Phishing und Spams | Aktuelle Warnungen vor Identitätsdiebstahl

Informationen über aktuell kursierende Phishing- und Erpressungsversuche mittels E-Mail, SMS, … sowie Erläuterungen zu Phishing und Spams.

Phishing Warnungen - eb Webdesign

Phishing – Informationen und Tipps

Inhalt
  • Was ist Phishing?
    • Täter und Opfer
    • Sensible Daten
    • Phishing – Methoden
  • Erkennen von Phishing-Versuchen
    • Absender von Phishing E-Mails
    • Inhalt der Phishing E-Mails
    • Erscheinungsbild von Phishing E-Mails
    • Webseiten
  • Was sollten Sie tun?
    • Phishing vorbeugen
    • Grundsätzlich gilt …
  • Phishing und Spams – Teil 1, 2 und 4

Was ist Phishing?

Die Bezeichnung Phishing ist tatsächlich von dem Wort Fischen / Angeln (engl. fishing) abgeleitet. Das Ersetzen des f im Ursprungswort durch ph ist eine in Computer-Kreisen beliebte Angewohnheit.

Nur dient das Fischen in diesem Fall nicht dem Fangen von im Wasser lebenden Tieren. Sondern beim Phishing geht es um sensible Daten. Jedoch ist das Ziel in beiden Fällen, mit dem Fang Geld zu verdienen. Wobei der Missbrauch und der Verkauf von Daten heute lukrativer ist, als der Handel mit Nahrungsmitteln.

Täter und Opfer

Die Täter oder Urheber des Phishings sind Betrüger, die vorgeben im Auftrag seriöser Unternehmen zu handeln. Hierzu kopieren sie u. a. die Logos der Firmen, um ihre Phishing E-Mails, Kurznachrichten oder gefälschten Webseiten möglichst authentisch erscheinen zu lassen.

Zum Opfer von Phishing kann jeder werden,

… der E-Mail-Dienste oder Messenger nutzt, sich im Internet bewegt und/oder telefonisch erreichtbar ist.

Sensible Daten

Beim Phishing gilt das Interesse der Kriminellen i. d. R. folgenden Informationen:

  • Zugangsdaten zu E-Mails-Diensten / Messenger-Services / Cloud-Computing
  • Namen und Passwörter für Online-Banking / Online-Brokerage
  • Nutzernamen, Passwörter, Adressen, Konto- und Kreditkartendaten im Online-Handel
  • Allen Daten aus elektronischen Steuerklärungen
  • Firmen-Informationen für den Zugriff auf Firmeninterna

Sind die Betrüger einmal in den Besitz persönlicher Daten gelangt,

… können sie beispielsweise auf Bankkonten der Opfer zugreifen oder Konten sperren. Darüber hinaus verkaufen sie die Informationen weiter und ermöglichen damit anderen einen weiteren Missbrauch. Über eingeschleuste Schadsoftware haben sie zudem die Möglichkeit, dauerhaft noch mehr Daten abzugreifen.

Phishing – Methoden

Am häufigsten erfolgt Phishing über der Versand von E-Mails. Eingebettet in eine mehr oder weniger phantasievolle Erläuterung des besonderen Anlasses für die Benachrichtigung finden Sie einen Link oder Button. Diesen sollen Sie zur Verifizierung oder Überprüfung Ihrer persönlichen Daten anklicken. Eine andere Variante ist die Aufforderung zum Herunterladen einer angehängten Datei.

Phishing Links bei Kurznachrichten-Diensten sind häufig in Gewinnspiele oder Videos eingebettet.

Wann ist Phishing erfolgreich?

Sobald Sie den Link, Button bzw. das Video anklicken oder den Anhang öffnen, hat der Betrüger sein Ziel erreicht. Selbst wenn Sie anschließend die Eingabe Ihrer persönlichen Daten verweigern, haben Sie u. U. bereits mit dem Öffnen des Anhangs oder der verlinkten Webseite unbemerkt Schadsoftware installiert. Letzteres passiert besonders häufig auf (Android-)Smartphones sowie Computern mit Windows-Betriebssystem.

Erkennen von Phishing-Versuchen

Unabhängig davon, ob es sich um Benachrichtigungen per E-Mail / Messenger oder um gefälschte Webseiten handelt, erkennen Sie Phishing i. d. R. an folgenden Auffälligkeiten:

Absender von Phishing E-Mails

Die Absendeadresse unterscheidet sich beim Phishing manchmal nur geringfügig von der tatsächlichen Unternehmens-E-Mail-Adresse. Einerseits sollten Sie auf den (Provider-)Namen hinter dem @-Zeichen achten. Denn dieser verweist bei Phishing E-Mails oft nicht auf den Server des echten Unternehmens, sondern auf einen fremden Provider. Manchaml weicht er aber auch nur geringfügig von der echten Domain des Unternehmens ab. Andererseits liefert (bei besonders „schlecht gemachten“ Phishing-E-Mails auch der Name vor dem @-Zeichen schon einen Hinweis. Vor allem wenn er sich aus Vor- / Phantasienamen und einer Ziffernkombination zusammensetzt, was kein seriöses Unternehmen für seine Mitarbeiter benutzen würde.

