Phishing | Identitätsdiebstahl erkennen und verhindern

Identitätsdiebstahl mittels Phishing ist eine sehr verbreitete Form der Cyberkriminalität. Allein in Deutschland war davon 2017 fast jeder zweite Internetnutzer betroffen. Der finanzielle Schaden lag bei insgesamt 2,2 Milliarden Euro.

Phishing
Illustration: eb / ebblogs

Phishing

Die Bezeichnung Phishing ist tatsächlich von dem Wort Fischen (engl. fishing) abgeleitet. Das Ersetzen des f im Ursprungswort durch ph ist eine in Computer-Kreisen beliebte Angewohnheit.

Grundsätzlich geht es dabei auch jeweils um dieselbe Tätigkeit. Nur dient das Fischen dem Fang von im Wasser lebenden Tieren, Phishing hingegen dem von sensiblen Daten. Damit hören die Gemeinsamkeiten jedoch nicht auf. In beiden Fällen ist das Ziel, mit den Produkten Geld zu verdienen. Wobei der Missbrauch und der Verkauf von Daten heute schon fast lukrativer ist, als der Handel mit Nahrungsmitteln.

Täter und Opfer

Die Täter sind Betrüger, die vorgeben im Auftrag seriöser Unternehmen zu handeln. Hierzu kopieren sie u. a. die Logos der Firmen, um ihre E-Mails, Kurznachrichten oder gefälschten Webseiten möglichst authentisch erscheinen zu lassen.

Zum Opfer kann jeder werden, der E-Mail-Dienste oder Messenger nutzt oder sich im Internet bewegt.

Sensible Daten

Das Interesse der Kriminellen gilt folgenden Informationen:

– Zugangsdaten zu E-Mails-Diensten / Messenger-Services / Cloud-Computing
– Namen und Passwörter für Online-Banking / Online-Brokerage
– Nutzernamen, Passwörter, Adressen, Konto- und Kreditkartendaten im Online-Handel
– Alle Daten aus elektronischen Steuerklärungen
– Firmen-Informationen für den Zugriff auf Firmeninterna.

Sind die Betrüger einmal in den Besitz persönlicher Daten gelangt, können sie beispielsweise auf Bankkonten der Opfer zugreifen oder Konten sperren. Darüber hinaus verkaufen sie die Informationen weiter und ermöglichen damit anderen einen weiteren Missbrauch.
Über eingeschleuste Schadsoftware haben sie zudem die Möglichkeit, dauerhaft noch mehr Daten abzugreifen.

Phishing-Methoden

Eine der häufigsten Wege ist der Versand von E-Mails. Eingebettet in eine Erläuterung des besonderen Anlasses für die Benachrichtigung findest du einen Link oder Button. Diesen sollst du zur Verifizierung oder Überprüfung deiner persönlichen Daten anklicken. Eine andere Variante ist die Aufforderung zum Herunterladen einer angehängten Datei.

Phishing-Links bei Kurznachrichten-Diensten sind meistens in Gewinnspiele oder Videos eingebettet.

Sobald du den Link, Button bzw. das Video anklickst oder den Anhang öffnest, hat der Betrüger sein Ziel erreicht. Selbst wenn du anschließend die Eingabe deiner persönlichen Daten verweigerst, hast du u. U. bereits mit Öffnen des Anhangs oder der verlinkten Webseite unbemerkt Schadsoftware installiert. Letzteres passiert vor allem auf Smartphones.

Unabhängig davon, ob es sich um Benachrichtigungen per E-Mail / Messenger oder um gefälschte Webseiten handelt, erkennst du Phishing Versuche i. d. R. an folgenden Auffälligkeiten:

Absender

Die Absendeadresse unterscheidet sich von der tatsächlichen Unternehmens-E-Mail-Adresse.

Die meisten Mail-Clients zeigen nur eine Kurzform an. Um den kompletten Absender zu sehen, klickst du entweder auf diese Kurzform oder auf den kleinen Pfeil rechts daneben.

Inhalt

› Sofern eine Anrede vorhanden ist, ist diese unpersönlich.
› Die Erläuterung ist bei genauem Lesen nicht wirklich plausibel und entspricht nicht dem Stil des echten Unternehmens.
› Sie zielt darauf ab, dich zu verunsichern und
› ist mit einer Drohung verbunden: Wenn du dich nicht bis zum … meldest, musst du eine Gebühr bezahlen oder dein Konto wird gesperrt bzw. gelöscht.
› Insbesondere Kurznachrichten versprechen, dass dir nach dem Anklicken ein Gewinn sicher ist.
› Unterschrift, Funktion des Schreibers und Firmenangaben fehlen, sind unvollständig, nur teilweise korrekt oder frei erfunden.

Erscheinungsbild

› Das Schriftbild ist ungleichmäßig und von schlechter Qualität.
› Innerhalb von Wörtern erscheinen einzelne Buchstaben in einer anderen Schriftart (oft kyrillisch).
› Manche Buchstaben, vor allem Umlaute, sind durch irgendwelche Zeichen ersetzt.
› Satzkonstruktionen und Kommasetzung entsprechen nicht dem deutschen Sprachgebrauch (evtl. unprofessionelle Übersetzung).
› Überdurchschnittlich viele Rechtschreibfehler, die sich nicht mit falscher Autokorrektur oder Flüchtigkeit erklären lassen.

