Was bedeutet Phishing? - Definition und Beispiele

Was bedeutet Phishing? (© weerapat1003 – stock.adobe.com)

Cyberattacken kommen in den letzten Jahren immer mehr „in Mode“. Kein Wunder, unser Leben und Arbeiten findet zu einem großen Teil im Internet, den sozialen Medien statt. Den wöchentlichen Besuch in der Hausbank wickeln wir online ab, Rechnungen bezahlt man mit E-Banking und den Urlaub buchen wir mit Kreditkarte. Hervorragend geeignet, um betrügerische Netze auszuwerfen und vielversprechende Fischzüge zu unternehmen namens Phishing – dem Sammeln von persönlichen Daten in unlauterer Absicht.

Wie gefährlich ist Phishing?

Abhängig von der Art des Betrugsversuches liegt die Gefahr im privaten Bereich darin, dass mit ergaunerten Konto- oder Kreditkartendaten finanzielle Transaktionen möglich sind, die den Besitzer sehr viel Geld kosten, wenn nicht gar an den Rand des Ruins bringen. Cyberattacken gegen Unternehmen verursachen volkswirtschaftliche Schäden in zweistelliger Millionenhöhe.

Einigermaße neu an der Vorgehensweise ist, dass es immer mehr zu Betrugsversuchen mit sogenannter „Malware“ kommt. Das sind in der Regel Phishing Mails mit einem Anhang, der, sofern man ihn öffnet, Schadsoftware auf dem PC, Smartphone oder Tablet installiert.

Falls es sich dabei um „Ransomware“ handelt, dann sperrt diese Software den Zugang zu allen Daten im System und gibt ihn erst nach Zahlung eines beträchtlichen Lösegelds frei (oder auch nicht).

Wie man Phishingmails erkennt

Diese Mails in betrügerischer Absicht heben sich von der „normalen“ Post durch einige markante Merkmale ab:

• Keine persönliche Anrede.
• In der Mail zum Text findet sich eine Handlungsaufforderung, bspw. „Aktualisieren Sie Ihre Daten, damit Ihr Konto wieder voll geschützt ist…“.
• Manchmal drohen die Betrüger : „Wir müssen Ihr Konto sperren, wenn Sie nicht bis zum 15. dieses Monats Ihre Daten aktualisieren“.
• Sie werden zwar höflich, aber unmissverständlich gebeten, Ihre Kontodaten, Kreditkartennummern und gleich die Zugangskennungen zwecks Überprüfung zu übermitteln.
• Die Mail hat Links zu Webseiten oder Formularen, die mit dem vorgetäuschten Absender nichts zu tun haben (Sie können sich die tatsächliche Adresse durch Rechts-Klick anzeigen lassen oder den Quelltext der Mail einblenden).
• Im Text fehlen die Umlaute oder er ist mit kyrillischen Zeichen durchsetzt.

Allerdings haben die „Phisher“ in den letzten Jahren einiges dazugelernt und viele solcher krimineller Mails sind so perfekt gemacht, dass die betrügerische Absicht kaum zu erkennen ist.

Tipps zur Erkennbarkeit solcher Emails

Neben den oben genannten Erkennungsmerkmalen sind es noch diese 3 Tipps, mittels derer Sie möglichen Betrugsversuchen auf die Schliche kommen:

• Erfolgt der Aufruf der betroffenen Seiten nicht durch ein SSL-Zertifikat (https)?
• Verweist der Link tatsächlich auf die korrekte Internet-Adresse? Prüfen Sie die aufzurufende URL, ob sie den Namen der Institution enthält, in deren Auftrag der Mailversand angeblich erfolgte. Lassen Sie bei ungewöhnlichen Zeichenkombinationen wie www.456Bank.ru oder ähnlich Vorsicht walten.
• Der Aufforderung, eine TAN einzugeben, ohne dass Sie eine Transaktion abgesetzt haben, sollten Sie keinesfalls folgen, sondern Ihre Bank oder den vermeintlichen Auftraggeber sofort kontaktieren.

