Phishing, Smishing, Vishing: Drei Wege, wie Kriminelle Ihre Daten abfischen
Das „Abfischen“ von Daten, das sogenannte Phishing, ist eine schon länger bekannte Betrugsmethode, die darauf abzielt an sensible Daten potenzieller Opfer zu gelangen und sie so um Geld zu erleichtern. Der Angriff erfolgt über gefälschte E-Mails und Webseiten. Aber was viele nicht wissen: Phishing ist auch über SMS oder über Anrufe möglich.
Das Abfischen von Daten ist besonders perfide, weil mit den missbräuchlich erlangten Daten die technischen Sicherheitsvorkehrungen der Banken umgangen werden. Denn die Betrüger brauchen keine hochprofessionellen technischen Kenntnisse, um die Sicherheitssysteme zu manipulieren. Vielmehr können sie Zahlungsvorgänge auslösen, die für die Bank so erscheinen, als wären sie vom Kunden selbst autorisiert worden. Dies erschwert es der Bank, eine betrügerische Transaktion sofort als solche zu erkennen und eine unberechtigte Auszahlung zu blockieren.
Phishing: „Klassisches“ Abfischen über E-Mails
Das klassische Phishing ist schon lange bekannt: Mit betrügerischen E-Mails sollen Bankkunden verleitet werden, persönliche, finanzielle oder sicherheitsbezogene Informationen preiszugeben. Meist sehen diese E-Mails in Form und Inhalt der Korrespondenz mit einem vertrauten Unternehmen wie der eigenen Bank sehr ähnlich; die bekannten Logos werden benutzt, das Layout und sogar die Wortwahl gleicht den echten E-Mails. Kriminelle bauen hier vor allem darauf, dass Menschen häufig vielbeschäftigt sind und deshalb E-Mails nur oberflächlich lesen. Sie vermitteln den Eindruck, es sei dringend und fordern dazu auf, einen Anhang zu öffnen oder auf einen Link zu klicken. Besonders bei mobilen Endgeräten, wie Mobiltelefon oder Tablet, kann es schwierig sein, den Phishing-Versuch zu erkennen.
Smishing: Datenklau über betrügerische SMS
Auch per SMS können Daten gestohlen werden. Wenn Sie Opfer des so genannten Smishings („SMS“ und „Phishing“) werden, erhalten Sie eine Textnachricht mit der Aufforderung, einem Link zu folgen oder eine Telefonnummer anzurufen. So soll Ihr Konto angeblich „geprüft“, „aktualisiert“ oder „reaktiviert“ werden. Dieser Link führt zu einer gefälschten Webseite oder ein Anruf zu einem Kriminellen, der sich als Angestellter eines tatsächlich existierenden Unternehmens ausgibt. Die Betrugsmasche ist oft erfolgreich, weil viele eher eine fremde Textnachricht als eine unbekannte E-Mail öffnen.
Der neueste Trick dieser Betrugsmethode: Eine Mitteilung, dass das eigene Gerät mit einem Schadprogramm infiziert sei und ein angebliches Sicherheitsupdate umgehend installiert werden sollte. Die in der Mitteilung enthaltene Anleitung oder ein Link zum Download einer Sprachnachricht mit weiteren Informationen oder eines Updates führen dann allerdings zur Installation einer Schadsoftware auf Ihrem Gerät. Es gibt aber auch Mitteilungen, die vor angeblich verdächtigen Kontoaktivitäten warnen und über einen Link zur Eingabe von persönlichen Zugangsdaten auf einer gefälschten Webseite verleiten.
Eine weitere verbreitete Smishing-Methode ist die gefakte SMS mit einem Link zur vermeintlichen Sendungsverfolgung von Paketen. Prüfen Sie hier unbedingt die Seriosität einer solchen Nachricht und nutzen Sie lieber die direkte Sendungsverfolgung auf den Webseiten der Versanddienstleister, um sich vor Smishing-Angriffen dieser Art zu schützen!
