Was ist Phishing?
So funktionieren Phishing-Angriffe
Auf Ihrem Bankkonto gab es ungewöhnliche Aktivitäten, bitte loggen Sie sich ein. Solche und ähnliche Phishing E‑Mails landen immer wieder im Postfach. Hierbei bedienen sich Internetkriminelle sogenannter Social-Engineering-Techniken — sie manipulieren die menschliche Psychologie und nutzen unser Vertrauen aus.
Denn Phishing Mails werden zumeist als Nachrichten von vertrauenswürdigen Institutionen und Firmen wie Banken oder Logistikunternehmen getarnt. Dies erhöht die Glaubwürdigkeit, dass der beigefügte Link oder das angehängte Dokument wichtig und legitim sind. Aber auch angehängte virale Katzenvideos wurden bereits als Lockmittel verwendet — nutzbar ist alles, was das Interesse des Empfängers wecken könnte.
Sobald der Empfänger auf den Anhang klickt, wird das Gerät mit einem Trojaner infiziert, ein Schadprogramm, das ungefragt weitere unerwünschte Malware installiert und so persönliche Daten ausspäht.
Phishing kann zudem dafür eingesetzt werden, Sie über einen E‑Mail-Link auf eine falsche Website zu locken, die als legitime Website getarnt ist. So werden Sie dazu verleitet, Ihre Anmeldeinformationen ein- und damit an Kriminelle weiterzugeben. Mit diesen persönlichen Daten können Unbefugte Ihr Konto leerräumen oder Ihre Identität stehlen.
Übrigens sind nicht nur Privatpersonen hiervon betroffen, viele Unternehmen fallen Phishing zum Opfer. Schließlich ist der Empfang von E‑Mails mit Anhängen im Arbeitsalltag üblich. Als Rechnung oder Geschäftsangebot getarnt, erwecken sie nur selten Misstrauen.
Arten von Phishing
Die klassischen Phishing E‑Mails werden oft an Tausende Empfänger gesendet. Vielen Menschen dürfte die Mail des nigerianischen Prinzen bekannt sein. In dieser Phishing Mail wird dem Empfänger glaubhaft gemacht, dass er das Vermögen des nigerianischen Prinzen geerbt hat und hierzu seine Kontoinformationen teilen muss — in über 200 Fällen war die Betrugsmasche erfolgreich!
Spear Phishing
Doch es geht auch spezifischer: Beim sogenannten Spear Phishing werden gezielte Gruppen oder Einzelpersonen angegriffen, um an bestimmte Firmeninformationen zu kommen, wie beispielsweise IT-Administratoren. Wenn der CEO oder ein Mitglied der Geschäftsleitung ausgewählt werden, wird dies als Whaling bezeichnet — hier stehen die großen Fische im Fokus, um an sensible Firmendaten zu kommen.
Smishing
Smishing setzt sich aus den Wörtern SMS und Phishing zusammen. Hier wird der Empfänger per SMS aufgefordert, Bankdaten preiszugeben oder einen Link zu einer betrügerischen Website zu öffnen.
Vishing
Ein Vishing-Angriff erfolgt über das Telefon. Das V steht hier für das englische Wort Voice (Stimme). Bei einem beliebten Vishing-Betrug gibt sich der Anrufer als Microsoft-Vertreter aus. Das Opfer wird darüber informiert, dass sein Computer Malware enthält und der Anrufer die Kreditkartendaten benötigt, um eine aktualisierte Antiviren-Software zu installieren. Am Ende ist der Angerufene im schlimmsten Fall nicht nur seine Kreditkartendaten los, sondern um eine installierte Malware reicher.
So schützen Sie sich gegen Phishing
Für Laien ist es nicht immer einfach, einen Phishing-Angriff als solchen zu erkennen. Die folgenden Tipps sollen Ihnen dabei helfen.
