…die Auswirkungen der Digitalisierung zeigen sich in nahezu allen Lebensbereichen.
Damit einhergehende Technologien und deren positive Effekte sind aus unserem Alltag nicht mehr wegzudenken. Bringt dieser Fortschritt sicherlich viel Gutes mit sich, so muss man leider aber auch feststellen, dass viel Licht auch viel Schatten bringt.
Phishing ist kein wirklich neues Thema – es gab dieses Phänomen schon lange vor der Verbreitung des Internets. Per Mail verbreitete sich Phishing bereits in den 1990er- und 2000er-Jahren. Ein weiterer Schritt war die Verbreitung von Schadsoftware, genannt Trojaner. In weiterer Folge haben sich Spear-Phishing-Angriffe entwickelt (das gezielte Heraussuchen von Zielgruppen).
Aktueller Trend ist die Nutzung von QR-Codes – dahinter steht die Unmöglichkeit für Nutzer, einen Link zu prüfen. Die wenigsten Menschen sehen, dass sie an diesem Punkt schon ein Problem haben können. Täter springen auf Entwicklungen auf, wie etwa auf die Nutzung von QR-Codes im wirtschaftlichen Umfeld.
Die digitale (Schatten-)Welt wird auch für kriminelle Aktivitäten genutzt.
Der vermeintliche Deckmantel der Anonymität und die Möglichkeiten, eine Vielzahl von Menschen mit einem Mausklick zu erreichen bzw. zu kontaktieren, führen dazu, dass sich kriminelle Elemente zusehends in der virtuellen Welt bewegen. Eines dieser neu auftretenden Phänomene, die mittlerweile schon zu einem Teil unseres Alltags wurden, ist das sogenannte Phishing.
Wie ein Angler fischen die Täter im digitalen Raum nach potenziellen Opfern, nach deren Passwörtern und Daten. Auf täuschend echten Internetseiten sollen sie die Opfer dazu verleiten, ihre Daten – zumeist Bankdaten und Passwörter – anzugeben, um diese anschließend missbräuchlich zu verwenden und widerrechtliche Buchungen bzw. Finanztransaktionen durchzuführen.
Bei Phishing geht es in der Regel um eine Betrugshandlung oder deren Vorbereitung. Im Fokus steht nicht zwangsläufig ein technischer Ansatz. Für einen „gut geplanten Betrug“ braucht es eine „gute Story“. Rein technische Maßnahmen dagegen greifen oft zu kurz – auch wenn es das Ziel ist, Schadsoftware auf Geräten zu installieren, bleibt der zentrale Fokus vielfach die Erlangung von Zugangsdaten und Identitätsdaten.
Phishing ist der Versuch, über Kommunikationswege (gefälschte Webseiten, E-Mails oder Kurznachrichten) sensible (persönliche) Informationen der Internetbenutzer zu erlangen. Weiters stellt Phishing nicht nur ein technisches, sondern auch ein soziales Problem dar, da es auf die Manipulation und Ausnutzung menschlicher Schwächen abzielt. Es ist ein internationales Phänomen, darum ist die Notwendigkeit einer grenzübergreifenden Zusammenarbeit von zentraler Wichtigkeit.
Man kann Bits und Bytes nur mit Bits und Bytes bekämpfen.
Dies erfordert technische Tools – gerade künstliche Intelligenz (KI) und Deepfakes sind von großer Bedeutung und werden der Cyberkriminalität einen weiteren Boost verleihen.
Die wichtigsten Prioritäten im Kampf gegen Phishing:
- Breite Awareness und Aufklärung in der Bevölkerung
- Bestmögliche Absicherung aller Online-Zugänge und Zugangsdaten durch Multifaktor-Authentifizierung als Mindeststandard
(Ohne MFA bzw. Authentifizierungs-Apps hat man heute schon verloren.) - Kooperation und rascher Informationsaustausch auf allen Ebenen
(Telekommunikations- und Finanzdienstleister, Polizei, Konsumentenschutz, CERTs, Internet-Watchlisten …) - Präventionsmethoden weiterentwickeln
- Verbreitungswege von Betrugsfallen erschweren
(z. B. Werbung für Fallen auf Plattformen) - Fallen automatisiert erkennen und das Datenmanagement zwischen den Stakeholdern verbessern
Der „Verteidiger“ im Internet ist immer im Nachteil, er muss daher immer erfolgreich sein.
Oft ist der Informationsaustausch für Verteidiger aus rechtlichen Gründen (DSGVO) schwierig bzw. rechtlich nicht zulässig und möglich.
Daher muss der Informationsaustausch massiv weiter betrieben werden,
zumal Zusammenarbeit die wichtigste Waffe gegen immer neue Bedrohungen und Betrugsmuster ist.
Smishing: Phishing via SMS
Ein ebenfalls „neuer“ Betrugstrend ist das sogenannte SMS-Phishing (Smishing). Dabei nutzen Täter vor allem SMS, E-Mails oder WhatsApp-Nachrichten. Die Täter bzw. Angreifer verwenden gehackte, gültige Telefonnummern, die im Darknet gehandelt werden.
Sie erwecken den Eindruck, dass die Nachricht z. B. von der eigenen Bank oder der Post kommt.
Kunden und Konsumenten denken daher, dass diese SMS legitim sein müssen. Oftmals wird gefordert, einen kleinen Geldbetrag bzw. Kostenbetrag zu überweisen – meist über einen Link, bei dem in der Folge alle Bank- oder Kreditkartendaten eingegeben werden.
Wichtige Maßnahmen gegen SMS-Phishing:
- Sensibilisierung aller Beteiligten, dass Phishing mittels SMS nicht nur Banken betrifft, sondern ein Problem für unterschiedliche Industrien und die Gesamtbevölkerung ist
(z. B. „Hallo Mama/Papa“-Ansprache als Initial-Vektor) - Wille zur Zusammenarbeit zwischen betroffenen Organisationen
(z. B. Finanzbranche, Logistikunternehmen, CERT …) - Rechtlich abgesicherte Möglichkeit für Telekomunternehmen, SPAM- und Phishing-SMS nicht zustellen zu müssen
- Rechtssicherheit beim Austausch von Fraud-relevanten Daten
(z. B. zwischen Banken und Telekommunikationsunternehmen) - Optimierung der Zusammenarbeit mit der Exekutive bei erfolgreichen Betrugsfällen
- Methoden entwickeln für den Opferschutz bei Identitätsdiebstahl
Fazit: Keine Wunderwaffe – aber viele Stellschrauben
Zusammenfassend ist zu sagen, dass es im Kampf gegen Phishing und andere Formen von Internetbetrug keine „Wunderwaffe“ gibt.
Die deutliche Erhöhung der Warnungen und Verbreitungskanäle muss weiter gesteigert werden.
Sourcing-Tools wie der Fake-Shop-Detector sind genauso wichtig wie Kooperationen mit relevanten Stakeholdern.
Bei der Weiterentwicklung der Präventionsmethoden arbeiten neben der Suchmaschinenoptimierung auch Warnsysteme auf allen Suchkanälen, um diese möglichst nahe an den Fallen zu platzieren.
Prävention funktioniert dann, wenn wir nicht über etwas reden, sondern mit den Zielgruppen darüber reden (Behörden, Sicherheitsexperten …).
AWARENESS (Zweifel haben) – KNOWLEDGE (Wissen, wie man sich hilft) – ACTION (keine Daten eingeben und Phishing-Versuch sofort melden/anzeigen)