Ausspionieren von Passwörtern, Zugangsdaten oder sonstigen persönlichen Daten und Informationen via E-Mail oder Textnachricht, gibt es schon seit Langem. In jüngster Zeit nutzen aber immer mehr Internet-Kriminelle deutlich verfeinerte Phishing-Methoden.
So werden Phishing-Attacken ausgeführt
Phishing ist die mit Abstand am weitesten verbreitete Betrugsmasche, mit der über das Internet persönliche Daten und vertrauliche Informationen abgegriffen oder Schadprogramme aller Art verbreitet werden. Der englische Begriff ist ein Kunstwort, das aus den Bestandteile „password harvesting“ (etwa: Passworternte) und „fishing“ (Fischen) zusammengesetzt ist. Das Netz, mit dem gefischt wird, ist das Internet, Köder sind E-Mails oder Textnachrichten, die über Text- oder Bildlinks auf gefälschte Webseiten führen. Der Fang besteht dann z. B. in Kontodaten, Kreditkartennummern oder Zugangsdaten, die ahnungslose Opfer in gutem Glauben preisgeben. Oft werden nach dem Anklicken der Links in den E-Mails oder Textnachrichten auch Schadprogramme auf die Geräte der Opfer übertragen. Sie sammeln dort vertrauliche Informationen und leiten diese weiter oder machen die Geräte zu Teilen sogenannter Botnetze, die für kriminelle Zwecke eingesetzt werden. Die meisten Phishing-Attacken erfolgen per E-Mail, die völlig ungezielt massenweise versendet werden.
Spear-Phishing Beim Spear-Phishing (etwa: Speerfischen) werden mit den gleichen Betrugsmethoden bestimmte Empfänger und Empfängergruppen gezielt angegriffen. Dabei werden die Opfer zuvor ausspioniert und erhalten dann individuell abgestimmte Betrugsmails. Die Trefferquote ist bei diesen Angriffen sehr hoch. Angesichts des ebenso hohen Aufwands sind Spear-Phishing-Angriffe aber selten und in der Regel gegen größere Unternehmen gerichtet. Häufig werden auf diesem Wege Spionage-Tools in Unternehmensnetze eingeschleust, es finden auch viele Ransomware-Attacken auf diesem Wege statt. |
Phishing-Angriffe immer schwerer zu erkennen
Beim klassischen Phishing per Massenmailing konnten Empfänger gefahrbringende Nachrichten bislang mit etwas Vorsicht und Wissen um die eingesetzten Tricks und Techniken einigermaßen gut erkennen: Unbekannte Absender, unpersönliche Anrede, nicht immer nachvollziehbare Inhalte oder auch auffallend viele sprachliche Fehler in den Texten: Es gab eine ganze Reihe von Indizien, die zumindest den Verdacht nahelegten, dass es sich um einen Phishing-Angriff handelte, der dazu verleiten sollte, vertrauliche Informationen preiszugeben, einen virenverseuchten Anhang zu öffnen oder einen Link anzuklicken, der auf eine gefährliche Webseite führt.
Doch die Zeiten, in denen sich Phishing-Mails einfach auf den ersten Blick erkennen ließen, sind vorbei. Die meisten Betrüger haben deutlich nachgebessert. Viele Phishing-Mails können den Empfänger mit seinem Vor- und Zunamen anreden, weil durch erfolgreiche Angriffe auf große Unternehmensdatenbanken viele E-Mail-Adressen samt weiterer Daten in Umlauf gekommen sind. Diese Daten werden im Darknet gehandelt, von Phishern angekauft und für die Anrede in Massenmailings verwendet. Der finanzielle Aufwand ist gering: Für riesige Datenpakete mit mehreren Millionen (!) Datensätzen werden nur wenige hundert Dollar verlangt.
Hinzu kommt, dass mittlerweile auch die Webseiten, auf die die Links in den Phishing-Mails führen, so sorgfältig gestaltet und nachgeahmt sind, dass sie von den Originalseiten kaum noch zu unterscheiden sind.
Phishing-Schutz
Der beste Schutz vor Phishing ist Achtsamkeit: Keine Bank, kein Kreditkartenanbieter, kein Telekommunikationsanbieter und auch keine der großen Online-Plattformen fordert per E-Mail oder Textnachricht dazu auf, vertrauliche Zugangsdaten einzugeben.
Um Daten- oder Passwortdiebstahl und das Herunterladen von Schadprogrammen zu verhindern, sollten Sie – und Ihre Mitarbeitenden – Folgendes beachten:
- Überprüfen Sie die Absenderangabe der E-Mail oder Textnachricht. Passt die Adresse oder Rufnummer zum angegeben Absender?
- Aktivieren Sie auf keinen Fall einen Link in einer dubiosen E-Mail oder Textnachricht.
- Werden vertrauliche Angaben verlangt, fragen Sie telefonisch beim genannten Anbieter nach.
- Geben Sie keine vertraulichen Informationen wie Passwörter, Kontonummern oder Zugangsdaten per E-Mail oder Textnachricht preis.
- Öffnen Sie niemals Dateien, die sich im Anhang einer verdächtigen Mail befinden.
- Scannen Sie niemals einen QR-Code, der in einer E-Mail abgebildet ist.
- Kommt Ihnen auf einer Webseite etwas komisch vor, schließen Sie diese sofort und beenden Sie Ihren Browser.
- Sorgen Sie dafür, dass das Betriebssystem, das Virenschutzschutzprogramm und der Browser auf dem aktuellen Stand sind. Ist dies Fall, kann es sein, dass Sie beim Besuch gefälschter Webseiten gewarnt werden.
Was auch hilft, ist der Blick auf eine Übersicht aktueller Phishing-Mails. Ein solches Informationsangebot bietet z. B. das Phishing-Radar der Verbraucherzentralen.
Es ist zudem unerlässlich, die Mitarbeitenden immer wieder für das Thema zu sensibilisieren und über aktuelle Entwicklungen zu informieren.
Phishing-Warnungen und neue Trends
Aktuell warnen die Verbraucherschützer vor Phishing-Mails, die angeblich von der Deutschen Telekom, UPS, 1&1, Disney+, Comdirekt, Ing-Diba oder der DKB kommen. Ein Trend bei Phishing-Mails ist, dass diese neuerdings auch die Abbildung eines QR-Codes enthalten, der mit dem Smartphone eingescannt werden soll. Ein weiterer Trend ist der wachsende Anteil von Phishing-Textnachrichten die per SMS (Smishing) oder in Messenger-Diensten wie WhatsApp verschickt werden. Aktuell betrifft dies z. B. Textnachrichten, die im Namen von DHL verschickt werden und einen angeblich gescheiterten Zustellversuch betreffen.