Was ist Phishing und wie funktioniert das Prinzip?
Phishing ist ein von dem englischen Wort „fishing“ abgeleiteter Begriff, der ins Deutsche übersetzt Angeln oder Fischen bedeutet. Der Begriff verdeutlicht bildlich, um was es geht: das betrügerische Angeln oder Fischen von sensiblen Daten wie Passwörter mithilfe verschiedener Köder im Internet. In der Regel liegt das Augenmerk der Phisher auf Zugangsdaten für Onlinebankingaccounts oder Informationen von Kreditkarten.
Dabei ist das Phishing ein ziemlich erfolgreiches Prinzip. Bei einer Phishing-Aktion klicken mehr als zehn Prozent aller Internetnutzer, die im Fokus einer solchen Attacke stehen, auf einen schädlichen Link oder öffnen einen gefährlichen Anhang. Das bedeutet, ein Betrüger muss zum Beispiel 10 E-Mail-Nachrichten verschicken, um mit höchster Wahrscheinlichkeit einen Nutzer zu finden, von dem er die persönlichen Daten erbeutet.
Da die Gefahr einer solchen Attacke überall im Internet lauern kann und auch fast täglich Phishing-E-Mails in den Postfächern von aber Millionen Internetnutzern landen, möchten wir Sie mit diesem Artikel für das Thema sensibilisieren und über die Gefahren des Phishings aufklären. Außerdem verraten wir Ihnen, wie Sie Phishing-Attacken erkennen und sich davor schützen können.
Die geschichtliche Entwicklung des Phishings
Phishing hat eine längere Geschichte als viele Menschen glauben. Lange bevor das Internet in den meisten Haushalten zur Verfügung stand und ihnen als Kommunikationsmittel diente, versuchten Betrüger über das Telefon an persönliche Daten zu kommen. Diese verwendeten sie für betrügerische Zwecke. Dabei bauten die Betrüger Vertrauen zu Ihren Opfern auf und nutzten dieses schamlos aus.
Ende der 90er Jahre begannen sich die Phishing-Attacken immer mehr ins Internet zu verlagern. Die Attacken forderten Nutzer über Messengerdienste wie ICQ auf, auf einen Link zu klicken und in dem anschließenden Formular ihre Zugangsdaten einzutragen. Die Betrüger missbrauchten diese Daten, indem sie sich danach als die User ausgaben, um weitere sensible Daten von den Kontakten des Opfers zu erbeuten.
Phishing hat sich seit den ersten Vorfällen vor vielen Jahren zu einer ernsthaften Bedrohung entwickelt. Heute verursachen Phisher mehr als 90 Prozent aller gezielten Angriffe im Internet und stellen neben der weitverbreiteten Malware eine der größten Gefahren im Internet dar. Dabei bedienen sich die Phisher unterschiedlicher Methoden und nutzen die erbeuteten Daten für unterschiedliche Zwecke.
Wofür werden die gestohlenen Daten verwendet?
Jeder von uns hinterlässt Spuren seines Surfverhaltens im Internet. Dabei spielt es keine Rolle, mit welchem Gerät wir uns im Internet bewegen. Wenn wir zum Beispiel mit einem eingeschalteten Smartphone unterwegs sind, lässt sich unser Aufenthaltsort leicht nachverfolgen. Weitere Spuren hinterlassen wir, wenn wir im Internet einkaufen oder in sozialen Medien unsere Meinung kundtun.
Diese Sammlung unserer Daten sind teilweise notwendig, um beispielsweise ein Geschäft abzuwickeln, teils dienen sie aber auch nur dem Zweck, den Internetuser mit gezielter Werbung weitere Produkte schmackhaft zu machen. Je vollständiger diese Daten eines Users sind, desto mehr Geld nehmen Firmen in die Hand, um sie zu kaufen. Dabei ist der Handel mit Ihren persönlichen Daten (ausgenommen natürlich Kreditkartendaten oder Zugangsdaten) datenrechtlich bedenklich, aber legal und wird auch von vielen Firmenbetrieben.