So kann man sich schützen

Der erste und wichtigste Schutz ist Aufmerksamkeit. Beim geringsten Verdacht, dass etwas nicht stimmt, öffnen Sie keine Anhänge und löschen die Mail (auch aus dem Papierkorb). Ggf. erstatten Sie Anzeige bei der Polizei. Vorbeugend sollten Sie:

• Ihre Betriebssysteme immer auf dem neuesten Stand halten und alle Aktualisierungen durchführen.
• Ein wirksames Antivirenprogramm installieren.
• Besonders auf Mails mit offiziellem Charakter achten (Behörden, Ämter, Institutionen). Wenn Sie bis dahin keinen Kontakt mit dem Absender hatten, erkundigen Sie sich vor jeder ersten Aktion erstmals telefonisch, ob das mit rechten Dingen zugeht.
• Den Absender zurückrufen. Allerdings nicht unter der angegebenen Nummer, sondern recherchieren Sie selbst vorher über die Kontaktdaten des Versenders.
• Niemals Anhänge mit den Endungen „.exe“, „.scr“, „,.msi“ öffnen. Es könnte sich um Schadsoftware handeln. Laden Sie Programme generell nur direkt von der Webseite des Händlers, Betreibers.
• Bei allen Accounts nach Möglichkeit die Zwei-Faktor-Aktualisierung verwenden. Damit können Sie sich erst in das Konto einloggen, wenn Ihre Identität auf einem zweiten Gerät (Smartphone, Tablet, PC) bestätigt wurde.

Was tun, wenn man einer Attacke zum Opfer gefallen ist?

Falls Sie unabsichtlich vertrauliche Informationen weitergegeben haben, warten Sie nicht, bis tatsächlich ein Schaden eintritt. Reagieren Sie unverzüglich, wenn Sie den Verdacht haben, dass Phishing im Spiel ist.

• Zugangsdaten zum Bank- oder Kreditkartenkonto:
  • Sofort das Konto sperren.
  • Kontrollieren Sie die Umsätze und setzen Sie sich mit Ihrer Bank in Verbindung.
  • Nach Entsperrung vergeben Sie ein neues, sicheres Passwort und ggf. einen PIN für Ihr Konto.
• Zugangsdaten zu Online-Shops und Ähnlichem:
  • Sofort neues Passwort vergeben.
  • Kontakt mit dem Betreiber aufnehmen.
  • Überprüfen, ob die Zahlungsdaten in Gefahr sind.
• Zugangsdaten zum E-Mail-Konto:
  • Vergeben Sie ein neues Passwort.
  • Falls es sein kann, dass in Ihren Mails auch Informationen über Zugänge zu Online-Profilen enthalten sind (bspw. Registrierungsbestätigungen), dann sollten Sie unbedingt auch dort Ihre Zugangsdaten ändern.
• Auf einen Link geklickt und Geldforderung bekommen:
  • Niemals zahlen, auch wenn die Drohung noch so harsch klingt.
  • Wenden Sie sich an die nächste Polizeidienststelle.

Wer haftet für den Schaden?

Es gibt einen einfachen Grundsatz: Die Person, die der Phishing – Attacke zum Opfer gefallen ist, z. B. den Anhang einer Mail geöffnet oder sensible Daten übermittelt hat, haftet auch für den Schaden.

Wenn Geld vom Konto abgebucht wurde, eine Rückbuchung gescheitert ist, dann berufen sich die Geldinstitute auf die AGB, in denen die Mitwirkungs- und Sorgfaltspflicht des Kunden geregelt ist. Im Falle schuldhafter Verletzung dieser Pflichten richtet sich die Haftung nach § 254 BGB (Mitverschulden). Dieser Passus kommt auch im Falle von Unterlassung zur Anwendung, wenn z. B. der Geschädigte auf erforderliche Schutzmaßnahmen verzichtet hat. Das Gericht kann über eine prozentuelle Mithaftung des Geldinstituts entscheiden, bspw. dann, wenn veraltete Verfahren zur Identifikationsüberprüfung in Verwendung standen.

