Was ist Phishing?

Bei einem Phishing-Angriff werden Sie dazu gebracht, einen schad­haften Link oder E‑Mail-Anhang zu öffnen. Ziel ist es, an Ihre Daten zu gelangen. Erfahren Sie, wie Phishing funktioniert und wie Sie sich erfolgreich schützen können.

So funktionieren Phishing-Angriffe

Auf Ihrem Bank­konto gab es ungewöhnliche Aktivitäten, bitte loggen Sie sich ein. Solche und ähnliche Phishing E‑Mails landen immer wieder im Post­fach. Hierbei bedienen sich Internet­kriminelle sogenannter Social-Engineering-Techniken — sie manipulieren die menschliche Psychologie und nutzen unser Vertrauen aus.

Denn Phishing Mails werden zumeist als Nach­richten von vertrauens­würdigen Institutionen und Firmen wie Banken oder Logistik­unter­nehmen getarnt. Dies erhöht die Glaub­würdig­keit, dass der bei­gefügte Link oder das angehängte Dokument wichtig und legitim sind. Aber auch angehängte virale Katzen­videos wurden bereits als Lock­mittel verwendet — nutzbar ist alles, was das Interesse des Empfängers wecken könnte.

Sobald der Empfänger auf den Anhang klickt, wird das Gerät mit einem Trojaner infiziert, ein Schad­programm, das ungefragt weitere unerwünschte Malware installiert und so persön­liche Daten ausspäht.

Phishing kann zudem dafür ein­gesetzt werden, Sie über einen E‑Mail-Link auf eine falsche Web­site zu locken, die als legitime Web­site getarnt ist. So werden Sie dazu verleitet, Ihre Anmelde­informationen ein- und damit an Kriminelle weiter­zugeben. Mit diesen persön­lichen Daten können Unbefugte Ihr Konto leer­räumen oder Ihre Identität stehlen.

Übrigens sind nicht nur Privat­personen hiervon betroffen, viele Unter­nehmen fallen Phishing zum Opfer. Schließlich ist der Empfang von E‑Mails mit Anhängen im Arbeits­alltag üblich. Als Rechnung oder Geschäfts­angebot getarnt, erwecken sie nur selten Miss­trauen.

Arten von Phishing

Die klassischen Phishing E‑Mails werden oft an Tausende Empfänger gesendet. Vielen Menschen dürfte die Mail des nigerianischen Prinzen bekannt sein. In dieser Phishing Mail wird dem Empfänger glaub­haft gemacht, dass er das Vermögen des nigerianischen Prinzen geerbt hat und hierzu seine Konto­informationen teilen muss — in über 200 Fällen war die Betrugs­masche erfolgreich!

Spear Phishing

Doch es geht auch spezifischer: Beim sogenannten Spear Phishing werden gezielte Gruppen oder Einzel­personen angegriffen, um an bestimmte Firmen­informationen zu kommen, wie bei­spiels­weise IT-Administratoren. Wenn der CEO oder ein Mitglied der Geschäfts­leitung ausgewählt werden, wird dies als Whaling bezeichnet — hier stehen die großen Fische im Fokus, um an sensible Firmen­daten zu kommen.

Smishing

Smishing setzt sich aus den Wörtern SMS und Phishing zusammen. Hier wird der Empfänger per SMS aufgefordert, Bank­daten preis­zugeben oder einen Link zu einer betrügerischen Web­site zu öffnen.

Vishing

Ein Vishing-Angriff erfolgt über das Telefon. Das V steht hier für das englische Wort Voice (Stimme). Bei einem beliebten Vishing-Betrug gibt sich der Anrufer als Micro­soft-Vertreter aus. Das Opfer wird darüber informiert, dass sein Computer Malware enthält und der Anrufer die Kredit­karten­daten benötigt, um eine aktualisierte Anti­viren-Soft­ware zu installieren. Am Ende ist der Angerufene im schlimmsten Fall nicht nur seine Kredit­karten­daten los, sondern um eine installierte Malware reicher.

So schützen Sie sich gegen Phishing

Für Laien ist es nicht immer einfach, einen Phishing-Angriff als solchen zu erkennen. Die folgenden Tipps sollen Ihnen dabei helfen.

