Was ist Phishing?
Die Bezeichnung Phishing ist tatsächlich von dem Wort Fischen / Angeln (engl. fishing) abgeleitet. Das Ersetzen des f im Ursprungswort durch ph ist eine in Computer-Kreisen beliebte Angewohnheit.
Nur dient das Fischen in diesem Fall nicht dem Fangen von im Wasser lebenden Tieren. Sondern beim Phishing geht es um sensible Daten. Jedoch ist das Ziel in beiden Fällen, mit dem Fang Geld zu verdienen. Wobei der Missbrauch und der Verkauf von Daten heute lukrativer ist, als der Handel mit Nahrungsmitteln.
Lesezeit: ca. 15 min für Seite 3 und 4
» Seite 4 – Informationen zu Spams
Täter und Opfer
Die Täter oder Urheber des Phishings sind Betrüger, die vorgeben im Auftrag / Namen seriöser Unternehmen zu handeln. Hierzu kopieren sie u. a. die Logos der Firmen, um ihre Phishing E-Mails, Kurznachrichten oder gefälschten Webseiten möglichst authentisch erscheinen zu lassen.
Zum Opfer von Phishing kann jeder werden,
… der E-Mail-Dienste oder Messenger nutzt, sich im Internet bewegt und/oder telefonisch erreichbar ist.
Sensible Daten
Beim Phishing gilt das Interesse der Kriminellen i. d. R. folgenden Informationen:
- Zugangsdaten zu E-Mails-Diensten / Messenger-Services / Cloud-Computing
- Namen und Passwörter für Online-Banking / Online-Brokerage
- Nutzernamen, Passwörter, Adressen, Konto- und Kreditkartendaten im Online-Handel
- Allen Daten aus elektronischen Steuerklärungen
- Firmen-Informationen für den Zugriff auf Firmeninterna
Sind die Betrüger einmal in den Besitz persönlicher Daten gelangt,
… können sie beispielsweise auf Bankkonten der Opfer zugreifen oder Konten sperren. Darüber hinaus verkaufen sie die Informationen weiter und ermöglichen damit anderen einen weiteren Missbrauch. Über eingeschleuste Schadsoftware haben sie zudem die Möglichkeit, dauerhaft noch mehr Daten abzugreifen oder ganze Systeme lahm zu legen.
Phishing – Methoden
Am häufigsten erfolgt Phishing über der Versand von E-Mails. Eingebettet in eine mehr oder weniger phantasievolle Erläuterung des besonderen Anlasses für die Benachrichtigung findest du einen Link oder Button. Diesen sollst du zur Verifizierung oder Überprüfung deiner persönlichen Daten anklicken. Eine andere Variante ist die Aufforderung zum Herunterladen einer angehängten Datei.
Phishing Links bei Kurznachrichten-Diensten sind häufig in Gewinnspiele oder Videos eingebettet.
Wann ist Phishing erfolgreich?
Sobald du auf den Link, Button bzw. das Video klickst oder den Anhang öffnest, hat der Betrüger sein Ziel erreicht. Selbst wenn du anschließend die Eingabe deiner persönlichen Daten verweigerst, hast du u. U. bereits mit dem Öffnen des Anhangs oder der verlinkten Webseite unbemerkt Schadsoftware installiert. Letzteres passiert besonders häufig auf (Android-)Smartphones sowie Computern mit Windows-Betriebssystem.
Erkennen von Phishing-Versuchen
Unabhängig davon, ob es sich um Benachrichtigungen per E-Mail / Messenger oder um gefälschte Webseiten handelt, erkennst du Phishing i. d. R. an folgenden Auffälligkeiten:
Absender von Phishing E-Mails
Die Absendeadresse unterscheidet sich beim Phishing manchmal nur geringfügig von der tatsächlichen Unternehmens-E-Mail-Adresse. Einerseits solltest du auf den (Provider-)Namen hinter dem @-Zeichen achten. Denn dieser verweist bei Phishing E-Mails oft nicht auf den Server des echten Unternehmens, sondern auf einen fremden Provider. Manchmal weicht er aber auch nur geringfügig von der echten Domain des Unternehmens ab. Andererseits liefert (bei besonders „schlecht gemachten“ Phishing-E-Mails auch der Name vor dem @-Zeichen schon einen Hinweis. Vor allem wenn er sich aus Vor- / Phantasienamen und einer Ziffernkombination zusammensetzt, was kein seriöses Unternehmen für seine Mitarbeiter benutzen würde.