Nicht legal ist das Phishing. Beim Phishing gelangen Kriminelle auf betrügerische Weisen an sensible Daten, die sie für kriminelle Zwecke verwenden. Kriminelle haben mehrere Abnehmer für die erbeuteten Daten. Angefangen von Identitätsdieben und Botnetbetreibern bis hin zu organisierten Verbrecherbanden, die ihnen viel Geld für persönliche Daten bezahlen. Phisher können die Daten aber natürlich auch selbst gut gebrauchen, wenn es sich z.B. um Kreditkartendaten oder Zugangsdaten für das Online-Banking handelt.
Zusammenfassend kann man sagen, dass das Phishing darauf abzielt, an Ihre persönlichen Daten wie zum Beispiel den Kreditkartendaten, Zugangsdaten zum Online-Banking oder Benutzerdaten für andere wichtige Accounts zu gelangen. Wenn diese Daten in den Händen der Kriminellen sind, gibt es verschiedene Möglichkeiten:
Kreditkartenbetrug Mit den Zugangsdaten fürs Online-Banking könnten Kriminelle ganz einfach Geld von Ihrem Konto abheben. Mit den Benutzerdaten für z.B. Ihren Facebook-Account, können Kriminelle Ihre Identität annehmen und Ihre an die persönlichen Daten Ihrer Kontakte gelangen. Mit den Zugangsdaten für Ihr E-Mail-Postfach, können Kriminelle weitere Spam- oder Phishing-E-Mails verschicken, wobei Sie im schlechtesten Fall für verantwortlich gemacht werden. usw.
Diese Liste könnte man beliebig ergänzen, die genannten Punkte sollten aber ausreichen, damit Sie ein Gefühl dafür bekommen, wie gefährlich Ihre Daten in den falschen Händen sein können.
Methoden der Datenbeschaffung und Verschleierung beim Phishing
Nachahmung von URLs und Internetseiten
Einbindung eines Formulars in einer gefälschten E-Mail
Gefälschte Namen der Zielseiten
Verwendung kyrillischer Buchstaben
Schnell veränderliche Domains und URLs
Kleine Kampagnen, die keine Spamkontrollen auslösen
Nachahmung von Freunden und Kollegen
Auch diese Liste ist nicht vollständig, bildet aber die wichtigsten Methoden ab. Nachfolgend gehen wir auf drei dieser Methoden näher ein.
Nachahmung von Internetseiten und Einbindung von Formularen direkt in einer E-Mail
Am häufigsten bedient sich Phishing der Nachahmung seriöser Websites wie Internetauftritten von Banken. Dabei sind Laien oft nicht in der Lage diese Nachahmungen auf den ersten Blick als Fälschung zu entlarven. Wenn Sie dann auch kein aktuelles Antivirenprogramm auf Ihren Rechner installiert haben, werden Sie auch nicht von diesem auf einen möglichen Phishing-Versuch hingewiesen.
In vielen Fällen versenden Betrüger gefakte E-Mails. Diese sehen den offiziellen Mails des angeblichen Absenders täuschend ähnlich. Die Mails fordern Empfänger auf, ihre Bankdaten auf gefälschten Webseiten einzugeben, die wiederum denen des angeblichen Absenders zum verwechseln ähnlich aussehen, indem sie auf einen Link in der Mail klicken, der sie zu der gefälschten Website führt. Als Vorwand für die Eingabe dient in vielen Fällen, dass eine Systemaktualisierung die Eingabe dieser Daten nötig mache.
Diese Websites sehen täuschend echt aus, sodass viele Kunden ihre Daten eingeben und absenden, womit diese in betrügerische Hände gelangen. Des Weiteren üben Phisher zusätzlichen Druck aus. Sie drohen in ihren Mails, die Konten der Empfänger zu schließen, falls diese den Anweisungen in der E-Mail nicht folgen.