Vishing: Abfischen von Daten über ein Telefonat
Ein anderer Weg, um an sensible Daten zu kommen, ist das so genannte Vishing („Voice“ und „Phishing“). Am Telefon werden Sie vom Betrüger dazu verleitet, Ihre Daten herauszugeben oder direkt Geld an die Kriminellen zu überweisen. Die Betrüger recherchieren vorab in den sozialen Medien nach persönlichen Informationen und versuchen sich mit den so gewonnenen Erkenntnissen Ihr Vertrauen zu erschleichen. Auch wenn Anrufer solche persönlichen Details von Ihnen kennen, sollten Sie misstrauisch bleiben. Lassen Sie sich im Zweifel die Telefonnummer geben und kündigen Sie einen Rückruf an. So gewinnen Sie Zeit, können das geführte Gespräch reflektieren und die Telefonnummer selbst überprüfen. Wichtig: Dabei rufen Sie natürlich nicht die im Display gespeicherte Nummer zurück, denn genau diese kann gefälscht sein.
So schützen Sie sich vor Cyberkriminalität!
Generell gilt: Nehmen Sie sich Zeit! Lassen Sie sich nicht unter Druck setzen! Links, Anhänge und Bilder sollten Sie nicht öffnen, ohne vorher genau zu prüfen, wer der Absender ist. Das gilt sowohl für Textnachrichten, als auch für E-Mails. Die Adresse kann manuell im Browser eingegeben werden.
Übrigens fragen Bankangestellte Sie niemals nach Onlinebanking-Passwörtern, PINs der Kredit- oder Debitkarte oder nach anderen Sicherheitsmerkmalen und fordern Sie auch nie dazu auf, Geld auf ein fremdes Konto zu überweisen.
Für den Fall, dass Sie vermuten, doch Opfer einer Betrugsmasche geworden zu sein, kontaktieren Sie umgehend die Polizei und auch Ihre eigene Bank. Dass Kriminelle versuchen, an sensible Daten zu gelangen, kann nicht verhindert werden. Aber wer wachsam bleibt und die Tricks kennt, senkt zumindest das Risiko eines Schadens erheblich.
Weitere Betrugsmaschen sind in unserem Cyberlexikon zu finden.
Phishing & Smishing auf dem Vormarsch
Phishing & Smishing auf dem Vormarsch
Spam verstopft nicht nur E-Mail-Postfächer und bahnt Betrugsversuche an, sondern infiziert oft auch das Empfängersystem mit einem Schadprogramm zum Ausspionieren persönlicher Daten: Phishing heißt diese Cybercrime-Spielart – ein Kunstwort, das sich aus Passwort und Fishing zusammensetzt.
Das Fischen nach Passwörtern hört sich harmloser an, als es in der Realität tatsächlich ist. Denn Phishing steht am Anfang verschiedenartiger Delikte, die vom "einfachen" Datendiebstahl über illegale Kontoabbuchungen bis hin zu Angriffen auf kritische Infrastrukturen reicht. Das BSI berichtete in der Vergangenheit zum Beispiel auch über Phishing-Angriffe auf europäische und US-amerikanische Energieversorger – darunter auch Kernkraftwerksbetreiber.
Spear-Phishing: Nicht alle Phishing-Mails landen im Gefolge einer ungezielten Spam-Welle im Postfach: Das sogenannte Spear-Phishing richtet sich gezielt gegen bestimmte Firmen oder Organisationen. Deshalb sind solche Phishing-Mails mit oft hohem Aufwand und viel Akribie auf einen ganz konkreten Empfänger zugeschnitten. Die Hintermänner gehören in solchen Fällen meist einer international organisierten Gruppe von Cyber-Kriminellen an. Spear-Phishing ist oft nur der Auftakt einer gestaffelten Angriffskette, bei der es häufig um Finanzbetrug, aber auch um das Abschöpfen von Geschäftsgeheimnissen oder militärischen Informationen geht.
Phishing – Vorsicht vor der Tarnung!
Als seriöse Bank, Internetanbieter oder anderer Dienstleister getarnt, fordern Spam-E-Mails mit gefälschtem Absender die Empfänger zum Beispiel zu einer vorgeblich notwendigen Aktualisierung ihrer persönlichen Daten auf. Als Vorwand für die Bestätigung von Kontoinformationen wird dann zum Beispiel der baldige Ablauf einer Kreditkarte genannt. Oder das Passwort müsse wegen eines angeblichen Sicherheitsvorfalls erneuert werden. Dabei spekulieren die Kriminellen darauf, dass sich unter den Empfängern einer Spam-Welle stets genügend Kunden der im Absender genannten Organisation befinden. Kein Wunder, dass der Name großer Bankengruppen wie die Sparkassen oder Volks- und Raiffeisenbanken so häufig für Phishing-Spam missbraucht wird.