Allerdings zeigen die meisten Mail-Clients nur eine Kurzform / den ersten Teil der Adresse an. Um den kompletten Absender zu sehen, klickst du entweder auf diese Kurzform oder auf den Pfeil rechts daneben. Das abgebildete Beispiel ist zwar eine Spam-E-Mail, dasselbe Prinzip gilt jedoch auch für Phishing-E-Mails!
Inhalt der Phishing E-Mails
- Sofern eine Anrede vorhanden ist, ist diese meistens unpersönlich. Verwendung der Du-Form auch bei Unternehmen, die dich normalerweise siezen oder ein Wechsel zwischen Du und Sie innerhalb einer E-Mail.
- Die Erläuterung ist bei genauem Lesen nicht wirklich plausibel und entspricht nicht dem Stil des echten Unternehmens.
- Sie zielt darauf ab, dich zu verunsichern und
- ist mit einer Drohung verbunden: Wenn Sie sich nicht bis zum … melden, müssen Sie eine Gebühr bezahlen, um eine Sperrung oder Löschung Ihres Kontos zu vermeiden.
- Insbesondere Kurznachrichten versprechen, dass dir nach dem Klick ein Gewinn sicher ist.
- Unterschrift, Funktion des Schreibers und Firmenangaben fehlen, sind unvollständig, nur teilweise korrekt oder frei erfunden.
Vorsicht auch bei der sichtbaren Bezeichnung (URL) von Links. Was du siehst muss nicht automatisch dem entsprechen, was dahinter verborgen ist. Denn der Urheber kann Verlinkungen einen beliebigen „Klarnamen“ geben. Anschließend siehst du als Leser die tatsächliche URL erst, wenn sich der Link im Browser öffnet.
Beispiel:
In der E-Mail erscheint der Link https:// help .paypal .com. Nachdem du auf den Link geklickt hast, landest du jedoch auf der Seite http:// give -me -your -data .com o. ä. (fiktives Beispiel). Und dann bist du schon in die Falle getappt.
Erscheinungsbild von Phishing E-Mails
- Alarmieren der Leser durch Wörter wie „… gesperrt, begrenzt, eingeschränkt …“
- Das Schriftbild ist ungleichmäßig und von schlechter Qualität.
- Innerhalb von Wörtern erscheinen einzelne Buchstaben in einer anderen Schriftart (oft kyrillisch).
- Manche Buchstaben, vor allem Umlaute, sind durch andere Zeichen ersetzt oder es fehlen die „Pünktchen“.
- Satzkonstruktionen und Kommasetzung entsprechen nicht dem deutschen Sprachgebrauch (evtl. unprofessionelle Übersetzung).
- Überdurchschnittlich viele Rechtschreibfehler, die sich nicht mit fehlerhafter Autokorrektur oder Flüchtigkeit erklären lassen.
Webseiten
- Die URL (Adresszeile) enthält Zusätze, die bei der echten Seite nicht vorhanden sind.
- Sie beginnt zwar mit https://, es gibt jedoch kein oder nur ein gefälschtes / ungültiges SSL-Zertifikat.
- Die Webseite zeigt keinen Inhalt außer einem Eingabefeld für deine Daten oder für eine TAN.
- Das Design entspricht im Gesamtbild oder auch nur einzelnen Details nicht der Gestaltung der Originalseite (Header, Logo, Farben, etc.).
Was solltest du tun?
Misstrauisch werden, wenn du eine Benachrichtigung …
- von einem Unternehmen erhältst, dass du nicht kennst,
- Aussehen und Formulierung der E-Mail nicht dem entspricht, was du von E-Mails des genannten Unternehmens gewohnt bist,
- der Inhalt sich nicht logisch nachvollziehen lässt oder kein Zusammenhang mit deinen aktuellen Interaktionen mit diesem Unternehmen besteht.
Falls du unsicher bist, ob es sich um Phishing handelt, sieh dir sich immer den Absender (die genaue Adresse und nicht nur den offen gezeigten Namen) genau an.
