Identitätsdiebstahl ist kein neues Phänomen, hat aber mit der zunehmenden Digitalisierung eine neue Brisanz entwickelt. In der Geschichte gibt es zahllose Beispiele dafür, wie Menschen Naturkatastrophen ausnutzten, um eine gestohlene Identität anzunehmen – eine, die sich nicht überprüfen ließ, weil die Originalunterlagen vernichtet wurden.
Identitätsdiebe kombinieren oft diese klassischen Tricks mit modernen Methoden. Zu den Klassikern gehört das Entwenden herkömmlicher Postsendungen. Aus den darin enthaltenen Personen- und Adressdaten lässt sich dann eine falsche Online-Identität erstellen. Andere Ganoven verlassen das Haus gar nicht erst. Schließlich stehen in fragwürdigen Webforen gehackte Personendaten in Hülle und Fülle zum Verkauf: Ausweisnummern, Bankverbindungen, E-Mail-Konten, eBay-Anmeldedaten und vieles mehr. Betrüger können dort aus dem Vollen schöpfen. Wieder andere sind technisch so versiert, dass sie eigene Phishing-Attacken starten. Den Möglichkeiten sind praktisch keine Grenzen gesetzt.
> Was ist Spoofing?
> Was ist Phishing?
> Was ist Pharming?
> Wie kann ich mich schützen?
Die Schätzungen, was diese Art von Identitätsdiebstahl kostet, gehen weit auseinander. Javelin Strategy & Research veranschlagte sie für 2016 auf etwa 13 Milliarden Euro. Die Zahl der Diebstahlopfer im selben Jahr wurde auf ungefähr 15,4 Millionen geschätzt.
So riesig diese Zahlen auch klingen mögen, sie erfassen noch immer nicht das volle Ausmaß des Phänomens. Manche Betroffene erleiden vielleicht keinen direkten finanziellen Schaden, allerdings kosten diese Vorfälle jede Menge an wertvoller Zeit. Zeit, die für andere wichtige Aktivitäten fehlt.
Wie kann jemand meine Identität stehlen?
Im World Wide Web lassen sich in Sekundenbruchteilen personenbezogene Daten entwenden, aus denen sofort eine falsche Identität erschaffen werden kann. Cyberkriminelle nutzen dazu vor allem zwei Methoden. Zum einen hacken sie Computer und Server, um an Daten zu gelangen – wie im Fall Equifax. Zum anderen verleiten sie Nutzer mit trügerischen Websites und E-Mails dazu, Daten herauszurücken. Dies geschieht mittels Spoofing, Phishing oder Weiterleitung auf gefälschte Websites, wo dann Pharming angewandt wird. So oder so, das Ergebnis ist alles andere als erfreulich.
Was ist Spoofing?
Spoofing ist englisch für „Täuschung, Schwindel“ und bedeutet, eine falsche Nachricht – etwa einen Brief oder eine E-Mail – echt wirken zu lassen. Während das Fälschen eines Schreibens auf offiziellem Briefpapier aufwendig und teuer sein kann, ist es gar nicht so schwer, solche falschen Nachrichten digital zu erstellen und in Umlauf zu bringen. Haben Cyberkriminelle erst einmal eine Vorlage erstellt – sprich: Logo und Farben eines bekannten Unternehmens imitiert –, kann diese tausendfach verteilt werden, und das praktisch kostenlos.
Spoofing wird normalerweise für betrügerische E-Mails verwendet. Dafür gibt es einen einfachen Grund: Das Protokoll, auf dem E-Mails basieren, Simple Mail Transfer Protocol oder kurz SMTP genannt, verlangt keine Authentifizierung. Daher können Cyberkriminelle E-Mails aus offiziellen Quellen ganz leicht fälschen oder durch seriös aussehende E-Mails eine falsche Identität vorgaukeln. SMTP selbst umfasst keine Mechanismen, die solche Versuche als trügerisch erkennen oder kennzeichnen.
Doch Cyberkriminelle haben es nicht nur darauf abgesehen, potenzielle Opfer mit ihren professionellen Formatierungs- und Designfähigkeiten in die Irre zu führen. Sie wollen das Opfer zu einer Aktion bewegen. Normalerweise ist dies ein Klick auf einen Link mit der Folge, dass auf dem Gerät Malware installiert wird, oder eine E-Mail-Antwort mit personenbezogenen Informationen, z. B. einer Kontonummer.
Was ist Phishing?
Spoofing im großen Stil wird als Phishing bezeichnet. Bei einem Phishing-Angriff legen Cyberkriminelle zahllose „Köder“ in Form gefälschter E-Mails, die an das E-Mail-Layout bekannter Unternehmen wie Amazon, DHL, eBay oder Postbank erinnern.
Einer der bekanntesten Spoofing-Tricks ist eine „Nachricht“ von DHL, die das Markenerscheinungsbild und die Sprache des Logistikriesen nachahmt, um den Empfänger über eine angeblich bevorstehende Paketlieferung zu informieren. Natürlich hat die Sache einen Haken: in der Regel einen Link, auf den der Empfänger klicken soll. Im Jahr 2017 identifizierte Avira in Deutschland, Österreich und der Schweiz über 57,5 Millionen Phishing-URLs, davon 18,39 Millionen allein im Januar 2017.
Sobald der Empfänger auf einen Link klickt, aktiviert er dadurch eine von vielen potenziellen Gefahren. Dies kann Daten stehlende Schadsoftware sein, Ransomware, ein Exploit-Kit oder ein Trojaner sein. Abgesehen von den technischen Details der gefälschten E-Mail und der Frage, wie professionell der Link getarnt ist, hängt der Erfolg eines Phishing-Angriffs vom Opfer ab: Fällt es auf die Täuschung herein und klickt auf den Link, schnappt die Falle zu.
