Phishing – Login-Daten nicht leichtfertig irgendwo eintragen
Zusammenfassung: Schadsoftware und Erpressungsprogramme werden oft via E-Mail eingeschleust. In diesem Artikel erfahren Sie, wie Sie solche Nachrichten erkennen und sich dagegen schützen.
Drilling, Teleskop-Rute, Angelstuhl – wenn die Ausrüstung passt, braucht man nur noch das passende Gewässer und der Fisch kommt von ganz allein. Wer im Internet einen Köder auswirft, bzw. Phishing betreibt, hat es noch leichter – man muss nach einem erfolgreichen Fang schließlich niemandem den Darmtrakt entfernen. Ganz im Gegenteil: Die Opfer eines Internetbetruges merken oft nicht einmal, dass sie am Haken hängen…
Was ist Phishing?
Phishing ist Internetbetrug. Es geht darum, durch Vorspiegelung falscher Tatsachen sensible Informationen zu erschleichen. Eine typische Strategie bei Phishing ist es, mit gefälschten E-Mails Benutzerdaten zu ergaunern.
Phishing beim Onlinebanking
Das läuft dann zum Beispiel so ab: Im Posteingang erscheint eine E-Mail mit einem Betreff, der Aufsehen erregt, wie zum Beispiel: „Ihr Konto wurde aus Sicherheitsgründen gesperrt!“ oder „Automatische Überprüfung Ihres Onlinebanking“. Oft handelt es sich dabei um angebliche Nachrichten von Banken, in denen um Verifizierung gebeten wird. Auch gefälschte PayPal-E-Mails und E-Mails von anderen Zahlungsdiensten sind sehr häufig. Das Ziel der Betrüger ist, die Empfänger der E-Mail dazu zu bringen, eine Webseite zu besuchen und dort ihre Login-Daten anzugeben.
Phishing bei Netflix
Oft sehen die E-Mails und auch die Webseiten, die besucht werden sollen, dem echten Angebot des angeblichen Absenders optisch sehr ähnlich. Das ist das Perfide daran. Genau so sind die Betrüger damals beim Netflix Phishing vorgegangen. Mit gefälschten E-Mails wurden Nutzer auf nachgebaute Seiten gelockt. Ziel des Betruges war das Abgreifen von Kreditkarten-Daten. Es ist unklar, wie viele Kontodaten die Kriminellen damals erbeutet haben. Für die einzelnen Betroffenen ist so eine Attacke jedenfalls mit viel Ärger und oft auch mit Geldeinbußen verbunden.
Was passiert, wenn ein Opfer auf Phishing hereingefallen ist?
Ist ein Empfänger oder eine Empfängerin auf so eine Phishing-Mail hereingefallen und hat Daten in das dafür vorgesehene Feld eingetippt, erhalten die Betrüger Zugriff auf das Onlinebanking oder den PayPal-Account (oder was auch immer abgegriffen wurde). Dass man damit viel Schaden anrichten kann, kann sich jeder vorstellen, der Onlinebanking oder PayPal nutzt. Angreifer könnten einerseits Geld entwenden, andererseits aber auch im Namen der oder des Geschädigten Einkäufe abwickeln und so zum Beispiel den Kreditrahmen oder den Ruf nachhaltig beschädigen.
Es gibt auch Phishing-E-Mails, die einen Virus oder andere Schadsoftware enthalten. Diese versteckt sich dann im Anhang. Das Öffnen von E-Mail-Anhängen sollte also ebenso überlegt erfolgen wie das Anklicken von Links, die einem unaufgefordert zugeschickt werden.
Woran erkennen Sie Phishing E-Mails?
Christian Olbrich, Developer und Software Security Advisor bei Boxcryptor, hat eine Checkliste zum Erkennen von Phishing-E-Mails zusammengestellt:
1. Achten Sie auf den Absender.
Wenn dieser seltsam wirkt, sollten Sie vorsichtig sein. Aber Achtung: Absender können leicht gefälscht werden. Ein bekannter Absender ist also auch keine Garantie dafür, dass die E-Mail harmlos ist.
2. Klicken Sie nicht auf Links, die Ihnen unaufgefordert zugesendet wurden.
Im Zweifelsfall können Sie die genannte Webseite über den Browser ansteuern (ohne den Link zu klicken). Wenn das Unternehmen tatsächlich eine Warnung per E-Mail verschickt hat, wird dieses Thema auch auf der Webseite zu finden sein.
3. Achten Sie darauf, ob sich die fragliche E-Mail wirklich an Sie als Empfänger richtet.
Bei E-Mails ohne persönliche Ansprache sollten Sie misstrauisch werden. Ein positives Zeichen wäre es, wenn in der Mail Informationen enthalten sind, die nur innerhalb der Absender-Webseite bekannt sind. Das können zum Beispiel der Nutzername oder kürzlich durchgeführte Aktionen sein.
4. Achten Sie auf die Schreibweise.
Große Unternehmen wie PayPal versenden in der Regel E-Mails mit korrekter Rechtschreibung und Grammatik. Hacker oft nicht. Schlechtes Deutsch ist ein wichtiger Hinweis auf Phishing. Banken schicken in der Regel überhaupt keine E-Mails. Und wenn, dann nur im Namen Ihres persönlichen Beraters oder Ihrer Beraterin. Achten Sie außerdem auch auf den Tonfall. Ein seriöser Anbieter wird in offiziellen E-Mails keine Drohungen aussprechen.
5. Ignorieren Sie E-Mails, die von Banken kommen, bei denen Sie kein Konto haben.
Gleiches gilt für PayPal, Amazon und Facebook: Dienste, die Sie nicht nutzen, können (und dürfen) Ihnen auch keine E-Mail schreiben.
Haben Sie die oben genannten Punkte geprüft und sind zu dem Schluss gekommen, dass Sie dem Absender vertrauen, dann gibt es noch einen weiteren, relevanten Aspekt: Können Sie die Aktion, die von Ihnen verlangt wird, durchführen, indem Sie die Webseite manuell ansteuern? Wenn ja – fein, dann handelt es sich höchstwahrscheinlich um eine berechtigte Mail.
Bitte beachten Sie trotzdem noch Folgendes:
- Stellen Sie sicher, dass das Protokoll https verwendet wird (das bedeutet, dass die Verbindung zwischen Computer und Server verschlüsselt ist). Sie können das leicht mit einem Blick in die Adresszeile Ihres Browsers überprüfen.
- Stellen Sie sicher, dass die Domain in der URL tatsächlich die der legitimen Webseite ist (und nicht etwa eine ähnlich klingende/aussehende).
- Achten Sie darauf, dass die Webseite "SSL verifiziert" ist (grünes Schloss in der Adresszeile des Browsers).
- Alle großen IT Unternehmen und Firmen, die Ihre Dienste im Internet anbieten, haben einen Support. Das sind Mitarbeiter und Mitarbeiterinnen, die sich ausschließlich um die Belange von Kunden und Kundinnen kümmern. Hier kann man auch immer nachfragen, ob eine E-Mail wirklich von dort kommt oder nicht.
Grundsätzlich gilt: Seien Sie sich stets bewusst, was Sie gerade tun. Viele Gefahren im Internet kann man erkennen, wenn man sensibilisiert ist. Dadurch unterscheiden wir uns ganz erheblich von den ahnungslosen Fischen, die von niemandem vor Ködern gewarnt wurden.