Beispiele

Die Abzocker und Betrüger bedienen sich oft identischer Vorgangsweisen. Hier finden Sie eine Auflistung der am meisten verbreiteten Betrugsversuche:

Vermeintlicher Anruf von Verbraucherzentralen oder dem Konsumentenschutz

Dabei ist der gute Ruf von diesen Organisationen hilfreich, denn Sie genießen hohes Vertrauen. Die Anrufe erfolgen immer, indem Sie auf eine nachvollziehbare Entwicklung hinweisen: Gebührenerhöhung bei Banken, Prämiensteigerung bei Versicherungen, Kostentransparenz bei Energieanbietern und Ähnliches mehr. Allerdings:

• Konsumentenschutzorganisationen und Verbraucherzentralen rufen nie unaufgefordert an oder machen gar Hausbesuche.
• Ebenso unterbleiben Bitten um Bekanntgabe von Konto- und Kreditkartendaten, Sozialversicherungskennungen und derartiges mehr.
• Keinesfalls gehört die Eintreibung von Außenständen, Einleitung von Exekutionsverfahren, Inkassoermittlungen zum definierten Aufgabenbereich der Schutzorganisationen.
• Ebenso wenig treiben Sie Geld von Lottogemeinschaften ein oder zahlen Gewinne aus.

Phishing - Drohung mit Exekution oder Inkassoverfahren

Grund der Androhung sind angeblich unbezahlte Rechnungen von Online-Bestellungen. Solche Mails haben den Zweck, Druck aufzubauen. In aller Regel geht es um Beträge unter € 100,--, denn die Erfahrung zeigt, dass in diesen Fällen die Zahlungsbereitschaft höher ist, da sich der Aufwand des Widerspruchs aus subjektiver Sicht nicht rechnet.

In der Mail ist meist ein Anhang enthalten, der dazu führt, dass sich eine Schadsoftware auf dem Computer installiert. Auch wenn der Dateiname offiziell klingt (bspw. Otto-Versand-Rechnung.pdf) kommen Sie der Aufforderung zum Download und Öffnen der Datei keinesfalls nach. Wie sind solche Fake-Mails zu erkennen:

• Angezeigter Absender und Mailadresse stimmen nicht überein (andere Domain). Die verwendete Adresse kann man sich im Header der Nachricht anzeigen lassen.
• Sie können sich an keine Bestellung erinnern? Dann hat entweder eine fremde Person in Ihrem Namen eingekauft oder es handelt sich tatsächlich um eine Rechnung, die in betrügerischer Absicht versandt wurde. Seriöse Unternehmen haben ein strukturiertes Mahnverfahren, das transparent und nachvollziehbar ist.
• Existiert das genannte Unternehmen tatsächlich? Am besten ist eine Überprüfung im Internet und Vergleich, ob die genannte Adresse übereinstimmt. Ein Handelsregisterauszug ist ebenfalls sehr zu empfehlen.

Falls Sie sich versichert haben, dass ein Betrugsversuch vorliegt, ignorieren Sie die Zahlungsaufforderung und schalten ggf. die Polizei ein. Sollten Sie einen Link zur Schadsoftware geöffnet oder solche runtergeladen haben, müsste Ihr Virenschutzprogramm sofort Alarm schlagen, wenn es aktuell ist.

Erpressungsversuche mittels E-Mail

In der Mail erhalten Sie die Aufforderung, eine gewisse Summe in elektronischer Währung (Bitcoins) zu zahlen. Im anderen Falle drohen die Kriminellen mit der Veröffentlichung von kompromittierenden Bildern (eindeutig mit pornografischem Inhalt). Um die Opfer persönlich anzusprechen (sehr wirksame Methode) verwenden die Täter Adressen aus gehackten Datenbanken, deshalb sind in der Mail oft persönliche Daten angeführt, wie Telefonnummer, Bankverbindung, Postanschrift. Die Forderung ist damit untermauert, dass die Bilder von der Kamera des PCs, Smartphones oder Tablet des Opfers stammen sollten. Wie kann man sich davor am besten schützen:

• Sämtliche Kameras, die mit dem Internet verbunden sein könnten, abkleben, inkl. der des Smartphones.
• Auf allen Geräten aktuelle Virenschutzprogramme installieren oder aktualisieren.
• Alle erforderlichen Updates für die Betriebssysteme einspielen.
• Nur Programme und Apps aus vertrauenswürdigen Quellen installieren. Achten Sie auf die Bewertungen anderer Nutzer und machen Sie eigene Recherchen.
• Laden Sie keine Anhänge runter oder öffnen Sie solche.

