Schulungseinheiten zum Schutz vor Nachrichten mit ... · wie z.B. Spam- Filter, Virenscanner und...

Die Unterlagen sind urheberrechtlich geschützt.© SECUSO - TU Darmstadt

Schulungseinheiten zum Schutz vor Phishing und anderen gefährlichen Nachrichten

1


Die folgenden Schulungseinheiten wurden innerhalb des vom Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative IT-Sicherheit in der

Wirtschaft geförderten Projekts KMU Aware entwickelt.

2


Internetbetrüger nutzen verschiedene Strategien, um Ihnen und / oder Ihrem Unternehmen zu schaden. Eine beliebte und weit verbreitete Methode ist es Ihnen Nachrichten mit gefährlichen Inhalten (betrügerische Nachrichten) zu schicken. Diese Methode wird in den folgenden vier Schulungseinheiten adressiert.

3


Allgemeine Hinweise zu diesen Schulungseinheiten

1. Aus Gründen der Lesbarkeit werden in der folgenden Schulung Screenshots von Beispiel-Nachrichten jeweils auf einer separaten Seite abgebildet, so dass die Schulung auf den ersten Blick eine hohe Anzahl von Seiten umfasst. Wir empfehlen den Vollbildmodus zur optimalen Lesbarkeit zu verwenden.

2. Sie finden alle Module in diesem einen PDF. Sie können zwischen den einzelnen Modulen eine Trainingspause machen. Damit Sie abschätzen können, wie lange Sie für jedes Modul brauchen, ist auf der Übersichtseite in Klammern jeweils angeben, wie viele Seiten das aktuelle Modul umfasst.

3. Die meisten Empfehlungen der folgenden Schulungseinheiten sind nicht absolut, da das Internet sehr komplex ist. Daher werden Sie in dieser Einheit häufig Begriffe wie ‘wahrscheinlich’, ‘sehr wahrscheinlich’ oder ‘potentiell möglich’ lesen. Die Empfehlungen sollen als solide Entscheidungshilfe dienen betrügerische Nachrichten zu erkennen.

4. Die in diesen Schulungseinheiten dargestellten (potentiell) gefährlichen Nachrichten wurden entweder direkt real existierenden betrügerischen Nachrichten entnommen oder sind an diese Nachrichten angelehnt.

5. Die verwendeten betrügerischen Webadressen sollen lediglich als Beispiele dienen. Im Einzelfall kann es jedoch sein, dass die verwendeten Wer-Bereiche direkt von dem imitierten Unternehmen selbst registriert worden sind, um Betrugsversuche zu unterbinden. Ebenso können sie auch von Einzelpersonen oder Unternehmen registriert worden sein, die damit jedoch keinerlei Betrug beabsichtigen.

4


Aufbau 1. Erklärung, was gefährliche Inhalte sind2. Erklärung, was mögliche Konsequenzen sind3. Erklärung, wie Betrüger vorgehen

5


Betrüger bauen die gefährlichen Inhalte auf unterschiedliche Weise in betrügerische Nachrichten ein. Weit verbreitet sind die folgenden Nachrichtenformate:

(1) Die Nachrichten fordern Sie auf zu antworten und dabei verschiedene sensible Daten wie Passwörter und Kreditkartendaten anzugeben. Ziel der Betrüger ist es hierbei an die geforderten Informationen zu gelangen.

(2) Die Nachrichten fordern Sie auf, Überweisungen z.B. an vermeintliche Geschäftspartner oder Anrufe z.B. an vermeintliche Geschäftspartner zu tätigen.

(3) Die Nachrichten enthalten einen oder mehrere betrügerische Links. Ziel der Betrüger ist es hierbei, dass Sie auf einen der Links klicken. Diese Links leiten Sie dann z.B. zu einer betrügerischen aber authentisch aussehenden Webseite, bei der Sie sich einloggen sollen, oder zu einer Webseite, die Ihnen Schadsoftware installiert. Die Links müssen Sie nicht einmal zur direkten Eingabe von Daten auffordern; bereits Nachrichten, die Sie lediglich auf Informationen hinweisen, können gefährliche Links enthalten.

(4) Die Nachrichten enthalten eine gefährliche Datei (z.B. einen Anhang in einer E-Mail). Ziel der Betrüger ist es hierbei, dass Sie den Anhang öffnen bzw. ausführen.

Betrüger können mehrere dieser Ziele gleichzeitig verfolgen und Nachrichtenformate kombinieren. So könnten Sie z.B. aufgefordert werden, entweder auf einen Link zu klicken oder persönliche Daten als Antwort an den Absender zu schicken.

Oft werden die Nachrichtenformate (1) und (3) auch als Phishing bezeichnet.

6


Die Konsequenzen, die durch das Klicken gefährlicher Links oder das Öffnen eines gefährlichen Anhangs entstehen können, sind gravierend. So können Betrüger mithilfe von Schadsoftware – z.B. Viren und Trojaner – je nach Ausprägung der Software unterschiedlichen Schaden anrichten. Zum Beispiel könnte Schadsoftware• alle von Ihnen durchgeführten Aktionen an Ihrem Gerät ausspähen, z.B. Passworteingaben. Diese Informationen

können sowohl zum Identitätsdiebstahl genutzt werden als auch, um Sie oder Ihr Unternehmen zu erpressen. • eigene Aktionen an Ihrem Gerät durchführen, z.B. private Fotos oder andere Dateien kopieren, verändern und

verschicken, Kamera und / oder Mikrophon einschalten und mitlesen. Diese Daten können dann z.B. genutzt werden, um Sie zu erpressen.

• die Funktionstüchtigkeit so einschränken, dass Sie Ihr Gerät nicht mehr nutzen können. Die Betrüger fordern Sie dann z.B. zur Zahlung eines gewissen Betrages auf, um Ihr Gerät wieder nutzbar zu machen.

Betrüger können durch das Abgreifen von Zugangsdaten (über Schadsoftware oder nach der Benutzereingabe von Zugangsdaten auf einer betrügerischen Webseite oder durch das Beantworten von Nachrichten) zum Beispiel• in Ihrem Namen mit Kollegen, Vorgesetzten, Verwandten, Freunden, Bekannten über den entsprechenden Dienst

kommunizieren.• in Ihrem Namen einkaufen sowie Buchungen und Überweisungen tätigen (z.B. bei Paypal).• erheblich in Ihre Privatsphäre eingreifen, indem sie alle Informationen über Sie bei dem Anbieter sehen und / oder

lesen, z.B. gespeicherte Fotos, Kontaktinformationen Ihrer Kommunikationspartner, Kommunikationsverläufe und Nachrichten (E-Mails usw.). Derartige Daten können dann z.B. zur Erpressung genutzt werden, wenn Sie nicht einer bestimmten Zahlung nachkommen

Betrüger erhalten direkt Geld von Ihnen, wenn Sie das Geld wie gefordert auf das in der Nachricht angegebene Konto überweisen oder die kostenpflichtige Telefonnummer aus der Nachricht anrufen.

7


Betrüger geben sich in ihren Nachrichten als Anbieter oder Einzelperson aus. Sie schicken Ihnen Nachrichten,

• in denen sie vorgeben, ein Ihnen bekannter und vertrauter Anbieter zu sein. So geben sie z.B. vor Ihre Bank, Amazon, PayPal, DHL, Ebay, Microsoft oder SAP zu sein.

• in denen sie vorgeben, eine Ihnen bekannte Person zu sein.

• in denen sie zwar nicht vorgeben ein Ihnen bekannter und vertrauter Anbieter oder eine Ihnen bekannte Person zu sein. Sie versuchen aber durch den Inhalt der Nachrichten Aufmerksamkeit mit attraktiven Versprechungen und Verlockungen zu erzeugen. So wird Ihnen z.B. ein Gewinn, ein Geschäft mit hohen Einkünften oder eine vielversprechende Information in Aussicht gestellt. Oder es wird eine angeblich offene Rechnung geschickt, oder Interesse an Ihnen und / oder dem Unternehmen signalisiert, z.B. in Form einer (Initiativ-)Bewerbung.

Weiterführende Hinweise: Beachten Sie, dass die Inhalte der Nachrichten sehr unterschiedlich und auf den Kontext angepasst sein können. Dabei greifen Betrüger häufiger auf öffentlich zur Verfügung stehende Informationen zurück, z.B. Informationen, die Sie in sozialen Netzwerken über sich preisgeben, oder Informationen, die das Unternehmen auf der Unternehmenswebseite veröffentlicht. Die Risiken, die mit dem Veröffentlichen persönlicher Informationen einhergehen, erhöhen sich oftmals immens durch das Verknüpfen von Informationen verschiedener Quellen.

