Momentan laufen mal wieder einige Phishing-Wellen durch's Internet. Daher möchte ich einmal dieses Sicherheitsthema aufgreifen. Phishing ist der Versuch von Kriminellen, an Benutzeranmeldedaten heranzukommen. Was steckt dahinter, was sollte ich wissen, was kann ich dagegen tun?
Anzeige
Phishing ist ein Kunstwort, zusammengesetzt aus den Wörtern "Passwort" und "Fishing" – also so etwas wie Passwörter fischen. Unter dem Begriff Phishing versteht man also alle Versuche, mit denen Kriminelle an Benutzerdaten samt Kennwörtern von Benutzerkonten (Bankkonto, E-Mail-Konto, Amazon-Konto etc.) heranzukommen versuchen.
Dabei kommen vielfältige, als Social Engineering bezeichnete, Techniken zum Einsatz. Ein simpler Ansatz besteht darin, in einer Mail anzufragen "Hallo, wir haben Probleme mit der Kontenanmeldung. Kannst Du uns mal dein Kennwort leihen". Wenn die von einem vermeintlichen Kollegen kommt, gehen Menschen darauf ein. Das ist die Ausnutzung der Hilfsbereitschaft.
Phishing, was steckt dahinter
Phishing-Versuche zielen oft auf Bankkunden ab. Dort wird mit Ängsten gespielt (Botschaft: es ist unberechtigt Geld von ihrem Konto abgebucht worden, Sie müssen reagieren). Hier ist es das Ziel, die Kontenzugangsdaten (und möglicherweise TANs) für das Bankkonto zu erbeuten. Im Februar 2014 hatte ich im Artikel vor einem Phishing-Angriff auf Sparkassenkunden beispielsweise vor einem recht gut gemachten Angriff auf Sparkassenkunden gewarnt, der per Mail wahllos verschickt wurde. Folgendes Foto zeigt die Pishing-Mail.
Der Text enthält eine Nachricht, die dem Empfänger suggeriert, dass er sofort etwas unternehmen muss, wenn er weiter auf sein Bankkonto zugreifen will. Im Text gibt es nur kleine, sprachliche Schnitzer und Schreibfehler, die möglicherweise nicht jedem Leser auffallen. Zudem kommt die E-Mail mit Bildern vom Internetauftritt der Sparkasse daher. Das sieht alles vertrauenserweckend aus. Die Betrüger gaukeln vor, dass das Online-Konto (bald) gesperrt sei und man sich an der Webseite anmelden müsse, um weiter auf das Konto zuzugreifen.
Was passiert bei Anwahl der Phishing-Links?
Zeigt man im Fenster des E-Mail-Programms auf den angegebenen Link, lässt sich in obigem Bild in der Fußzeile schon erkennen, dass das Verweisziel nicht auf eine Sparkassenseite, sondern auf eine gänzlich andere Seite zeigt. Wem dies nicht auffällt, landet auf einer recht "offiziell" aussehenden (aber gefälschten) "Sparkassenseite".
Dort werden jede Menge persönliche Daten abgefragt. Gibt der Konteninhaber diese Daten ein und klickt auf Senden, gehen diese Daten direkt an die Kriminellen. Diese können sich anschließend mit den Daten am Konto anmelden. Alleine die Benutzerdaten können für kriminelle Zwecke bereits Gold wert sein (Stichwort: Identitätsdiebstahl, wo Dritte mit Name, Adresse, Geburtsdatum und Kreditkartennummer Online-Konten eröffnen und Waren bestellen). Werden noch TANs erbeutet, können die Kriminellen auch Gelder vom Konto abbuchen.
Phishing hat Erfolg!
Anzeige
Ich habe es im Blog-Beitrag Neue Phishing-Welle – und die Phisher haben wohl Erfolg bereits angesprochen: Die Phishing-Angriffe haben Erfolg. Eine kürzlich durch Google veröffentlichte Studie (PDF) zeigt, dass 14 % der Besucher auf Phishing hereinfallen. Und die Webseite heise.de hat kürzlich den Beitrag Spearphishing: Jeder Fünfte geht in die Falle veröffentlicht. Fazit: Computernutzer sind gutgläubig und ein Rabattversprechen reicht, um Passwörter und Zugangsdaten abzugreifen. Zudem gelangen Betrüger immer leichter über Informationsquellen wie Facebook & Co. an persönliche Daten ihrer Opfer. Diese lassen sich dann in Phishing-Angriffen nutzen. Eine Mail von einer guten Facebook-Bekanntschaft kann dann einen Vertrauensbonus haben und der Empfänger ist weniger kritisch.
Was kann ich gegen Phishing tun?
