Phishing-Nachrichten, verschickt mit der Absicht zum Online-Betrug, gehören leider zu den Schattenseiten des Internet. Kaum ein Internetnutzer, dessen Postfach wöchentlich nicht mindestens eine dieser Mails erhält. Was steckt dahinter, wie erkenne ich Phishing-Versuche und wie schütze ich mich?
Anzeige
Erfahrene Anwender fallen eigentlich nicht mehr auf solche Versuche herein. Aber hier im Blog kommen auch Endanwender vorbei, die sich möglicherweise schwerer mit dem Thema tun. Daher nochmals ein Beitrag rund um das Thema.
Phishing ist ein Kunstwort, zusammengesetzt aus den Wörtern "Passwort" und "Fishing" – also so etwas wie Passwörter fischen. Unter dem Begriff Phishing versteht man also alle Versuche, mit denen Kriminelle an Benutzerdaten samt Kennwörtern von Benutzerkonten (Bankkonto, E-Mail-Konto, Amazon-Konto etc.) heranzukommen versuchen. Es geht darum, vom Empfänger der Phishing-Mail persönliche Anmeldeinformationen zu den betreffenden Konten zu erlangen. Diese Daten lassen sich anschließend zur Übernahme des Kontos oder zum Identitätsdiebstahl verwenden (wenn viele Daten des Empfängers bekannt sind, können die Kriminellen beispielsweise Waren im Namen des Opfers bestellen).
Phishing zielt oft auf Bankkunden ab
Phishing-Mails zielen oft auf Bankkunden, um diesen die Zugangsdaten zum Konto abzuluchsen. Dabei wird mit den Ängsten der Empfänger gespielt. Ein simpler Ansatz besteht darin, in einer Mail anzufragen
'Sehr geehrter xxxx,
wir haben eine verdächtige Transaktion auf ihrem Konto festgestellt. Es wurden xxxx Euro abgebucht.Bitte melden Sie sich hier an, und bestätigen Sie, dass diese Abbuchung korrekt ist oder teilen Sie uns mit, wenn ein Fehler vorliegt'.
Natürlich liefern die Gauner einen Anmelde-Link mit, der zu einer gefälschten Anmeldeseite führt. Ziel ist in allen Fällen, dass der unvorsichtige Empfänger der Phishing-Mail dort seine Zugangsdaten eingibt, die die Cyber-Kriminellen dann mitlesen und für eigene Zwecke verwenden. Auf diese Ansätze bin ich vor längerem schon mal drüben im 50+-Blog in meinem Beitrag Phishing – das sollten Sie wissen eingegangen. Aber ein paar zusammenfassende und ergänzende Informationen sowie Details wären nicht schlecht.
Anzeige
Phishing hat Erfolg!
Laut dem (englischsprachigen) Beitrag des Antivirus-Anbieters Kaspersky sind 28 % der Phishing-Angriffe erfolgreich. Der durch Cyberkriminalität jährlich in Deutschland verursache Schaden wird zwischen 40 bis 70 Millionen Euro geschätzt. Zwischen 2010 und 2015 wurden in Deutschland 30.752 Phishing-Fälle im Online-Banking registriert. Dies geht aus dem nachfolgend abrufbaren Diagramm, welches mir von der Seite betrugstest.com bereitgestellt wurde, hervor.
Zum vergrößern hier klicken (via www.betrugstest.com)
Die Seite erklärt übrigens auch das Prinzip des Phishing und erläutert, wie man sich gegen Phishing schützen kann. Es gilt, aufmerksam zu bleiben, wenn eine Phishing-Mail zugestellt wird. Oft kann man an wenigen Merkmalen bereits sehr zuverlässig erkennen, dass es sich um Phishing handelt.
Phishing erkennen
Auf der obigen Seite wird am Beispiel einer Phishing-Mail für Sparkassenkunden für nicht so erfahrene Nutzer sehr schön aufgezeigt, wie die Phisher vorgehen und an was man Phishing-Mails erkennen kann (von schlechter Rechtschreibung, komischen Redewendungen und unpersönliche Anrede bis hin zu Links, die auf unbekannte Webseiten verweisen, ist alles dabei).
Allerdings stelle ich persönlich fest, dass die Phisher immer besser werden. Einige Male musste ich in letzter Zeit schon sehr genau prüfen, ob meine Vermutung, dass es eine Phishing-Mail ist, wirklich zutrifft.
Auf die Warnung des Browsers nicht verlassen
Browser und Mail-Programme sollten zwar Phishing-Seiten melden – was aber (nach meinen Erfahrungen) nicht immer klappt. Persönlich verlasse ich mich nicht auf die Warnung des Browsers oder des Mail-Programms. Aber selbst in Zweifelsfällen lässt sich an weiteren Merkmalen wie https-Verschlüsselung in der Webadresse oder der Webadresse selbst ein Phishing-Versuch erkennen. Nachfolgendes Bild zeigt eine eigentlich gut gemachte Phishing-Mail (wenn der Text auch an einigen Stellen etwas holprig ist – z.B. 'Für diesen Dienst ohne Unterbrechung fortzusetzen…').
Häufig hilft es, per Maus auf die in Phishing-Mails angegebenen Links oder Schaltflächen zu zeigen. Die Zieladresse des Links wird dann im Mail-Programm oder im Browser am unteren Fensterrand angezeigt (siehe obiges Bild). Und dort lässt sich dann schnell erkennen, ob der Link unter 'falscher Flagge' daher kommt und auf eine gänzlich andere Webseite verweist. Die Cyberkriminellen gehen dabei oft recht trickreich zur Verschleierung der URL vor. Die oben abrufbare Infografik führt einige typische Beispiele für die Verschleierung von Phishing-URLs auf.