8


Betrüger verfolgen eine der folgenden Strategien bei der Auswahl der Empfänger (und damit potentiellen Opfer):

• Sie haben es genau auf Sie und / oder Ihr Unternehmen abgesehen. Sie haben es genau auf Sie und/oder Ihr Unternehmen abgesehen. Beachten Sie, dass nicht nur die direkte Preisgabe persönlicher Informationen in sozialen Netzwerken oder auf Webseiten, sondern auch Verbindungen zu Personen, die einer Interessengruppe zugehören, Rückschlüsse über Ihre Interessen zulassen und Sie somit für Betrugsversuche anfällig scheinen lassen.

• Sie haben es nicht auf konkrete Einzelpersonen abgesehen, sondern verschicken die Nachrichten an Millionen von Kontakten.

Ihre Kontaktdaten haben die Betrüger entweder von Ihrer Webseite oder der Webseite des Unternehmens, bei dem Sie arbeiten, aus sozialen Netzwerken, von nicht-vertrauenswürdigen Webseiten, bei denen Sie diese angegeben haben, oder auch von einer vertrauenswürdigen Webseite, die gehackt wurde.

Es ist für beide Strategien egal wie alt Sie sind, welche Position Sie im Unternehmen haben und welches Einkommen oder Vermögen Sie haben. Betrug um kleine Beträge, dafür aber in der Masse, sind auch ein äußerst lukratives Geschäft.

9


Betrüger verschicken Nachrichten mehrfach und zu beliebigen Zeitpunkten,

• da das Erstellen und Verschicken von betrügerischen Nachrichten sehr einfach, ohne tiefgehendes technisches Wissen und ohne großen zeitlichen Aufwand möglich ist. Sie nutzen dabei z.B. Tools, die frei im Internet verfügbar sind.

• da sich so die Wahrscheinlichkeit erhöht, dass Sie zu einem der gewählten Zeitpunkte eine Nachricht des (vermeintlichen) Absenders für möglich halten oder gar erwarten (weil Sie z.B. gerade bei Amazon etwas bestellt haben).

Durch dieses Vorgehen steigt die zu erwartende Ausbeute der Betrüger.

Die Gefahren des Informationsmissbrauchs können nicht nur ausschließlich Sie betreffen, sondern gerade auch Ihr nahes Umfeld, z.B. Kollegen, Vorgesetzte, Familie und Freunde.

10


Betrüger nutzen verschiedene Dienste, um Ihnen Nachrichten zu schicken. Hierzu gehören z.B.:

• E-Mail

• Messenger wie Skype und WhatsApp, Instagram und Snapchat

• soziale und berufliche Netzwerke wie Facebook, Google+, XING und LinkedIn

• SMS, MMS

11


Betrüger richten ihre Strategien darauf aus, verfügbare und von Ihnen und / oder Ihrem Unternehmen eingesetzte technische Schutzmaßnahmen wie z.B. Spam-Filter, Virenscanner und Firewalls zu umgehen. Daher sind technische Schutzmaßnahmen leider nicht immer gut genug, um alle betrügerischen Nachrichten unmittelbar als solche zu erkennen.

Die Strategien der Betrüger sind den technischen Schutzmaßnahmen häufig einen Schritt voraus, da technische Schutzmaßnahmen aufwendig entwickelt und getestet werden müssen.

Die verschiedenen technischen Schutzmaßnahmen reduzieren die Risiken, die mit betrügerischen Nachrichten einhergehen, können Sie und / oder Ihr Unternehmen jedoch nicht vollständig schützen. Daher ist es sehr wichtig, dass jeder – auch Sie – solche betrügerische Nachrichten erkennen kann.

12


Nachdem Sie nun das Vorgehen der Internetbetrüger sowie die daraus entstehenden Konsequenzen kennen gelernt haben, erklären wir Ihnen in den folgenden drei Modulen, wie Sie zwischen betrügerischen und nicht betrügerischen Nachrichten unterscheiden können.

Eine wichtige Information vorweg: Nachrichten, die Sie als betrügerische Nachrichten haben, sollten Sie direkt löschen.

13


Welche Nachricht ist die gefährliche Nachricht?

Im Folgenden lernen Sie, diese und andere Nachrichten zu beurteilen.

14


Aufbau 1. Allgemeine Anleitung zur Erkennung von unplausiblen

Nachrichten2. Beispiele3. Strategie der Betrüger, die die Erkennung erschweren4. Weitere Beispiele

15


Allgemeine Anleitung zur Erkennung von unplausiblen Nachrichten:

Prüfen Sie Absender und Inhalt jeder empfangenen Nachricht auf Plausibilität.

16


Zur Bewertung der Plausibilität des Absenders und des Inhaltes einer Nachricht überprüfen Sie u.a. folgende Aspekte:• Passt die Information über den (vermeintlichen) Absender zum Inhalt der Nachricht? (Z.B. eine E-Mail, die vorgibt

von Amazon zu sein aber als Absender beispielsweise [email protected] verwendet.) Die Absenderinformationen können unterschiedlich dargestellt werden. Bei der E-Mail ist eigentlich die E-Mail-Adresse die relevante Information. Immer häufiger zeigen Programme und Dienste jedoch nur noch den (vermeintlichen) Namen des Absenders an. In diesem Fall kann z.B. das Führen des Mauszeigers über den Namen oder das Klicken des Namens helfen, die (vermeintliche) E-Mail-Adresse des Absenders zu sehen. Bei anderen Diensten gibt es keine E-Mail-Adresse. Dort wird der (vermeintliche) Name des Absenders angezeigt.

• Kennen Sie den (vermeintlichen) Absender? • Wenn der (vermeintliche) Absender ein Anbieter ist, haben Sie dort überhaupt ein Nutzerkonto?• Sprechen Sie die Sprache, in der die Nachricht verfasst ist?• Entspricht des Design der Nachricht dem Design früher Nachrichten des (vermeintlichen) Absenders?• Passt der Inhalt der Nachricht zum (vermeintlichen) Absender? Beinhaltet sie den üblichen Stil, die übliche Sprache,

die übliche Anrede, das übliche Thema? • Enthält die Nachricht ein Versprechen (z.B. hoher Gewinn), die Androhung einer Strafe oder eine tragische

Information? Ist das eine Information, die heutzutage elektronisch versendet würde?• Enthält die Nachricht eine Aufforderung auf diese unter Angabe von sensiblen Daten zu antworten (oft unter

Angabe von fadenscheinigen Gründen)?• Enthält die Nachrichten einen Aufruf, der Ihnen finanziell schaden könnte, wenn Sie ihm nachgehen (Anruf oder

Überweisung)?

17

mailto:[email protected]


Hinweise für die folgenden Beispiele: Um die Plausibilitätsprüfung für empfangene Nachrichten zu üben, sind im Folgenden Beispiele mit Nachrichten in unterschiedlichen Kontexten dargestellt. Wohl wissend, dass Sie nicht alle Absender, Diensteanbieter, Betriebssysteme und Programme kennen bzw. nutzen, stellen wir empfangene Nachrichten für verschiedenste Absender, Diensteanbieter, Betriebssysteme und Programme dar. Hintergrund dafür ist, dass wir Ihnen so eine solide Entscheidungsgrundlage unter zahlreichen Bedingungen bieten möchten.• Um die Absender, Diensteanbieter, Betriebssysteme und Programme, zu denen Sie in der Realität keinen Bezug

haben, nicht direkt für unplausibel zu erklären, gehen Sie im Folgenden bitte davon aus, dass...• Sie Martin Müller sind. Ihre E-Mail Adresse ist [email protected]• Sie sprechen die Sprachen Deutsch und Englisch.• Wolfgang Lange Ihr Vorgesetzter ist. Seine E-Mail Adresse ist [email protected]. • Jonas Schmidt Ihr Arbeitskollege ist. Seine E-Mail Adresse ist [email protected].• Sie alle Dienste nutzen, ausgenommen Vodafone Deutschland. Bei Vodafone Deutschland verfügen Sie über kein

Nutzerkonto.• Sie verschiedene Betriebssysteme (z.B. Microsoft Windows, Apple OSX, Google Android, Apple iOS) und Programme

(Skype, Thunderbird, Chrome, Outlook, Apple Mail, Google Mail, WhatsApp) nutzen.Bedenken Sie, dass das Entdecken betrügerischer Nachrichten in der Praxis eventuell einfacher für Sie ist, da Sie z.B. frühere Nachrichten eines Anbieters direkt aufrufen können und so einen Vergleich zu der fraglichen Nachricht haben. Bedenken Sie auch, dass web.de Adressen hier verwendet werden, da diese sehr verbreitet sind. Im Unternehmenskontext wären dies unternehmensspezifische Adressen.

