Das Problem mit Googles Phishing-Quiz

Inhaltsverzeichnis

Das Tech-Start-Up Jigsaw – wie Google eine Tochterfirma von Alphabet – hat ein Quiz herausgegeben, mit denen Anwender sich darin trainieren können, Phishing-Angriffe zu erkennen. Das ist erst einmal nicht wirklich neu, denn es gibt bereits eine Menge solcher Quizze im Netz, aber das Angebot der Google-Schwesternfirma ist sehr gut gemacht und erreicht allein durch seine Partnerschaft mit der Suchmaschine und deren E-Mail-Dienst Gmail sehr viele Nutzer.

Wer das komplett in Englisch gehaltene Angebot aufruft, muss zuerst einen Namen und eine Mail-Adresse eingeben (diese können ruhig fiktiv sein) und bekommt dann verschiedene Mails vorgesetzt, bei denen man zwischen echt und Phishing-Angriff entscheiden muss. Technisch ist das sehr gut gelöst, die Sache hat aber trotzdem einen Haken.

Erkenntnisse lassen sich schlecht übertragen

Die meisten anderen Tests dieser Art bestehen aus Screenshots, Jigsaw bildet allerdings sehr realistisch die Benutzeroberfläche von Gmail samt dynamischen Elementen nach. Das ist viel besser dafür geeignet, die Teilnehmer zu trainieren. So zeigt das Quiz etwa nach einer Antwort, wie man Ziele von Links prüft und genau schaut, von welchem Absender eine Mail stammt. Wer Gmail nutzt, kann hier ein paar nützliche Tricks lernen.

Da fangen die Probleme des Jigsaw-Ansatzes allerdings schon an. Für die Nutzer anderer Webmailer wird es nicht trivial sein, das Gelernte auf ihre Software zu übertragen – von Nutzern klassischer Mail-User-Agents ganz zu schweigen. Das Problem ist, dass jede Software wichtige Hinweise solcher Art anders darstellt und Nutzer deswegen am besten an Hand ihrer individuell verwendeten Software trainieren, echte von Phishing-Mails zu unterscheiden. Einen hilfreichen Trick, den das Quiz zum Beispiel gar nicht anspricht, ist, sich die Header der Mail im Detail anzeigen zu lassen. Daraus kann ein erfahrener Nutzer oft sehr viele Hinweise auf potenzielle Phishing-Mails ziehen.

Wir verlieren den Kampf gegen die Phisher

Ein noch tiefgreifenderes Defizit des Quiz' spricht der Sicherheitsforscher Claudio Guarnieri in einem Blog-Post zu dem Angebot an. Individuen auf Basis solcher rein visueller Hinweise zu trainieren, Phishing-Angriffe von echten Mails zu unterscheiden, sei sehr schwer, sagt Guarnieri. Er zieht in seinem Blog-Eintrag das Fazit, dass wir auf diese Weise den Kampf gegen die Phisher verlieren werden. Er kommt zu diesem Schluss, da die Kriminellen ihre Angriffe schnell an Verhaltensänderungen der Opfer anpassen und die sich ständig ändernden Rahmenbedingungen bei legitimen E-Mails es dem Nutzer zu schwer machen, sich effektiv zu verteidigen.

Es ergebe zum Beispiel wenig Sinn, Nutzer auf das erkennen legitimer Domains zu trainieren, wenn selbst Google sich nicht an einfache Regeln halte, meint Guarnieri. So versende Google legitime und wichtige Mails zu seinen Accounts von der Domain googlemail.com und nicht von google.com, wie man es eigentlich erwarten würde. Das Quiz selbst läuft unter der Domain withgoogle.com – woher solle ein Nutzer wissen, dass das eine legitime Google-Domain sei, fragt der Sicherheitsforscher nicht zu Unrecht. Und auch Banken, Service Provider und Versanddienste ändern mitunter ihre Absendeadressen oder Domains bei E-Mails und den darin enthaltenen Links. Und hinzu kommen (mittlerweile gar nicht mal mehr ganz so neue) Phishing-Techniken, bei denen Angreifer gar nicht mehr die Passwörter, sondern einfach OAuth-Logins abgreifen und dafür im Zweifel sogar Googles eigene Domains missbrauchen.

Besser gar nicht klicken

Als Lösung schlägt Guarnieri vor, dass sich Mail-Dienste und Versender von Mails besser absprechen sollten: "Wir brauchen dienstübergreifende Kontinuität, bei Prozessen, bei Formulierungen und bei verfügbaren Schutzmaßnahmen." Andere Sicherheitsexperten empfehlen Nutzern hingegen, gar nicht auf Links in Mails zu klicken. Vor allem nicht in Mails, die Aktionsbedarf suggerieren. Phisher täuschen Unheil vor, das drohe, wenn man nicht handelt. Bekommt man zum Beispiel eine Mail von einem Versandhandel, besucht man dessen Webseite lieber direkt im Browser (im Zweifel per gesetztem Lesezeichen) und schaut dort direkt nach, ob wie in der Mail erwähnt wirklich Handlungsbedarf besteht.

Angehängte Dokumente sollte man nur dann öffnen, wenn man sie auch wirklich erwartet und das Drumherum stimmt. Und auch in Google Docs kann man sich unabhängig von der E-Mail einloggen und dort schauen, ob wirklich jemand ein Dokument teilen will. Das erzeugt zwar mehr Arbeit, aber wie auch Guarnieri sagt, vielleicht müssen wir uns an weniger Komfort gewöhnen, wenn wir sicher unsere E-Mails lesen wollen. (fab)