Sie tragen die Verantwortung
Niemand wird Phishing-Opfer ohne eigene Mitwirkung. Ein Phishing-Angriff ist nur dann erfolgreich, wenn Sie die Phishing E‑Mail öffnen, auf einen Link klicken oder einen Anhang öffnen. Oft müssen Sie in einem weiteren Schritt z. B. auf Inhalte aktivieren klicken und zulassen, dass der Trojaner oder die Ransomware Ihr Gerät infiziert. Auch bei Formularen, in die Sie persönliche Daten eingeben müssen, sollten Sie stutzig werden.
Achten Sie auf die Rechtschreibung und Individualisierung
Werden Sie in der E‑Mail direkt mit Ihrem Namen angesprochen? Da Phishing Mails zumeist an Tausende Empfänger gleichzeitig gesendet werden, verzichten diese häufig auf die direkte Anrede. Bei allgemeinen Floskeln wie Sehr geehrte/r Kunde/Kundin sollten Sie misstrauisch sein.
Das gleiche gilt für eine mangelhafte Rechtschreibung. Kriminelle aus dem Ausland greifen oft auf Software-generierte Übersetzungen zurück. Stimmt Sie die Grammatik nachdenklich oder finden sich im Text diverse Rechtschreibfehler? Eine vertrauenswürdige Organisation würde sich einen solchen Fauxpas mit großer Wahrscheinlichkeit nicht leisten!
Überprüfen Sie den Absender
Alles, was zur Glaubwürdigkeit eines Phishing-Angriffs beiträgt, erhöht die Erfolgsaussichten des Betrugs. Deshalb wird bei Phishing E‑Mails häufig das Erscheinungsbild bekannter vertrauenswürdiger Marken wie Amazon, Ihrer Bank, DHL oder eines anderen Logistik-Dienstleisters nachgeahmt, von denen Sie Sendungen erwarten.
Überprüfen Sie unbedingt die Absender-Adresse: Während E‑Mail-Adressen von legitimen Absendern meist einem klaren Schema folgen wie etwa info@firmenname.de, enthalten Phishing-Adressen oftmals Nummern, Buchstaben oder Rechtschreibfehler in den Firmennamen.
Insbesondere auf dem Handy sollten Sie Vorsicht walten lassen: Durch das kleine Display werden die E‑Mail-Adressen nur angezeigt, wenn Sie gezielt draufklicken. Ein Blick und Klick lohnen sich immer!
Vorsicht bei Dringlichkeit
Phishing E‑Mails versuchen oft durch Dringlichkeit zum Handeln zu verleiten. Beliebt ist hierbei zum Beispiel die Aussicht, dass das Bankkonto gesperrt wird, wenn Sie nicht sofort auf den Link klicken. Bedenken Sie: Wenn es wirklich dringend wäre, würden Sie nicht nur eine E‑Mail erhalten. Banken würden Sie außerdem niemals dazu auffordern, sensible Daten wie Kreditkartendaten oder eine TAN per E‑Mail zu verifizieren.
Bewahren Sie Ruhe und klicken Sie nicht. Greifen Sie stattdessen zum Telefon und rufen Sie den Absender über die offizielle Telefonnummer an, um herauszufinden, ob die Nachricht echt ist.
Vertrauen Sie Ihren Instinkten
Es mag zunächst komisch klingen, aber letztlich müssen Sie Ihrer Intuition vertrauen. Schließlich ist nicht alles im Internet ein einziger Betrugsversuch. Die Schwierigkeit besteht darin, echten Betrug zu erkennen. Und das ist Ihre Aufgabe. Jedes Mal, wenn Sie auf etwas Verdächtiges stoßen, müssen Sie sich fragen: Habe ich das erwartet? Vertraue ich dieser Quelle? Können Sie das überprüfen? Beispielsweise durch eine Internetrecherche oder einen Anruf beim Absender? Falls nicht, gehen Sie lieber auf Nummer sicher.