18





Beispiel für eine betrügerische Nachricht, die Sie mittels Plausibilitätsprüfung erkennen können:

Erklärung: Inhalt passt nicht zum Absender (Chef)

19


Weiteres Beispiel für eine betrügerische Nachricht, die Sie mittels Plausibilitätsprüfung erkennen können:

Erklärung: Absender fordert Sie auf ihm sensible Daten zu schicken

20



Erklärung: Sprache enthält unüblich viele Grammatik- und Rechtschreibfehler / vermeintlicher Absender (happyclients) passt nicht zum Inhalt

21



Erklärung: Nachricht eines (vermeintlichen) Absenders, bei dem Sie gar kein Nutzerkonto haben

22



Erklärung: Design der Nachricht entspricht nicht dem Design früherer Mein-Paketservice Nachrichten

23



Erklärung: Sprache, die dem Empfänger nicht bekannt ist

24



Erklärung: Sprache enthält unüblich viele Grammatik- und Rechtschreibfehler

25



Erklärung: Sprache enthält unüblich viele Grammatik- und Rechtschreibfehler / Absender passt nicht zum Inhalt / hoher Gewinn

26



Erklärung: Absender fordert Sie auf ihm sensible Daten zu schicken

27



Erklärung: Absender passt nicht zum Inhalt der Nachricht

28


Strategie der Betrüger, mit der sie Ihnen die Plausibilitätsprüfung erschweren

Die Durchführung der Plausibilitätsprüfung wird in einigen betrügerischen Nachrichten dadurch erschwert, dass Betrüger Sie unter Zeitdruck setzen, um Sie so zu der gewünschten Handlung (z.B. das Klicken auf einen gefährlichen Link) zu verleiten. Es werden harte Fristen gesetzt, bis zu denen reagiert werden muss.

29


Beispiel für eine Strategie mit der Betrüger Ihnen die Plausibilitätsprüfung erschweren:

Erklärung: Absender fordert Sie auf ihm sensible Daten zu schicken / Zeitdruck

30


Beispiel für eine Strategie mit der Betrüger Ihnen die Plausibilitätsprüfung erschweren:

Erklärung: Nachricht verspricht ein (ungewöhnlich) großes Geschenk / Zeitdruck

31


Übung: Scheint Ihnen die folgende Nachricht plausibel?

32


Fake: Der Inhalt passt nicht zum (vermeintlichen) Absender + Großer Gewinn

33



34


Plausibel: WebWhatsapp Nachricht eines Kollegen, der Ihnen den Link zu einem Google Dokument schickt.

35



36


Plausibel: Kollege, der Sie zur Terminfindung für die Geburtstagsfeier des Chefs einlädt

37



38


Unplausibel: Die Nachricht verspricht einen hohen Gewinn und fordert auf sensible Daten preiszugeben

39



40


Unplausibel: Nachricht enthält “tragische” Information und fordert Sie auf sensible Daten preiszugeben

41



42


Plausibel: Nachricht eines Kollegen, der Ihnen den Treffpunkt mitteilt.

43



44


Plausibel: Nachricht von eBay, die Ihnen Einzelheiten zum Einkauf auflistet.

45



46


Plausibel: securepay24 Rechnung mit Link

47



48


Unplausibel: Design ist nicht wie frühere Nachrichten, verschiedene Sprachen, Absender (E-Mail Adresse) passt nicht zum Inhalt.

49



50


Unplausibel: Absender (E-Mail Adresse) passt nicht zum Inhalt der Nachricht.

51


Am Ende dieses zweiten Moduls ist der Unterschied nun sicher klar.

52


Welche Nachricht ist die betrügerische Nachricht?

Im Folgenden lernen Sie diese und andere Nachrichten zu beurteilen.

53


Aufbau 1. Anleitung 1 zur Erkennung von gefährlichen Links2. Anleitung 2 zur Erkennung von gefährlichen Links3. Anleitung 3 zur Erkennung von gefährlichen Links4. Anleitung 4 zur Erkennung von gefährlichen Links

Alle vier Abschnitte sind in folgende Bereiche unterteilta. Erklärung der Anleitung b. Beispielec. Strategie der Betrüger, die die Erkennung erschwerend. Weitere Beispiele

5. Weiterführende Informationen

54


Anleitung 1 zur Erkennung von gefährlichen Links

Wenn Absender und Inhalt einer Nachricht plausibel erscheinen (u.a. weil Sie dort ein Nutzerkonto haben) und die Nachricht einen Link enthält, dann finden Sie heraus, welche Webadresse tatsächlich hinter einem Link steckt.

55


Die Information, welche Webadresse hinter einem Link steckt, ist je nach Gerät, Software und Dienst (z.B. Skype, WhatsApp, Facebook, Google+, Xing, LinkedIn) an unterschiedlichen Stellen zu finden. Sie sollten sich also vor der Nutzung eines Geräts, einer Software bzw. eines Dienstes damit vertraut machen, wo die Webadresse eines Links zu finden ist.

An Desktop-Geräten (PCs und Laptops) erscheint die Webadresse in der Regel, wenn Sie mit der Maus den Link berühren (ohne darauf zu klicken) entweder in der Statusleiste oder in einem Infofeld (auch Tooltip genannt). Die Statusleiste begegnet Ihnen vor allem bei Webbrowsern (z.B. Firefox, Chrome, Safari) und bei Thunderbird. Dort befindet sie sich in der unteren linken Ecke. Das Infofeld begegnet Ihnen z.B. bei Apple Mail und Outlook.

An mobilen Geräten (Smartphones und Tablets) hängt das Vorgehen zum Identifizieren der Webadresse, die hinter einem Link steckt, stark vom Gerät ab. Meist ist es so, dass Sie für etwa 2 Sekunden leicht auf den Link drücken, ihn dabei jedoch nicht klicken.

In Ausnahmefällen kann es sein, dass die Webadresse gar nicht angezeigt wird. Bei dem Webbrowser Safari müssen Sie z.B. die Anzeige der Statusleiste in den Darstellungseinstellungen aktivieren. Bei verschiedenen Applikationen auf mobilen Endgeräten, z.B. Facebook Messenger in iOS, entspricht die anzeigte Webadresse dem tatsächlichen Ziel des Links. Sollten Sie unsicher sein, wo die tatsächliche Webadresse hinter einem Link zu finden ist, müssen Sie sich vorab informieren, wie Sie die tatsächliche Webadresse hinter einem Link identifizieren können (z.B. idem Sie selbst eine Nachricht mit einem Link erzeugen und sich diese schicken).

56


Beispiele für Nachrichten in verschiedenen Programmen und Diensten:

Tatsächliche Webadresse in der Statusleiste (verwendete Programme und Dienste: Thunderbird)

57



Tatsächliche Webadresse im Infofeld (verwendete Programme und Dienste: Outlook)

58



Tatsächliche Webadresse im Infofeld (verwendete Programme und Dienste: Apple Mail)

59



Tatsächliche Webadresse im Dialogfeld (verwendete Programme und Dienste: iPhone, Apple Mail)

60



Tatsächliche Webadresse im Dialogfeld (verwendete Programme und Dienste: Samsung Galaxy, Google Mail).

61



Tatsächliche Webadresse in der Statusleiste (verwendete Programme und Dienste: Google Chrome/Google Webmail/Inbox)

62



Tatsächliche Webadresse im Infofeld (verwendete Programme und Dienste: Apple Mail)

63


Strategie der Betrüger, mit der sie Ihnen das Finden der Webadresse erschweren

Die Überprüfung der Webadresse wird in einigen betrügerischen Nachrichten dadurch erschwert, dass ein Link in einer Nachricht als vorgetäuschte Webadresse abgebildet wird. Die Webadresse im Text stimmt hierbei nicht mit der Webadresse überein, die man aufruft, wenn man auf den Link (in den Beispielen Screenshots einer Webadresse im Text) klickt.

64


Beispiel für eine Strategie, mit der Betrüger Ihnen das Finden der Webadresse erschweren

65



66


Weitere Strategie der Betrüger, mit der sie Ihnen das Finden der Webadresse erschweren

Die Überprüfung der Webadresse wird außerdem in einigen betrügerischen Nachrichten dadurch erschwert, dass die Nachricht so programmiert ist, dass sich ein Infofeld neben dem Link öffnet, wenn dieser mit der Maus berührt wird. Dieses Infofeld enthält eine Webadresse. Allerdings stimmt diese nicht mit der Webadresse überein, die hinter dem Link steckt. Einem Infofeld ist nur dann zu vertrauen, wenn es keine Anzeige in einer Statusleiste gibt (z.B. bei Skype und Outlook). Besondere Vorsicht ist geboten, wenn es eine Statusleiste gibt, diese aber deaktiviert ist (z.B. Safari). Daher sollte die Statusleiste immer aktiviert sein, falls dies möglich ist.

67



68


Übung: Finden Sie die Webadresse des Links in den folgenden Screenshots

69


Auflösung:

70



71


Auflösung:

72



73


Auflösung:

74



75


Auflösung:

76



77


Auflösung:

78



Wenn Sie die Webadresse hinter dem Link gefunden haben, identifizieren Sie als nächstes den sogenannten Wer-

Bereich in der Webadresse.