Eine andere Methode beim Phishing besteht darin, direkt in eine HTML-Mail ein Formular einzubinden. Dieses fordert zur Eingabe sensibler Daten auf und sendet diese an den Urheber der Phishing-Attacke. In solchen Fällen verzichten Phisher auf eine gefälschte Website.
Verschleierungsmöglichkeiten mithilfe von HTML
Der Versand der betrügerischen E-Mails beim Phishing erfolgt im HTML-Format, mit dem sich Links einbinden lassen. Der Linktext zeigt die Originaladresse. Das Linkziel, das auf die gefälschte Website verweist, lässt sich mittels Scripttechniken verfälschen. Das bedeutet, Betrüger sind in die Lage, mittels dem sichtbaren Link im Mailprogramm, Nutzer zu täuschen.
In anderen Fällen stellen Phisher den Link als Grafik dar. Auf dem Bildschirm des Users erscheint Text, der in Wirklichkeit eine Grafik ist. Hierfür fälschen sie in vielen Fällen die E-Mail-Adresse des Absenders.
Gefälschte Namen und Bezeichnungen
Die Internetseiten, die sich beim Phishing öffnen, besitzen oftmals gefälschte Namen oder Bezeichnungen. Diese sind den offiziellen Seiten von Banken oder Firmen ähnlich. Die Zielseiten mit dem Formular sehen den Originalseiten täuschend ähnlich. Wie weiter oben erwähnt, sind sie schwer als Fälschungen identifizierbar.
Nutzer kennen in der Regel die originale Internetadresse ihrer Bank oder eines anderen Dienstleisters im Internet, den sie regelmäßig nutzen. Die Adresszeile verrät, wenn es sich nicht um die Originalwebsite handelt. Ein Grund für Betrüger, die Phishing betreiben, Domainnamen (Internetadressnamen) zu verwenden, die den Originaladressen täuschend ähnlich sehen.
Bei ihrer Verschleierungstaktik hilft Betrügern die Möglichkeit, Umlaute in URLs zu verwenden. Auf diese Weise sind sie in der Lage, als Fälschung einer Originaladresse wie http://www.heizkoerper.de die Adresse http://www.heizkörper.de zu verwenden. Zwei sachlich identische Namen, die sich in verschiedene Adressen auflösen und zu unterschiedlichen Websites führen.
Wesentlich schwerer für Nutzer ersichtlich, da für Experten erst bei genauerem Hinsehen zu erkennen, ist die Verwendung von kyrillischen Zeichen anstelle von Umlauten. Optisch gibt es zwischen dem kyrillischen und lateinischen „a“ nahezu keinen Unterschied. Wenn Betrüger das „a“ in „Bank“ kyrillisch eingeben, handelt es sich nicht um die Originaladresse der Bank.
Wann sind Phishingmails gefährlich?
Betrügerische Mails sind gefährlich, wenn Nutzer auf Links klicken oder Anhänge öffnen. Wie ist es, wenn weder das eine noch das andere der Fall ist? In diesen Fällen gilt: Bei reinen Textmails, die Nutzer im Browser oder mit einem E-Mail-Programm öffnen, passiert nichts. Bei E-Mails im HTML-Format sieht es anders aus. Hier lassen sich im Link, Anhang oder Quellcode Schadprogramme hinterlegen. Das bedeutet, ein Klick auf eine Grafik in der Mail ist in der Lage, eine gefährliche Wirkung zu erzielen.
Phishing – wie kommen Betrüger an die E-Mail-Adressen?
Viele Nutzer fragen sich, wie Betrüger, die Phishing betreiben, an ihre Adresse kommen? Die Antwort lautet: Umso freizügiger Nutzer mit ihren Daten im Netz umgehen, desto größer die Gefahr, in einem Verteiler zu landen. Letzteren nutzen die Betrüger für ihre Zwecke. Wer im Internet oftmals an Gewinnspielen teilnimmt, setzt sich einer höheren Gefahr aus, dass seine Daten in die falschen Hände gelangen als Nutzer, die vorsichtig mit ihren Daten umgehen. Gleiches gilt für Nutzer, die sich auf irgendwelchen zwielichtigen Webseiten registrieren.