Was ist Phishing? Schutz vor Phishing – unsere Tipps
Die Abzocke per Phishing-E-Mails oder gefälschter Webseiten wird nicht weniger, ganz im Gegenteil. Im Kalenderjahr 2022 gab es so viele Angriffsversuche wie noch nie zuvor. Aber was ist Phishing genau?
Wir beantworten diese wichtige Frage und geben dann wertvolle Tipps, wie Sie sich effektiv vor Phishing-Angriffen schützen können.
Was ist Phishing?
„Was ist Phishing?“ – diese Frage haben Sie sich bestimmt schon einmal gestellt – wir geben die Antwort. Phishing ist wie eine Grippe: Sie verändert sich ständig und entwickelt ihre Angriffstechnik weiter, um an möglichst viele Opfer zu gelangen.
Sie können Phishing auch mit dem echten Fischen vergleichen. Allerdings sind die Internet-Betrüger nicht mit Angel und Haken und Köder hinter Fischen her. Ziel der fiesen Betrüger sind stattdessen Login-Daten, Passwörter und Account-Infos.
Beim Phishing handelt es sich also um eine spezielle Internetkriminalität, bei der die Angreifer, also cyberkriminelle Hacker versuchen, an persönliche Daten, Bankdaten und andere Infos zu kommen. Phishing ist nichts anderes als der Diebstahl der Internet-Identität mittels Kaperung von persönlichen und sensiblen Daten durch die Versendung sogenannte Phishing-E-Mails.
Außerdem geht es beim Phishing geht darum, Konten zu plündern oder Schadsoftware zu verbreiten. Da die Gutgläubigkeit der Opfer ausgenutzt wird, zählt Phishing zum Social Engineering bzw. Social Hacking. Eine neuere Phishing-Methode, die nicht auf die Masse sondern ein individuelles Opfer abzielt, ist das sogenannte Spear-Phishing.
Was ist Phishing – Begriffsklärung
Was ist Phishing oder woher kommt der Begriff? Bei dem Begriff Phishing handelt es sich um einen sogenannten Neologismus. Ursprung ist der englische Begriff „fishing“ für Angeln, da die Betrüger buchstäblich nach den Informationen fischen/angeln.
Und auch wenn man es denken könnte: Beim Phishing handelt es sich nicht um ein Phänomen des 21. Jahrhunderts. Schon früher versuchten Betrüger den Bürgern Daten zu entlocken, um sie zu missbrauchen. Was vor dem digitalen Zeitalter per Telefon und/oder Brief geschah, läuft heute über das Versenden sogenannter Phishing-E-Mails.
Große Gefahren birgt das besonders für Angestellte und Unternehmen. Betrüger nutzen den Leichtsinn der PC-Nutzer, um die Firma auszuspionieren und bloßzustellen. Hier sei als Beispiel der CEO-Betrug genannt, bei dem sich Angreifer als Vorgesetzter ausgeben. Wichtig ist deshalb, dass Sie Ihren Mitarbeitern immer wieder Awareness-Schulungen anbieten, um die Schwachstelle Mensch zu schließen.
Wie leicht man auf Phishing-E-Mail hereinfällt
Was ist Phishing? Das wissen Sie jetzt. Aber vermutlich glauben Sie nicht, wie leicht ein jeder auf Phishing-E-Mails hereinfällt. Infizieren kann man sich leicht: Durch den Zugriff auf öffentliches WLAN, durch Einloggen auf gefälschten Webseiten oder durch Klicken auf dubiose Links. Angreifer locken dabei mit Angeboten oder Geschenken, die zu schön sind, um wahr zu sein. Diesen Köderversuch bezeichnet man als Baiting. Zu den neueren Tricks der Kriminellen gehören Phishing-Anrufe via VoIP, das sogenannte Vishing, und Phishing-SMS, das sogenannte Smishing.