79


Anhand des Wer-Bereiches erkennen Sie, ob die Webadresse zu Servern von Betrügern führt (es sich also um betrügerische Nachrichten handelt). Um den Wer-Bereich zu erkennen, ist es wichtig zu wissen, dass die Webadresse in einzelne Blöcke unterteilt werden kann. Die Blöcke werden durch einen Punkt “.” oder einen Schrägstrich “/” voneinander getrennt. Der Wer-Bereich entspricht im technischen Sinne der Domain inklusive der Top-Level-Domain und zeigt an, wer hinter der Webadresse steckt. Die beiden Blöcke links von dem dritten Schrägstrich “/” bilden den Wer-Bereich.

Wenn eine Webadresse nur zwei Schrägstriche “/” beinhaltet, dann bilden die beiden letzten Blöcke den Wer-Bereich.

Der Wer-Bereich jeder Webadresse muss bei einer zentralen Stelle registriert werden. Bereits registrierte Wer-Bereiche können kein zweites Mal registriert werden. Nur wer den Wer-Bereich registriert hat, kann Webadressen mit diesem Wer-Bereich konstruieren. Endet die Webadresse mit einem Doppelpunkt (:) und einer Zahl, so handelt es sich bei dieser Zahl um den konkreten Eingang der Webadresse (Port). Dementsprechend sind die beiden letzten Blöcke vor dem Doppelpunkt der Wer-Bereich der Webadresse.

80


In den folgenden Beispiel-Webadressen ist der Wer-Bereich zur Veranschaulichung jeweils grün hervorgehoben:

• http://www.tumblr.com/policy/en/terms_of_service

• https://boerse.ard.de/index.html/112.332

• http://mobile.login.amazon.de/

• https://www.tagesschau.de

• http://flickr.com

81


Strategie der Betrüger, mit der sie Ihnen das Finden des Wer-Bereichs erschweren

Das Finden des Wer-Bereichs wird in einigen betrügerischen Nachrichten dadurch erschwert, dass Betrüger den Wer-Bereich eines bekannten und vertrauten Anbieters (z.B. amazon.com) verwenden, diesen jedoch an eine andere Stelle ihrer Webadresse setzen, also z.B. links der beiden letzten Blöcke vor dem dritten Schrägstrich oder hinter dem dritten Schrägstrich.

82


Beispiele für eine Strategie, mit der Betrüger Ihnen das Finden des Wer-Bereichs erschweren:

• http://amazon.de.sdwasere.cc

• http://www.gmx.de.login.ein-loggen.de/mail-account.html

• http://sdwas.de/www.facebook.com/login

• http://wasere.cc/https://www.amazon.de

83


Weitere Strategie der Betrüger, mit der sie Ihnen das Finden des Wer-Bereichs erschweren

Das Finden des Wer-Bereichs wird darüber hinaus dadurch erschwert, dass Betrüger https verwenden, um Ihnen ein falsches Gefühl der Sicherheit zu vermitteln. https-Verbindungen garantieren, dass die Daten, die nach dem Klicken zu Ihrem Rechner übertragen werden (und ggf. zurück geschickt werden), verschlüsselt sind, also nicht durch Dritte mitgelesen und verändert werden können. Sie sind somit ein zentrales Sicherheitsmerkmal z.B. bei Shopping- und Banking-Webseiten. Das Vertrauen in dieses Sicherheitsmerkmal wird von Betrügern jedoch häufig eingesetzt, damit Sie eher auf den gefährlichen Link klicken. Sie vermitteln dem Nutzer damit bewusst eine falsche Sicherheit, da das Sicherheitsmerkmal lediglich etwas über die Verbindung aussagt, nicht jedoch über die Vertrauenswürdigkeit des Servers.

84


Beispiele für eine Strategie, mit der Betrüger Ihnen das Finden des Wer-Bereichs erschweren

• https://www.ein-zwei-kauf-mich.de

• https://amazon.de.wasere.cc

• https://www.sdwas.cc/https://www.amazon.de

85


Übung: Bei welcher Organisation / Firma landen Sie durch das Klicken der folgenden fiktiven Webadressen?

http://www.nachrichten.spiegel.de

http://www.computer.chip.de/testberichte

http://www.suche.bild.de/bildersuche

http://www.amazon.com.google.com/shopping

http://account.twitter.com/paypal.com

http://www.msn.de.gutefrage.de/wetter.com

https://www.billing.netflix.com/overview

https://account.linkedin.com/personal

https://finanzen.postbank.de/konto

86


Auflösung:

http://www.nachrichten.spiegel.de Spiegel

http://www.computer.chip.de/testberichte Chip

http://www.suche.bild.de/bildersuche Bild

http://www.amazon.com.google.com/shopping Google

http://account.twitter.com/paypal.com Twitter

http://www.msn.de.gutefrage.de/wetter.com Gutefrage

https://www.billing.netflix.com/overview Netflix

https://account.linkedin.com/personal LinkedIn

https://finanzen.postbank.de/konto Postbank

87



Wenn Sie den Wer-Bereich in der Webadresse identifiziert haben, prüfen Sie, ob der Wer-Bereich einen Bezug zu dem

(vermeintlichen) Absender und / oder dem Inhalt der Nachricht hat.

88


Hat der Wer-Bereich einer Webadresse innerhalb eines empfangenen Links in einer Nachricht keinen Bezug zu dem (vermeintlichen) Absender und / oder dem Inhalt der Nachricht, so ist es wahrscheinlich gefährlich, auf den Link zu klicken.

Dies ist oft der Fall, denn Betrüger registrieren einen Wer-Bereich und setzen diesen in verschiedenen Kontexten (verschiedene imitierte Absender) ein. Somit sparen Betrüger finanzielle Ressourcen und umgehen das Risiko durch zahlreiche Registrierungen aufzufallen.

89


Beispiele für unplausible Wer-Bereiche:

Wenn Sie z.B. eine Nachricht bekommen, die potentiell von Amazon kommt und Sie einen der folgenden Wer-Bereiche vorfinden,

• qasxsawea.de

• ys123.cc

dann können Sie davon ausgehen, dass dieser Link Sie sehr wahrscheinlich nicht zu einem Server von Amazon führt, also das Klicken des Links gefährlich ist.

Es könnte auch sein, dass zwei Zahlen im Wer-Bereich auftauchen (rechts und links des Punktes). Dies ist immer dann der Fall, wenn eine IP Adresse (z.B. 192.168.11.22) verwendet wird. Sie können davon ausgehen, dass vertrauenswürdige Anbieter in ihren Nachrichten keine IP-Adresse verwenden.

Wenn Sie z.B. eine Nachricht bekommen, die potentiell von Amazon kommt, und Sie 11.22 als Wer-Bereich vorfinden, dann können Sie davon ausgehen, dass dieser Link Sie sehr wahrscheinlich nicht zu einem Server von Amazon führt, also das Klicken des Links gefährlich ist.

90


Strategie der Betrüger, mit der sie Ihnen die Plausibilitätsprüfung des Wer-Bereichs erschweren

Betrüger benutzen häufig vertrauenerweckende Begriffe (z.B. sicher, secure, trust, vertrauen), um einen nicht vertrauenswürdigen Wer-Bereich zu verschleiern.

91


Beispiele für eine Strategie, mit der Betrüger Ihnen die Plausibilitätsprüfung des Wer-Bereichs erschweren

Wenn Sie z.B. eine Nachricht erhalten, die potentiell von Amazon kommt und Sie einen der folgenden Wer-Bereiche vorfinden,

• sicher-einloggen.de

• vertrauensvoll-einkaufen.cc

• sicheres-online-banking.de

• secure-banking.org

dann können Sie davon ausgehen, dass dieser Link Sie sehr wahrscheinlich nicht zu einem Server von Amazon führt, also das Klicken des Links gefährlich ist.

92


Weitere Strategie der Betrüger, mit der sie Ihnen die Plausibilitätsprüfung des Wer-Bereichs erschweren

Die Überprüfung des Wer-Bereiches wird in einigen Fällen dadurch erschwert, dass Betrüger einen Wer-Bereich nutzen, der sich vom Wer-Bereich eines Ihnen bekannten und vertrauten Anbieters nur minimal unterscheidet. Sie verwenden z.B. Wer-Bereiche mit ähnlichen Zeichen bzw. Zeichenfolgen wie im Wer-Bereich des bekannten und vertrauten Anbieters.

Wer-Bereiche können Kleinbuchstaben, Zahlen sowie Bindestriche (-) beinhalten. Großbuchstaben werden bei der Anzeige der Webadresse in der Statusleiste bzw. im Infofeld automatisch in Kleinbuchstaben umgewandelt. Wenn dort in der Webadresse also z.B. 0tto.de im Wer-Bereich steht, dann muss das erste Zeichen eine Null sein und deutet folglich auf einen Betrugsversuch hin.

Da keine Sonderzeichen verwendet werden können, verwenden Anbieter wie 1&1 den Wer-Bereich 1und1.de. Da keine Leerzeichen verwendet werden dürfen, verwendet die TU Darmstadt den Wer-Bereich tu-darmstadt.de. Andere Anbieter verzichten auf den Bindestrich, wie etwa der Anbieter Google Mail, dem der Wer-Bereich googlemail.com gehört.

