Betrüger, Mail, Opfer, Daten
© I AM CONTRIBUTOR - Shutterstock

Phishing – so schützen Sie sich vor Passwortdiebstahl

Phishing erkennen und Tipps zum Schutz
Veröffentlicht am
Zuletzt aktualisiert am

Wer sich im Internet bewegt, kann immer ein Opfer von Phishing werden. Hier finden Sie alles Wichtige zum Thema Phishing, wie der Datendiebstahl funktioniert, welche Schäden er verursachen kann und wie Sie sich am besten davor schützen.

Was ist Phishing? Eine Definition

Bei Phishing handelt es sich um den Versuch, Nutzer- oder Bankdaten mit Hilfe von gefälschten Websites, Messaging-Nachrichten oder Mails zu stehlen. Phishing macht einen bedeutenden Teil der Internetkriminalität aus. Mit Hilfe der erbeuteten Daten können Betrüger selbst Einkäufe tätigen oder ohne die Zustimmung der Betroffenen Geschäfte in deren Namen abschließen. Phishing-Daten können darüber hinaus auch zum Erpressen von Internetnutzern verwendet werden. Auf dieser Ebene besteht eine Ähnlichkeit zur Ransomware.

Der Begriff Phishing spielt auf das englische „fishing“ an, was auf Deutsch „angeln“ bedeutet. Kriminelle versuchen also, beim Phishing, Daten von Dritten zu „angeln“.

So funktioniert Phishing

Unabhängig vom verwendeten Medium funktioniert Phishing immer nach demselben Muster. So erhält der jeweilige Empfänger eine Nachricht, in welcher er zum Handeln aufgefordert wird, z.B. zum Öffnen eines Mail-Anhangs, zum Download einer Datei oder zum Klick auf einen Link. In diesen Fällen wird zum Phishing eine Spyware installiert, welche die gewünschten Daten meist unbemerkt durch den Nutzer abgreift.

In einer direkten Variante wird der Nutzer vom sogenannten "Phisher" mit gefälschten Websites oder Nachrichten zur Eingabe persönlicher Daten oder Bankdaten aufgefordert. 

Welchen Schaden richtet Phishing an?

Zunächst kann Phishing finanziellen Schaden anrichten. Das ist z.B. der Fall, wenn Bankdaten gestohlen werden und Kriminelle diese zu ihrem Zweck verwenden. So ist es etwa möglich, dass Kriminelle das komplette Girokonto leeren oder die Kreditkarte bis zum Limit belasten.

Werden Identitätsdaten gestohlen, kann der Schaden noch größer ausfallen. So können Hacker z.B. mit gefälschten Profilen weitere kriminelle Handlungen begehen.

Doch neben einem finanziellen Schaden ist es auch der große Vertrauensverlust, der Nutzer nachhaltig verunsichert und sie z.B. die Vorteile des Internets nicht mehr nutzen können.

Arten von Phishing

Phishing lässt sich anhand der von Kriminellen genutzten Kanäle kategorisieren. Daraus ergibt sich folgende Liste:

E-Mail-Phishing

Diese Variante wird am häufigsten von Kriminellen eingesetzt. So versenden sie für die Attacke z.B. Mails mit einem vermeintlich offiziellen Design eines großen Versandhauses oder einer Bank. In dieser E-Mail bitten die "Phisher" dann ihre Opfer um die Eingabe ihrer Nutzerdaten. Phishing-Mails können darüber hinaus weitere Malware enthalten, die über infizierte E-Mail-Anhänge verbreitet wird. Öffnet der Nutzer nichtsahnend einen solchen Anhang, können sich Viren oder Spyware auf seinem Rechner installieren.

Website-Phishing

Sogenannte „Spoofing-Websites“ ähneln den offiziellen Websites von Banken oder Online-Shops bis in kleinste Details. Kriminelle wollen auf diese Weise Nutzer dazu bringen, ihre persönlichen Daten einzugeben. Hierfür werden u.a. auch Popups verwendet, die eine gefälschte Eingabemaske zeigen.