Cyberkriminelle können im Rahmen einer Phishing-Attacke ganz unterschiedliche Tools einsetzen. Ransomware ist ein direkter Angriff auf das Gerät des Empfängers. Keylogger und viele Trojaner dagegen stellen eher eine schleichende Gefahr dar: Sie überwachen die Aktionen des Nutzers und greifen Informationen zur Identität des Opfers ab, etwa persönliche oder finanzielle Daten, die für zukünftige Betrügereien verwendet werden können.
Phishing-Angriffe bildeten den Kern der Attacken mit der Ransomware WannaCry. Auch bei groß angelegten Betrügereien gegenüber den amerikanischen Steuerbehörden und bei den Hackerangriffen auf E-Mail-Konten der US-Demokraten spielten sie eine zentrale Rolle. In jedem dieser Fälle wurde eine riesige Menge an personenbezogenen Daten erfasst. Schlagzeilenträchtige Fälle wie diese sind jedoch nur die Spitze des Eisbergs. In unzähligen weniger bekannten Fällen wurden Einzelpersonen ohne eigenes Verschulden Opfer von Identitätsdiebstahl und -missbrauch.
Auch Postbank-E-Mails wurden von Phishern bereits gefälscht. Bei dieser Masche wird dem Empfänger eine Gebühr von 9,95 Euro angedroht, wenn er seine private Kontoverbindung nicht herausrückt. Die Opfer können im besten Falle ihre Kontodaten ändern und müssen dann monatelang bangen, welche Schurkereien die Cyberkriminellen mit ihren privaten Daten wohl vorhaben könnten.
Was ist Pharming?
Während Phishing-Mails gutgläubige Nutzer dazu verführen sollen, auf einen verseuchten Link zu klicken, werden die Opfer beim Pharming auf eine völlig falsche Website umgeleitet. Pharmer nutzen üblicherweise Schwachstellen in der DNS-Serversoftware aus. DNS-Server (Domain Name Service) lösen Internetnamen in numerische IP-Adressen auf. Sie sind neuralgische Punkte, wie einige Fälle der letzten Jahre gezeigt haben. So gelang es politischen Aktivisten und sogar einem deutschen Teenager, die eBay-Domain zu manipulieren, sodass Besucher auf verunstalteten Websites landeten. Auf diese Weise können Cyberkriminelle ihre Opfer auf gefälschte Websites umleiten, die dem Original täuschend ähnlich sind. Der Knackpunkt dabei: Das Opfer ahnt oft nicht einmal etwas von der Manipulation. Aus Sicht der Schurken hat Pharming gegenüber Phishing einen großen Vorteil, denn der Erfolg hängt hier nicht davon ab, dass das Opfer auf einen falschen Link hereinfällt und ihn anklickt.
Wie kann ich mich schützen?
Der erste Schritt zur sicheren Identität ist das eigene Verhalten. Wir haben vier ganz einfache Tipps, wie ihr euch vor den neuesten Spoofing-, Phishing- und Pharming-Angriffen schützen könnt:
Schreibweise: Rechtschreibung ist nicht nur in der Schule wichtig, sondern auch für eure Sicherheit im Netz. Viele Spoofing- und Phishing-Nachrichten stecken nämlich voller Schreib- und Grammatikfehler. Wenn ihr also eine E-Mail erhaltet, deren Autor offensichtlich mit Rechtschreibung und Satzbau auf Kriegsfuß steht, dann solltet ihr diese Mail lieber vorsichtig löschen.
Formatierung: Beim Spoofing geht es vor allem darum, gefälschte Nachrichten möglichst authentisch aussehen lassen, was Cyberkriminellen jedoch nicht immer gelingt. Phishing-E-Mails enthalten oft Fehler in der Formatierung oder im grafischen Aufbau. Solche Fehler können sich beispielsweise in falschen Schriftarten, veralteten Logos oder sogar merkwürdigen Farben äußern. Falls euch also eine E-Mail „nicht ganz koscher“ erscheint, dann steckt womöglich tatsächlich eine krumme Sache dahinter. Hier ist Vorsicht geboten!
Dringlichkeit: Cyberkriminelle erwecken gerne den Anschein, dass es sich um eine dringliche Angelegenheit handelt – „Jetzt klicken und Gewinn abholen“, „Klicken Sie jetzt, um Ihr Konto zu schützen“ usw. Unter solche Aufforderungen werden oft Anfragen nach privaten Informationen wie Kontodaten gemischt. Natürlich gibt es im Internet seriöse Angebote, die tatsächlich nur für kurze Zeit gelten. Doch wenn euch eine E-Mail regelrecht aufdringlich vorkommt und euch obendrein auch noch sprachliche oder grafische Eigentümlichkeiten auffallen, dann solltet ihr lieber nicht darauf eingehen.
Sichere Verbindungen: Beim Pharming wird das Opfer der Definition nach im Browser auf eine falsche Website umgeleitet. DNS-Server sind zwar zu schnell, als dass man eine falsche Weiterleitung verhindern könnte, doch man kann sie sehr wohl überlisten. Sehr wahrscheinlich ist, dass ein Cyberkrimineller zwar einen DNS-Server manipuliert, aber keine verschlüsselte, sichere HTTPS-Variante der Zielseite erstellt hat. Auf den meisten Websites seht ihr links oben in eurem Browser neben der URL ein kleines Schlosssymbol, das darauf hinweist, dass die Website über ein HTTPS-Zertifikat verfügt. Dieses Schloss solltet ihr unbedingt im Auge behalten – fehlt es, ist die Verbindung potenziell unsicher und nicht zur Übermittlung von Daten geeignet.