93



Wenn Sie z.B. eine Nachricht bekommen, in der Sie einen der folgenden Wer-Bereiche vorfinden,

• 1inkedin.com statt linkedin.com

• tvvitter.com statt twitter.com

• paypa1.com statt paypal.com

• media-rnarkt.de statt media-markt.de

• eurovvings.de statt eurowings.de

• sparkasse-duesselclorf.de statt sparkasse-duesseldorf.de

dann können Sie davon ausgehen, dass diese Links Sie sehr wahrscheinlich nicht zu den jeweils echten Servern führen, also das Klicken dieser Links gefährlich ist.

94


Weitere Strategie der Betrüger, mit der sie Ihnen die Plausibilitätsprüfung des Wer-Bereichs erschweren

Der Wer-Bereich wird teilweise von Betrügern auf eine weitere Art und Weise minimal verändert. Betrüger verwenden Wer-Bereiche, bei denen kleine Tippfehler “eingebaut” sind. Zum Beispiel werden bestimmte Zeichen innerhalb des Wer-Bereichs verdreht. Besonders kritisch sind englische Namen (aus google wird dann schnell googel, wie es im deutschen quasi auch gesprochen wird).

Solche Betrugsversuche sind nicht leicht zu erkennen, da gut gemachte und plausible Nachrichte nur durch ein kleines Detail im Wer-Bereich von legitimen Nachrichten zu unterscheiden sind. Ihr Gehirn spielt Ihnen da schnell einen Streich: Das Gesehene wird vom Gehirn schnell zu dem richtigen Wer-Bereich korrigiert.Dies veranschaulicht folgender Text:

“Es ist veil schrewer, üebr scih seblst zu rihcten, als üebr adnere zu utleiren. Wnen du es schffast, seblst üebr dcih greecht zu wedren, dnan bsit du ein warher Weiesr.”

95



Wenn Sie z.B. eine Nachricht bekommen, in der Sie einen der folgenden Wer-Bereiche sehen,

• sprakasse.de statt sparkasse.de

• paketsrevice.de statt paketservice.de

• microsfot.de statt microsoft.de

• ab-in-dne-urlaub.de statt ab-in-den-urlaub.de

• lufthanser.com statt lufthansa.com

• watsapp.de statt whatsapp.de

• zallando.de statt zalando.de

… dann ist das Klicken dieser Links wahrscheinlich gefährlich.

96


Übung: Sind die Wer-Bereiche in den folgenden fiktiven Webadressen plausibel? Sie erhalten eine Nachricht von:

• der Postbank: http://www.banking.postbank.de/account

• LinkedIn: https://register.herose.com/new

• 1&1: http://rechnungsstelle.1und1.de/juni2016

• Deezer: http://deezer.com.uhrpav.com/bestmusic

• Apple: http://www.apple.com/de/iphone-6s/

• Mobile: http://www.mobile.de/kaufberatung

97


Auflösung:

• der Postbank: http://www.banking.postbank.de/account

• LinkedIn: https://register.herose.com/new

• 1&1: http://rechnungsstelle.1und1.de/juni2016

• Deezer: http://deezer.com.uhrpav.com/bestmusic

• Apple: http://www.apple.com/de/iphone-6s/

• Mobile: http://www.mobile.de/kaufberatung

98



• Autoscout24: http://www.autoscout24.sicher-autos-kaufen.de/angebot31231

• T-Online: http://tarife-und-produkte.t-online.de/internet-telefonie-telekom-tarife-mit-dsl-und-telefon-flatrate

• eBay: http://www.sicheres-shoppen24.de/ebay.de/einkaufen/3234532

• Twitter: https://twitter.com/i/streams/category/691541837954183168

• Google: http://login.goog1e.com/myaccount

• Arbeitsagentur: http://www.jobsuche24.arbeitasgentur.de/überblick

99


Auflösung:

• Autoscout24: http://www.autoscout24.sicher-autos-kaufen.de/angebot31231

• T-Online: http://tarife-und-produkte.t-online.de/internet-telefonie-telekom-tarife-mit-dsl-und-telefon-flatrate

• eBay: http://www.sicheres-shoppen24.de/ebay.de/einkaufen/3234532

• Twitter: https://twitter.com/i/streams/category/691541837954183168

• Google: http://login.goog1e.com/myaccount

• Arbeitsagentur: http://www.jobsuche24.arbeitasgentur.de/überblick

100



• idealo: http://flug.idealo.de/ergebnis/FXUUK

• Xing: http://www.auroru.ru/www.xing.de

• Chefkoch: http://www.chefkoch.de/rezepte/2171711348552247/Hajos-Mojito.html

• wetteronline: http://www.morgen.wetternoline.de/PLZ=64289/download

• Leo: http://dict.leo.org/esde/index_de.html#/search=Hallo&searchLoc=0&resultOrder=basic

• Stackoverflow: http://www.stackoverflovv.com/discussion32121

101


Auflösung:

• idealo: http://flug.idealo.de/ergebnis/FXUUK

• Xing: http://www.auroru.ru/www.xing.de

• Chefkoch: http://www.chefkoch.de/rezepte/2171711348552247/Hajos-Mojito.html

• wetteronline: http://www.morgen.wetternoline.de/PLZ=64289/download

• Leo: http://dict.leo.org/esde/index_de.html#/search=Hallo&searchLoc=0&resultOrder=basic

• Stackoverflow: http://www.stackoverflovv.com/discussion32121

102


Mit den Anleitungen, die Sie bisher erhalten haben, erkennen Sie bereits viele der betrügerischen Nachrichten. Als Nächstes geht es um Nachrichten, die plausibel erscheinen und bei denen der Wer-Bereich schwierig zu beurteilen ist.

Zum Beispiel könnten folgende Wer-Bereiche im Kontext von Amazon in Webadressen in Nachrichten entdeckt werden: amazon-bestellen.de, amazononline.de, amazon.at oder amazon.dj.

Bei amazon-bestellen.de und amazon.dj ist das Klicken wahrscheinlich gefährlich, da diese Wer-Bereiche nicht Amazon gehören. Dagegen ist das Klicken bei amazononline.de und amazon.at ungefährlich, da diese Wer-Bereiche Amazon gehören. Das heißt, nur weil der Wer-Bereich nicht dem entspricht, den Sie kennen und erwarten würden, muss es sich nicht um eine betrügerische Nachricht handeln.

Dieses Problem entsteht, da Anbieter durchaus mit verschiedenen Wer-Bereichen aktiv sein können und Sie nicht alle gültigen Wer-Bereiche kennen, geschweige denn sie sich merken können.

Diese Tatsache nutzen Betrüger aus.

103



Wenn Sie den Wer-Bereich in der Webadresse identifiziert haben, Sie den Wer-Bereich aber nicht eindeutig beurteilen

können, sollten Sie weitere Informationen einholen.

104


Wenn Sie beim Wer-Bereich unsicher sind, bzw. Sie allgemein unsicher sind, dann können folgende Ansätze helfen:

• Besuchen Sie die Webseite durch Eingabe eines Ihnen bekannten Wer-Bereichs des (vermeintlichen) Anbieters in der Adressleiste des Webbrowsers. Schauen Sie, ob Sie die entsprechenden Informationen auch auf der Webseite finden.

• Suchen Sie nach dem Wer-Bereich des Links mit Hilfe einer Suchmaschine, z.B. Google. Erscheint der gesuchte Wer-Bereich unter den ersten zehn Suchergebnissen, so deutet dieses auf einen nicht gefährlichen Link hin.

• Überprüfen Sie, ob Webadressen in früheren Nachrichten des Anbieters denselben Wer-Bereich enthalten.

• Kontaktieren Sie den Anbieter bzw. die Person über die Ihnen vorher bekannten Kontaktmöglichkeiten. Insbesondere bei Ihnen bekannten Anbietern ist es wichtig, diese über Kontaktdaten zu kontaktieren, die Sie nicht direkt der möglicherweise betrügerischen Nachricht entnehmen.

• Besprechen Sie das weitere Vorgehen mit der IT-Abteilung bzw. den IT-Verantwortlichen / IT-Experten Ihres Unternehmens oder fragen Sie bei einer Verbraucherschutzzentrale nach.

105


Betrüger verwenden verschiedene Strategien, den Wer-Bereich durch Ergänzungen zu verändern.

Kennen Sie diese Strategien, können Sie entscheiden, in welchen Situationen Sie die obigen Ansätze anwenden sollten:

• Betrüger verändern den Wer-Bereich links des Punktes (also z.B. bei gmail.com wird gmail verändert) dahin gehend, dass Bindestriche eingefügt oder entfernt werden. Zum Beispiel würden Sie dann einen der folgenden Wer-Bereiche sehen:

• g-mail.com statt gmail.com.• google-mail.com statt googlemail.com.