Vishing

Diese Variante des Phishings nutzt einen traditionellen Kommunikationskanal, das Telefon. Kriminelle rufen ihre Opfer einfach an und versuchen sie so zur Angabe von Login-Daten oder anderen persönlichen Daten zu überreden. Meist geben sich die Angreifer als Mitarbeiter einer Behörde aus, z.B. als Polizisten.

SmishingHierbei handelt es sich um Phishing via SMS. Die Opfer erhalten dabei eine Kurzmitteilung, in welcher sie zu einem Klick auf einen Link aufgefordert werden. Wer diesem Link folgt, landet jedoch auf einer gefälschten Website oder er lädt sich Schadsoftware auf sein Smartphone.
Social-Media-PhishingBei dieser Variante versenden Hacker infizierte Links an die Freundesliste eines gehackten Social-Media-Profils. Durch die vermeintlich bekannten Absender klicken die Betroffenen dann auf die schädlichen Links und laden sich z.B. Spyware auf ihren Rechner oder ihr Smartphone.

 

 

So kommen Kriminelle mit Phishing an die Daten ihrer Opfer

Über verschiedene Kanäle wenden sich Kriminelle direkt die Opfer. Um die Daten zu bekommen, werden unterschiedliche Techniken angewandt:

Deceptive Phishing

„Deceptive“ bedeutet auf Deutsch „trügerisch“. Bei deceptive Phishing handelt es sich um eine Variante, bei der sich Kriminelle als echte Unternehmen oder Menschen ausgeben, um so das Vertrauen der Betroffenen auszunutzen.

Spear-Phishing

Wie ein Speerfischer, der nur mit einem Speer bewaffnet auf Fischfang geht, suchen die Hacker in diesem Fall gezielt ein Opfer aus. Gängige Medien für Spear-Phishing sind z.B. soziale Netwerke, die für berufliche Zwecke genutzt werden, wie LinkedIn oder XING.

Whaling

Ähnlich wie beim Spear-Phishing werden beim Whaling die Opfer gezielt ausgewählt. Es handelt sich dabei um besonders vermögende Opfer.

Pharming:

Beim Pharming sollen möglichst viele Daten von vielen Opfern abgegriffen werden. Der Begriff setzt sich aus „Phishing“ und „Farming“ zusammen. Die Opfer werden dabei mit Hilfe von technischen Tricks auf gefälschte Websites geführt.

CEO-PhishingIn diesem Fall geben sich Kriminelle als Geschäftsführer eines Unternehmens aus. Aus dieser vermeintlich vertrauenswürdigen Position heraus bitten sie ihre Opfer um Zahlungsinformationen oder sensible Kennwörter.

Wie Sie sehen, kommen beim Phishing auch unterschiedliche technische Methoden zum Einsatz. Hierzu gehört auch das sogenannte Cross-Site-Scripting, bei welchem Nutzerdaten mit gefälschten Skripts abgegriffen werden.

Woran erkenne ich eine Phishing-Mail?

Phishing-Mails lassen sich anhand verschiedener Eigenschaften erkennen.

