wissen.de Artikel

Neue Masche: Vorsicht vor Clickbait-PDFs

Unsere persönlichen Daten sind ein wertvolles Gut und bei Hackern begehrt. Mit gezielter Täuschung wollen sie uns zum Beispiel dazu verleiten, Kontodaten oder Passwörter bereitwillig herauszugeben. Die neueste Masche sind dabei sogenannte Clickbait-PDFs, über die man etwa stolpern kann, wenn man eigentlich gerade nach einem harmlosen Druckerhandbuch sucht. Doch wie funktionieren Clickbait-PDFs? Welche Gefahren bergen sie? Und wie kann ich betrügerische PDFs erkennen?

AMA, 14.03.2024

Symbolbild Phishing — © tadamichi, iStock

Um unsere geheimsten Daten zu stehlen, greifen Hacker häufig auf sogenanntes Phishing zurück. Sie geben sich dabei per Mail oder gefälschter Website als vertrauenswürdiger Kommunikationspartner aus und verleiten ihr Opfer so dazu, folgenschwere Fehler zu begehen. Die Hacker bauen dafür etwa die Website einer Bank so realistisch nach, dass das Opfer sich in Sicherheit wähnt, wenn es dort seine Bankpasswörter eingibt. Doch in Wirklichkeit hat es diese gerade dem Hacker mitgeteilt.

Vielleicht erreicht das Opfer aber auch eine Mail, die angeblich von einem großen Online-Händler wie Amazon oder Ebay stammt. Betreffzeilen wie „Bitte aktualisieren Sie Ihr Benutzerprofil“, „Problem mit Ihrer Bestellung“, „Ihre Abschlussdokumente liegen zur Unterschrift bereit“ oder „Ihre Rechnung ist angehängt“ verleiten das Opfer dazu, die Mail zu öffnen und darin enthaltene Links oder Anhänge anzuklicken. Durch sie gelangt es dann auf schädliche Websites, mit denen Hacker Schadsoftware installieren oder sensible Daten abgreifen können.

Katz und Maus geht in die nächste Runde

Doch die Hacker haben immer schwereres Spiel. Denn moderne Software zur Betrugserkennung verschiebt solche Phishing-Mails inzwischen häufig direkt in den Spam-Ordner und macht uns auf mögliche Gefahren aufmerksam. Um trotzdem weiterhin erfolgreich Daten abzugreifen, müssen Betrüger sich also neue Maschen ausdenken. Und zwar fortlaufend, denn sobald Cybersicherheitsforscher eine dieser neuen Betrugsmaschen aufgedeckt und Schutzsoftware dagegen entwickelt haben, war es das wieder mit dem Phishing.

Der neueste Beitrag zu diesem Katz-und-Maus-Spiel sind sogenannte Clickbait-PDFs. Man kann über sie stolpern, wenn man online nach bestimmten Dateien sucht – zum Beispiel einem Druckerhandbuch oder der Vorlage zur Steuererklärung. Sowohl für das menschliche Auge als auch für den Virenschutz im Webbrowser kommen sie zunächst als ganz normale, harmlose PDFs daher, doch es gibt einen Haken.

So funktionieren Clickbait-PDFs

Sobald ein Nutzer das PDF öffnet, wird er entweder dazu verleitet, auf einen Link zu klicken, oder sich per Mausklick auf ein Kästchen offiziell als Mensch zu identifizieren. Letzteres fordern auch vertrauenswürdige Anbieter wie Google des Öfteren, weshalb es Nutzern im ersten Moment wahrscheinlich nicht ungewöhnlich vorkommt. Doch sobald sie den entscheidenden Klick setzen, den die Hacker von ihnen erwarten, schickt sie das auf eine Angriffs-Website.

Diese gefährdet entweder auf direktem Wege die Geräte der Nutzer oder fordert sie dazu auf, private Daten preiszugeben. Die Websites, auf die die Opfer gelangen, unterscheiden sich in diesem Sinne also nicht von „normalen“ Phishing-Seiten, nur der Weg dahin ist ein anderer. „In gewisser Weise ändert sich der Teil des Angriffs nach der PDF-Datei nicht. Aber die PDF-Datei selbst stellt eine Neuheit dar, weil sie schwieriger abzuwehren ist“, sagt Giada Stivala vom Helmholtz-Zentrum für Informationssicherheit, die die neue Masche zusammen mit ihren Kollegen aufgedeckt hat.

Misstrauisch wirkende Frau an einem Laptop — Kommen einem die Anliegen eines Dokuments oder einer Website ungewöhnlich vor, sollte man auf sein Bauchgefühl vertrauen.

© Pheelings Media, iStock

Wie schütze ich mich?

Wie es für eine neue Runde im Katz-und-Maus-Spiel üblich ist, hat die Zahl der Clickbait-PDFs seit der Entdeckung durch Stivalas Team bereits abgenommen. Dennoch schwirren weiterhin falsche Druckerhandbücher und Steuererklärungsformulare im Internet herum. Um sie frühzeitig zu erkennen und keine persönlichen Daten rauszugeben, empfiehlt Stivala, wachsam zu bleiben und auf Warnzeichen zu achten.

Sobald ein PDF zum Beispiel zu offensichtlich zu bestimmten Klicks auffordert, sollten bereits alle Alarmglocken schrillen. Schließlich versuchen die Betrüger mit allen Mitteln, die Aufmerksamkeit ihres Opfers auf die eingebauten Klickflächen zu lenken. Und außerdem würde zum Beispiel ein normales Druckerhandbuch niemals eine gesonderte Dateneingabe auf einer anderen Website erfordern.

Wie erkenne ich Phishing?

Auch sonst lässt Phishing sich in der Regel entlarven, wenn man auf entsprechende Warnzeichen achtet. Das beginnt bereits bei dem Betreff betrügerischer Mails. Sobald einem das Anliegen des Absenders ungewöhnlich vorkommt, sollte man auf sein Bauchgefühl vertrauen. Das ist etwa dann der Fall, wenn Amazon einen auf ein Problem mit der Bestellung hinweist, obwohl man gar nichts bestellt hat. Ein weiteres Indiz ist die Mailadresse des Absenders: Wenn eine angeblich von Amazon oder einer Bank stammende E-Mail von einem gmail-Account oder einer eindeutig nicht zu einer Bank oder zu Amazon gehörenden Mailadresse kommt, liegt höchstwahrscheinlich Phishing vor.

Weitere Hinweise bietet die Formulierung der betrügerischen Texte. Typisch ist zum Beispiel, dass die Hacker einen dringenden Handlungsbedarf vorgeben: „Wenn Sie Ihre Daten nicht umgehend aktualisieren, dann gehen sie unwiederbringlich verloren …“ Auch kommt es häufig zu Drohungen wie „Wenn Sie das nicht tun, müssen wir Ihr Konto leider sperren …“ Spätestens wenn man dazu aufgefordert wird, vertrauliche Daten wie Passwörter oder Kreditkartennummer einzugeben, sollte man den Vorgang sofort abbrechen. Ist man sich unsicher, ob die Angreifer zu diesem Zeitpunkt bereits Schadsoftware auf dem eigenen Gerät installiert haben, sollte man dieses sicherheitshalber zur Überprüfung in ein Computerfachunternehmen bringen.