Betrug mit gefälschten Immobilienanzeigen

Im Internet tauchen immer wieder „Traumimmobilien“ zu sensationell günstigen Preisen auf. Eine Betrugsmasche, die sehr häufig vorkommt. Am Ende steht der Betrogene ohne Geld und ohne Immobilie da. Das sind die gängigsten Vorgehen:

• Wegen vieler Bewerber um die Wohnung oder das Haus verlangt der angebliche Verkäufer eine Anzahlung (Vorauskasse). Ein seriöses Immobilienbüro würde das nie tun.
• Eine beliebte Masche ist, dass der Verkäufer angibt, im Ausland zu sein und deshalb für eine Besichtigung nicht zur Verfügung steht. Er sei aber bereit, den Schlüssel (gegen Nachnahme) und Zahlung einer Kaution zuzusenden. Manchmal kommt sogar ein Schlüssel, passt aber in der Regel nicht zur Wohnungstür.
• Lassen Sie sich nicht gegen Gebühr in eine Interessentenliste für eine Immobilie aufnehmen. Auch das würde kein Immobilienbüro machen.
• Betrüger versenden Phishingmails und bieten eine Besichtigung online an. Ein Link in der Mail steht zum Einloggen bereit. Ein Klick darauf und schon macht sich Schadsoftware in ihrem System breit.

Erkennbar sind derartige Fake-Immobilien daran, dass …

• … die Preise zu günstig, unrealistisch sind.
• … Vorauskasse verlangt wird oder eine Depotzahlung.
• … sich Text und Bilder widersprechen.
• … die Bilder zu professionell und bei einer Suche im Internet mehrfach zu finden sind. Nutzen Sie die Funktion „nach Bild suchen“, die in jedem Browser integriert ist.
• … kein inländischer Partner zur Verfügung steht und Anfragen nur auf Englisch zu stellen sind.
• … die Anzeigentexte mehrfach in derselben Form, jedoch für andere Immobilien im Netz zu finden sind.
• … die wichtigsten Angaben fehlen (Ort, Vermittler oder Besitzer, Angaben zum Zustand, etc.).
• … Überweisungen ins Ausland zu leisten sind.

Falls Ihnen derartige verdächtige Angebote auffallen, sollten Sie umgehend die Polizei informieren.

Shoulder Surfing – Ausspähen von Kontodaten und Geldbehebung

Wie der Name sagt, konzentriert sich das Phishen darauf, dass man dem Opfer bei Geldtransaktionen „über die Schulter“ schaut. Das kann direkt beim Bankomaten sein oder mit Hilfe eines Keyloggers, der die Tastaturanschläge aufzeichnet. In beiden Fällen ist Vorsicht und Aufmerksamkeit die beste Vorbeugung. Man sollte alles unternehmen, um bei der PIN- und Dateneingabe keine ungebetenen Zuschauer zu haben:

• Achten Sie bei der PIN-Eingabe am Bankomaten, dass niemand hinter Ihnen steht und auf das Tastenfeld blicken kann, decken Sie nach Möglichkeit das Eingabefeld ab.
• Das Gleiche sollten Sie auch machen, wenn Sie im Supermarkt mit der Karte zahlen. Darauf vergessen viele. Auch dort treiben sich unlautere Gesellen herum, die es nur auf Ihr Geld abgesehen haben.
• Überprüfen Sie regelmäßig, am besten täglich, Ihre Konten und die Kreditkartenabrechnungen auf verdächtige Manipulationen.
• Überprüfen Sie PC, Tablet und Smartphone auf verdächtige Programme und halten Sie Ihre Virenscanner auf dem neuesten Stand.

Sie haben gewonnen – wir möchten Ihnen Ihren Preis übergeben

Vielleicht haben Sie diesen oder einen ähnlichen Satz schon mal gehört. Ebenfalls eine geschickte Betrugsmasche. Um den Gewinn zu beheben, verlangt man eine teure Mehrwert-Nummer anzurufen oder eine Manipulationsgebühr zu bezahlen. Vom ersehnten Glückstreffer sieht das betrogene Opfer nichts. Vermeiden Sie in solchen Fällen:

• Irgendeine Zahlung zu leisten, um den Gewinn zu beheben.
• Geben Sie am Telefon oder mittels Mail keine Daten bekannt (bspw. die Kontonummer, an die das Geld, das Sie gewonnen haben, zu überweisen ist).
• Rufen Sie niemals teure Mehrwertnummern (0900er) zurück.
• Lassen Sie den Absender überprüfen, ggf. melden Sie den Vorgang der Polizei.