  • Starke Häufung von Rechtschreib- und Grammatikfehlern: Meist werden Phishing-Mails automatisiert übersetzt. Dadurch ergeben sich manchmal für Muttersprachler seltsame Formulierungen. In anderen Fällen erkennen Sie gefälschte Mails auch an Zeichen, die nicht üblich sind, z.B. kyrillische Buchstaben oder falsche Akzente. Deutsche Empfänger sollten außerdem skeptisch werden, wenn die E-Mail keine Umlaute enthält.
  • Mails in einer Sprache, die Sie nicht sprechen: Erhalten Sie Mails von einem unbekannten Absender in einer Sprache, die Sie nicht verwenden, kann es sich dabei um Phishing-Mails handeln. Das gilt insbesondere, wenn Sie Mails mit Fragen zu Ihren Konten von Ihrer Bank plötzlich auf Englisch oder Französisch erhalten.
  • Keine persönliche Ansprache in Mails: Werden Sie in scheinbar „offiziellen“ Mails nur allgemein als „Sehr geehrter Kunde“ oder mit Ihrem falschen Namen angeschrieben, kann das auf eine Phishing-Mail, oder zumindest eine Spam-Mail hindeuten. Manche Hacker versuchen, einen Namen aus der Mail-Adresse abzuleiten und fügen diesen dann in der Anrede ein. Oftmals werden dann Vor- und Nachname vertauscht.
  • Sie erhalten eine sehr kurze Frist, um zu handeln: Wenn in einer Mail mit kurzen Fristen zur Bestätigung von Daten oder mit einer Drohung gearbeitet wird, kann das auf Phishing hindeuten. Ein Unternehmen oder eine Bank würde Ihnen nie drohen, wenn sie Ihre Daten benötigt.
  • Sie werden zur Eingabe von Login-Daten oder Kontodaten aufgefordert: Eine Bank oder ein Unternehmen würde Bankkunden nie per Mail zur Bestätigung Ihrer Identitätsdaten oder Bankingdaten auffordern. Auch die PIN oder TAN wird nicht per Mail abgefragt.
  • Aufforderung zum Download oder Öffnen einer Datei: Der Angriff erfolgt über eine E-Mail mit der konkrete Aufforderung, schnell eine Datei zu öffnen oder herunterzuladen.
  • Sie erhalten E-Mails oder Nachrichten von einer Bank oder einem Unternehmen, obwohl Sie weder Kunde sind noch Kontakt bestand: Keine Bank oder kein seriöses Unternehmen würde Sie ohne Ihre Zustimmung anschreiben und z.B. zur Eingabe von Kontodaten auffordern.

Typische Inhalte von Phishing-Mails oder Phishing-Websites

Die folgenden Inhalte finden Sie typischerweise auf Phishing-Seiten oder in Phishing-Mails:

  • Es gibt offensichtlich Probleme mit einer Rechnung oder Zahlung. Sie werden zum Klick auf einen Link aufgefordert, der Sie zum Bezahlvorgang führen soll.
  • Ihnen wird von einer vermeintlich offiziellen Behörde eine Ordnungswidrigkeit oder Straftat vorgeworfen und Sie werden zur Zahlung einer Geldsumme aufgefordert.
  • Es wird Ihnen von einem vermeintlichen Gewinn erzählt, den Sie sich nach Angabe der Bankdaten auszahlen lassen können.
  • Sie werden um finanzielle Hilfe gebeten, weil ein vermeintlicher Verwandter in Geldnot steckt. Ihnen wird versprochen, nach der Hilfe das Doppelte zurückzubekommen.
  • Sie erhalten eine vermeintlich dringende Nachricht Ihrer Bank oder eines Online-Shops mit der Bitte, einen Saldo sofort auszugleichen.

Grundsätzlich ist es immer das Ziel von Phishing, die Gutgläubigkeit, die Angst, die Neugier oder eine andere Emotion bzw. Charaktereigenschaft des Menschen zu treffen. Durch die emotionale Ansprache, durch Druck oder Einschüchterung sollten die Opfer dann handeln.

So schützen Sie sich vor Phishing

Vor Phishing schützt Sie der gesunde Menschenverstand in Kombination mit Antivirus-Software, die z.B. auch Mails scannen kann. Die Software filtert dann automatisch Mails als Spam heraus, die verdächtige Merkmale wie z.B. kryptische Absender oder auffällige Betreffzeilen und Anreden enthalten.

Ein sehr einfacher Schutz: Löschen Sie einfach E-Mails, die Sie verdächtig finden und deren Inhalt oder Betreff keinen Bezug zu Ihnen hat. Informieren Sie Unternehmen oder auch Freunde darüber, wenn Sie in deren Namen Phishing-Mails erhalten.

