Ein Phishing-Abenteuer mit Macs und Fisch: „Spotify – Wir können Ihre Zahlung nicht verarbeiten“
Das erste teuflische Phishing-Abenteuer mit Macs und Fisch: Es war ein grauer Nachmittag in Berlin, als Macs in seinem kleinen Apartment auf die eingetroffene E-Mail starrte. Der Bildschirm war der einzige Lichtpunkt im Raum. Draußen plätscherte der Regen gegen die Fenster, und das Summen des Computers war die einzige Geräuschkulisse. Die Nachricht, die Macs gerade geöffnet hatte, zog seine volle Aufmerksamkeit auf sich.
„Hast du das gesehen?“, murmelte Macs, mehr zu sich selbst als zu jemand anderem.
„Was?“, fragte Fisch, die gerade mit einem Becher Tee in der Hand in aus dem Nebenraum kam. Sie war seine langjährige Freundin, aber auch diejenige, die ihn immer wieder mit ihrer Technikaffinität überraschte. Sie hatte Macs schon oft die digitalen Risiken erklärt, die er so gerne ignorierte. „Diese E-Mail“, sagte Macs und drehte den Monitor in ihre Richtung. „Sie behauptet, es gäbe ein Problem mit meiner Spotify-Zahlung. Soll ich meine Daten überprüfen?“
Fisch setzte sich auf die Couch und nahm einen Schluck von ihrem Tee. Ihre Augen schmälerten sich, als sie die Nachricht auf dem Bildschirm sah. „Lass mich raten“, sagte sie mit einem halben Lächeln. „Du hast den Button nicht angeklickt, oder?“ „Nein“, antwortete Macs und zuckte mit den Schultern. „Aber es sieht echt aus. Der Absender ist support@spotyifi.com und der Text klingt plausibel. Und wer weiß, vielleicht gab es wirklich ein Problem mit meiner Zahlung.“
Fisch stellte ihren Becher auf dem Couchtisch ab und setzte sich neben ihn. „Das ist genau der Trick. Sie wollen dich verunsichern. Und du bist nicht der Einzige, der auf so etwas reinfallen könnte. Hast du dir die Absender-Adresse support@spotyifi.com genau angesehen?“
„Ähm, nein. Oh, jetzt sehe ich es! Die Domain ist nicht korrekt. Anstelle von spotify.com lautet die Domain spotyifi.com. Puh, das ist böse. Ist mir gar nicht aufgefallen. Das ist Betrug!“, sagte Macs, der jetzt etwas ernster und aufmerksamer wurde.
„Ja, es ist Phishing. Und ja, es ist Betrug“, bestätigte Fisch. „Phishing ist eine der gängigsten Methoden, mit denen Kriminelle versuchen, an deine persönlichen Daten zu kommen. Sie tun so, als wären sie jemand, dem du vertraust – ein Unternehmen, das du kennst, wie Spotify in diesem Fall. Und dann fordern sie dich auf, auf einen Link zu klicken, um deine Daten zu überprüfen.“
Macs starrte auf den Button „Informationen aktualisieren“, der in der E-Mail eingebaut war. „Aber der Button sieht genauso aus wie der von Spotify“, sagte er skeptisch. „Und wenn ich keine Ahnung von den technischen Details und dich nicht hätte, würde ich ihn wahrscheinlich einfach anklicken, weil ich es eilig habe oder denke, es sei wirklich ein Problem.“
Fisch nickte. „Genau das ist der Punkt. Phishing funktioniert, weil sie dich emotional ansprechen. Sie erzeugen Dringlichkeit. Wenn du denkst, dass es ein Problem mit deiner Zahlung gibt, dass du etwas verpassen könntest, klickst du auf den Link, ohne nachzudenken. Und das ist genau das, worauf die Betrüger spekulieren.“
„Und was passiert, wenn ich auf diesen Link klicke?“, fragte Macs und war jetzt deutlich besorgter.