So schützen Sie sich und Ihre Daten vor Phishing
Neben den allgemeinen Maßnahmen für einen optimalen Virenschutz, gibt es einige spezielle Schutzmaßnahmen gegen Phishing-Attacken. Diese stellen wir Ihnen in der folgenden Infografik vor.
(via
Fazit
Wenn Sie regelmäßig das Internet nutzen, sollten Sie sich auch mit dem Thema Phishing auseinandersetzen. Besonders wenn Sie häufig E-Mails schreiben oder empfangen, denn viele E-Mails die verschickt werden, sind mittlerweile Phishing-Mails. Über diese betrügerischen Mails versuchen Betrüger an Ihre persönlichen und schützenswerten Daten zu gelangen.
Sind die Betrüger an Ihre Daten gelangt, verwenden sie diese oft zum Kreditkartenbetrug oder Identitätsdiebstahl. Je nachdem um was für Daten es sich handelt. Die Auswirkungen für die Opfer sind immens:
Geldverlust
Identitäsverlust
Verwicklung in Straftaten durch erbeutete Zugangsdaten (z.B. E-Mail-Account)
Möchten Sie nicht irgendwann Opfer einer Phishing-Attacke werden, seien Sie besonders vorsichtig im Umgang mit Ihren E-Mails. Prüfen Sie alle E-Mails sehr genau und fragen Sie lieber nochmal persönlich beim mutmaßlichen Absender nach, ob dieser die Daten wirklich von Ihnen haben möchte. Oft klärt sich durch ein persönliches Gespräch und aufgrund von Nachfragen die Situation auf und eventuell haben Sie damit eine neue Phishing-Welle enttarnt.
Phishing vs. Spoofing
Phishing und Spoofing waren schon immer ein heikles Thema. Phishing und Spoofing sind zwei verschiedene Arten von Internetkriminalität, die für das ungeschulte Auge sehr ähnlich aussehen können. Es gibt jedoch Unterschiede zwischen ihnen und wie Sie als Verbraucher mit ihnen umgehen sollten.
Wenn jemand versucht, die Identität eines gültigen Benutzers zu verwenden, nennt man das Spoofing. Phishing hingegen ist eine Situation, in der ein Krimineller betrügerische Social-Engineering-Techniken einsetzt, um die privaten und sensiblen Daten eines Benutzers zu stehlen.
Haben Sie sich schon einmal über beides gewundert? Vielleicht möchten Sie wissen, was die Unterschiede zwischen Phishing und Spoofing sind. Werfen wir einen Blick auf beide!
Spoofing und Phishing: Ein Überblick
Dank des technologischen Fortschritts und des weit verbreiteten Internetzugangs werden Cyberangriffe heute häufig genutzt, um Wirtschaftskriminalität wie Identitätsdiebstahl, Datenlecks und Kreditkartenbetrug zu begehen. Die beliebtesten Techniken von Online-Kriminellen oder Betrügern, um ein Computersystem oder Netzwerk zu beschädigen, zu manipulieren oder zu zerstören und finanziellen Schaden anzurichten, sind Phishing und Spoofing-E-Mails.
Sowohl Spoofing als auch Phishing beziehen sich auf elektronisch erstellte oder gefälschte Dokumente. Daher sind die beiden Begriffe in gewisser Weise austauschbar. Obwohl Spoofing-Methoden häufig beim Phishing eingesetzt werden, wird Spoofing nicht immer als Phishing angesehen.
Was ist Phishing?
