Tag: Phishing
Was ist Phishing? Tipps zum Schutz vor Phishing
von Maren Keller
Phishing ist vergleichbar mit einer Grippe: Sie verändert sich ständig und entwickelt ihre Angriffstechnik weiter, um an möglichst viele Opfer zu gelangen. Sie können Phishing auch mit dem echten Fischen vergleichen. Allerdings sind die Internet-Betrüger nicht mit Angel und Haken und Köder hinter Fischen her. Ziel der fiesen Betrüger sind stattdessen Login-Daten, Passwörter und Account-Infos.
Beim Phishing handelt es sich also um eine spezielle Internetkriminalität, bei der die Angreifer versuchen, an persönliche Daten, Bankdaten und andere Infos zu kommen. Phishing ist somit nichts anderes als der Diebstahl der Internet-Identität mittels Kaperung von persönlichen und sensiblen Daten durch die Versendung sogenannte Phishing-E-Mails.
Außerdem geht es beim Phishing geht darum, Konten zu plündern oder Schadsoftware zu verbreiten. Da die Gutgläubigkeit der Opfer ausgenutzt wird, zählt Phishing zum Social Engineering bzw. Social Hacking. Eine neuere Phishing-Methode, die nicht auf die Masse sondern ein individuelles Opfer abzielt, ist das sogenannte Spear-Phishing.
Definition des Begriffs
Bei dem Begriff Phishing handelt es sich laut Wikipedia um einen sogenannten Neologismus. Ursprung ist der englische Begriff „fishing“ für Angeln, da die Betrüger buchstäblich nach den Informationen fischen/angeln.
Und auch wenn man es denken könnte: Beim Phishing handelt es sich nicht um ein Phänomen des 21. Jahrhunderts. Schon früher versuchten Betrüger den Bürgern Daten zu entlocken, um sie zu missbrauchen. Was vor dem digitalen Zeitalter per Telefon und/oder Brief geschah, läuft heute über das Versenden sogenannter Phishing-E-Mails.
Große Gefahren birgt das besonders für Angestellte und Unternehmen. Betrüger nutzen den Leichtsinn der PC-Nutzer, um die Firma auszuspionieren und bloßzustellen. Hier sei als Beispiel der CEO-Betrug genannt, bei dem sich Angreifer als Vorgesetzter ausgeben. Wichtig ist deshalb, dass Sie Ihren Mitarbeitern immer wieder Awareness-Schulungen anbieten, um die Schwachstelle Mensch zu schließen.
Schnell sind sensible Karteninformationen durch Phishing geklaut. Bild: stock.adobe.com/Graphicroyalty
So leicht fällt man auf Phishing-E-Mails herein
Vermutlich glauben Sie nicht, wie leicht ein jeder auf Phishing-E-Mails hereinfallen kann. Angreifer locken per E-Mail mit Angeboten oder Geschenken, die zu schön sind, um wahr zu sein. Diesen Köderversuch bezeichnet man als Baiting. Zu den neueren Tricks der Kriminellen gehören Phishing-Anrufe via VoIP, das sogenannte Vishing, und Phishing-SMS, das sogenannte Smishing.
Besonders beliebt sind aber nach wie vor E-Mails, die augenscheinlich von Banken stammen, wie der ING oder der Sparkasse, von PayPal, von Amazon usw. Der Phantasie der Kriminellen sind keine Grenzen gesetzt und mittlerweile sind die Phishing-E-Mails gar nicht mehr so leicht zu erkennen.
Galt noch bis vor wenigen Jahren die Aussage, dass Phishing-Mails häufig in schlechtem und fehlerhaftem Deutsch verfasst sind, ist das heute kein Merkmal mehr. Gemein ist allen Phishing-E-Mails, dass Sie sie dazu verleiten wollen, den mitgesendeten Link anzuklicken. Tun Sie das, ist das Kind schon beinahe in den Brunnen gefallen.