Phishing : Nachahmung von Websites bis zur Perfektion
Sowohl die Phishing-Mail selbst als auch die Website, auf die ein Link im Text verweist, sind dabei zumeist sorgfältig nachgeahmt. Cyber-Kriminelle verstehen ihr Handwerk. Allzu oft gelingt es ihnen, durch professionelle Imitation des Corporate Designs inklusive Logo, Farbgebung und Schriftarten der jeweiligen Organisation überzeugend Echtheit vorzutäuschen. Arglose Empfänger lassen sich so leichter dazu verleiten, auf einen Link in der Mail zu klicken – zumal er sich oftmals hinter einem perfekt designten Button verbirgt. Jetzt haben die Betrüger ihre Opfer genau da, wo sie sie hinhaben wollen: auf der gefälschten Website einer Organisation, die überall als vertrauenswürdig anerkannt ist.
Phishing in sozialen Netzen
Posts in sozialen Netzwerken können genauso wie der Link in der Spam-E-Mail auf eine gefälschte Website führen. Hierbei sind es weniger Banken oder große Dienstleistungsunternehmen, die als fingierte Absender missbraucht werden, sondern vor allem bekannte Markennamen. Das Ziel der Phishing-Betrüger bleibt jedoch dasselbe – nämlich Vertrauen erschleichen und persönliche Daten abgreifen.
Smishing – Betrug per SMS
Hinter Smishing - dem Phishing per SMS - steckt eine weitere Angriffsvariante von Cyber-Kriminellen. Das vorrangige Ziel ist es, Zugangsdaten abzugreifen und diese für weitere Betrügereien zu missbrauchen. Die SMS kommen meist von angeblichen Paketdiensten, die eine Sendungsverfolgung, Probleme mit der Paketzustellung beinhalten oder auch Onlineshopping-Plattformen, die eine Zahlungsaufforderung enthalten.
Oberstes Gebot ist Vorsicht! Überlegen Sie erst einmal genau, ob Sie gerade ein Paket erwarten und lassen Sie sich nicht unter Druck setzen. Achten Sie zum Beipsiel auf Rechtschreibfehler (insbesondere bei Umlauten wie ö, ä, ü) in der SMS und kuriose Zeichenabfolgen innerhalb der Links. Klicken Sie im Zweifel nicht auf diese Links in der SMS .
Auf der Seite der Verbraucherzentrale NRW gibt es zahlreiche Beispiele für Smishing.
Zum Thema Externe Verlinkung
SECUSO - Infomaterial für Bürger
Webseite:
Vorsicht, Phishing! Mit diesen Tipps erkennen Sie Betrugs-Mails sofort | Tipp
Vorsicht, Phishing! Woran Sie Betrugs-Mails sofort erkennen Von t-online , avr Aktualisiert am 15.10.2022 Lesedauer: 4 Min. Phishing: So können sich Empfänger verdächtiger E-Mails vor dem Datenklau schützen. (Quelle: Glomex)
Durch sogenannte Phishing-Mails versuchen Kriminelle, an Daten ihrer Opfer zu kommen. Viele Nutzer fallen auf solche Betrugs-Mails herein. Mit diesen Tipps erkennen Sie die falschen Nachrichten.
Im Grunde scheint die Mail wie eine Telekom-Nachricht: Sie zeigt sich im Magenta-Look und mit Telekom-Logo. Selbst der Absender der Absender scheint authentisch. Doch wer genau hinschaut, erkennt es sofort: Die E-Mail ist eine Fälschung.
Die Nachricht ist eine sogenannte Phishing-Mail. Sie stammt nicht von der Telekom sondern Unbekannten, die Namen und Logo des Konzerns missbrauchen. Die Nachricht fordert Nutzer dazu auf, ihr Mail-Konto zu aktualisieren – ansonsten droht Datenverlust. Wer dem Link in der Mail folgt und seine Log-in-Infos eintippt, übergibt sie Kriminellen. Diese nutzen die Daten selbst oder verkaufen sie im Darknet.