Allerdings zeigen die meisten Mail-Clients nur eine Kurzform / den ersten Teil der Adresse an. Um den kompletten Absender zu sehen, klicken Sie entweder auf diese Kurzform oder auf den Pfeil rechts daneben. Das abgebildete Beispiel ist zwar eine Spam-E-Mail, dasselbe Prinzip gilt jedoch auch für Phishing-E-Mails!

eb Webdesign - Phishing und Spams
Anzeigen der tatsächlichen Absende-E-Mail-Adresse

Inhalt der Phishing E-Mails

  • Sofern eine Anrede vorhanden ist, ist diese unpersönlich. Verwendung der Du-Form auch bei Unternehmen, die Sie normalerweise siezen oder Wechsel zwischen Du und Sie innerhalb einer E-Mail.
  • Die Erläuterung ist bei genauem Lesen nicht wirklich plausibel und entspricht nicht dem Stil des echten Unternehmens.
  • Sie zielt darauf ab, Sie zu verunsichern und
  • ist mit einer Drohung verbunden: Wenn Sie sich nicht bis zum … melden, müssen Sie eine Gebühr bezahlen, um eine Sperrung oder Löschung Ihres Kontos zu vermeiden.
  • Insbesondere Kurznachrichten versprechen, dass Ihnen nach dem Anklicken ein Gewinn sicher ist.
  • Unterschrift, Funktion des Schreibers und Firmenangaben fehlen, sind unvollständig, nur teilweise korrekt oder frei erfunden.

Vorsicht auch bei der sichtbaren Bezeichnung (URL) von Links. Was Sie sehen muss nicht automatisch dem entsprechen, was dahinter verborgen ist. Denn der Urheber kann Verlinkungen einen beliebigen „Klarnamen“ geben. Anschließend sehen Sie als Leser die tatsächliche URL erst, wenn sich der Link im Browser öffnet.

Beispiel:
In der E-Mail erscheint der Link https:// help .paypal .com. Nachdem Sie auf den Link geklickt haben, landen Sie jedoch auf der Seite http:// give -me -your -data .com o. ä. (fiktives Beispiel). Und dann sind Sie schon in die Falle getappt.

Erscheinungsbild von Phishing E-Mails

  • Alarmieren der Leser durch Wörter wie „… gesperrt, begrenzt, eingeschränkt …“
  • Das Schriftbild ist ungleichmäßig und von schlechter Qualität.
  • Innerhalb von Wörtern erscheinen einzelne Buchstaben in einer anderen Schriftart (oft kyrillisch).
  • Manche Buchstaben, vor allem Umlaute, sind durch andere Zeichen ersetzt oder es fehlen die „Pünktchen“.
  • Satzkonstruktionen und Kommasetzung entsprechen nicht dem deutschen Sprachgebrauch (evtl. unprofessionelle Übersetzung).
  • Überdurchschnittlich viele Rechtschreibfehler, die sich nicht mit fehlerhafter Autokorrektur oder Flüchtigkeit erklären lassen.

Webseiten

  • Die URL (Adresszeile) enthält Zusätze, die bei der echten Seite nicht vorhanden sind.
  • Sie beginnt zwar mit https://, es gibt jedoch kein oder nur ein gefälschtes / ungültiges Sicherheits-Zertifikat.
  • Die Webseite zeigt keinen Inhalt außer einem Eingabefeld für Ihre Daten oder für eine TAN.
  • Das Design entspricht im Gesamtbild oder auch nur einzelnen Details nicht der Gestaltung der Originalseite (Header, Logo, Farben, etc.).
Phishing - Seperator

Was sollten Sie tun?

Misstrauisch werden, wenn Sie eine Benachrichtigung …

  • von einem Unternehmen erhalten, dass Sie nicht kennen,
  • Aussehen und Formulierung der E-Mail nicht dem entspricht, was Sie von E-Mails des genannten Unternehmens gewohnt sind,
  • der Inhalt sich nicht logisch nachvollziehen lässt oder kein Zusammenhang mit Ihren aktuellen Interaktionen mit diesem Unternehmen besteht.

Falls Sie unsicher sind, ob es sich um Phishing handelt, sehen Sie sich immer den Absender (die genaue Adresse und nicht nur den offen gezeigten Namen) genau an.

