Digital

Erkennst du gefälschte E-Mails? Wenn du 7 Punkte machst, darfst du weiter E-Banking nutzen

Um gefälschte oder mit Malware verseuchte E-Mails zu erkennen, haben Informatiker der Hochschule Luzern einen Phishing-Test entworfen. Damit soll jeder Nutzer gefährliche Nachrichten im eigenen Postfach erkennen.

09.05.17, 14:09 09.05.17, 15:13

E-Banking-Trojaner mit Absender Swisscom, Post oder Kantonspolizei etc. haben derzeit Hochkonjunktur in der Schweiz. Und die Phishing-Mails werden immer professioneller und perfider: Seien es gefälschte Einladungen zu Gerichtsterminen, Fake-Rechnungen oder Steuerrückerstattungs-Versprechen – wer die Nachrichten mit dem angeblich offiziellen Absender von Behörden oder Firmen öffnet, fängt sich einen E-Banking-Trojaner ein.

Die Spionagesoftware kann sowohl Windows- als auch Mac-Computer befallen. Hunderttausende dieser Phishing-Mails seien in Umlauf, warnt der Bund.

Viele Nutzer werden bei solchen E-Mails stutzig. Zu viele aber klicken darauf und landen auf falschen Webseiten oder laden sich mit verseuchten Anhängen Malware auf den Rechner. Und ermöglichen Kriminellen so, an vertrauliche Daten (Kreditkartennummer etc.) oder Passwörter zu gelangen.

Der Phishing-Test: Erkennst du manipulierte E-Mails?

Um Internetnutzer weiter zu sensibilisieren, hat Oliver Hirschi zusammen mit einem SecurityAwareness-Team am Departement Informatik der Hochschule Luzern einen Phishing-Test entwickelt. 

In der Medienmitteilung schreibt die Hochschule Luzern:

«Auf der Webseite von eBanking – aber sicher! kann unter dem Link https://www.ebas.ch/phishingtest jeder erfahren, wie gut er Phishing-Mails von legitimen E-Mails unterscheiden kann. Anhand von sieben Abbildungen von E-Mails und Webseiten muss jeder entscheiden, ob und weshalb es sich um Phishing handelt.»

Selbst riesige Internetkonzerne wie Google und Facebook lassen sich von Online-Betrügern reinlegen: Einem Mann ist es offenbar gelungen, von den beiden US-amerikanischen IT-Konzernen immer wieder grosse Überweisungen zu erschleichen. Der Täter konnte über viele Jahre insgesamt 100 Millionen Dollar ergattern, wie das US-Magazin Fortune kürzlich berichtete.

Der «Google Docs»-Angriff

Dass es durchaus Sinn machen kann, das Erkennen von gefährlichen E-Mails zu trainieren, zeigt auch das jüngste Beispiel eines ausgeklügelten Phishing-Angriffs auf Google-Nutzer: Erst vor wenigen Tagen haben Unbekannte mit einer Flut präparierter E-Mails versucht, Daten von Google-Profilen abzugreifen.

Der verschickte Link führte augenscheinlich zwar tatsächlich zum Internetkonzern, dort tarnte sich aber unter dem Namen «Google Docs», eine täuschend echt aussehende bösartige Web-App, die nichts mit Google zu tun hatte. Der Nutzer glaubte, ganz normal in sein Google-Konto zu gelangen.

Die gefälschte Google-Webseite forderte dann Zugang zu E-Mail-Konto und Adressbuch an – und verschickte darauf den Link an Kontakte aus dem Adressbuch. Die Phishing-E-Mail wirkte so für die Empfänger vertrauenswürdig, weil sie von einem ihnen bekannten Absender kam. Sie verbreite sich insbesondere in den USA in wenigen Stunden wie ein Lauffeuer, da auch erfahrene Internetnutzer auf Phishing-Mails hereinfallen können, wenn sie vertrauenswürdig wirken.

Kannst du Phishing-Mails von legitimen E-Mails unterscheiden? Mache mit dem Phishing-Test der Hochschule Luzern die Probe aufs Exempel und lerne, worauf du achten musst.

Mit Material der Nachrichtenagentur SDA.

Sieben eindrücklichsten Hacker-Attacken

(oli)

Das könnte dich auch interessieren:

20 (!!!) Jahre nach «Charmed – Zauberhafte Hexen» – das ist aus den Darstellern geworden

Bahn frei für Federer? Der mögliche Halbfinal-Gegner heisst Sandgren oder Chung

Kaufst du auch alle zwei Jahre ein neues Handy? Das soll sich jetzt ändern

Foto-Fail! Diese 16 Bilder zeigen, warum wir Selfies erfunden haben

Hol dir die App!

