Phishing – einfach erklärt

Inhaltsverzeichnis

Was ist Phishing?

Beim Phishing imitieren Cyberkriminelle seriöse Websites oder E-Mails und versuchen, sich auf diese Weise das Vertrauen und die Daten ihrer Opfer zu erschleichen. Die Angreifer vermitteln dabei oftmals eine besondere Dringlichkeit sowie Autorität und fordern die Betroffenen beispielsweise zur Eingabe der Zugangsdaten ihres Online-Bankings auf. Die vorgetäuschten Gründe können vielfältiger Art sein: Mal wird ein angebliches Datenleck aufgeführt, mal droht das Mail-Postfach gelöscht zu werden und ein anderes Mal werden angeblich die Nutzerdaten im Auftrag des Staates überprüft.

Wie funktioniert Phishing?

Zahlreiche Internetnutzer erhalten täglich eine Vielzahl von Mails – Newsletter, Versandbestätigungen, Kontaktanfragen von sozialen Netzwerken und andere Nachrichten landen im Postfach. Da fällt eine Mail mit minimaler Abweichung im Absender vielleicht gar nicht allzu sehr auf. Doch was passiert, wenn man auf einen Phishing-Link klickt?

Das kommt vor allem auf die Absichten des Senders, auch Phisher genannt, an. In einigen Fällen führt der Klick auf einen Link unmittelbar den Download von Schadsoftware aus, die auch als Malware bezeichnet wird. Nicht immer ist dieser Download erkennbar. Hegen Sie den Verdacht, auf einen Phishing-Link geklickt zu haben, empfiehlt es sich, schnell zu reagieren:

1. Aktualisieren Sie Ihr Antivirenprogramm und führen Sie einen vollständigen Check des Systems durch.

2. Überprüfen Sie, welche Daten und Passwörter auf Ihrem Rechner gespeichert waren (beispielsweise in einer entsprechenden Erweiterung Ihres Browsers), und erneuern Sie diese – idealerweise über ein anderes Gerät.

3. Prüfen Sie Ihre Konten und informieren Sie Ihre Bank oder andere Finanzdienstleister über den Phishing-Angriff. Sollte Ihr E-Mail-Konto ebenfalls betroffen sein, setzen Sie Ihre Kontakte darüber in Kenntnis – möglicherweise werden in Ihrem Namen weitere Phishing-Versuche unternommen.

Häufig leitet der Klick auf den Link das Opfer allerdings vorerst auf eine täuschend echte Website der Betrüger weiter, welche den Vorwand weiter ausführt und dazu auffordert, nun Benutzernamen und Passwort für einen bestimmten Service anzugeben. Insbesondere die Auftritte von Finanzdienstleistern und Banken werden von Cyberkriminellen gerne imitiert, um direkt an die Konten der Nutzer zu gelangen.

Stellen Sie fest, dass Sie auf einer solchen Seite gelandet sind, brechen Sie den Vorgang sofort ab und geben Sie keinesfalls Daten ein – vielleicht kommen Sie mit einem Schreck davon. Es lohnt sich also, Websites und Mails gründlich auf verdächtige Angaben zu prüfen.

Schutz vor Phishing: Was können Sie tun?

Grundsätzlich gilt: Achten Sie darauf, dass Ihr Mailprogramm, bzw. Mail-Anbieter einen guten Spam-Filter bietet, denn so landet ein Großteil der Phishing-Angriffe gar nicht erst in Ihrem Postfach. Für Ihren Internet-Browser sollten Sie einen entsprechenden Phishing-Schutz installieren und zudem Ihr Antivirenprogramm auf dem neusten Stand halten – falls Sie doch einmal auf die Seite eines Betrügers gelangen. Die besten Waffen gegen Phishing bleiben aber vor allem Vorsicht und Skepsis gegenüber verdächtigen Forderungen im Postfach sowie im Internet.

Wie erkennt man Phishing? Beispiele und Anzeichen

Zwar sind Phishing-Mails und -Websites in den letzten Jahren immer authentischer und raffinierter geworden, dennoch gibt es Hinweise, auf die Sie achten sollten und mit denen Sie noch immer einige Angreifer entlarven können:

Die Mail ist fehlerhaft geschrieben

Nach wie vor finden sich in vielen Phishing-Mails Grammatik- und Rechtschreibfehler. Zudem scheinen einzelne Formulierung manchmal merkwürdig konstruiert oder wörtlich aus anderen Sprachen übersetzt. Lassen Sie besondere Vorsicht walten, wenn Ihnen ein Ausdruck verdächtig vorkommt.

Die Sprache der Mail passt nicht zum Versender

Erhalten Sie beispielsweise von Ihrer inländischen Bank eine Mail auf Englisch, ist das ein ernst zu nehmendes Warnsignal und es handelt sich vermutlich um einen Phishing-Versuch. Sind Sie Kunde bei einer ausländischen Bank oder nutzen internationale Finanz-Services, gilt diese Einschränkung natürlich nur bedingt, jedoch werden große Dienstleister, wie zum Beispiel PayPal, in der Regel auf Deutsch mit Ihnen kommunizieren.