• Eine weitere Strategie ist es, den Wer-Bereich links des Punktes dahin gehend zu verändern, dass neue Wörter hinzugefügt werden, insbesondere auch Vertrauen erweckende Begriffe. Zum Beispiel würden Sie einen der folgenden Wer-Bereiche sehen:

• amazon-sicher.de statt amazon.de• ebay-kaufen.de statt ebay.de

• Darüber hinaus verändern Betrüger den Wer-Bereich rechts des Punktes (also z.B. bei gmail.com wird com verändert). Zum Beispiel würden Sie dann einen der folgenden Wer-Bereiche sehen:

• gmail.cc statt gmail.com.• googlemail.jp statt googlemail.com.

106


Sind die Webadresse der dieser Nachrichten im Folgenden gefährlich?

• Whatsapp: http://www.whatsapp-messenger.com/registration

• Deutsche Bahn: http://shopping.deutschebahn.de/ferienangebote2016

• Ab in den Urlaub: http://www.ab-indenurlaub.de/reisebuchen/2314123

• Ebay: http://sichereinloggen.ebay-kleinanzeigen.de/angebote/übersicht

107


Auflösung:

• Whatsapp: http://www.whatsapp-messenger.com/registration Statt: Whatsapp.com

• Deutschen Bahn: http://shopping.deutschebahn.de/ferienangebote2016 Korrekt

• Ab in den Urlaub: http://www.ab-indenurlaub.de/reisebuchen/2314123 Statt: Ab-in-den-urlaub.de

• Ebay: http://sichereinloggen.ebay-kleinanzeigen.de/angebote/übersicht Korrekt

108


Weiterführende Informationen für alle, die noch mehr wissen möchten

Wir möchten Ihnen noch einige praktische Informationen mitgeben, die Ihnen den Umgang mit potentiell betrügerischen Nachrichten, die Links enthalten, erleichtern können.

• Einige Länder verwenden länderspezifische Second-Level-Domains (ccSLD). Bei derartigen länderspezifischen Second-Level-Domains besteht der Wer-Bereich nicht nur aus 2 Blöcken (durch einen Punkt voneinander getrennt), sondern aus drei Blöcken. Großbritannien hat z.B. die Endung .uk, verwendet aber als Second-Level-Domain für kommerzielle Anbieter die erweiterte Endung .co.uk, wobei co für commercial steht. Österreich hat z.B. die Endung .at, verwendet aber als Second-Level-Domain für akademische Einrichtungen .ac.at, für Regierungseinrichtungen .gv.at, für kommerzielle Anbieter .co.at und für Organisationen im Allgemeinen .or.at. In diesen speziellen Fällen besteht also der Wer-Bereich aus den letzten drei Blöcken. Für weitere Informationen siehe: https://en.wikipedia.org/wiki/Second-level_domain.

• Das, was Sie hier gelernt haben, können Sie auch in anderen Kontexten nutzen: Nicht nur in Nachrichten verstecken sich gefährliche Links, sondern auch auf Webseiten (im Text und hinter Bildern), QR Codes, oder NFC-Tags.

109



• Im Umgang mit Webadressen können Sie auf weitere Sonderfälle stoßen, welche die Erkennung bösartiger Ziele erschweren. Kurzlinks (auch Tiny-URL genannt) erleichtern das Merken und Eintippen von Webadressen, verschleiern jedoch das echte Ziel des Links. So führt z.B. http://tinyurl.com/hdb8j3c zu der Webseite https://www.secuso.informatik.tu-darmstadt.de/en/secuso-home/. Ein Dienst, der die echten Webadressen von Kurzlinks ermittelt, ist z.B.: http://untiny.me/

• Betrüger versuchen Schadsoftware in ihre Accounts bei beliebten Speicherplatzanbietern und Webseitenanbietern, z.B. Dropbox, Google Drive und Blogspot zu laden. Unter dem Deckmantel einer Initiativbewerbung versenden Betrüger anschließend z.B. Links zu der Schadsoftware und behaupten dort ihre Bewerbungsunterlagen platziert zu haben. (Diese seien zu groß, um sie in den Anhang der E-Mail zu packen.) Um derartigen Betrugsversuchen zu begegnen, empfiehlt es sich in diesem Fall den Bewerber zu bitten, Dateien einzeln zu schicken, so dass die Maximalgröße der E-Mails nicht überschritten wird. Analoge Tricks sind denkbar bei anderen Diensten und mit anderen Inhalten (z.B. Bilder von einer Feier). Im Falle von Webseitenanbietern kann es zwar durchaus sein, dass der Anbieter vertrauenswürdig ist, die dort gespeicherten Webseiten oder Dateien der Kunden jedoch potentiell betrügerisch sind.

110



• Verschiedene Anbieter leiten Links über eigene Wer-Bereiche, z.B. GMX und Facebook (am Desktop), so dass der Wer-Bereich der entsprechenden Web-Adresse nichts über das eigentliche Ziel aussagt. Eine solche Webadresse wäre z.B.

https://deref-gmx.net/mail/client/dereferrer/?redirectUrl=http%3A%2F%2Finfo.allyouneed.com

Hier ist der Wer-Bereich deref-gmx.net. Von dort werden Sie dann weitergeleitet auf eine Webadresse mit dem Wer-Bereich allyouneed.com. Dies erschwert aber die Prüfung enorm. Im Fall von GMX oder einem anderen E-Mailanbieter können Sie versuchen, diesen um Rat zu bitten (z.B. nach einer klaren Regel, wie Sie den Wer-Bereich finden können). Sie können auch versuchen auf die Nutzung klassischer E-Mail-Clients (z.B. Thunderbird, Apple Mail, Outlook) umzusteigen. Wenn Sie dieses Problem im beruflichen Kontext haben, sprechen Sie die IT-Abteilung bzw. den IT-Verantwortlichen / IT-Experten Ihres Unternehmens darauf an. Im Fall von Facebook können Sie die Webadresse direkt innerhalb der Nachricht anhand der vorgestellten Anleitung überprüfen. Dies ist möglich, weil Facebook es nicht erlaubt HTML Nachrichten zu verfassen und somit durch Betrüger keine Webadressen hinter Links versteckt werden können.

111



• Obwohl technische Schutzmaßnahmen Ihnen keinen absoluten Schutz vor betrügerischen Nachrichten bieten können, so können diese Maßnahmen sie dennoch unterstützen, derartige Nachrichten teilweise unwirksam und / oder sie leichter erkennbar zu machen.

• Das Thunderbird Add-On TOrPeDO der Forschungsgruppe SECUSO hebt den Wer-Bereich von Links in E-Mails hervor und gibt dem Nutzer einen Hinweis über die Vertrauenswürdigkeit dieses Wer-Bereichs auf Grundlage von Expertenmeinungen und der Nutzerhistorie: https://www.secuso.org/torpedo

• Der privatspährenfreundliche QR-Code-Scanner der Forschungsgruppe SECUSO hebt den Wer-Bereich von Links in QR-Codes hervor und gibt dem Nutzer einen Hinweis über die Vertrauenswürdigkeit dieses Wer-Bereichs auf Grundlage der Nutzerhistorie: https://www.secuso.org/de/secuso/forschung/ergebnisse/privacy-friendly-apps/qr-code-scanner-app/

112

https://www.secuso.org/torpedo

https://www.secuso.org/de/secuso/forschung/ergebnisse/privacy-friendly-apps/qr-code-scanner-app/


Am Ende dieses dritten Moduls ist der Unterschied nun sicher klar.

113


Welche Nachricht ist die gefährliche Nachricht? Im Folgenden lernen Sie, diese und andere Nachrichten zu beurteilen.

114


Aufbau 1. Anleitung 1 zur Erkennung von gefährlichen Anhängen2. Anleitung 2 zur Erkennung von gefährlichen Anhängen3. Anleitung 3 zur Erkennung von gefährlichen Anhängen

Alle drei Abschnitte sind in folgende Bereiche unterteilta. Erklärung der Anleitung b. Beispielec. Strategie der Betrüger, die die Erkennung erschwerend. Weitere Beispiele

4. Weiterführende Informationen

115


Anleitung 1 zur Erkennung von gefährlichen Anhängen

Wenn Absender und Inhalt einer Nachricht plausibel erscheinen und die Nachricht einen Anhang enthält,

identifizieren Sie die Gefährlichkeit des Anhangs.

116


Anhänge in Nachrichten haben in der Regel einen Namen (z.B. rechnung) – vorderer Teil der Anhangsbezeichnung –und ein Format (z.B. pdf) – hinterer Teil der Anhangsbezeichnung – und werden in der Regel separat vom Text der Nachricht geführt.