Undurchsichtige Geschäfte mit Krypto-Währungen und Bitcoins

Hier nutzen die Betrüger aus, dass es kaum gesichertes Wissen über diese neuen elektronischen Verfahren gibt. Man verspricht Geldanlagen mit traumhaften Renditen, allerdings bleibt das Geschäftsmodell dahinter im Verborgenen. In den meisten Fällen handelt es sich um Schneeballsysteme, die darauf basieren, dass Teilnehmer andere Personen davon überzeugen, beim System mitzumachen. Am Ende verdienen nur die gut, die an der Spitze stehen und die in Wahrheit mit denen ident sind, die das Spiel in Gang gesetzt haben. Wie erkennen Sie diese Betrugsart:

• Anbieter, die Ihren Sitz im außereuropäischen Ausland haben.
• Übertriebene Gewinnversprechen.
• Zusatzverdienst und Anwerben weiterer Teilnehmer.
• Kein Impressum, keine Kontaktdaten, keine realen Ansprechpersonen.
• Fehlende Transparenz, fehlende Unterlagen, keine Nachvollziehbarkeit, wie das Geld tatsächlich verdient wird.
• Kontakt ohne vorangegangene Aufforderung.
• Anwerbeversuche von Freunden oder Bekannten.

Schneeball- und Kettensysteme sind als Geschäftsmodelle verboten. Es gelingt aber kaum, der Drahtzieher im Hintergrund habhaft zu werden.

Technischer Support-Scam

In letzter Zeit mehren sich die Anrufe und Kontaktversuche von angeblichen Beauftragten des Softwarekonzerns, die Zugriff auf PC oder Laptop verlangen, da gefährliche Manipulationen entdeckt wurden.

• Am PC tauchen gefälschte Warnhinweise auf, die auf einen Virusbefall aufmerksam machen.
• Bei Kontakt mit einem angeblichen Mitarbeiter installiert der Angreifer tatsächlich Schadsoftware mittels Fernzugang.
• Microsoft setzt nach eigenen Angaben keine derartigen Support – Mitarbeiter ein.
• Falls so ein Gespräch stattgefunden hat, trennen Sie das Gerät physisch vom Internet und machen Sie einen Virusscan.
• Melden Sie Ihre Beobachtungen den Behörden.

Zusammenfassung / Fazit

Die Tricks, um zu geheimen Daten zu kommen und mit diesen Betrügereien im großen Stil zu begehen, werden fast täglich um einige Varianten reicher. Ausspähen und „Fischen“ findet nicht nur ausschließlich im Internet statt, sondern auch bei alltäglichen Verrichtungen wie Einkaufen, Sport etc.

Im Internet verbreiten sich betrügerische Nachrichten mit real aussehenden Firmenlogos, täuschend echten, aber dennoch gefälschten Webseiten in Windeseile und massenhaft, vergleichbar mit dem Schleppnetz eines Fischtrawlers.

Das Ganze ist so geschickt gemacht, dass viele den Aufforderungen, einen Link anzuklicken, einen Anhang zu öffnen oder sogar Geld zu überweisen, nachkommen. Damit haben die Betrüger, die meist nach dem Grundsatz „Masse macht Kasse“ handeln, ihr Ziel erreicht.

Kriminelle im Netz sind an persönlichen Informationen und sensiblen Geschäftsdaten interessiert. Betrugsfälle mit hohem Schadensverlauf nahmen ihren Anfang nicht selten in Form einer Phishingmail als „Dooropener“. Damit bekamen die Betrüger einen Fuß in die Tür. Das Ausspionieren konnte nahezu unbemerkt beginnen. Deshalb als Tipp: Höchste Aufmerksamkeit, verdächtige Mails sofort sicher löschen, Virusscan laufen lassen, Behörden verständigen.