Besonders beliebt sind aber nach wie vor E-Mails, die augenscheinlich von Banken stammen, wie der ING oder der Sparkasse, von PayPal, von Amazon usw. Noch mehr Infos über Phishing-Betrug gibt es bei uns im Blog. Der Phantasie der Kriminellen sind keine Grenzen gesetzt und mittlerweile sind die Phishing-E-Mails gar nicht mehr so leicht zu erkennen.
Galt noch bis vor wenigen Jahren die Aussage, dass Phishing-Mails häufig in schlechtem und fehlerhaftem Deutsch verfasst sind, ist das heute kein Merkmal mehr. Gemein ist allen Phishing-E-Mails, dass Sie sie dazu verleiten wollen, den mitgesendeten Link anzuklicken. Tun Sie das, ist das Kind schon beinahe in den Brunnen gefallen.
Wie Sie nicht auf Phishing hereinfallen
Die gute Nachricht lautet: Genauso leicht, wie es ist, auf eine Phishing-E-Mail hereinzufallen, genauso leicht ist es auch, die Kriminellen zu durchschauen. Wichtig ist, dass Sie sich bei allem, was Sie am PC, Laptop oder Handy tun, stets der Gefahr bewusst sein sollten, dass es Betrüger auf Ihre Daten abgesehen haben. Grundsätzlich gilt:
keine Links aus E-Mails anklicken
keine Daten herunterladen
keine E-Mail-Anhänge öffnen, wenn man der Quelle nicht vertraut.
Neben dem Wissen um die Gefahr ist die beste Schutzmaßnahme und absolut unverzichtbar ein aktuelles Virenprogramm auf dem Rechner und Handy. Gute Programme mit hohem Schutz und einer ausgezeichneten Virenerkennung bekommen Sie bei Ihrem PC-SPEZIALIST vor Ort – auch für Ihr Diensthandy.
Was ist Phishing? Wie erkennen Sie Phishing?
Auch wenn die Frage „Was ist Phishing?“ geklärt ist, bleibt die Frage, woran man Phishing-E-Mails zuverlässig erkennen kann. Doch das ist gar nicht so schwer, wenn man sich seine E-Mails aufmerksam anschaut.
Ein klassisches Erkennungsmerkmal ist die unpersönliche Anrede in der E-Mail. „Sehr geehrte Kundin/sehr geehrter Kunde“ oder ähnliches – so würde keine Bank ein ernstgemeintes Schreiben beginnen. Doch auch wenn der korrekte Namen in der E-Mail enthalten ist, heißt es, vorsichtig sein.
Der Name kann beispielsweise mithilfe von Dumpster Diving ergaunert werden oder aus einem vorherigen Datenpanne bekannt sein. So geschehen beispielsweise beim Twitch-Datenleak, dem E-Mail-Verifizierer oder LinkedIn-Hack. Was Sie tun können, wenn Sie gehackt wurden und Ihre persönlichen Daten oder Teile davon öffentlich sind, erfahren Sie bei uns im Blog.
Hinweise auf Phishing-Versuche
Ein weiterer Hinweis, dass es sich um eine Phishing-E-Mail handelt, liegt im Inhalt begründet: Der ist oftmals unglaubwürdig oder zumindest fragwürdig. Als Beispiel sie genannt, dass die Bank Ihre Autorisierung benötigt, um irgendwas zu tun. Nein, so etwas würde ein Bank nicht schreiben und schon gar nicht einen Login und die Passworteingabe verlangen!
Oftmals wird in solchen E-Mail eine kurze zeitliche Frist gesetzt. Diese dienst dazu, Sie unter Druck zu setzen, damit Sie nicht lange nachdenken, sondern sofort Ihre Login-Daten über den Link eingeben und so direkt den Kriminellen überlassen.
