Was ist Phishing? Und wie kann ich mich davor schützen?

Phishing-Mails versuchen, unter einem beliebigen Vorwand, sicherheitsrelevante Informationen von Computernutzern zu erschleichen – zum Beispiel eBay-, PayPal-Zugangsdaten oder Bankdaten wie PIN und TAN.

Die Angaben des Absenders sind gefälscht und kommen in seriösem Gewand daher. In der Regel enthalten Phishing-Mails einen Link, der zu einer präparierten Internetseite führt, die der Originalseite verblüffend ähnlich sieht. Dort soll der Computernutzer dann die eigenen Zugangsdaten eingeben.

Zwar ist diese Art von Betrug per E-Mail nicht neu, doch die betrügerischen Phishings haben sich in den zurückliegenden Monaten drastisch vervielfacht.

So funktioniert Phishing

Ziel der Absender von Phishing-Mails ist es, vertrauliche Daten, beispielsweise PIN-Codes, auszuspionieren. Dazu gehen die Absender unterschiedlich vor. Häufig tarnen sie ihre Phishing-Mails im Layout bekannter Unternehmen. Sie fordern die Empfänger unter einem Vorwand auf, vertrauliche Daten zu aktualisieren oder zu vervollständigen. Die in den Mails mitgelieferten Links führen die Empfänger jedoch zu gefälschten Sites mit ebenfalls gefälschten Webformularen in seriösem Layout. Der Empfänger liefert seine Daten direkt an den betrügerischen Absender.

Diese Methode wird auch bei der E-Mail der vermeintlichen Bank eingesetzt: Die Empfänger werden aufgefordert, eine Website zu besuchen, die von den Kriminellen aufgesetzt wurde. Die Adresse ist leicht geändert (z. B. ein Buchstabendreher) und führt zu einer gefälschten Webseite. Dort wird nach Kunden- und PIN-Nummer gefragt und unabhängig davon, welche Angaben man macht, fordert der nächste Dialog auf, alle persönlichen und bankspezifischen Daten einzutippen. Zum Abschluss soll der nichts ahnende Nutzer dann eine seiner unverbrauchten TAN eintragen. Tür und Tor zum Online-Banking des Opfers stehen dem Betrüger nun offen.

Mitunter locken Phishing-Mails auch mit der Aussicht auf Geldgewinne und verleiten dazu, beispielweise eine Kopie des Personalausweises zu schicken. Auf diesem Weg erhält der Absender vertrauliche Daten und kann sein betrügerisches Vorgehen fortsetzen.

Ein Phishing-Beispiel

Eine Phishing-Mail im Namen der Sparkasse:

Phishing Beispiel

Auf den ersten Blick sieht alles völlig normal aus. Klickt man den Link „zur Aktualisierung“ an, gelangt man auf die folgende Internetseite:

Phishing-Internetseite

In der Adresszeile steht „https://www.sparkasse-daten-kontrolle.com/“. Geht man der Sache mit einer Whois-Link-Abfrage auf den Grund, wird man feststellen, dass die Sparkasse ihre Internetseite anscheinend in Russland hostet. Die Sparkasse hostet die Sparkassen-Seite selbstverständlich nicht in Russland. Es handelt sich schlicht und einfach um eine Fake-Webseite, betrieben auf Russischen Servern. Kommt man der Aufforderung leichtgläubig nach und gibt die Zugangsdaten ein, werden diese an die Betrüger weitergeleitet und dazu missbraucht, das Bankkonto zu leeren.

Spear-Phishing

Neu und besonders heimtückisch ist das so genannte Spear-Phishing. Auf diese Betrugs-Mails sind sogar bereits Experten hereingefallen. Spear-Phishing Mails zielen auf bestimmte Personen, Behörden, Organisationen oder Unternehmen ab. Es handelt sich um gezielte Attacken. Die „Trefferquote“ bei dieser Art von Phishing-Angriffen ist recht hoch.

Phishing und Spear-Phishing
Der Unterschied zwischen Phishing und Spear-Phishing.