Webseiten

› Die URL (Adresszeile) enthält Zusätze, die bei der echten Seite nicht vorhanden sind.
› Sie beginnt zwar mit https://, es gibt jedoch kein oder nur ein gefälschtes / ungültiges Sicherheits-Zertifikat.
› Die Webseite zeigt keinen Inhalt außer einem Eingabefeld für deine Daten oder für eine TAN.
› Das Design entspricht im Gesamtbild nicht dem der Originalseite (Header, Logo, Farben, etc.)

Was solltest du tun?

Misstrauisch werden, wenn du eine Benachrichtigung …

– von einem Unternehmen erhältst, dass du nicht kennst,
– Aussehen und Formulierung der E-Mail nicht dem entspricht, dass du von E-Mails des genannten Unternehmens gewohnt bist,
– der Inhalt sich nicht logisch nachvollziehen lässt oder kein Zusammenhang mit deinen aktuellen Interaktionen mit diesem Unternehmen besteht.

Aktuelle Warnungen vor Phishing-E-Mails mit Textausschnitten findest du immer Samstags auf meiner Nachrichtenseite.

Falls du unsicher bist, ob es sich um Phishing handelt, sieh dir immer den Absender genau an.
Vergleiche ihn ggfs. mit dem früherer E-Mails des echten Unternehmens.
Besuche im Zweifelsfall direkt die Homepage des jeweiligen Unternehmens.
Schaue nach, ob es dort irgendwelche Hinweise auf das in der E-Mail geschilderte Problem gibt.
Vergleiche die Angaben im Impressum mit den Angaben in der E-Mail.

Auf keinen Fall solltest du bei fragwürdigen E-Mails Anhänge öffnen oder herunterladen. Natürlich auch die Links / Buttons / Videos in Nachrichten unbekannter Absender nicht anklicken.

Darüber hinaus hast du die Möglichkeit, solche E-Mails als Spam zu markieren oder auf die Blacklist zu setzen. Bei Kurznachrichten kannst du den Absender blockieren. Leider zeigen diese beiden Maßnahmen nur eingeschränkt Wirkung, da sich die Absendeadressen ständig ändern.

Außerdem bringen einige gute Sicherheits-Programme für den PC auch einen Phishing-Schutz mit. Dieser ist aber aus o. g. Gründen ebenfalls nicht 100 %ig zuverlässig.

Grundsätzlich gilt …

Seriöse Unternehmen, egal ob Online-Shops, Banken o. ä., versenden keine Verifizierung-Nachrichten ohne vorangegangene Aktionen deinerseits. Sollten beispielsweise wirklich einmal Probleme bei diesen Unternehmen auftreten, so wirst du darüber informiert – ohne Link und ohne Drohung. Anschließend gehst du direkt auf die Homepage des Unternehmens. Dort erhältst du die Hinweise, was zu tun ist.

Diese Unternehmen verlangen niemals die Eingabe von persönlichen Daten via E-Mail oder Messenger!

Hast du beispielsweise auf der Homepage eines Unternehmens dein Passwort geändert, so erhältst du eine Verifizierung-E-Mail. Diese erreicht dich aber in direktem zeitlichen Zusammenhang zu deiner Aktion. Sie führt dich sofort zurück auf die Seite, auf der du Änderung vorgenommen hast und verlangt dort keine erneute Eingabe deiner Daten.

Fazit

Phishing ist eine lukrative Einnahmequelle für Cyber-Kriminelle geworden.
Da das Internet ein fester Bestandteil unseres Lebens ist, nutzen wir zahlreiche Portale, die den unterschiedlichsten Zwecken dienen. Bei vielen hinterlassen wir auch unsere persönlichen Daten. Damit steht den Betrügern potentiell eine Unmenge von Nutzerdaten zur Verfügung.

Das Problem ist nur das Herankommen an die Daten. Als relativ einfache und schnelle Methode hat sich Phishing erwiesen. Beispielsweise lassen sich E-Mails und Kurznachrichten in großer Menge mit einem Klick versenden. Unter den vielen Empfängern finden sich dann immer genügend, die darauf hereinfallen. Dabei spielt den Betrügern in die Hände, dass …

– aufgrund der Vielzahl von täglichen E-Mails nicht jede einzelne aufmerksam gelesen wird,
– das Anklicken von Links und Buttons zur Gewohnheit geworden ist
– und das Versprechen eines Gewinns einen zusätzlichen Anreiz schafft.

Außerdem tun sich einige Nutzer mit den „Spielregeln“ des Internets schwer. Obwohl sie immer wieder über Datenschutz und Sicherheit informiert werden, beschäftigen sie sich nicht wirklich damit. Das hat zur Folge, dass sie sich weiterhin relativ unbedarft im Netz bewegen.
Die Betrüger nutzen dieses „Halbwissen“ aus, indem sie die Empfänger verunsichern und mit Konsequenzen für die „Nachlässigkeit“ drohen.

Deshalb kritisch gegenüber unbekannten Absendern sein. Lass dich nicht von Drohungen wie Kontensperrung beeindrucken, selbst wenn du dich unsicher fühlst. Einfach ignorieren und die Nachricht ohne weitere Aktivität deinerseits löschen.

Quelle der Daten: Bundeskriminalamt

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.