Und ein letzter Tipp: Fahren Sie mit der Maus über den Absender und lassen Sie sich die E-Mail-Absenderadresse anzeigen. Meistens ist es ein kryptische Aneinanderreihung mehrere Zeichen und somit eindeutig ein Absender, der nicht der ist, der er vorgibt zu sein.
Vorsicht vor Phishing-Websites
Neben den kryptischen E-Mail-Absenderadresse enthalten Phishing-E-Mails auch oftmals Links, die auf scheinbar vertrauenswürdige Webseiten führen. Bevor Sie nun leichtfertig auf die URL klicken, positionieren Sie den Mauszeiger auf dem Link ohne zu klicken.
Bei den meisten Browsern erscheint unten links die URL, auf die Sie beim Anklicken geleitet werden. Achtung: Auch die URL kann natürlich gefälscht sein. Hier ist ebenfalls Vorsicht geboten. Cyberkriminelle benutzen gern Dienste wie bit.ly oder goo.gl, um einen seriösen Link vorzutäuschen. Doch beim Anklicken werden Sie sofort auf eine schädliche Seite geleitet. Auf Nummer sicher gehen Sie, wenn Sie den vorhandenen Link in der E-Mail und auch die URL unten links ignorieren und Ihrem eigenen Lesezeichen folgen.
Was ist Phishing – Gefahr für Zugangsdaten
Phishing-Betrug kommt oftmals per E-Mail daher. Alle Alarmglocken sollten bei Ihnen sofort schrillen, wenn in der Nachricht Bedrohungen oder dringend einzuhaltende Zeiten und Tage enthalten sind. Auch, wenn die Frist kurz ist, sollten Sie sich dennoch nicht unter Druck setzen lassen.
Seriöse Unternehmen weisen immer wieder darauf hin, dass sie weder Passwörter noch andere Zugangsdaten per E-Mail abfragen. Erhalten Sie eine E-Mail, in der genau das passiert, können Sie die Nachricht getrost ignorieren und löschen.
Sind Sie sich nicht sicher, ob die E-Mail echt ist, hilft ein Anruf bei der augenscheinlichen Absenderfirma, wie beispielsweise der eigenen Bank. In manchen Phishing E-Mails ist als sogenannter „Service“ eine E-Mailadresse für Rückfragen hinterlegt. Doch die führt sicherlich nicht zum Unternehmen. Die persönliche Nachfrage per Telefon ist in diesem Fall der sicherste Weg, nicht in die Phishing-Falle zu tappen.
Sichere Internetseiten – Abzocke im Internet vermeiden
Um eine Abzocke im Internet zu vermeiden, sollten Sie nur auf sicheren Internetseiten surfen. Erkennbar sind die am HTTPS und dem Schloss vor der Adressleiste. Bei Banken sind sie absoluter Standard. Auch Google, Facebook und viele andere Firmen nutzen die sichere Verbindung zwischen Server und Client.
Natürlich gibt es mittlerweile auch gefälschte Internetseiten. Dabei wird die Originalseite kopiert, sodass der Besucher den Eindruck erhält, er sei auf der gewünschten Seite, beispielsweise auf der der Bank oder des Onlineshops. Früher oder später werden Sie auf gefälschten Seiten immer nach privaten Daten und Passwörtern gefragt.
Auch hier gilt: Seriöse Unternehmen fragen nicht nach privaten Zugangsdaten. Sie sollten also niemals Ihre Daten preisgeben. Wie Sie im Nachhinein einen Internetbetrug anzeigen und womöglich geflossenes Geld zurückfordern können, erfahren Sie bei uns im Ratgeber.
Eine große Schwachstelle für sicheres Surfen sind freie WLANs mit einer ungesicherten Verbindung. Auf Online-Banking oder -Shopping sollten Sie hier unbedingt verzichten. Die bessere Alternative ist hier das Surfen mit dem Smartphone über den Mobilfunkbetreiber. Das geht zwar auf Kosten des Datenvolumens, ist aber auf jeden Fall sicherer.