Die Angreifer haben sich, zum Beispiel per Social Engineering, zuvor informiert. Die Angreifen kennen vermutlich bereits Ihren Namen und weitere private Informationen, die sich problemlos über soziale Netzwerke, private Internetseiten oder Unternehmenseiten herausfinden lassen. Solche Daten genügen, um Phishing-Mails deutlich glaubwürdiger erscheinen zu lassen.

Firmen-Zugangsdaten sind ein sehr lohnenswertes Ziel für Spear-Phishing Attacken. Werden Sie beispielsweise per Mail, von „Ihrem Systemadministrator“, nach Ihren Zugangsdaten gefragt, um ein Systemproblem zu lösen, sollten Sie diese Bitte überprüfen. Ein Systemadministrator besitzt in der Regel weitreichende System-Rechte. Er kann Ihr aktuelles Passwort wahrscheinlich nicht ohne Weiteres ermitteln, aber er wird es auch nicht unbedingt brauchen: Ein Systemadministrator kann auf Ihr Konto und auf Ihre Daten zugreifen, weil er über administrative Berechtigungen verfügt.

Schutz vor Phishing-Angriffen

Das Ziel von Phishing-Betrügern ist immer dasselbe: Sie wollen zunächst an sensible Daten und schließlich an das Geld der Opfer kommen. Die Tricks der Internetbetrüger sind mittlerweile extrem ausgeklügelt, sodass sie oft zunächst gar nicht als solche wahrgenommen werden. Doch wie erkennt man betrügerische E-Mails? Kann man sich vor ihnen schützen? Und was muss man machen, wenn man vermutet, auf einen Betrüger reingefallen zu sein?

  • Phishing-Mails enthalten oft Fehler in der Grammatik, die Sprache klingt sperrig, Sie werden nicht mit Namen, sondern nur als „Kunde“ angesprochen und manchmal zur Eile gedrängt.
  • Die erste Empfehlung lautet immer: Links oder Anhänge in Phishing-Mails nicht anklicken! Weder Bank noch eBay fordern ihre Kunden via E-Mail zur Eingabe vertraulicher Daten auf.
  • Aktuell wieder gefährlicher denn je, sind Office-Dokumente mit Makros. Nicht öffnen!
  • Nur weil eine E-Mail von einem vertrauenswürdigem Absender stammt, bedeutet das nicht, dass der Absender diese versandt hat. Aktuelle Schadprogramme verbreiten sich selbständig. Dazu liest ein Schadprogramm im Hintergrund, das Adressbuch des infizierten Opfers aus und versendet Spam-Mails an die im Adressbuch gespeicherten E-Mail-Adressen.
  • Die Adresse von Banken oder Plattformen sollten händisch im Browser eingegeben oder über die Favoritenleiste geöffnet werden. Nur so kann man sichergehen, dass man sich tatsächlich auf der Originalseite befindet
  • Im Internet gilt generell: nur wenige sensible Daten preisgeben. Absolute Sicherheit gibt es nicht, jeder Anbieter sammelt Daten. Die Frage ist daher, welche Anbieter gehen verantwortungsvoll damit um? Die meisten Dienste sammeln persönlich Daten wie Name, Geburtsdatum, E-Mail, Telefonnummer und Adresse. Werden in den Datenschutzerklärungen Phrasen wie „Weitergabe von Daten an Dritte“ verwendet, kann das ein Hinweis darauf sein, dass sich das Unternehmen das Rech herausnimmt, die Daten zu verkaufen.
  • Eine Whois-Abfrage über eine zweifelhafte Internetseite bietet einen gewissen Schutz.
  • Nutzen Sie die Zwei- oder Multi-Faktor-Authentifizierung, wenn diese Option angeboten wird. Einige Online-Dienste bieten diese Option an.
  • Es gibt Virenscanner, die beim Aufruf einer Phishing-Seite warnen. Über einen brauchbaren Schutzmechanismus verfügt zum Beispiel die Kaspersky Internet Security.
  • Wenn Sie ständig Betrugmails erhalten, ist Ihre E-Mail Adresse in die Hände von Cyberkriminellen geraten. Wie auch immer dies passiert ist, es ist nicht zu ändern. Sie sollten über ein neues E-Mail-Konto nachdenken.
  • Haben Sie Konto- oder Kreditkartendaten preisgegeben, kontaktieren Sie sofort Ihre Hausbank beziehungsweise das Kreditkarteninstitut. Meist ist dann eine Sperre des Kontos bzw. der Kreditkarte notwendig. Wenn Log-in-Daten betroffen sind, muss so schnell wie möglich das Passwort geändert werden.