Solche Phishing-Mails sind keine Seltenheit. Und der Datenverlust lässt sich für gewöhnlich nicht rückgängig machen. Wer seine Daten schützen will, muss lernen, Phishing-Mails zu erkennen. Diese Tipps zeigen, worauf Sie achten müssen.
1. Rechtschreibung und Grammatik
Oft haben Phishing-Mails Rechtschreib- oder Grammatikfehler. Laut dem Bundesamt für Sicherheit in der Informationstechnik liegt das daran, dass viele Nachrichten von Computerprogrammen aus einer anderen Sprache ins Deutsche übersetzt werden.
Auch auf der Website, zu der Phishing-Mails leiten, finden sich oft Fehler. Achten Sie zudem darauf, ob Umlaute wie "ä" gezeigt werden, oder stattdessen "ae" oder kryptische Zeichen stehen.
Anders kann es bei sogenannten Spear-Phishing-Nachrichten sein. Die sind für gewöhnlich auf das Ziel zugeschnitten. Mehr dazu lesen Sie hier.
2. Falsche Absenderadresse
Kriminelle versuchen, durch eine falsche Absenderadresse den Phishing-Versuch zu verstecken. Mail-Spoofing ist der Fachbegriff dafür. Schauen Sie darum nach Tippfehlern beim Absender. Zum Beispiel: statt Im Zweifelsfall führen Sie die Maus über die Absender-Leiste. So lässt sich mithilfe des sogenannten "mouseover" die wahre Absenderadresse zeigen.
Alternativ können Sie sich den Mail-Header vollständig anzeigen lassen. Wie das geht, variiert bei jedem Mail-Programm. Für gewöhnlich finden Sie im Quelltext des Headers unter dem Punkt "Return-Path" die wahre Adresse des Absenders. In anderen Fällen können Sie bei der Mail auch auf "Antworten" drücken. Jetzt sollte in der Absenderadresse die wahre Mail-Adresse ersichtlich sein. Auf die Nachricht wirklich antworten sollten sie aber nicht.
Loading... Embed
3. Fehlende persönliche Anrede
Eine Phishing-Mail hat meist entweder keine oder eine falsche persönliche Anrede. Wenn eine Nachricht im Namen einer Bank oder eines Händlers kommt, sollte sie für gewöhnlich eine persönliche Anrede enthalten.
4. Nachricht signalisiert dringenden Handlungsbedarf
Kriminelle versuchen, ihre Opfer unter Druck zu setzen. Beispielsweise steht in vielen falschen Mails im Namen von Banken oder Providern, dass eine Kontosperrung droht. Falsche Amazon-Mails berichten oft von einer teuren Lieferung, die unterwegs sein soll. Nutzer sollen solche Probleme angeblich nur lösen können, indem Sie einem Link in der Mail folgen. Wer das tut, landet auf der Webseite von Betrügern.
5. Nutzer sollen persönliche Daten angeben
Banken oder Onlinehändler verlangen generell nicht, dass Kunden ihre Kontaktdaten per Mail aktualisieren und persönliche Daten angeben. Falls Sie so eine Aufforderung erhalten, besuchen Sie am besten immer die Website des Anbieters und loggen Sie sich da ein. Im Zweifel bewegen Sie den Mauszeiger auf den Link in der Mail. Der mouseover sollte zeigen, wohin die Verlinkung tatsächlich führt. Achten Sie hierbei auch auf Tippfehler in der Webadresse. Beispielsweise statt
Mit Ihren persönlichen Daten können Kriminelle beispielsweise Identitätsdiebstahl begehen. Wie das enden kann, zeigt das Beispiel von Claudia Pfister. Hier lesen Sie mehr zu dem Fall.
6. Vorsicht vor angehängten Dateien
Öffnen Sie keinesfalls eine angehängte Datei in einer E-Mail von Unbekannten. Die Datei könnte eine Schadsoftware enthalten, die Ihr System infiziert. Wenn Sie eine unerwartete Nachricht mit Anhang von einem Bekannten erhalten, seien Sie zudem misstrauisch. Fragen Sie am besten bei dem Bekannten nach, ob er die Mail wirklich verschickt hat. Es könnte sein, dass Betrüger seine Daten missbrauchen.