Sie haben Sorge, Opfer eines Phishing-Betrugs geworden zu sein? Dann lassen Sie von PC-SPEZIALIST in Ihrer Nähe einen PC-Check und – wenn nötig – eine professionelle Virenentfernung durchführen.
_______________________________________________
Aktuell: Phishing-Mails in Umlauf
Aktuell kursieren Mails, die angeblich von WEB.DE stammen. Doch Achtung: Es handelt sich dabei um Phishing! Wir klären Sie auf, damit Sie nicht in die Falle tappen.
Wie sieht so eine Phishing-E-Mail aus?
Beispiel einer aktuellen Phishing-Mail, die angeblich von WEB.DE stammt.
Wie erkennen Sie diese gefälschten Mails?
Bereits beim Abgleich von Absendernamen und dahinterliegender E-Mail-Adresse können Sie die oben gezeigte Phishing-Mail enttarnen:
Im Beispiel ist zwar "WEB.DE Management" als Absendername zu sehen (diesen verwenden wir übrigens gar nicht) – wenn Sie jedoch mit dem Cursor/mit der Maus darüberfahren, zeigt sich dahinter eine völlig andere E-Mail-Adresse. In der Mail App können Sie die E-Mail-Adresse durch langes Antippen mit dem Absendernamen abgleichen. Der Inhalt der E-Mail: Irgendetwas mit Ihren E-Mails und Ihrem WEB.DE Konto stimmt nicht, durch Schlagworte wie "Identität" und "Konto" wird Druck auf Sie ausgeübt:
Sie sollen Ihr Konto durch Klick auf einen Link (hier rot markiert) bestätigen. Tun Sie dies bitte auf keinen Fall! Sie würden sonst auf eine neue Seite gelangen, auf der Sie dann Ihre Daten und Ihr WEB.DE Passwort eingeben sollen. Und genau das ist das Ziel der Kriminellen: Ihnen Ihre Zugangsdaten entlocken.
Merke: Wir von WEB.DE versenden keine E-Mails mit derartigen Aufforderungen. Und auch andere Anbieter/Unternehmen, bei denen Sie ein Konto haben, tun dies nicht. Rechtschreibung: In der Mail fehlen Satzzeichen wie z. B. das Komma nach der Anrede, das "Wir" danach ist großgeschrieben und an einigen Satzenden fehlt der Punkt. Und zuletzt: In der E-Mail fehlt neben dem Absender das E-Mail-Siegel:
Das E-Mail-Siegel.
Kriminelle versenden momentan betrügerische E-Mails, die sich. Der Absendername lautet z. B. "WEB.DE Management" oder "WEB.DE Konto- Team". Doch diese E-Mails stammen nicht von uns, sondern sindEs handelt sich um sogenannte Phishing-Mails , die von Kriminellen unter dem Namen von WEB.DE versendet werden und Sie zurbewegen wollen. Leisten Sie dem Folge und geben z. B. Ihr Passwort und andere sensible Daten ein, kann das schwere Konsequenzen für Sie haben. Denn sind die Hacker einmal im Besitz Ihrer Zugangsdaten für Ihr E-Mail-Postfach, können sie dieses in Ihrem Namen missbrauchen.Damit Sie nicht auf den Betrug hereinfallen, haben wir hier ein Beispiel für eine solche gefälschte Mail:Schaut man sich das im Detail an, sind folgendeerkennbar, die zeigen: Diese Mail ist einSie finden es als Erkennungsmerkmal seriöser E-Mails in jeder unserer WEB.DE E-Mails.Alles Wissenswerte rund um das Thema Phishing erfahren Sie in diesem Artikel Wenn Sie den Artikel hilfreich fanden, teilen Sie ihn gerne auch per E-Mail Wenn Ihnen WEB.DE gefällt, geben Sie uns auch gerne positives Feedback auf der Bewertungsplattform Trustpilot