Charly Otherman, 5.5.2017
Watson kann nicht nur lustig! Auch für Deutsche (wie mich) ein Muss, obwohl ich das schweizerische nicht immer verstehe.
Abonniere unseren NewsletterNewsletter-Abo
34
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
34Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Nikite 09.05.2017 22:55
    Highlight Hallo Zusammen
    Ich arbeite derzeit an einer Studie über die Gemeinsamkeiten in der Kindheit der vor 2000 geborenen Personen.
    Ich würde mich freuen, wenn Ihr mir jeweils zwei einfache Fragen beantworten könntet:

    Wie lautet der Name eurer ersten Lehrperson?
    Wie nanntet ihr euer erstes Haustier?

    Vielen Dank im Voraus für all die hilfreichen Antworten.




    16 1 Melden
    • remeto 09.05.2017 22:59
      Highlight a) Kafi Freitag b) Pony M
      7 0 Melden
    • Weltruumelefant 09.05.2017 23:16
      Highlight Sind das nicht standard SicherheitsFragen die man beim zurücksetzen seines Passworts benötigt?
      4 3 Melden
    • Nikite 10.05.2017 13:01
      Highlight @Weltruumelefant
      Ja, zumindest sie warens mal. Habe ich schon länger nicht mehr im Einsatz gesehen :)
      Heute wird ja mehr auf Zweifaktorauthentifizierung gesetzt.
      4 0 Melden
    • Mati 15.06.2017 20:53
      Highlight I see what you did there 😉
      2 0 Melden
  • Cash 09.05.2017 20:23
    Highlight Vielleicht ist es meine eigene Auslegung der Deutschen Sprache, jedoch hatte ich meines erachten die Frage richtig beantwortet. Es waren Merkmale gefrage, woran man siehe, dass es nicht die originale Webseite ist. Als korrekte Antworten "https:// in der Adresszeile" und "Schloss in der Adresszeile" waren auszuwählen, was somit beide ohne den Zusatz "fehlende" inkorrekt wären.
    22 4 Melden
    • remeto 09.05.2017 23:00
      Highlight Genau dasselbe gedacht, die Formulierung ist falsch.
      7 0 Melden
    • lukass 10.05.2017 09:10
      Highlight Sehe ich genau so. Da haben die Ersteller einen Logikfehler gemacht.
      3 0 Melden
  • riqqo 09.05.2017 17:56
    Highlight Ich kenne einen ganz simplen Trick: GMV
    5 15 Melden
    • Cash 09.05.2017 20:24
      Highlight Öhm..? Erläutere bitte, aber nur falls wirklich sinnvoll, Danke
      5 0 Melden
    • riqqo 09.05.2017 20:55
      Highlight gesunder Menschenverstand? Kein Begriff?
      2 6 Melden
    • Nikite 09.05.2017 22:43
      Highlight Das mag vielleicht für uns junge Leute so wirken, aber besonders für ältere, die nicht mit dem Internet aufgewachsen sind liegt das jedoch oft nicht mehr im Rahmen des gesunden Menschenverstands. Da ist ein solcher Test sicher lehrreich.

      Ausserdem gibt es auch phischingtricks die selbst Digital Natives nicht ohne Weiteres erkennen können:
      google.ch
      googIe.ch
      kaum unterscheidbar. einmal mit einem kleinen L einmal mit einem grossen i geschrieben.

      Auch ist für eine unerfahrene Person kaum vorstellbar, dass ein word dokument schädlich sein könnte.

      GMV ist gut und recht, reicht jedoch nicht aus.
      13 0 Melden
  • Tom Garret 09.05.2017 17:02
    Highlight Gibt es wirklich Banken die Emails verschicken? Ich kenne keine.
    24 5 Melden
    • Mantarochen 09.05.2017 19:10
      Highlight ZKB macht das, aber da hat man im Onlinebanking ein internes Postfach. Dachte das ist Standard.
      3 3 Melden
    • amIsanta 09.05.2017 22:11
      Highlight Jepp, ich erhalte zum Beispiel immer eine, wenn neue Bankbelege eingetroffen sind (aber ohne den eigentlichen Beleg). Habe ich aber extra so eingestellt.
      3 0 Melden
  • f303 09.05.2017 16:21
    Highlight Geht schon gut los: Gleich einen externen Link anklicken müssen um zum Test zu kommen. 🤔
    122 2 Melden
  • Madison Pierce 09.05.2017 16:10
    Highlight Schön gemacht! Könnte man den Benutzern mal als Übungsaufgabe geben. Eine Woche später dann der Test mit einem präparierten E-Mail. Wer dort klickt, muss nachsitzen. :)
    24 3 Melden
  • Ueli der Knecht 09.05.2017 15:43
    Highlight Im gelinkten Phishing-Test sind die Antworten zur Kantonalbank-Seite (Frage 5) und eBanking-Email (Frage 7) falsch.