Die Frage, die sich stellt: Gibt es Möglichkeiten, sich gegen Phishing-Mails zu wehren? Die konkrete Antwort lautet Nein – oft generieren Cyber-Kriminelle E-Mail-Postfachnamen nach dem Zufallsprinzip, indem ein populärer E-Mail-Anbieter wie web.de genommen wird. Dann setzt man einfach Familien oder Vornamen, ggf. noch mit 1, 2, 3 dahinter in die Adresse ein. So erreicht man Nutzer, die unter Braun@web.de, Braun1@web.de etc. zu finden sind. Weiterhin sind Foren, Webseiten, Gewinnspiele etc. Fundgruben, um an gültige E-Mail-Adressen heran zu kommen. Manchmal werden auch Computer gehackt, um an die E-Mails zu kommen. Mein IT-Blog ist voll von Meldungen über Millionen geklauter E-Mail-Adressen (siehe z.B. BSI informiert über den Identitätsdiebstahl von 18 Mio E-Mail-Adressen). Was muss ich nun beachten?
- Unterstützt das E-Mail-Programm oder der E-Mail-Anbieter einen Phishing- oder Junk-E-Mail-Filter, sollten Sie diesen auch nutzen.
- Erhält man eine Phishing-Mail, sollte man sich keinesfalls beschweren und die Unterlassung weiterer E-Mail-Aussendungen fordern. Das zeigt den Kriminellen im schlimmsten Fall, dass die Mail-Adresse in Betrieb ist.
- Erkennen Sie eine Phishing-Mail auf den ersten Blick (Schreibfehler, kein Konto bei der Bank etc.), löschen Sie dieses ungelesen. Machen Sie sich klar, dass keine Bank und kein Online-Anbieter Sie per E-Mail nach Anmeldedaten fragt.
- Oft wird beim Zeigen auf einen Hyperlink die wahre Adresse in der Fußzeile des E-Mail-Programms angezeigt. Wenn dort statt sparkasse.de oder ähnliches etwas wie postbank.kriminell.com/www.postbank.de steht, sollten alle Alarmglocken klingeln. Dann ist das ein Phishing-Versuch.
- Geben im Zweifelsfall die Ihnen bekannte Webseitenadresse einer Bank per Tastatur selbst ein, um sich an deren Bankseiten einzubuchen. Solange ihr Rechner nicht mit einem Trojaner infiziert ist, der die Tastatureingaben mitschreibt, sollte das manuelle Anmelden bei der Bank sicher sein.
- Rufen Sie bei Zweifeln ihre Bank an und klären Sie das Anliegen, welches in der (Phinging-)Mail genannt wird, telefonisch. Meist stellt sich dann heraus, dass die Bank nichts mit der Mail zu tun hat.
Ist die Phishing-Webseite bereits bekannt, sperren die Browserhersteller den Aufruf über Browserfilter. Die hier gezeigten Fotos verdeutlichen dies zwar. Man kann sich aber nicht darauf verlassen.
Das Einzige, was einem als Schutz vor Phishing-Versuchen bleibt: Wachsam bleiben, ein gewisses Misstrauen an den Tag legen und den Verstand einsetzen. Bisher konnte ich damit noch alle Phishing-Versuche leicht erkennen und ins Leere laufen lassen. Die oben zitierten Studien zeigen aber, dass nicht alle Menschen so sorgfältig reagieren und durchaus auf Betrugsversuche hereinfallen.
Ähnliche Artikel:
Warnung: Betrüger geben sich telefonisch als Microsoft-Mitarbeiter aus
Phishing-Angriff auf Sparkassenkunden
Phishing-Angriff auf Spar-, Volks- und Raiffeisenbank-Kunden
Phishing-Angriff auf Apple-Nutzer
Anzeige
Ich freue mich, dass Du dieses Thema auch auf dieser Seite ansprichst. Ich habe diesen Artikel auf Win-Blog gelesen und mir standen damals die Haare zu Berge. Nun, eine gesunde Vorsicht ist geboten, aber Menschen in unserem Alter sind doch teilweise damit überfordert, weil sie sich zu wenig damit auskennen. Mit einer Erklärung, wie man an diese Sache richtig herangeht, nimmt man die Angst vor der neuen Technik und gibt Sicherheit.
Du bist damit auf einem sehr guten Weg.
fred59
niemals voreilig auf einen Link/Anhang klickern, dann kann nichts passieren
Im Zweifel lieber bei Bekannten, Foren nachfragen bzw. bei dem mutmaßlichen Anbieter (bspw. der Bank) – hier jedoch nur direkt bei seinem persönlichen Berater den man ja kennt.
Nicht nur "Banken" werden hierfür gern verwendet, sondern auch Versender, Telekommunikationsanbieter usw. (phishing oder Virus/Anhänge)