Phishing ist der Versuch einer unbefugten Partei, Sie dazu zu bringen, persönliche Daten preiszugeben. Dies geschieht in der Regel, wenn Sie eine E-Mail erhalten, die legitim erscheint, aber Links oder Anhänge enthält, die Sie auf eine betrügerische Website leiten, um Ihre persönlichen Daten wie Passwörter und Kreditkartennummern zu stehlen.
Etwa 25 % aller Datenschutzverletzungen sind auf Phishing zurückzuführen, und 85 % der Datenschutzverletzungen haben eine menschliche Komponente., laut dem DBIR 2021 von Verizon.
Phishing-E-Mails können wie offizielle Nachrichten von Banken, Online-Shopping-Websites oder anderen vertrauenswürdigen Unternehmen aussehen, in denen Sie aufgefordert werden, persönliche Daten zu aktualisieren, z. B. Benutzernamen, Kennwörter oder Sicherheitsfragen. Daher ist es wichtig, dass Sie alle in diesen E-Mails enthaltenen Links überprüfen, bevor Sie darauf klicken.
Was ist Spoofing?
Spoofing ist eine Methode, die von Cyberkriminellen verwendet wird, um sich als seriöse oder bekannte Quellen auszugeben. Die Angreifer verwenden gefälschte E-Mail-Domänen als legitime Quellen. Spoofing kann viele Formen annehmen, darunter gefälschte E-Mails, Anrufe, DNS-Spoofing, GPS-Spoofing, Websites und E-Mails.
Auf diese Weise kann der Angreifer mit der Zielperson interagieren und auf deren Systeme oder Geräte zugreifen, um letztlich Daten zu stehlen, Geld zu verlangen oder das Gerät mit Malware oder anderer bösartiger Software zu infizieren.
Der Spoofing-Angriff zielt darauf ab, an sensible Informationen wie Ihren Benutzernamen und Ihr Kennwort, Ihre Kreditkartennummer oder Ihre Bankverbindung zu gelangen. Spoofing wird auch häufig bei Phishing-Angriffen eingesetzt. Und fast 90% der Cyber-Aktivitäten beinhalten Spoofing.
Phishing vs. Spoofing: Hauptunterschiede
Techniken
Spoofing und Phishing sind zwei Arten von Angriffen, die dazu verwendet werden können, sensible Informationen von Benutzern zu erlangen. Beide nutzen betrügerische E-Mail-Nachrichten, um Benutzer dazu zu verleiten, persönliche Informationen preiszugeben oder Malware herunterzuladen, aber sie unterscheiden sich in ihrer Funktionsweise.
Beim Spoofing , auch bekannt als Identitätsdiebstahl, werden gefälschte E-Mails verschickt, die den Anschein erwecken, von einer legitimen Quelle zu stammen. Ziel ist es, den Empfänger dazu zu bringen, persönliche Informationen wie Passwörter oder Kreditkartennummern preiszugeben. Phishing ist eine Form des Spoofing; dabei werden gefälschte E-Mails verschickt, in denen die Empfänger aufgefordert werden, auf Links zu klicken oder Anhänge herunterzuladen, um weitere Informationen über sich preiszugeben.
Beim Phishing werden in der Regel Social-Engineering-Techniken eingesetzt, die darauf abzielen, beim Opfer eine emotionale Reaktion hervorzurufen, indem Dringlichkeit oder Mitleid erzeugt wird. Spoofing ist technischer und beinhaltet oft die Erstellung eines identisch aussehenden Posteingangs für das Opfer, so dass es für dieses unmöglich ist, zu erkennen, welche E-Mail echt ist und welche nicht.
Zweck
Spoofing wird durchgeführt, um eine neue Identität zu erhalten : Die Idee dahinter ist, dem Opfer vorzugaukeln, dass es mit jemandem kommuniziert, den es kennt und dem es vertraut. Dies kann über E-Mail, Instant Messaging oder soziale Medien wie Facebook geschehen.