Wie Sie nicht auf Phishing hereinfallen
Die gute Nachricht lautet: Genauso leicht, wie es ist, auf eine Phishing-E-Mail hereinzufallen, genauso leicht ist es auch, die Kriminellen zu durchschauen. Wichtig ist, dass Sie sich bei allem, was Sie am PC, Laptop oder Handy tun, stets der Gefahr bewusst sein sollten, dass es Betrüger auf Ihre Daten abgesehen haben. Grundsätzlich gilt:
- keine Links aus E-Mails anklicken
- keine Daten aus E-Mails herunterladen
- keine E-Mail-Anhänge öffnen, wenn man der Quelle nicht vertraut.
Neben dem Wissen um die Gefahr ist die beste Schutzmaßnahme und absolut unverzichtbar ein aktuelles Virenprogramm auf dem Rechner und Handy. Gute Programme mit hohem Schutz und einer ausgezeichneten Virenerkennung bekommen Sie bei Ihrem PC-SPEZIALIST vor Ort – auch für Ihr Diensthandy.
Einen kühlen Kopf müssen Sie bewahren, wenn Sie auf einen Phishing-Versuch hereingefallen sind. Bild: Pexels/Yan Krukau
Phishing-Versuch erkennen – Tipps
Einen Phishing-Versuch zu erkennen, ist grundsätzlich gar nicht so schwer, wenn man sich seine E-Mails aufmerksam anschaut.
- Ein klassisches Erkennungsmerkmal ist die unpersönliche Anrede in der E-Mail. „Sehr geehrte Kundin/sehr geehrter Kunde“ oder ähnliches – so würde keine Bank ein ernstgemeintes Schreiben beginnen.
Doch auch wenn der korrekte Namen in der E-Mail enthalten ist, heißt es, vorsichtig sein. Denn: Ihr Name kann mithilfe von Dumpster Diving ergaunert werden oder aus einem vorherigen Datenpanne bekannt sein, also gehackt worden sein.
- Ein weiterer Hinweis, dass es sich um eine Phishing-E-Mail handelt, liegt im Inhalt begründet: Der ist oftmals unglaubwürdig oder zumindest fragwürdig.
Als Beispiel sei genannt, dass die Bank Ihre Autorisierung benötigt, um irgendwas zu tun. Nein, so etwas würde ein Bank nicht schreiben und schon gar nicht einen Login und die Passworteingabe verlangen!
- Oftmals wird in Phishing-E-Mails eine kurze zeitliche Frist gesetzt, um Sie unter Druck zu setzen.
Satzkonstruktionen wie „nur noch bis heute“ oder „letzte Aufforderung“ sollen Sie dazu bringen, nicht lange nachzudenken, sondern sofort den Lik zu klicken, den Anweisungen zu folgen und somit den Kriminellen Ihren Login-Daten zu überlassen.
- Letzter Tipp: Fahren Sie mit der Maus über den Absender und lassen Sie sich die E-Mail-Absenderadresse anzeigen.
Meistens ist es ein kryptische Aneinanderreihung mehrere Zeichen und somit eindeutig ein Absender, der nicht der ist, der er vorgibt zu sein.
Vorsicht vor Phishing-Websites
Neben den kryptischen E-Mail-Absenderadresse enthalten Phishing-E-Mails auch oftmals Links, die auf scheinbar vertrauenswürdige Webseiten führen. Bevor Sie nun leichtfertig auf die URL klicken, positionieren Sie den Mauszeiger auf dem Link, ohne zu klicken.
Bei den meisten Browsern erscheint unten links die URL, auf die Sie beim Anklicken geleitet werden. Achtung: Auch die URL kann natürlich gefälscht sein. Hier ist ebenfalls Vorsicht geboten.
Cyberkriminelle benutzen gern Dienste wie bit.ly oder goo.gl, um einen seriösen Link vorzutäuschen. Doch beim Anklicken werden Sie sofort auf eine schädliche Seite geleitet. Auf Nummer sicher gehen Sie, wenn Sie den vorhandenen Link in der E-Mail und auch die URL unten links ignorieren und Ihrem eigenen Lesezeichen folgen.