    Sowohl Kantonalbank-Seite wie auch das Email können gefälscht sein. Eindeutig lässt sich die Echtheit nur bestätigen, wenn die Sicherheits-Zertifikate überprüft würden, vorallem ob die Fingerprints der Zertifikate (Hex-Zahl) mit denjenigen (zuvor auf anderem, sicheren Kanal übermittelten) Fingerprints der Urheber übereinstimmt.

    In beiden Fällen könnte sich ein Man-In-The-Middle verstecken und den Datenverkehr manipulieren (vgl. http://bit.ly/2qmSK73 od. http://bit.ly/2prENQ6).
    32 5 Melden
    • Shin Kami 09.05.2017 15:55
      Highlight Der Test ist eher für Laien gemacht und daher ist es eher kontraproduktiv das zu sagen. Wenn sie auf die anderen (ziemlich offensichtlichen) Dinge achten, sind immerhin schon mal an die 99% der Mails dieser Art erkannt.
      28 1 Melden
    • Madison Pierce 09.05.2017 16:09
      Highlight Das ist korrekt. Aber wenn jemand schon ein Root-Zertifikat auf dem Rechner installieren und DNS-Anfragen umleiten konnte, hat man eh verloren. Von daher halte ich es nicht für falsch, diese zusätzliche Komplexität den Anwendern im Test zu ersparen.
      17 2 Melden
    • Ueli der Knecht 09.05.2017 16:31
      Highlight Okay, stimmt! Zur Sensibilisierung und fürs Training ist dieser Test ganz gut. Aber dann sollten die Fragen 5 und 7 wegelassen werden, weil sie trügerische Sicherheit vermitteln. Trügerische Sicherheit ist ebenso kontraproduktiv wie auch gefährlich.

      Ausserdem ist Phishing ein alter Hut. Die meisten Leute sind vermutlich längst sensibilisiert. Aktuell wird vorallem von Spear Phishing (gezielten Phishing-Attacken) gewarnt, zb. kombiniert mit MITM-Attacken, TLS-Intercerpt und natürlich vorallem mit social Engineering (eine kleine Anleitung gibt's hier: http://bit.ly/2pviv10).
      6 0 Melden
    • Ueli der Knecht 09.05.2017 16:39
      Highlight Madison Pierce: Man muss nicht ein Root-Zertifikat installieren, sondern nur ein vertrauenswürdiges Zertifikat. Das ist in der Regel ziemlich einfach, vorallem wenn man sich Zugriff auf einen dazwischenliegenden Router verschafft (Cisco- oder Swisscom-Router können zB. problemlos vertrauenswürdige Zertifikate unterjubeln, genauso wie auch praktisch alle Firewalls der Firmen, Schulen, Unis etc. - das sind riesige Angriffsflächen).

