Täuschend echte Gmail-Nachrichten locken zahlreiche Nutzer in die Falle

Der monatelangen Hacking-Offensive, die gerade den US-Wahlkampf erschüttert, sind auch hochkarätige Politiker der Demokraten zum Opfer gefallen. Die Hacker, die mutmaßlich im Auftrag der russischen Regierung gehandelt haben sollen, bedienten sich dabei eines genauso einfachen wie effektiven Tricks: Phishing E-Mails.

In einigen Fällen, so wie bei den Hacking-Attacken auf die E-Mail-Konten von John Podesta oder Colin Powell, sahen die Phishing-E-Mails aus wie reguläre Gmail-Meldungen. Die Mitteilung leitet das Opfer über einen Bitly-Link auf eine gefälschte Webseite weiter und fragen dort das Passwort des E-Mail-Kontos ab, um es abzufangen. Podesta und Powell fielen beide auf den Trick herein—aber denkt bloß nicht, dass nur über 50-Jährige solche Phishing-Versuche nicht auf den ersten Blick erkennen.

Folge Motherboard auf Facebook, Instagram und Twitter

Einigen Schätzungen zufolge klickt sogar jeder zweite auf Links in Phishing E-Mails. Natürlich sehen einige davon authentischer aus als andere.

So wärt ihr wahrscheinlich auch nicht auf diese E-Mail hereingefallen, die ich vor ein paar Wochen erhielt—nicht einmal, wenn sie, wie hier, den Namen eurer Mutter enthielte.

Kürzlich haben Journalisten der unabhängigen investigativen Recherchegruppe Bellingcat eine Reihe an Nachrichten erhalten, die wie legitime Sicherheitswarnungen von Google aussehen. Sie haben sie nicht angeklickt, aber hättet ihr gemerkt, dass es sich bei dieser Email tatsächlich um einen Phishing-Versuch handelt?

Diese E-Mail imitiert erfolgreich den Stil und das Design, das Google für seine Sicherheitswarnungen verwendet. Dem abgelenkten oder unerfahrenen Betrachter würde kein Unterschied zu einer echten Sicherheitswarnung auffallen. Stellt euch vor, ihr erhaltet diese E-Mail inmitten eines stressigen Arbeitstags. Hättet ihr sie angeklickt? Oder wäre euch aufgefallen, dass die Hacker "Montain View" und "Amphithaetre" falsch geschrieben haben?

Die Hacker verwendeten tatsächlich drei verschiedene Arten des Phishings, um ihre Angriffsziele hinters Licht zu führen. In allen Fällen wurden die potenziellen Opfer dazu aufgefordert, ihre Passwörter zu ändern und auf einer von den Hackern kontrollierten Webseite einzugeben.

Jetzt mal ganz ehrlich: Hättet ihr diese E-Mails geöffnet und auf die Links geklickt?

Glücklicherweise gibt es auch für diejenigen, denen das Problem von Phishing E-Mails bewusst ist, die sich aber nicht zutrauen, diese immer zu erkennen, eine Lösung: Schaltet einfach die Zwei-Faktor-Authentifizierung bei Gmail oder dem E-Mail-Anbieter eures Vertrauens ein und tut dasselbe auf all euren Social Media Accounts.

Dank der Zwei-Faktor- oder Zwei-Schritt-Authentifizierung können Hacker selbst dann nicht in euren Account gelangen, wenn ihr einmal auf einen gefälschten Link herein gefallen seid und euer Passwort preisgegeben habt. Die Hacker haben dann zwar euer Passwort, kommen aber trotzdem nicht ins System, solange sie nicht gleichzeitig auch euer Smartphone gehackt haben oder das ganze Telefonnetz kontrollieren—und das können dann doch nur die wenigsten.