Ich habe meine Daten doch eingegeben
Es ist niemals auszuschließen, dass jemand doch versehentlich seine Daten auf der Phishing-Webseite angegeben hat und das erst bemerkt, wenn es bereits zu spät ist. Dann heißt es handeln. Wenn 'das Kind in den Brunnen' gefallen ist, finden sich in der oben verlinkten Infografik einige Hinweise, was man tun kann (z.B. bei der Bank anrufen und das Konto sperren lassen). Wer die Merkmale eines Phishing-Angriffs kennt und vorbereitet ist, kann, mit etwas Vorsicht, eigentlich nicht auf so etwas hereinfallen.
Ähnliche Artikel:
Phishing – das sollten Sie wissen
Phishing-Angriff auf Spar-, Volks- und Raiffeisenbank-Kunden
Vorsicht: Neue PayPal-Phishing-Welle im anrollen …
Phishing-Mail: Steuererstattung vom Finanzamt
Vorsicht vor Amazon Phishing (April 2017)
Achtung: eBay-Phishing-Mails, Mahnungen mit Trojanern
Anzeige
Leider habe ich beim Thema Phishing die Erfahrung gemacht, dass ich Emails von Unternehmen, mit denen ich in Geschäftsbeziehung stehe oder stand, erhalten habe, deren Inhalt mir die Haare zu Berge stehen ließ. Denn in deren Text stand dann tatsächlich, dass ich mich auf einer verlinkten Seite einloggen solle. Ein unrühmliches Beispiel ist dazu leider Paypal. Ich habe diese Unternehmen nach Erhalt allesamt auf diesen Umstand aufmerksam gemacht.
Hier wird also den Phishern in die Hände gespielt. Der Stellenwert, den Emails außerhalb des Berufsfelds für mich haben, liegt mittlerweile bei knapp oberhalb von "Ablage PK". Es müsste dringend etwas daran getan werden, um das Medium Email entweder durch ein neues abgesichertes Format zu ersetzen oder zumindest mit einem Sicherheitsmechanismus zu erweitern (Verifikation der Authentizität). Leider fürchte ich, dass das nicht geschehen wird, denn dass das Medium Email den modernen Anforderungen nicht standhält, ist nicht erst seit gestern bekannt.
Mit den Unternehmensmails kann ich unterschreiben.
"modernen Anforderungen nicht standhält, ist nicht erst seit gestern bekannt"
Liegt aber in erster Linie auch mit daran, dass sowas (Sicherheit, Privatheit, etc.) bei der Entwicklung des Indernaetts aber sowas von überhaupt keine Rolle spielten.
Barrierefreie, schnelle Kommunikation. Nur darum gings. Mit damals noch langsamen Geräten. Alles, was verifiziert oder ähnliches hätte sollen-machen-können, war also erstmal nicht dabei.
Dass diese Kommunikationsmittel (email/Internet) iwann mal für geschäftliche und rechtliche Dinge herangezogen werden würden, war eher nicht angedacht, nie Teil des ganzen.
Man müsste det janze jetzt neu konstruieren. Was man vergessen kann, da in der Welt.
" Es müsste dringend etwas daran getan werden, um das Medium Email entweder durch ein neues abgesichertes Format zu ersetzen oder zumindest mit einem Sicherheitsmechanismus zu erweitern "
Pffft… gibts schon lange, macht nur keiner… weil der Aufwand sich vergrößert.
Das alles fängt schon mit PGP an. Selbst wenn du selbst diesen Aufwand betreibst, hilft es dir nix, wenn kaum einer mitspielt.
Wenns nicht simpel und direkt vom Ding her automatisch läuft, hat es keine Chance.
Sowas wie WhatsApp setzt sich statt dessen halt durch, außerdem verändert sich die Form der Kommunikation eh immer wieder. Alle "tollen" Messenger von damals sind heute tot und die Kids von heute können mit dem Begriff SMS kaum noch was anfangen.
Warum man den Hörer abnimmt und auflegt, erklärt sich denen eh schon lange nicht mehr…
Zu diesem Thema empfehle ich allen unerfahrenen Internetnutzern folgende Seite:
http://www.onlinewarnungen.de/warnungsticker/
fred59
Gott sei Dank habe ich seit geraumer Zeit ruhe von diesen Mails.
Einen Großteil filtert mir mein E-Mail Anbieter aus (posteo.de), den Rest filtert mir mein E-Mailprogramm aus. (eM Client).
Beide Helferlein kosten Geld. Das wird dann wohl mein Erfolg sein.
Vorher war ich bei web.de, gmx und Co und konnte mich vor Werbung, Spam und vor vor Phishing & Co kaum retten.
Mir ist bis heute ein rätsel, wie bestimmte Phishing E-Mails meinen Fake Namen in den jeweiligen Konten erfahren haben. Ich kann nur vermuten, das so mancher E-Mail Anbieter gehackt wurde und das große Tuch des Schweigens trüber gelegt wurde.
Erhält man solche E-Mails, nicht auf den Link klicken. Besser bei der entsprechenden Bank, Paypal usw. direkt anmelden. Ist wirklich irgendetwas nicht in Ordnung müsste das doch entsprechend angezeigt werden. Für Banking nutzt man am besten eine separate E-Mail Adresse oder einen E-Mail Alias. Die E-Mail Adresse bzw. der E-Mail Alias sollte auch nur hierfür verwendet werden. Damit kann das Aufkommen von Phishing reduziert werden.