Folgen Sie einem Link in einer E-Mail und geben Sie Ihre Login-Daten ein, freuen sich die Kriminellen. Bild: stock.adobe.com/Prostock-studio
Phishing: Gefahr für Zugangsdaten
Phishing-Betrug kommt oftmals per E-Mail daher. Alle Alarmglocken sollten bei Ihnen schrillen, wenn in der Nachricht Bedrohungen oder dringend einzuhaltende Zeiten und Tage enthalten sind. Auch, wenn die Frist kurz ist, sollten Sie sich niemals unter Druck setzen lassen.
Seriöse Unternehmen weisen immer wieder darauf hin, dass sie weder Passwörter noch andere Zugangsdaten per E-Mail abfragen. Erhalten Sie eine E-Mail, in der genau das passiert, können Sie die Nachricht getrost ignorieren und löschen.
Sind Sie sich nicht sicher, ob die E-Mail echt ist, hilft ein Anruf bei der augenscheinlichen Absenderfirma, wie beispielsweise der eigenen Bank. In manchen Phishing E-Mails ist als sogenannter „Service“ eine E-Mailadresse für Rückfragen hinterlegt. Doch die führt sicherlich nicht zum Unternehmen. Die persönliche Nachfrage per Telefon ist in diesem Fall der sicherste Weg, um nicht in die Phishing-Falle zu tappen.
Sichere Internetseiten – Abzocke im Internet vermeiden
Um eine Abzocke im Internet zu vermeiden, sollten Sie nur auf sicheren Internetseiten surfen. Erkennbar sind die am HTTPS und dem Schloss vor der Adressleiste. Bei Banken sind sie absoluter Standard. Auch Google, Facebook und viele andere Firmen nutzen die sichere Verbindung zwischen Server und Client.
Natürlich gibt es mittlerweile auch gefälschte Internetseiten. Dabei wird die Originalseite kopiert, sodass der Besucher den Eindruck erhält, er sei auf der gewünschten Seite, beispielsweise auf der der Bank oder des Onlineshops. Früher oder später werden Sie auf gefälschten Seiten immer nach privaten Daten und Passwörtern gefragt. Auch hier gilt: Seriöse Unternehmen fragen nicht nach privaten Zugangsdaten. Sie sollten also niemals Ihre Daten preisgeben.
Eine große Schwachstelle für sicheres Surfen sind freie WLANs mit einer ungesicherten Verbindung. Auf Online-Banking oder -Shopping sollten Sie unbedingt verzichten. Die bessere Alternative ist hierbei das Surfen mit dem Smartphone über den Mobilfunkbetreiber. Das geht zwar auf Kosten des Datenvolumens, ist aber auf jeden Fall sicherer.
Mit unseren Tipps kommen Sie wieder schnell vom Haken der Kriminellen. Bild: stock.adobe.com/amirul syaidi
Auf Phishing hereingefallen? Tipps, wie Sie vom Haken kommen!
Opfer eines Phishing-Betrugs zu werden, dauert nur wenige Augenblicke – und niemand ist davor sicher! Ein falscher Klick auf einen Link und schon nimmt der Betrug seinen Lauf. Wir haben Tipps, was Sie tun sollten, wenn Sie auf den Köder hereingefallen sind und nun wieder von der Angel kommen möchten.
- Sie haben eine E-Mail von einem Online-Shop bekommen, der Sie misstrauisch macht? Sie haben aber, ohne darüber nachzudenken oder auf Ihr Bauchgefühl zu hören, auf den Link geklickt? Dann geben Sie keinesfalls Informationen wie Anmeldedaten oder Bankverbindung preis. Haben es die Betrüger nur auf Ihre Daten abgesehen und Ihr Gerät nicht mit Malware infiziert, sind Sie wahrscheinlich gerade noch so davongekommen.
- Haben die Hacker nach einem Phishing-Angriff Zugriff auf Ihren Computer, dann trennen Sie Ihr Gerät vom Internet. Nutzen Sie einen PC mit einer Kabelverbindung, ziehen Sie das Internetkabel von Ihrem Computer ab. Ist WLAN aktiviert, schalten Sie es in den Einstellungen aus oder aktivieren Sie den Flugmodus auf Ihrem Mobiltelefon.
