Was ist Phishing? Und wie kann ich mich davor schützen?

Phishing-Mails versuchen, unter einem beliebigen Vorwand, sicherheitsrelevante Informationen von Computernutzern zu erschleichen – zum Beispiel eBay-, PayPal-Zugangsdaten oder Bankdaten wie PIN und TAN.

Die Angaben des Absenders sind gefälscht und kommen in seriösem Gewand daher. In der Regel enthalten Phishing-Mails einen Link, der zu einer präparierten Internetseite führt, die der Originalseite verblüffend ähnlich sieht. Dort soll der Computernutzer dann die eigenen Zugangsdaten eingeben.

Ein Phishing- Beispiel

Eine Phishing-Mail im Namen der Sparkasse:

Phishing Beispiel

Auf den ersten Blick sieht alles völlig normal aus. Klickt man den Link „zur Aktualisierung“ an, gelangt man auf die folgende Internetseite:

Phishing-Internetseite

In der Adresszeile steht „https://www.sparkasse-daten-kontrolle.com/“. Geht man der Sache mit einer Whois-Link-Abfrage auf den Grund, wird man feststellen, dass die Sparkasse ihre Internetseite anscheinend in Russland hostet.

Die Sparkasse hostet die Sparkassen-Seite selbstverständlich nicht in Russland. Es handelt sich schlicht und einfach um eine Fake-Webseite, betrieben auf Russischen Servern. Kommt man der Aufforderung leichtgläubig nach und gibt die Zugangsdaten ein, werden diese an die Betrüger weitergeleitet und dazu missbraucht, das Bankkonto zu leeren.

Spear-Phishing

Neu und besonders heimtückisch ist das so genannte Spear-Phishing. Auf diese Betrugs-Mails sind sogar bereits Experten hereingefallen. Spear-Phishing Mails zielen auf bestimmte Personen, Behörden, Organisationen oder Unternehmen ab. Es handelt sich um gezielte Attacken. Die „Trefferquote“ bei dieser Art von Phishing-Angriffen ist recht hoch.

Phishing und Spear-Phishing
Der Unterschied zwischen Phishing und Spear-Phishing.

Die Angreifer haben sich, zum Beispiel per Social Engineering, zuvor informiert. Die Angreifen kennen vermutlich bereits Ihren Namen und weitere private Informationen, die sich problemlos über soziale Netzwerke, private Internetseiten oder Unternehmenseiten herausfinden lassen. Solche Daten genügen, um Phishing-Mails deutlich glaubwürdiger erscheinen zu lassen.

Firmen-Zugangsdaten sind ein sehr lohnenswertes Ziel für Spear-Phishing Attacken. Werden Sie beispielsweise per Mail, von „Ihrem Systemadministrator“, nach Ihren Zugangsdaten gefragt, um ein Systemproblem zu lösen, sollten Sie diese Bitte überprüfen. Ein Systemadministrator besitzt in der Regel weitreichende System-Rechte. Er kann Ihr aktuelles Passwort wahrscheinlich nicht ohne Weiteres ermitteln, aber er wird es auch nicht unbedingt brauchen: Ein Systemadministrator kann auf Ihr Konto und auf Ihre Daten zugreifen, weil er über administrative Berechtigungen verfügt.

Vorsicht vor Schadsoftware in Phishing-Mails

Phishing-Mails werden sehr oft auch für den Versand von Schadsoftware benutzt. Derartige E-Mails sofort löschen – und nie auf die E-Mail-Anhänge klicken!

Wer auf die Anhänge klickt, holt sich möglicherweise Erpresser-Viren (Ransomware) auf den Computer. Diese verschlüsseln die eigenen Daten. Nur wer anschließend ein Lösegeld von mehreren Hundert Dollar zahlt, soll wieder Zugriff erhalten.

Vermehrt taucht auch eine neue Bedrohung in den Mail-Anhängen auf, die oft eine noch größere Gefahr darstellt. Trojanische Pferde – kurz als Trojaner bezeichnet – sind eine besondere Form von Eindringlingen. Sie haben meist keine zerstörerische Absicht, sondern sind darauf aus, vertrauliche Unternehmes-Informationen auszuspähen. Dazu nisten sie sich ähnlich wie Viren auf Rechnern ein und spionieren versteckt im Hintergrund. So können Sie beispielsweise wichtige Dateien auslesen oder manipulieren oder etwa die Tastendrücke der Benutzer protokollieren, um Passwörter auszuspähen.

Mit den ausgespähten Zugangsdaten für Ihr E-Mail-Account, können Kriminelle sogar Spam- oder Phishing-E-Mails in Ihrem Namen verschicken.

Wenn am Zielrechner eine Webcam oder ein Mikrofon angeschlossen sind, kann die Spionage noch weitergehen.

Die beste Versicherung gegen Schadsoftware ist eine regelmäßige Sicherheitskopie (Backup) aller wichtiger Daten. Erstellen Sie am besten jetzt gleich eine aktuelle Datensicherung. Und lagern Sie diese getrennt vom Rechner.