- Vergleiche ihn ggfs. mit dem früherer E-Mails des echten Unternehmens.
- Besuche im Zweifelsfall direkt die Website des jeweiligen echten Unternehmens.
- Schaue nach, ob es dort irgendwelche Hinweise auf das in der E-Mail geschilderte Problem gibt.
- Vergleiche die Angaben im Impressum des echten Unternehmens mit den Angaben in der E-Mail. Das ist jedoch nicht immer eindeutig, weil manche Urheber inzwischen recht gut kopieren oder abschreiben können.
Öffne auf keinen Fall Anhänge
… von fragwürdigen E-Mails oder solchen, deren Absender du nicht kennst bzw. von dem du keine Anhänge erwartest und lade diese nicht herunter. Insbesondere in Word- und Excel-Dateien kann Schadsoftware enthalten sein. Außerdem solltest du natürlich auch nicht auf Links / Buttons / Videos in Nachrichten unbekannter (nicht vertrauenswürdiger) Absender klicken.
Phishing vorbeugen
Mache es den Urhebern von Phishing E-Mails etc. nicht zu einfach. Denn oft spielt den Betrügern in die Hände, dass
- aufgrund der Vielzahl von täglichen E-Mails nicht jede einzelne aufmerksam gelesen wird,
- das Klicken auf Links und Buttons zur Gewohnheit geworden ist
- und das Versprechen eines Gewinns einen zusätzlichen Anreiz schafft
- oder du dich durch die massive Warnung vor Nachteilen für dich unter Druck gesetzt fühlst.
Einerseits hast du die Möglichkeit, solche E-Mails als Spam zu markieren oder auf die Blacklist zu setzen. Bei Kurznachrichten kannst du den Absender blockieren. Leider zeigen diese beiden Maßnahmen nur eingeschränkt Wirkung, da sich die Absendeadressen oder Telefonnummern bei Kurznachrichten ständig ändern. Andererseits bringen einige gute Sicherheits-Programme für den PC auch einen Phishing-Schutz mit. Dieser ist aus o. g. Gründen jedoch ebenfalls nicht 100 prozentig zuverlässig.
Mache dich mit den „Spielregeln“ des Internets vertraut
Trotz regelmäßiger Informationen über Datenschutz und Sicherheit bewegen sich viele immer noch relativ unbedarft im Netz. Infolgedessen können die Betrüger dieses „Halbwissen“ schamlos ausnützen, indem sie die Empfänger verunsichern und mit Konsequenzen für die angebliche oder in manchen Fällen sogar existierende „Nachlässigkeit“ drohen.
Grundsätzlich gilt …
- Hinterfrage den Inhalt der E-Mails, lass sich nicht verunsichern und gerate nicht in Panik. Kein Problem kann so gravierend sein, dass du ohne Überprüfung des Sachverhalts / der Plausibilität sofort in Aktion treten musst.
- Seriöse Unternehmen, egal ob Online-Shops, Banken o. ä., versenden keine Verifizierungs-Nachrichten ohne vorangegangene Aktionen deinerseits. Hast du beispielsweise auf der Website eines Unternehmens dein Passwort geändert, so erhältst du eine Verifizierungs-E-Mail. Diese erreicht dich aber in direktem zeitlichen Zusammenhang zu deiner Aktion. Der Link führt dich sofort zurück auf die Seite, auf der du die Änderung vorgenommen hast und verlangt dort keine erneute Eingabe deiner Daten.
- Sollten beispielsweise echte Probleme bei diesen Unternehmen auftreten, so wirst du darüber informiert – manchmal zwar auch mit Link, aber immer ohne Drohung. Anschließend besuchst du direkt die Website des Unternehmens. Dort erhältst du gegebenenfalls die(selben) Hinweise, was zu tun ist.
- Seriöse Unternehmen verlangen niemals die Eingabe von persönlichen Daten oder kompletten Bankdaten via E-Mail bzw. Messenger!
Und zu guter Letzt, informiere dich z. B. auf meiner Webseite über die aktuellen Phishing- und Erpresser-E-Mails sowie gefälschte Textnachrichten.
Weiterlesen – Spams
Seite 1 | Warnungen vor Phishing
Seite 2 | Spezielle Phishing Versuche
Seite 4 | Informationen zu Spams