Sie tragen die Verantwortung

Niemand wird Phishing-Opfer ohne eigene Mitwirkung. Ein Phishing-Angriff ist nur dann erfolgreich, wenn Sie die Phishing E‑Mail öffnen, auf einen Link klicken oder einen Anhang öffnen. Oft müssen Sie in einem weiteren Schritt z. B. auf Inhalte aktivieren klicken und zulassen, dass der Trojaner oder die Ransom­ware Ihr Gerät infiziert. Auch bei Formularen, in die Sie persön­liche Daten eingeben müssen, sollten Sie stutzig werden.

Achten Sie auf die Recht­schreibung und Individualisierung

Werden Sie in der E‑Mail direkt mit Ihrem Namen angesprochen? Da Phishing Mails zumeist an Tausende Empfänger gleich­zeitig gesendet werden, verzichten diese häufig auf die direkte Anrede. Bei allgemeinen Floskeln wie Sehr geehrte/r Kunde/Kundin sollten Sie miss­trauisch sein.

Das gleiche gilt für eine mangel­hafte Recht­schreibung. Kriminelle aus dem Ausland greifen oft auf Soft­ware-generierte Über­setzungen zurück. Stimmt Sie die Grammatik nach­denklich oder finden sich im Text diverse Recht­schreib­fehler? Eine vertrauens­würdige Organisation würde sich einen solchen Fauxpas mit großer Wahr­schein­lichkeit nicht leisten!

Über­prüfen Sie den Absender

Alles, was zur Glaub­würdig­keit eines Phishing-Angriffs beiträgt, erhöht die Erfolgs­aussichten des Betrugs. Deshalb wird bei Phishing E‑Mails häufig das Erscheinungs­bild bekannter vertrauens­würdiger Marken wie Amazon, Ihrer Bank, DHL oder eines anderen Logistik-Dienst­leisters nach­geahmt, von denen Sie Sendungen erwarten.

Über­prüfen Sie unbedingt die Absender-Adresse: Während E‑Mail-Adressen von legitimen Absendern meist einem klaren Schema folgen wie etwa info@firmen­name.de, enthalten Phishing-Adressen oftmals Nummern, Buch­staben oder Recht­schreib­fehler in den Firmen­namen.

Insbesondere auf dem Handy sollten Sie Vorsicht walten lassen: Durch das kleine Display werden die E‑Mail-Adressen nur angezeigt, wenn Sie gezielt drauf­klicken. Ein Blick und Klick lohnen sich immer!

Vorsicht bei Dringlichkeit

Phishing E‑Mails versuchen oft durch Dringlichkeit zum Handeln zu verleiten. Beliebt ist hierbei zum Bei­spiel die Aussicht, dass das Bank­konto gesperrt wird, wenn Sie nicht sofort auf den Link klicken. Bedenken Sie: Wenn es wirklich dringend wäre, würden Sie nicht nur eine E‑Mail erhalten. Banken würden Sie außerdem niemals dazu auf­fordern, sensible Daten wie Kredit­karten­daten oder eine TAN per E‑Mail zu verifizieren.

Bewahren Sie Ruhe und klicken Sie nicht. Greifen Sie statt­dessen zum Telefon und rufen Sie den Absender über die offizielle Telefon­nummer an, um heraus­zufinden, ob die Nach­richt echt ist.

Vertrauen Sie Ihren Instinkten

Es mag zunächst komisch klingen, aber letztlich müssen Sie Ihrer Intuition vertrauen. Schließlich ist nicht alles im Internet ein einziger Betrugs­versuch. Die Schwierigkeit besteht darin, echten Betrug zu erkennen. Und das ist Ihre Aufgabe. Jedes Mal, wenn Sie auf etwas Verdächtiges stoßen, müssen Sie sich fragen: Habe ich das erwartet? Vertraue ich dieser Quelle? Können Sie das über­prüfen? Bei­spiels­weise durch eine Internet­recherche oder einen Anruf beim Absender? Falls nicht, gehen Sie lieber auf Nummer sicher.

Holen Sie sich professionelle Unter­stützung

Jeder kann online Fehler machen und zum Phishing-Opfer werden. Um das Risiko zu minimieren, sollten Sie sich die Unter­stützung einer guten Soft­ware holen. Mit F‑Secure TOTAL bewegen Sie sich sicher im Internet und werden vor Viren, Ransom­ware, bekannten Phishing-Web­sites und weiteren Online-Bedrohungen geschützt.

Weitere Informationen