Auf der Internetseite mimikama.at kann man sich über aktuell im Umlauf befindliche Betrugsmails informieren.

Vorsicht vor Schadsoftware in Phishing-Mails

Phishing-Mails werden sehr oft auch für den Versand von Schadsoftware benutzt. Derartige E-Mails sofort löschen – und nie auf die E-Mail-Anhänge klicken!

Wer auf die Anhänge klickt, holt sich möglicherweise Erpresser-Viren (sogenannte Ransomware) auf den Computer. Diese verschlüsseln die eigenen Daten. Nur wer anschließend ein Lösegeld von mehreren Hundert Dollar zahlt, soll wieder Zugriff erhalten.

Vermehrt taucht auch eine neue Bedrohung in den Mail-Anhängen auf, die oft eine noch größere Gefahr darstellt. Trojanische Pferde – kurz als Trojaner bezeichnet – sind eine besondere Form von Eindringlingen. Sie haben meist keine zerstörerische Absicht, sondern sind darauf aus, vertrauliche Unternehmes-Informationen auszuspähen. Dazu nisten sie sich ähnlich wie Viren auf Rechnern ein und spionieren versteckt im Hintergrund. So können Sie beispielsweise wichtige Dateien auslesen oder manipulieren oder etwa die Tastendrücke der Benutzer protokollieren, um Passwörter auszuspähen.

Mit den ausgespähten Zugangsdaten für Ihr E-Mail-Account, können Kriminelle sogar Spam- oder Phishing-E-Mails in Ihrem Namen verschicken.

Wenn am Zielrechner eine Webcam oder ein Mikrofon angeschlossen sind, kann die Spionage noch weitergehen.

Die beste Versicherung gegen Schadsoftware ist eine regelmäßige Sicherheitskopie (Backup) aller wichtiger Daten. Erstellen Sie am besten jetzt gleich eine aktuelle Datensicherung. Und lagern Sie diese getrennt vom Rechner.

Unsere CHECKLISTEN zum Thema „Phishing“

  1. Wie erkenne ich Phishing-E-Mails?
  2. Wie erkenne ich Phishing-Webseiten?
  3. Was tun, wenn Sie vermuten, Phishing-Opfer geworden zu sein?
  4. Sicherheitsregeln gegen Phishing-Schäden
Felix Bauer
Felix Bauer
Felix Bauer ist IT-Security Consultant (IT-Sicherheitsberater) mit 20 Jahren Erfahrung in der IT-Sicherheitsbranche. Felix Bauer begann im Alter von 14 Jahren mit der Analyse von Malwaresamples.

Zusätzlich zur Tätigkeit als Sicherheitsberater schreibt Felix Bauer häufig Fachbeiträge zu den Themen IT-Sicherheit und Internet-Technik. Seine Themenschwerpunkte: Antivirus, Sicherheitslücken und Malware. Unter anderem schrieb Felix Bauer bereits Fachbeiträge für die IT-Fachzeitschriften Computerwelt, Heise, IT-Administrator und Mimikama. Felix Bauer wurde in zahlreichen Fach- und News-Beiträgen erwähnt (u. a. in der Wiener Zeitung und in der Computerworld). Einige Referenzen finden Sie auf Felix Bauers Internetseite.

Felix Bauer besitzt den Abschluss Master of Science in Security and Forensic Computing.

Felix Bauer ist Mitbegründer der Initiative bleib-Virenfrei.