      Man ist nicht verloren, wenn man die Fingerprints überprüft. Nur dann wäre TLS sicher. Alles andere ist unsicher.
      9 0 Melden
    • _stefan 09.05.2017 17:05
      Highlight Eine MITM-Attacke auf ein EV-Zertifikat? Das gabs meines Wissens noch nie! Frage 5 ist daher für völlig korrekt.
      5 1 Melden
    • Ueli der Knecht 09.05.2017 17:36
      Highlight _stefan: praktisch alle Firmen-/Uni-/Schul-Firewalls praktizieren solche «MITM-Attacken». Das ist in diesem Sinne ganz alltäglich. Auch wenn du mal nachschaust, wer dir bei deinem OS/Browser alles heimlich «vertrauenswürdige Zertifikate» unterjubeln darf, dann verlierst du vielleicht das blinde Vertrauen in die EV-Zertifikate (bei Microsoft unter anderem zB. Macao Post, Shanghai Electronic, Swiss BIT, Swisscom, T-Systems, Urugayan Post, Gov. of Turkey, uvm: http://bit.ly/2prTAdD).
      6 1 Melden
    • _stefan 09.05.2017 18:58
      Highlight Hinter einem Proxy wird das Zertifikat aber eh nicht mehr als EV angezeigt.
      Und beim Test geht es ja um normales Phishing. Die Kompromittierung einer CA, die MITM-Attacke und das Phishing tönt eher nach einem APT oder staatlichen Aktivitäten...
      1 1 Melden
    • Nikite 09.05.2017 22:48
      Highlight @Ueli der Knecht
      Danke für all das Hintergrundwissen.
      Gibt es auch eine Möglichkeit gekürzte URL's zu überprüfen ohne dieser folgen zu müssen?
      Ich habe da immer ein wenig ein unwohles Gefühl dabei solche Links anzuklicken.
      5 0 Melden
    • Ueli der Knecht 09.05.2017 23:51
      Highlight Nikite: Dein ungutes Gefühl ist auf alle Fälle richtig. Bei meinen gekürzten URLs kannst du einfach jeweils ein '+' anhängen, dann löst sie dir bit.ly auf.

      Möglich wäre auch, die URL in einen URL-Checker reinzukopieren, zB.
      http://www.checkshorturl.com/
      oder http://www.getlinkinfo.com/
      die überprüfen auch, ob auf der URL (bekannte) Schadsoftware drauf ist.

      Ich hoffe aber, dass watson selbst nur überprüfte Links veröffentlicht, und diese auch regelmässig überprüft. Bei Google gibts dafür einen Gratisdienst, womit man das automatisieren kann (hier mit angehängtem '+': http://bit.ly/2phsuuR+).
      2 1 Melden
    • Favez 10.05.2017 00:13
      Highlight @Nikite: checkshorturl.com zeigt dir die vollständige URL an, ohne dass du den Link öffnen musst.
      2 0 Melden
    • Nikite 10.05.2017 13:03
      Highlight Ok, danke Ueli und Favez.
      1 0 Melden
  • Shin Kami 09.05.2017 15:36
    Highlight Ich habe ehrlich gesagt erwartet, dass mich euer Link auf eine Seite führt, auf der dann "das hätte auch ein Phising Link sein können" oder so steht. Naja 7 von 7 richtig, ist auch einfach.
    20 3 Melden
  • Dogbone 09.05.2017 15:24
    Highlight Ich hab den Test jetzt zweimal gemacht und bin immer am Schluss beim Klick auf "Test beenden" rausgefallen...
    8 1 Melden
  • Dä-do 09.05.2017 14:50
    Highlight Haha nice try Watson, darauf falle ich sicher nicht herein! Ein als Anti-Phishing-Link getarnter Phishing-Link! ;-)
    61 0 Melden
    • Driver7 09.05.2017 15:32
      Highlight oh und ich dachte die Eingabe meiner Kreditkarte-Angaben und Paypal Login dient nur zu meiner Sicherheit.. ist das nicht so???
      54 2 Melden
    • Me, my shelf and I 09.05.2017 20:26
      Highlight Nein Driver7, da haben ganz böse Menschen jetzt deine Daten!

      Wo wir schon dabei sind, schick mir deine Kreditkartennummer und Paypal login-Infos an urbi@orbi.va

      Dann werde ich dein Problem anschauen und sicherstellen dass die bösen Buben deine Daten nicht mehr haben! Aber ich brauch die PayPal login Daten! Und wo wir schonmal dabei sind lege deine Seele gleich mit dazu!


      4 1 Melden

Facebook ist verloren

Nikotin, Fast Food, Social Media: Mark Zuckerberg hat ein süchtig machendes Monster geschaffen. Im Zaum halten will er es nicht. Das müssen andere tun. Zum Beispiel du!

Aus Mark Zuckerbergs «sozialem Netzwerk» ist eine asoziale Propaganda- und Desinformations-Maschinerie geworden, die nicht nur Menschen verbindet, sondern die Gesellschaft spaltet.

Nonstop bombardiert uns der Facebook-Algorithmus mit Banalitäten, Halbwahrheiten und Schlimmerem.

Die Verantwortung übernehmen kann oder will der 33-jährige Firmenchef nicht. Das wird immer offensichtlicher.

Zuerst verleugnete er die Probleme, dann entschuldigte er sich via Facebook und bat an Yom Kippur um …

Artikel lesen