Die Anrede ist unpersönlich und der Betreff unpassend oder vage

Die Anrede ist unpersönlich und der Betreff unpassend oder vage. Zahlreiche Angreifer setzen auf massenhaften Spam und versenden die gefälschten Anfragen wahllos. Daher sind die Ansprachen von Phishing-Mails meist unpersönlich. Statt Ihres Namens steht dort lediglich „Lieber Kunde“, „Hallo Benutzer“ oder „Sehr geehrte Damen und Herren“ – definitiv ein Warnsignal. Hinzu kommt, dass bei dieser Strategie oftmals Szenarien genutzt werden, die möglichst viele Internetnutzer betreffen könnten. So heißt es beispielsweise, eine Online-Bestellung sei noch nicht bezahlt worden oder im Portal der Sparkasse liege angeblich eine wichtige Nachricht vor. Sie haben sicher nichts bestellt oder sind Kunde einer anderen Bank? Dann handelt es sich vermutlich um eine Mail von Cyberkriminellen.

Es wird dringender Handlungsbedarf vermittelt

Die meisten Phishing-Versuche setzen auf den Schock-Moment ihrer Opfer: Innerhalb kürzester Zeit müssen Zugangsdaten erneut eingegeben, Richtlinien eines Services akzeptiert oder offene Rechnungen beglichen werden, sonst würden angeblich Konten gelöscht oder ein Inkasso-Unternehmen eingeschaltet. Hier hilft nur aufmerksames Lesen. Google informiert beispielsweise tatsächlich über Logins an unbekannten Geräten. Dass Sie sofort Ihre Zugangsdaten oder gar eine TAN eingeben, ohne dass Sie diesen Vorgang explizit angefordert haben, verlangt jedoch kein seriöser Anbieter von Ihnen, schon gar nicht innerhalb einer kurzen Frist.

Angehängte Dateien sollen heruntergeladen und Links angeklickt werden

Viele Phishing-Angriffe haben die Installation von Schadsoftware, wie zum Beispiel Trojanern, zum Ziel. Dies funktioniert in der Regel aber nur, wenn der Nutzer dazu gebracht wird, eine Datei zu öffnen. Die Gründe können vielfältig sein: Ein angeblicher Arbeitskollege möchte, dass Sie sich eine angehängte Präsentation anschauen, oder über einen Link soll eine wichtige Benachrichtigung abgerufen werden. Grundsätzlich gilt: Dateien und Links niemals anklicken, es sei denn, Sie sind sich absolut sicher, dass sie gefahrlos genutzt werden können – beispielsweise, weil Sie deren Zusendung erwarten.

Übrigens:

Die Maschen der Betrüger werden mittlerweile auch auf anderen Wegen eingesetzt, zum Beispiel beim „Vishing“ und „Smishing“. Ersteres setzt sich aus „Voice-over-IP“ und „Phishing“ zusammen und bezeichnet damit Anrufe, die das Opfer ebenfalls zur Preisgabe der Daten bringen sollen. Beim Smishing werden hingegen SMS- bzw. Textnachrichten statt Mails versendet, die Absichten sind jedoch die gleichen: Den User unter Druck setzen und seine Daten erhalten oder ihn dazu bewegen, einen Link auf dem Smartphone anzuklicken.

Wie gefährlich ist Phishing?

Phishing ist eine sehr reale Bedrohung und sollte nicht auf die leichte Schulter genommen werden. Für Privatpersonen steht im Fall der Fälle das gesamte Privatvermögen auf dem Spiel und auch Unternehmen werden vermehrt Opfer der kriminellen Maschen. Wie gefährlich Phishing im Einzelfall ist, kommt ein wenig darauf an, welchem Phisher der User ins Netz gegangen ist und vor allem welche Daten sich der Angreifer „angeln“ konnte.

In den vergangenen Jahren sind die gefälschten Mails und Webauftritte dabei leider immer raffinierter und authentischer geworden: Logos, Markennamen und Seitenstruktur werden eins zu eins nachgebildet. Für den durchschnittlichen Internetnutzer ist es zunehmend schwer, einen gefährlichen Phishing-Angriff auf den ersten Blick von einer vertrauenswürdigen Mail oder Website zu unterscheiden.

Tipp: Der Phishing-Radar der Verbraucherzentrale und der 14-tägliche Newsletter vom Bundesamt für Sicherheit in der Informationstechnik (BSI) informieren regelmäßig über aktuelle Bedrohungen.

Illustration zu Phishing und Nutzerangst

Phishing melden – zuständige Stellen

Haben Sie eine Phishing-Mail erhalten, sollten Sie diese an phishing@verbraucherzentrale.nrw weiterleiten, sodass andere Personen über die Gefahr informiert werden können. Zudem sollten Sie den echten Anbieter darauf hinweisen, dass derzeit in seinem Namen gefälschte Nachrichten im Umlauf sind.

Phishing – nicht erschrecken lassen!

Phishing-Versuche setzen mit ihrer angeblichen Dringlichkeit auf die unvorsichtigen Schreckmomente von Internetznutzern. Daher ist eine der wichtigsten Maßnahmen gegen diese Form der Cyberkriminalität: Ruhe bewahren. Sie haben eine Zahlungsaufforderung im Postfach? Dieser müssen Sie nicht innerhalb der nächsten fünf Minuten nachkommen! Kontrollieren Sie noch einmal in Ruhe Absender, Betreff und Inhalt und klicken Sie erst einmal nichts an. So sind Sie meist schon auf der sicheren Seite.