Die Idee dahinter ist, dem Opfer vorzugaukeln, dass es mit jemandem kommuniziert, den es kennt und dem es vertraut. Dies kann über E-Mail, Instant Messaging oder soziale Medien wie Facebook geschehen. Phishing wird durchgeführt, um an vertrauliche Informationen zu gelangen: Das Ziel ist es, Sie dazu zu bringen, Ihre persönlichen Daten preiszugeben. Dabei kann es sich um Passwörter und Kreditkartendaten handeln, die Ihnen vorgaukeln, dass die Nachricht, die Sie erhalten haben, von Ihrer Bank oder einer anderen vertrauenswürdigen Institution oder einem Dienstleistungsanbieter stammt.
Möglichkeiten zur Verhinderung von Spoofing
Es gibt mehrere Möglichkeiten, Spoofing-Angriffe in Ihrem Unternehmen zu verhindern, z. B:
Sender Policy Framework (SPF)
SPF ist eine Methode zur Bekämpfung von E-Mail-Spoofing. Es wird verwendet, um zu überprüfen, ob ein E-Mail-Absender autorisiert ist, Nachrichten im Namen einer Domäne zu versenden oder nicht. Wenn dies nicht der Fall ist, kann der empfangende Server die Nachricht sofort zurückweisen.
Der SPF-Datensatz enthält eine Liste von IP-Adressen, die berechtigt sind, E-Mails für eine Domäne zu versenden. Der Eintrag befindet sich in der DNS-Zonendatei für jede Domäne. Sie können das kostenlose SPF-Überprüfungsprogramm von PowerDMARC verwenden.
DomainKeys Identified Mail (DKIM)
DKIM prüft, ob eine E-Mail rechtmäßig ist und nicht während der Übertragung manipuliert wurde. Dies geschieht mit Hilfe digitaler Signaturen, die der Nachricht während der Übertragung hinzugefügt werden und die der empfangende Server anhand seiner DNS-Einträge überprüfen kann.
Bereichsbasierte Nachrichtenauthentifizierung, Berichterstattung und Konformität (DMARC)
DMARC ermöglicht es Ihnen, Richtlinien festzulegen, wie Ihr Unternehmen mit betrügerischen E-Mails umgeht, die vorgeben, von Ihrem Unternehmen zu stammen, aber nicht von den Servern Ihres Unternehmens kommen. Zu diesen Richtlinien gehören z. B. die Einrichtung von Verfahren zur Bearbeitung von Beschwerden und Anweisungen, wie ISPs mit mutmaßlich gefälschten E-Mails von Ihrer Domäne umgehen sollen.
Wege zur Verhinderung von Phishing
Phishing-Angriffe können sehr überzeugend sein. Sie kommen oft von offiziell aussehenden E-Mail-Adressen, enthalten bekannte Logos und Bilder und klingen sogar wie echt. Damit Sie nicht auf diese Taktiken hereinfallen:
Öffnen Sie keine Anhänge und klicken Sie nicht auf Links in E-Mails, wenn Sie nicht wissen, von wem sie stammen.
Achten Sie auf Rechtschreib-, Grammatik- und Formatierungsfehler in E-Mails, die vorgeben, von seriösen Unternehmen zu stammen.
Überprüfen Sie Ihre Kreditkartenabrechnungen regelmäßig, um sicherzustellen, dass nichts ungewöhnlich aussieht. Wenn Sie etwas Verdächtiges sehen, wenden Sie sich sofort an Ihre Bank.
Nutzen Sie kein öffentliches Wi-Fi in Cafés oder Hotels, denn Hacker können auf Ihre Daten zugreifen, wenn sie neben Ihnen im selben Netzwerk sitzen.
Letzte Worte
Kurz gesagt: Beim Phishing versucht man, sensible Informationen von einer Zielperson zu erhalten, indem man sich als vertrauenswürdiger Vertreter ausgibt. Beim Spoofing wird absichtlich versucht, den Empfänger der Nachricht zu täuschen, damit er denkt, die Nachricht käme von jemandem oder irgendwo anders. Wie Sie sehen, gibt es einen deutlichen Unterschied zwischen den beiden Begriffen, aber beide können Ihren persönlichen Daten und Ihrer Glaubwürdigkeit schweren Schaden zufügen.
