Online-Betrug mit Phishing – So erkennen und schützen sich gegen Phishing-Angriffe

Phishing-Angriffe gehören zum Online-Alltag. Jeder Internetnutzer musste die meist nervigen Betrugsversuche bereits erdulden, manche Spam-Ordner quellen förmlich über vor plumpen Phishing-Versuchen. So lästig die meist falsch formulierten Nachrichten sind, so gefährlich können sie für einzelne Personen sein. Wie Sie Phishing-Angriffe sicher erkennen und sich effektiv dagegen schützen können, erfahren Sie in diesem Beitrag.

Was ist Phishing?

Das Wort selbst ist eine Zusammensetzung der englischen Worte Password Harvesting (Passwort-Sammeln) und Fishing (Angeln). Es beschreibt bildlich sehr gut das allgemeine Vorgehen von Internetbetrügern: Mit einem Köder wird nach Passwörtern und anderen sensiblen Daten geangelt.¹

Phishing ist also der Versuch von Cyber-Kriminellen, Passwörter, Pins und andere sensible Daten von gutgläubigen Internetnutzern zu stehlen. Das Vorgehen ist dabei immer das Gleiche: Kriminelle versenden täuschend echt wirkende E-Mails oder verweisen auf Website-Kopien von bekannten und vertrauenswürdigen Unternehmen wie Banken, Zahlungsdienstleister oder Onlineshops. Hier werden getäuschte Nutzer aufgefordert, Ihre Zugangsdaten einzugeben – meistens unter dem Vorwand, ein kritisches Sicherheitsproblem zu beheben.

Das Ziel hinter solchen Phishing-Attacken ist simpel. Mit den ergaunerten Zugangsdaten zum Online-Banking werden Konten geplündert oder weitere Informationen wie Dokumente geklaut, um einen direkten Angriff gegen eine Person zu unternehmen. So geschehen etwa im US-Wahlkampf 2016, als die Google-Konten von Demokraten über Phishing-Angriffe gehackt wurden.

Phishing-Varianten

Um mit potentiellen Opfern in Kontakt zu treten, versenden Betrüger Lock-Nachrichten oder erstellen eine täuschend echte Kopie einer bekannten Website. Die Opfer sollen glauben, mit dem echten Unternehmen zu kommunizieren und so bereitwillig ihre Daten preiszugeben.

E-Mail

Die häufigste Variante sind Phishing-E-Mails. Sie sind meist plumpe Nachrichten, die ein Sicherheitsproblem mit dem Nutzerkonto bei Google, PayPal oder der Hausbank melden. Die Opfer werden aufgefordert, sich sofort unter dem mitgesendeten Link anzumelden, um ihre Identität zu bestätigen. Auch Zahlungsaufforderungen mit Anhängen werden häufig verschickt.

Website

In seltenen Fällen existieren Phishing-Webseiten für sich allein. Meistens sind sie Zielseiten von E-Mail-Links, die den Internetauftritt eines bekannten Unternehmens nachahmen. Oft sind diese gefälschten Seiten so gut, dass sie nur anhand einer Abweichung in der Web-Adresse zu erkennen sind. Opfer werden zu einem Formular geleitet, in das die sensiblen Daten eingegeben werden sollen.

SMS

Etwas seltener wird die SMS-Variante genutzt. Dabei wird eine Kurznachricht mit einer Abo-Bestätigung versendet. Auch eine Webadresse zur Abmeldung wird genannt, doch mit einem Klick auf den Link wird nur ein Trojaner installiert, der sensible Daten abfängt und an die Cyber-Kriminellen weiterleitet.

Wie erkennt man Phishing-Angriffe?

Die Vorgehensweise ist immer die gleiche. Empfangen auch Sie dubiose Nachrichten von scheinbar bekannten Unternehmen, sollten Sie sich immer erst die E-Mail-Adresse des Senders bzw. den Domain-Namen der Website genauer ansehen. Enthalten sie kryptische Buchstaben- und Zahlenfolgen oder wirkt die Adresse unvollständig oder falsch geschrieben, sollten Sie die Nachricht sofort löschen bzw. die Website sofort verlassen. Es gibt noch weitere Anhaltspunkte, anhand derer Sie Phishing-Angriffe erkennen können:

• Die Nachricht kommt scheinbar von großem Web-Unternehmen wie PayPal, Deutsche Bank oder Google
• Die Anrede ist jedoch unpersönlich („Sehr geehrter Kunde“)
• Der Text enthält häufige Rechtschreibfehler, Fehler durch wortwörtliche Übersetzung, einen Mix aus mehreren Sprachen oder ist gänzlich in Englisch formuliert
• Der Text selbst ist falsch kodiert und enthält dadurch fehlerhafte Darstellungen von Sonderzeichen (Ä, Ö, Ü, ê)
• Der Link zu einer Zielseite ist gar keine URL des echten Unternehmens oder weicht davon stark ab
• Sie werden aufgefordert, direkt über die E-Mail persönliche Daten wie PIN oder Passwort einzugeben

So schützen Sie sich gegen Phishing-Angriffe

Der Online-Betrug mit Phishing ist in erster Linie nervig. Sobald man das dahinterliegende Muster erkannt hat, erkennt man Phishing-Mails sehr schnell. Sie können sich zwar nicht gänzlich vor Phishing-Angriffe schützen, doch mit einigen Schutzmaßnahmen die Flut zumindest sehr gut eindämmen.

Allen voran ist die richtige Verhaltensweise im Internet der beste Schutz vor Phishing. Dazu gehört, dass Sie

• keine E-Mails öffnen, die einen merkwürdigen Absender oder E-Mail-Adresse haben.
• keine in der Nachricht enthaltenen Links anklicken.
• niemals persönliche Daten preisgeben. Seriöse Unternehmen werden Sie niemals dazu auffordern.
• Login-Seiten immer direkt über Ihren Browser aufrufen.
• Die Webadresse in der Adresszeile Ihres Browsers auf Echtheit prüfen

Daneben können Sie sich auch mit technischen Maßnahmen gegen den Online-Betrug mit Phishing schützen. Viele Nachrichten werden anhand bekannter Merkmale direkt von Ihrem E-Mail-Programm als Spams markiert oder von Ihrem Antivirus-Programm erkannt und blockiert. Zusätzlich sollten Sie die HTML-Darstellung von E-Mails grundsätzlich unterbinden und nur für vertrauenswürdige Absender individuell zulassen.

Was können Sie tun, wenn Sie in einer Phishing-Mail auf einen Link geklickt oder einen Anhang geöffnet haben?

Wenn Sie die Mail nur geöffnet haben, brauchen Sie sich noch keine Gedanken zu machen. Wenn Sie allerdings auf einen Link geklickt oder einen Anhang geöffnet haben, dann könnte Ihr Smartphone oder PC von einer Schadsoftware infiziert worden sein. Lassen Sie Ihr Smartphone oder PC von einer Antivirensoftware überprüfen. Wenn Sie auf Nummer sicher gehen wollen, können Sie Ihre Passwörter z.B. zum Online-Banking oder Paypal ändern. Sofern nicht geklärt ist, ob Ihr Handy oder PC einen Virus hat, empfehlen wir Ihnen keine Logins weiterhin über dieses Gerät zu verwalten.

¹ Definition von Wikipedia zum Phishing