  • Vergleichen Sie ihn ggfs. mit dem früherer E-Mails des echten Unternehmens.
  • Besuchen Sie im Zweifelsfall direkt die Homepage des jeweiligen Unternehmens.
  • Schauen Sie nach, ob es dort irgendwelche Hinweise auf das in der E-Mail geschilderte Problem gibt.
  • Vergleichen Sie die Angaben im Impressum des echten Unternehmens mit den Angaben in der E-Mail. Das ist nicht immer eindeutig, weil manche Urheber inzwischen recht gut kopieren oder abschreiben können.

Öffnen Sie auf keinen Fall Änhänge

… von fragwürdigen E-Mails oder solchen, deren Absender Sie nicht kennen bzw. von dem Sie keine Anhänge erwarten und laden Sie diese nicht herunter. Insbesondere in Word- und Excel-Dateien kann Schadsoftware enthalten sein. Außerdem sollten Sie natürlich auch keine Links / Buttons / Videos in Nachrichten unbekannter (nicht vertrauenswürdiger) Absender anklicken.

Phishing vorbeugen

Machen Sie es den Urhebern von Phishing E-Mails etc. nicht zu einfach. Denn oft spielt den Betrügern in die Hände, dass

  • aufgrund der Vielzahl von täglichen E-Mails nicht jede einzelne aufmerksam gelesen wird,
  • das Anklicken von Links und Buttons zur Gewohnheit geworden ist
  • und das Versprechen eines Gewinns einen zusätzlichen Anreiz schafft
  • oder Sie sich durch die massive Warnung vor Nachteilen für Sie unter Druck gesetzt fühlen.

Einerseits haben Sie die Möglichkeit, solche E-Mails als Spam zu markieren oder auf die Blacklist zu setzen. Bei Kurznachrichten können Sie den Absender blockieren. Leider zeigen diese beiden Maßnahmen nur eingeschränkt Wirkung, da sich die Absendeadressen oder Telefonnumern bei Kurznachrichten ständig ändern. Andererseits bringen einige gute Sicherheits-Programme für den PC auch einen Phishing-Schutz mit. Dieser ist aus o. g. Gründen jedoch ebenfalls nicht 100 %-ig zuverlässig.

Machen Sie sich mit den „Spielregeln“ des Internets vertraut

Trotz regelmäßiger Informationen über Datenschutz und Sicherheit bewegen sich viele immer noch relativ unbedarft im Netz. Infolgedessen können die Betrüger dieses „Halbwissen“ schamlos ausnützen, indem sie die Empfänger verunsichern und mit Konsequenzen für die „Nachlässigkeit“ drohen.

Grundsätzlich gilt …

  • Hinterfragen Sie den Inhalt der E-Mails, lassen Sie sich nicht verunsichern und geraten Sie nicht in Panik. Kein Problem kann so gravierend sein, dass Sie ohne Überprüfung des Sachverhalts / der Plausibilität sofort in Aktion treten müssen.
  • Seriöse Unternehmen, egal ob Online-Shops, Banken o. ä., versenden keine Verifizierungs-Nachrichten ohne vorangegangene Aktionen Ihrerseits. Haben Sie beispielsweise auf der Homepage eines Unternehmens Ihr Passwort geändert, so erhalten Sie eine Verifizierungs-E-Mail. Diese erreicht Sie aber in direktem zeitlichen Zusammenhang zu Ihrer Aktion. Sie führt Sie sofort zurück auf die Seite, auf der Sie die Änderung vorgenommen haben und verlangt dort keine erneute Eingabe Ihrer Daten.
  • Sollten beispielsweise echte Probleme bei diesen Unternehmen auftreten, so werden Sie darüber informiert – manchmal zwar auch mit Link, aber immer ohne Drohung. Anschließend besuchen Sie direkt die Homepage des Unternehmens. Dort erhalten Sie gegebenenfalls die(selben) Hinweise, was zu tun ist.
  • Seriöse Unternehmen verlangen niemals die Eingabe von persönlichen Daten oder kompletten Bankdaten via E-Mail bzw. Messenger!

Und zu guter Letzt, informieren Sie sich z. B. auf meiner Webseite über die aktuellen Phishing- und Erpresser-E-Mails sowie gefälschte Textnachrichten.

Phishing und Spams – Teil 1, 2 und 4

Teil 1 | Warnungen vor Phishing

Teil 2 | Spezielle Phishing Versuche

Teil 4 | Informationen zu Spams

Lesen Sie weiter

GenerateBlocks Tutorial - eb Webdesign

GenerateBlocks Tutorial | 9 geniale Blöcke für WordPress

GenerateBlocks erweitert die Gestaltungsoptionen ohne den Code einer Website aufzublähen. Sind die überdimensionierten Page Builder damit endlich überflüssig?