkmale berücksichtigen, um nicht Opfer von Betrug zu werden.