Der beste Weg, sich vorzubeugen, ist, mit den Experten von PowerDMARC zu sprechen und ihre Lösungen zu nutzen, damit Sie auf der sicheren Seite sind.
Einfach erklärt: Was ist Phishing und wie schützen Sie sich
Eine scheinbar harmlose E-Mail kann direkt in die Insolvenz führen. Wir zeigen Ihnen, was Phishing ist und wie Sie sich gegen Attacken von Kriminellen verteidigen können.
„Hiermit teilen wir Ihnen mit, dass wir Ihr Giro-Konto gesperrt haben. Unsere Sicherheitsabteilung hat gravierende Risiken festgestellt.“
Ahh! Die Bank schreibt mir! Konto gesperrt!? Ist mein Geld jetzt weg?
„Um das Konto zu entsperren, benötigen wir einige Angaben von Ihnen. Das können Sie bequem auf unserer Service-Plattform erledigen. Einfach hier klicken.“
Puh! Zum Glück kann ich das schnell klären. Einfach hier klicken…
Was ist Phishing?
Wenn Sie jetzt auf den blauen Link in der Mail oder der Textnachricht klicken, dann hat der Angreifer Sie dort, wo er Sie haben will – am Haken. Sie werden dann auf eine gefälschte Seite gelenkt, die eine täuschend echte Kopie der Bank-Website ist. Wenn Sie hier Ihre persönlichen Daten eingeben, können Angreifer Ihre Identität stehlen und in Ihrem Namen shoppen gehen – im Durchschnitt erzeugt ein erfolgreicher Phishing-Angriff einen Schaden von 4.000 Euro.
Doch es kann noch schlimmer kommen: Eingeschleuste Schadsoftware wie Viren oder Trojaner können ganze Firmennetzwerke infizieren. Es drohen Betriebsausfall, Reputationsverlust, Konkurs.
Phishing leitet sich vom englischen fishing ab. Es ist der Versuch von Kriminellen, sich Passwörter und persönliche Daten zu angeln. Dazu verschicken Sie fake E-Mails, SMS oder gefälschte Nachrichten in sozialen Netzwerken. Manche Angreifer versuchen auch, Ihren Opfern Kennwörter bei einem Phishing-Anruf abzuschwatzen.
Wie schütze ich mich vor einem Phishing-Angriff?
Angreifer möchten, dass Sie impulsiv reagieren, ohne die Seriosität der Nachricht zu überprüfen. In unserem Beispiel verbreiten sie Angst („Giro-Konto gesperrt“) und Schrecken („gravierende Risiken“) und bieten gleichzeitig einen vermeintlichen Ausweg an („Einfach hier klicken.“).
Darum heißt die wichtigste Regel: Ruhe bewahren! Lassen Sie sich bloß nicht unter Druck setzen! Atmen Sie kurz durch und stellen Sie sich dann folgende Fragen:
Wie plausibel ist der geschilderte Fall? Ist das Szenario wahrscheinlich? Würde eine Nachricht wirklich so aussehen?
Denn keine Bank der Welt schreibt Ihnen eine Mail, dass ein Problem mit Ihrem Konto vorliegt, Microsoft ruft Sie nicht an und niemand mit seriösen Absichten fragt nach Usernamen und Passwort.
Am einfachsten entlarven Sie Phishing-Mails am Schreibstil: Oft gibt es Rechtschreib- und Grammatikfehler, die Anrede ist ungewohnt oder die Formatierung merkwürdig. Überprüfen Sie den Namen des Absenders. Ist der Betreff verdächtig? Kommt Ihnen ein Link komisch vor, dann fahren Sie mit dem Mauszeiger – ohne Klicken – darüber. Es wird dann angezeigt, auf welche Webseite Sie der Link wirklich führen würde.