Phishing können Sie übrigens auch an die Anti-Phishing-Working-Group per Mail melden: reportphishing@apwg.org

Was noch zum Schutz beiträgt:

Bleiben Sie informiert über mögliche Phishing-Wellen, die gerade durch das Land ziehen.

Gehen Sie skeptisch mit E-Mails oder Messenger-Nachrichten um, deren Absender Sie nicht kennen.

Öffnen Sie nicht blind irgendwelche Links in Nachrichten oder E-Mails.

Besuchen Sie nur seriöse Websites und achten Sie auf mögliche Warnhinweise Ihres Browsers.

Fragen Sie in Unternehmen nach, wenn Sie in deren Namen zur Angabe von Konto- oder Kontaktdaten aufgefordert werden.

Achten Sie darauf, dass Sie nur Websites mit gültigem SSL-Sicherheitszertifikat besuchen. Sie erkennen die sicheren Websites an dem kleinen Schlosssymbol in der Browserleiste. Die SSL-Verbindung sorgt dafür, dass kein Dritter die Daten mitlesen kann, die Sie mit der Seite tauschen. Das ist besonders wichtig bei der Eingabe von Bankdaten.

Tauschen Sie Ihre Passwörter und Zugangsdaten regelmäßig aus. Leicht zu entschlüsselnde Passwörter sind für Hacker eine regelrechte Einladung.

Prüfen Sie Ihre Bankauszüge regelmäßig auf verdächtige Abbuchungen.

Vermeiden Sie die Anzeige von E-Mails als HTML-Datei. In den HTML-Dateien können sich Phishing-Trojaner verbergen.

Nutzen Sie Ad-Blocker beim Surfen. So werden u.a. Popups verhindert, die Sie auf Phishing-Websites führen könnten.

 

FAQ zu Phishing

Ist eine Phishing-Mail auch gefährlich, wenn ich keine Links darin anklicke und den Mail-Anhang nicht öffne?

Wenn Sie die betreffende E-Mail als reine Text-Mail öffnen, ist die Gefahr von Phishing so gut wie ausgeschlossen. Doch bei HTML-Mails kann auch das Öffnen der Mail ausreichen, um Opfer von Phishing zu werden, auch wenn Sie weder Links anklicken noch E-Mail-Anhänge laden.

Zeigen Sie in diesem Fall den Diebstahl an. In manchen Fällen kommt Ihre Hausratversicherung bis zu einer bestimmten Summe für den Schaden auf.

Solange Sie aktive keine Daten auf der Seite eingegeben haben, die sich nach dem Klick geöffnet hat, ist ein Datendiebstahl erst einmal nicht wahrscheinlich. Allerdings sollten Sie auf den Alarm Ihres Virenschutzes achten. Denn über Phishing-Websites können Kriminelle auch Trojaner oder Spyware auf Ihrem Rechner installieren.

Online-Banking ist nie zu 100 Prozent sicher. Dennoch hilft es, wenn Sie auf das PUSH-TAN-Verfahren umsteigen oder einen TAN-Generator verwenden.

Fazit: Phishing kann jeden treffen – Schutz bieten Antivirenprogramme mit Phishing-Erkennung und die eigene Vorsicht

Phishing-Mails und Phishing-Websites werden immer raffinierter und auf den ersten Blick sind die Fälschungen für Laien nicht sofort ersichtlich. Deshalb heißt es, immer ganz genau hinzuschauen und vor allem bei Aufforderungen zur Eingabe von Bankdaten oder persönlichen Daten skeptisch zu sein. Es ist besser, noch einmal beim Absender oder Anbieter nachzufragen, bevor Sie ohne zu überlegen auf einen Link klicken oder Ihre Daten in ein vermeintlich sicheres Formular eingeben.

Sinnvoll ist auf jeden Fall ein Virenscanner, der Ihre E-Mails scannen kann und Sie beim Surfen vor Phishing warnt. Wichtig ist dabei, dass Sie Ihr Virenschutzprogramm immer auf dem neusten Stand halten, damit die Software die neuesten Phishing-Tricks auch erkennen kann.