„Nun, der Link führt dich zu einer gefälschten Spotify-Seite. Sie sieht aus wie die echte Seite, aber sie ist es nicht. Du gibst dort deine Anmeldedaten ein – dein Passwort, deine Kreditkartendaten, was auch immer. Sie speichern die von dir eingegebenen Daten und können dein Konto übernehmen oder die Daten verkaufen. Es gibt so viele Möglichkeiten, was sie damit tun können.“
Macs blinzelte und fuhr sich durch die Haare. „Wow. Und ich habe es fast getan. Mit meiner Blauäugigkeit hätte ich mir beinahe viel Ärger eingehandelt.“
„Glück gehabt!“, sagte Fisch. „Es ist ein cleverer Trick. Und der Grund, warum Phishing so erfolgreich ist, ist, dass es genau auf diese menschliche Schwäche abzielt. Wir sind alle mal in Eile oder haben Angst, etwas zu verpassen oder zu spät reagieren. Es reicht oft schon, die richtigen Worte zu verwenden, um uns aus der Fassung zu bringen. Und dann sind unsere Daten plötzlich in den falschen Händen. Das Schlimme dabei ist, dass Phishing ständig weiterentwickelt wird. Es gibt nicht nur E-Mails, sondern auch SMS, Social Media Nachrichten oder sogar gefälschte Websites, die dich hinter’s Licht führen. Die Kriminellen werden immer raffinierter.“
„Das ist irgendwie erschreckend“, sagte Macs nachdenklich. „Wie viele Leute fallen wohl immer noch auf sowas rein?“
„Viel zu viele“, antwortete Fisch ernst. „Und das Problem ist, dass wir uns als Gesellschaft noch immer nicht genug mit den Gefahren des Internets auseinandersetzen. Viele Menschen wissen einfach nicht, wie sie sich davor schützen können.“
Macs stützte sich nach vorne, die Stirn in Falten. „Was können wir dagegen tun? Es fühlt sich an, als würde diese Masche immer wieder auftauchen und immer raffinierter werden. Kann man da überhaupt etwas gegen tun?“
Fisch lächelte. „Es gibt viel, was man tun kann. Zuerst einmal – und das klingt vielleicht einfach, aber es hilft wirklich – sollte man immer genau hinschauen. Wenn du Zweifel hast, ob eine E-Mail oder Nachricht echt ist, klicke niemals sofort auf einen Link. Überprüfe die Absenderadresse und achte auf kleine Fehler in der URL. Die meisten Phishing-Seiten haben Fehler in der Domain, die nicht sofort auffallen, wenn man nicht genau hinsieht.“
„Also wie hier“, sagte Macs und zeigte auf die E-Mail. „Der Absender sieht richtig aus, aber wenn man genau hinsieht, stellt man fest, dass die Betrüger weitere Buchstaben in den Domainnamen gemogelt haben.“
„Genau“, bestätigte Fisch. „Und wenn du auf einen Link klickst, solltest du immer darauf achten, dass die URL mit https://
beginnt und das Schlosssymbol im Browser erscheint. Das zeigt an, dass die Verbindung sicher ist.“
„Und wenn ich trotzdem unsicher bin, soll ich dann einfach den Support des Unternehmens direkt kontaktieren?“ fragte Macs.
„Ja“, antwortete Fisch. „Wenn du dir nicht sicher bist, ruf den echten Support an. Aber immer den Kontakt suchen, der auf der offiziellen Website zu finden ist, nicht über die E-Mail. Und noch wichtiger: Du solltest niemals deine Zugangsdaten oder persönliche Informationen über solche Links eingeben.“
Macs lehnte sich zurück und starrte auf den Bildschirm. „Okay, das ist einiges, was ich nicht wusste. Aber wie können wir den anderen Leuten beibringen, sich davor zu schützen?“
„Indem wir darüber reden“, sagte Fisch. „Indem wir Aufklärung betreiben. Viele wissen einfach nicht, wie perfide diese Angriffe sind. Du und ich, wir kennen uns aus, aber es gibt immer noch genügend Menschen, die keine Ahnung von den technischen Details haben. Wir könnten eine Kampagne starten, um den Leuten zu zeigen, wie sie solche Mails erkennen können. Vielleicht einen Blog-Artikel oder ein paar einfache Anleitungen. Es gibt genug Menschen, die Hilfe brauchen.“
Macs nickte. „Das ist eine gute Idee. Wenn wir das Bewusstsein schärfen können, könnte das vielleicht schon einiges verhindern.“
„Genau“, sagte Fisch. „Phishing ist nicht nur ein technisches Problem, es ist vor allem ein menschliches. Und es erfordert ein Umdenken. Wir müssen den Menschen beibringen, wie sie sich schützen können.“
„Okay“, sagte Macs, nun entschlossener. „Lass uns das angehen. Gemeinsam. Wir können den Leuten helfen, sich besser vor diesen Angriffen zu schützen. Ich werde einen Blog-Artikel über unser Spotify-Phishing-Erlebnis schreiben und ihn in den sozialen Medien teilen. Ich denke, das ist ein guter Anfang!“