Schutz vor Phishing-Angriffen

Das Ziel von Phishing-Betrügern ist immer dasselbe: Sie wollen zunächst an sensible Daten und schließlich an das Geld der Opfer kommen. Die Tricks der Internetbetrüger sind mittlerweile extrem ausgeklügelt, sodass sie oft zunächst gar nicht als solche wahrgenommen werden. Doch wie erkennt man betrügerische E-Mails? Kann man sich vor ihnen schützen? Und was muss man machen, wenn man vermutet, auf einen Betrüger reingefallen zu sein?

  • Phishing-Mails enthalten oft Fehler in der Grammatik, die Sprache klingt sperrig, Sie werden nicht mit Namen, sondern nur als „Kunde“ angesprochen und manchmal zur Eile gedrängt.
  • Die erste Empfehlung lautet immer: Links oder Anhänge in Phishing-Mails nicht anklicken! Weder Bank noch eBay fordern ihre Kunden via E-Mail zur Eingabe vertraulicher Daten auf.
  • Aktuell wieder gefährlicher denn je, sind Office-Dokumente mit Makros. Nicht öffnen!
  • Nur weil eine E-Mail von einem vertrauenswürdigem Absender stammt, bedeutet das nicht, dass der Absender diese versandt hat. Aktuelle Schadprogramme verbreiten sich selbständig. Dazu liest ein Schadprogramm im Hintergrund, das Adressbuch des infizierten Opfers aus und versendet Spam-Mails an die im Adressbuch gespeicherten E-Mail-Adressen.
  • Die Adresse von Banken oder Plattformen sollten händisch im Browser eingegeben oder über die Favoritenleiste geöffnet werden. Nur so kann man sichergehen, dass man sich tatsächlich auf der Originalseite befindet
  • Im Internet gilt generell: nur wenige sensible Daten preisgeben. Absolute Sicherheit gibt es nicht, jeder Anbieter sammelt Daten. Die Frage ist daher, welche Anbieter gehen verantwortungsvoll damit um? Die meisten Dienste sammeln persönlich Daten wie Name, Geburtsdatum, E-Mail, Telefonnummer und Adresse. Werden in den Datenschutzerklärungen Phrasen wie „Weitergabe von Daten an Dritte“ verwendet, kann das ein Hinweis darauf sein, dass sich das Unternehmen das Rech herausnimmt, die Daten zu verkaufen.
  • Eine Whois-Abfrage über eine zweifelhafte Internetseite bietet einen gewissen Schutz.
  • Nutzen Sie die Zwei- oder Multi-Faktor-Authentifizierung, wenn diese Option angeboten wird. Einige Online-Dienste bieten diese Option an.
  • Es gibt Virenscanner, die beim Aufruf einer Phishing-Seite warnen. Über einen brauchbaren Schutzmechanismus verfügt zum Beispiel die Kaspersky Internet Security.
  • Wenn Sie ständig Betrugmails erhalten, ist Ihre E-Mail Adresse in die Hände von Cyberkriminellen geraten. Wie auch immer dies passiert ist, es ist nicht zu ändern. Sie sollten über ein neues E-Mail-Konto nachdenken.
  • Haben Sie Konto- oder Kreditkartendaten preisgegeben, kontaktieren Sie sofort Ihre Hausbank beziehungsweise das Kreditkarteninstitut. Meist ist dann eine Sperre des Kontos bzw. der Kreditkarte notwendig. Wenn Log-in-Daten betroffen sind, muss so schnell wie möglich das Passwort geändert werden.

Auf der Internetseite mimikama.at kann man sich über aktuell im Umlauf befindliche Betrugsmails informieren.

Unsere CHECKLISTEN zum Thema „Phishing“

  1. Wie erkenne ich Phishing-E-Mails?
  2. Wie erkenne ich Phishing-Webseiten?
  3. Was tun, wenn Sie vermuten, Phishing-Opfer geworden zu sein?
  4. Sicherheitsregeln gegen Phishing-Schäden
Felix Bauer
Felix Bauer
Felix Bauer ist IT-Security Consultant (IT-Sicherheitsberater) mit 20 Jahren Erfahrung in der IT-Sicherheitsbranche. Felix Bauer begann im Alter von 14 Jahren mit der Analyse von Malwaresamples.

Zusätzlich zur Tätigkeit als Sicherheitsberater schreibt Felix Bauer häufig Fachbeiträge zu den Themen IT-Sicherheit und Internet-Technik. Seine Themenschwerpunkte: Antivirus, Sicherheitslücken und Malware. Unter anderem schrieb Felix Bauer bereits Fachbeiträge für die IT-Fachzeitschriften Computerwelt, Heise, IT-Administrator und Mimikama. Felix Bauer wurde in zahlreichen Fach- und News-Beiträgen erwähnt (u. a. in der Wiener Zeitung und in der Computerworld). Einige Referenzen finden Sie auf Felix Bauers Internetseite.

Felix Bauer besitzt den Abschluss Master of Science in Security and Forensic Computing.

Felix Bauer ist Mitbegründer der Initiative bleib-Virenfrei.