Das Format des Anhangs gibt Ihnen Aufschluss über die Gefährlichkeit des Anhangs. Haben Sie

• einen direkt ausführbaren Anhang (z.B. Formate .exe, .bat, .com, .cmd, .scr, .pif) oder

• einen Anhang, der möglicherweise Makros ausführen kann (z.B. Microsoft Office Dateien wie z.B. Formate .doc, .docx, .ppt, .pptx, .xls, .xlsx), empfangen,

so ist dieser Anhang zunächst als potentiell gefährlich einzustufen. Ist Ihnen das Format eines Anhangs gänzlich unbekannt, so gehen Sie zunächst von einem potentiell gefährlichen Format aus, d.h. einem Format, das möglicherweise Schadsoftware beinhalten kann.

Einige Dienstanbieter (z.B. Webversion von Gmail) zeigen Ihnen lediglich den Namen, nicht jedoch das Format. Dort kann z.B. das Führen des Mauszeigers über den Anhang helfen den Namen und das Format des Anhangs zu erkennen.

Im Folgenden bezeichnen wir Anhänge, die ein gefährliches Format haben als gefährliche Anhänge.

117


Beispiel für einen Anhang mit gefährlichem Format:

118


Strategie der Betrüger, mit der sie Ihnen das Erkennen potentiell gefährlicher Anhänge erschweren

Betrüger erschweren Ihnen die Erkennung potentiell gefährlicher Anhänge, indem sie die Dateien in zunächst weniger gefährlichen Dateien verpacken. Zum Beispiel komprimieren sie Dateien und weisen ihnen dadurch z.B. die Endung .zip oder .rar zu, oder sie belegen die komprimierten Dateien gar mit einem Zugriffsschutz und lassen Ihnen das Passwort in einer Nachricht zukommen. Das Dekomprimieren kann ausgesprochen gefährlich werden, da bestimmte Dekomprimierungsprogramme den Inhalt direkt nach dem Dekomprimieren ausführen.

119


Beispiel für eine Strategie, mit der Betrüger Ihnen das Erkennen potentiell gefährlicher Anhänge erschweren

120


Weitere Strategie der Betrüger, mit der sie Ihnen das Erkennen potentiell gefährlicher Anhänge erschweren

Betrüger erschweren Ihnen die Erkennung potentiell gefährlicher Anhänge, indem sie Anhängen zwei Endungen geben (z.B. .txt.exe). Somit täuschen sie ihrem potentiellen Opfer vor einen Anhang mit ungefährlichen Format zu senden (im Beispiel eine Textdatei .txt), wobei das eigentliche Format des Anhangs z.B. .exe ist und somit direkt ausführbar ist. In diesem Beispiel wäre folglich das Öffnen des Anhangs wahrscheinlich gefährlich.

121


Beispiel für eine Strategie, mit der Betrüger Ihnen das Erkennen potentiell gefährlicher Anhänge erschweren

122


Übung: Sind die folgenden Anhänge potentiell gefährlich?

• geburtstagsfoto.jpg.bat

• gaeste_feier.txt

• angebot.pdf

• uebersicht2016.pdf.exe

• ausschreibung.rar

• versammlung.txt

123


Auflösung:

• geburtstagsfoto.jpg.bat

• gaeste_feier.txt

• angebot.pdf

• uebersicht2016.pdf.exe

• ausschreibung.rar

• versammlung.txt

124



Wenn der Anhang ein potentiell gefährliches Format hat, prüfen Sie, ob Sie diesen Anhang genau in der Form von

dem Absender erwarten.

125


Manchmal ist das Öffnen eines potentiell gefährlichen Anhangs möglich, da dessen Ungefährlichkeit aufgrund anderer Gegebenheiten als sicher gelten kann.

Zur Überprüfung, ob ein potentiell gefährlicher Anhang geöffnet werden darf, helfen Ihnen folgende Überprüfungen:

• Wurde Ihnen dieser Anhang in dieser Form zuvor von dem Absender persönlich angekündigt?

• Ist die Nachricht digital signiert, so dass die Identität des Absenders als gesichert gelten kann?

Im Zweifelsfall können Ihnen die Empfehlungen der folgenden Folien weiterhelfen.

126



Sollten Sie unsicher sein, ob der Anhang ein potentiell gefährliches Format hat oder ob Sie den Anhang in dieser Form vom Absender erwarten, dann sollten Sie weitere

Informationen einholen bzw. weitere Maßnahmen ergreifen.

127


Wenn Sie bei der Beurteilung von Anhängen unsicher sind, also ob der Anhang potentiell gefährlich ist oder Sie diesen Anhang genau in dieser Form erwarten, dann können folgende Ansätze helfen:

• Kontaktieren Sie den Anbieter bzw. die Person über die Ihnen bekannten Kontaktmöglichkeiten. Insbesondere bei Ihnen bekannten Anbietern ist es wichtig, diese über Kontaktdaten zu kontaktieren, die Sie nicht direkt der Nachricht mit möglicherweise potentiell gefährlichen Inhalten entnehmen. Bitten Sie den Absender zum Beispiel, Ihnen den Anhang in einem anderen Format zu schicken, z.B. als reinen Text (.txt) oder wenn als Text nicht möglich z.B. als PDF. Betrüger, die ihre Nachrichten im großen Stil verschicken, werden sich oftmals nicht die Arbeit machen, ihren Angriff auf ein anderes Format zu übertragen.

• Suchen Sie nach dem Absender und dem Inhalt der Nachricht mit Hilfe einer Suchmaschine, z.B. Google. Bringen die ersten Suchergebnisse diese Nachricht mit Betrug in Verbindung, so sollten Sie den Anhang nicht öffnen.

• Besprechen Sie das weitere Vorgehen mit der IT-Abteilung bzw. den IT-Verantwortlichen / IT-Experten Ihres Unternehmens oder fragen Sie bei einer Verbraucherschutzzentrale nach. Ihre IT-Abteilung bzw. die IT-Verantwortlichen / IT-Experten haben in der Regel die Möglichkeit den empfangenen Anhang manuell auf sein Schadenspotenzial zu überprüfen.

128


Weiterführende Informationen:

Wir möchten Ihnen abschließend noch einige weiterführende Informationen im Umgang mit Dateianhängen geben:

• Eine Übersicht über als potentiell gefährlich angesehene Formate finden Sie (in englischer Sprache) unter: http://www.howtogeek.com/137270/50-file-extensions-that-are-potentially-dangerous-on-windows/

• Oftmals werden Bild- oder Dokumentanhänge in Nachrichten automatisch angezeigt. Um dies zu vermeiden, und somit mögliche Schwachstellen zu schließen, sollten Sie – sofern möglich – das automatische Anzeigen von Anhängen unterbinden.

• Auch wenn Betrüger gezielt Doppelendungen einsetzen, um ihre Opfer in die Irre zu führen, ist zu beachten, dass Doppelendungen nicht immer auf potentiell gefährliche Anhänge hinweisen. So gibt es zum Beispiel Software, die untereinander bekannten Nutzern ermöglicht, Nachrichten und Anhänge zu verschlüsseln. Dabei wird häufig die Endung .asc an die eigentliche Datei angehängt, so dass auch dort eine Doppelendung entsteht.

• Es existieren technische Lösungen, die es Ihnen ermöglichen Anhänge in einer abgeschotteten Umgebung auf Ihrem Gerät auszuführen, ein sogenannter Sandkasten-Bereich. Anhänge können diesen Bereich nicht verlassen und können keine bleibenden Änderungen an Ihrem Gerät durchführen. Eine weit verbreitete technische Lösung, die Ihnen dies erlaubt, ist Sandboxie (http://www.sandboxie.com)

• Darüber hinaus gibt es spezielle Betriebssysteme, die z.B. von CD starten (sogenannte Live-Systeme) und somit keine Änderungen an Ihrem Gerät vornehmen können. Es kann sinnvoll sein ein derartiges Live-System einsatzbereit zu haben und im Zweifelsfall Anhänge, bei denen man sich nicht sicher ist, aus diesem Live-System heraus zu öffnen. Ein bekanntes Live-System ist Knoppix (https://www.knopper.net/knoppix/). Dieses System kann kostenlos bezogen werden.

129


Am Ende dieses vierten Moduls ist der Unterschied nun sicher klar.

130


Wir stellen Ihnen hier noch einmal eine Zusammenfassung aller Anleitungen aus allen Modulen zur Verfügung:

• Prüfen Sie Absender und Inhalt jeder empfangenen Nachricht auf Plausibilität.

• Wenn Absender und Inhalt einer Nachricht plausibel erscheinen (u.a. weil Sie dort ein Nutzerkonto haben) und die Nachricht einen Link enthält, dann finden Sie heraus, welche Webadresse tatsächlich hinter einem Link steckt.

• Wenn Sie die Webadresse hinter dem Link gefunden haben, identifizieren Sie als nächstes den sogenannten Wer-Bereich in der Webadresse.

• Wenn Sie den Wer-Bereich in der Webadresse identifiziert haben, prüfen Sie, ob der Wer-Bereich einen Bezug zu dem (vermeintlichen) Absender und / oder dem Inhalt der Nachricht hat.

• Wenn Sie den Wer-Bereich in der Webadresse identifiziert haben, Sie den Wer-Bereich aber nicht eindeutig beurteilen können, sollten Sie weitere Informationen einholen.

• Wenn Absender und Inhalt einer Nachricht plausibel erscheinen und die Nachricht einen Anhang enthält, identifizieren Sie die Gefährlichkeit des Anhangs.

• Wenn der Anhang ein potentiell gefährliches Format hat, prüfen Sie ob Sie diesen Anhang genau in der Form von dem Absender erwarten.

• Sollten Sie unsicher sein, ob der Anhang ein potentiell gefährliches Format hat oder ob Sie den Anhang in dieser Form vom Absender erwarten, dann sollten Sie weitere Informationen einholen bzw. weitere Maßnahmen ergreifen.

132


Abschließende Bemerkungen

Wir sind auf ein betrügerisches Nachrichtenformat nicht eingegangen: Hierbei ist bereits das Öffnen der Nachricht selbst gefährlich. E-Mails werden beispielsweise mit bösartigen JavaScripts verschickt und bereits beim Öffnen der E-Mail wird Schadsoftware ausgeführt. Ähnliche Angriffe existieren auch mit anderen Diensten. Um sich vor derartigen Betrugsversuchen zu schützen, unterbinden Dienste, Programme und Unternehmen häufig die Zustellung bestimmter Inhalte, z.B. JavaScript. Wenn dies nicht der Fall ist, sollten Sie dies selbst entsprechend einstellen, ggf. in Ihrem Unternehmen nachfragen oder einen Sicherheitsexperten bitten bzw. beauftragen, entsprechende Einstellungen an Ihren Geräten vorzunehmen. Darüber hinaus hilft es vor dem Öffnen von Nachrichten bereits anhand des Absenders und ggf. des Betreffs die Plausibilität zu überprüfen und ggf. die Nachricht gar nicht zu öffnen.

Wir haben Ihnen hier gezeigt, wie Sie sich präventiv schützen können, weil Sie erst gar nicht auf eine betrügerische Nachricht hereinfallen. Für den Fall, dass Sie doch einmal unaufmerksam sind und auf einen Betrug hereingefallen sind, ist es wichtig, dass Sie umgehend die betroffenen Anbieter bzw. Ihre IT-Abteilung bzw. den IT-Verantwortlichen / IT-Experten informieren. Darüber hinaus ist es für diesen Fall ausgesprochen wichtig, dass Ihr Betriebssystem, Ihre verwendete Software und Ihr Virenscanner stets aktuell sind und Sie regelmäßig Back-Ups durchführen. Im Unternehmen übernimmt dies ggf. die IT- Abteilung für Sie. Vergewissern Sie sich aber kurz, dass dies so ist.

133


Viel Erfolg beim Erkennen gefährlicher Nachrichten!

134


Zum guten Schluss :-) Als Letztes möchten wir Ihnen noch etwas mit auf den Weg geben: einen guten Vorsatz. Im Folgenden haben wir einige Vorschläge für Ziele, die Sie sich für die Zukunft setzen können, um das Gelernte im Alltag umzusetzen. Versuchen Sie es doch einfach: Wählen Sie das Ziel aus, welches Sie am meisten anspricht, und schauen Sie, wie gut Sie es umsetzen können.

• Ich überprüfe zukünftig alle Nachrichten auf Plausibilität.

• Ich überprüfe zukünftig alle Links, bevor ich darauf klicke.

• Ich überprüfe zukünftig alle Dateien in allen Nachrichten, bevor ich diese öffne.

• Ich melde jeden Verdacht auf eine betrügerische Nachricht bei der IT-Abteilung bzw. den IT-Verantwortlichen / IT-Experten des Unternehmens.

• Beim Erhalt einer nicht einfach zu erkennenden betrügerischen Nachricht zeige ich diese einem Kollegen / einer Kollegin und erkläre dieser, warum dies eine betrügerische Nachricht ist.

135


Referenzanwender

136


Presse (Auszug)• Polizei Hessen: k.polizei.hessen.de/1109226829• Netzwerke der LOEWE-Forschung: www.proloewe.de/Hessentag2016• Awareness im Mittelstand: www.awareness-im-mittelstand.de/2016/04/12/nophish-auf-dem-hessentag-2016/• BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/phishing_node.html• Deutschlandfunk: http://www.deutschlandfunk.de/serious-game-nophish-spielerisch-die-gefahren-im-

netz.684.de.html?dram:article_id=325182• App der Woche: tablethype.de/nophish_app_der_woche_kolumne/• Schweiz: http://www.onlinepc.ch/mobile/apps/mit-nophish-internetbetrug-spielend-erkennen-lernen-956472.html• Österreich: http://www.mimikama.at/allgemein/nophish-zddk-hat-die-aufklrungs-app-fr-euch-getestet/• Facebook Links des BSI und Fraunhofer SIT: https://www.facebook.com/bsi.fuer.buerger/posts/915684451807315,

https://www.facebook.com/FraunhoferSIT/posts/10153353220008798• Auch der TÜV Rheinlandpfalz empfiehlt die App: blog.tuv.com/der-virale-enkeltrick/• "more security. on tour". Erste Veranstaltungsreihe im Rahmen des Projektes "KMU Aware": http://www.it-sicherheit-in-

der-wirtschaft.de/IT-Sicherheit/Navigation/meldungen,did=728834.html• Darmstädter Echo: http://www.echo-online.de/vermischtes/campus/darmstadt/informatiker-entwickeln-app-zur-

internetbetrug-erkennung_15665492.htm• <kes>: www.awareness-im-mittelstand.de/2016/03/10/und-security-awareness/

137

http://k.polizei.hessen.de/1109226829

http://www.proloewe.de/Hessentag2016

https://www.awareness-im-mittelstand.de/2016/04/12/nophish-auf-dem-hessentag-2016/

https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/phishing_node.html

http://www.deutschlandfunk.de/serious-game-nophish-spielerisch-die-gefahren-im-netz.684.de.html?dram:article_id=325182

http://tablethype.de/nophish_app_der_woche_kolumne/

http://www.onlinepc.ch/mobile/apps/mit-nophish-internetbetrug-spielend-erkennen-lernen-956472.html

http://www.mimikama.at/allgemein/nophish-zddk-hat-die-aufklrungs-app-fr-euch-getestet/

https://www.facebook.com/bsi.fuer.buerger/posts/915684451807315

https://www.facebook.com/FraunhoferSIT/posts/10153353220008798

http://blog.tuv.com/der-virale-enkeltrick/

http://www.it-sicherheit-in-der-wirtschaft.de/IT-Sicherheit/Navigation/meldungen,did=728834.html

http://www.echo-online.de/vermischtes/campus/darmstadt/informatiker-entwickeln-app-zur-internetbetrug-erkennung_15665492.htm

https://www.awareness-im-mittelstand.de/2016/03/10/und-security-awareness/


Veröffentlichungen (Auszug)

• NoPhish: An Anti-Phishing Education App. Gamze Canova, Melanie Volkamer, Clemens Bergmann, Roland Borza. In: 10th International Workshop on Security and Trust Management in conjunction with ESORICS 2014, 2014.

• Learn To Spot Phishing URLs with the Android NoPhish App. Gamze Canova, Melanie Volkamer, Clemens Bergmann, Roland Borza, Benjamin Reinheimer, Simon Stockhardt, Ralf Tenberg. In: IFIP Advances in Information and Communication Technology, World Conference on Information Security Education this summer in conjunction with IFIP SEC 2015, Springer, 2015.

• NoPhish App Evaluation: Lab and Retention Study. Gamze Canova, Melanie Volkamer, Clemens Bergmann and Benjamin Reinheimer. In: Internet Society: NDSS Workshop on Usable Security 2015, February 2015.

• Über die Wirksamkeit von Anti-Phishing-Training. Simon Stockhardt, Benjamin Reinheimer, Melanie Volkamer. In: Usable Security and Privacy Workshop in conjunction with Mensch und Computer 2015, 2015.

• Teaching Phishing-Security: Which Way is Best?. Simon Stockhardt, Benjamin Reinheimer, Melanie Volkamer, Peter Mayer, Alexandra Kunz, Philipp Rack and Daniel Lehmann. In: 31st International Conference on ICT Systems Security and Privacy Protection - IFIP SEC 2016, 2016.

138

https://www.secuso.informatik.tu-darmstadt.de/de/publications/details/?no_cache=1&tx_bibtex_pi1%5Bpub_id%5D=TUD-CS-2014-0887




https://www.secuso.informatik.tu-darmstadt.de/de/secuso/forschung/veroeffentlichungen/details/?no_cache=1&tx_bibtex_pi1%5Bpub_id%5D=TUD-CS-2016-0057

Schulungseinheiten zum Schutz vor Nachrichten mit ... · wie z.B. Spam- Filter, Virenscanner und...

Documents

Transcript of Schulungseinheiten zum Schutz vor Nachrichten mit ... · wie z.B. Spam- Filter, Virenscanner und...