- Das A und O ist die Datensicherung – sowohl für Firmen als auch für Privatpersonen. Es kann jedoch riskant sein, Daten zu sichern, nachdem sie kompromittiert wurden. Denn dann stehen die Chancen gut, dass Sie Schadsoftware zusammen mit oder anstelle der Fotos der letzten Geburtstagsparty sichern. Stattdessen sollten Sie Ihre Dateien regelmäßig und vorsorglich sichern. Wenn Ihr Gerät von Malware befallen wird, können Sie Ihre Daten von einer externen Festplatte, einem USB-Stick oder einem Cloud-Speicherdienst wiederherstellen.
- Sie bemerken verdächtige Aktivitäten nach dem Klick auf einen Link? Führen Sie einen Virenscan durch – und zwar wenn das Gerät nicht mit dem Internet verbunden ist. Idealerweise führen Sie mit einem Alternativtool einen zweiten Scan durch. Findet der Scanner verdächtige Dateien, folgen Sie den Anweisungen, um sie zu entfernen. Wenn Zweifel bleiben oder Sie keinen Virenscanner nutzen, wenden Sie sich dringend an PC-SPEZIALIST in Ihrer Nähe.
- Das Zurücksetzen auf die Werkseinstellung sorgt dafür, dass Ihr Handy in den Auslieferungszustand zurück gesetzt wird. Alle installierten Anwendungen werden entfernt, Dateien wie Fotos, Dokumente… werden unwiderruflich gelöscht. Dabei wird aller Wahrscheinlichkeit nach auch Malware vollständig beseitig. Auch hier gilt: Sicherungskopien schützen vor Datenverlust.
- Ändern Sie Ihre Passwörter, wenn Sie sensible Daten wie Ausweisnummern, Bank- und Kreditkartendaten oder Anmeldedaten preisgegeben haben. Denken Sie dabei daran, für jeden Online-Dienst ein anderes und vor allem starkes Passwort zu verwenden.
- Kontaktieren Sie Banken, Behörden und Dienstanbieter, damit Karten gesperrt und finanzielle Verluste verhindert oder minimiert werden. Um andere Menschen vor diesem Betrug zu schützen, sollten Sie sich an Ihre örtlichen Behörden wenden und Institutionen wie die SCHUFA informieren, um etwaige Herabstufungen zu vermeiden.
- Überprüfen Sie Ihre Konten auf ungewohnte Aktivitäten – das gilt sowohl für Ihr Bankkonto als auch für Social Media und Ihre Bestellungen in Online-Shops. Fällt Ihnen Ungewöhnliches auf, melden Sie dies, ändern Sie Ihre Anmeldedaten und bitten Sie um eine Rückerstattung.
- Suchen Sie auf Social-Media nach unbekannten Geräten. Wenn Hacker Ihre Kontodaten gestohlen haben, werden Sie sich von ihrem eigenen Gerät aus anmelden. Erzwingen Sie die Abmeldung für jedes Ihnen unbekannte Gerät.
- Informieren Sie zu guter Letzt Freunde, Kontakte, Dienstanbieter und Arbeitgeber, um sie vor möglichen Phishing-Links zu warnen, die in Ihrem Namen gesendet werden. Wenn ein Cyberangriff mit Arbeitskonten oder vom Arbeitgeber zur Verfügung gestellten Geräten zusammenhängt, melden Sie den Fall sofort Ihrem Vorgesetzten und der IT-Abteilung.
Sind Sie auf Phishing hereingefallen, bedeutet das etwas Arbeit und Aufwand, um die Angreifer von den Systemen zu vertreiben, schreibt auch welivesecurity. Aber: Wenn Sie den Phishing-Köder geschluckt und auf einen Phishing-Link geklickt haben, muss Ihnen das nicht peinlich sein. Jedes Jahr sind allein in den USA Hunderttausende von Menschen davon betroffen, Tendenz steigend. Bewahren Sie Ruhe und befolgen Sie die genannten Tipps, um möglichen Bedrohungen einen Schritt voraus zu sein.
Um Ihre persönliche Cyber-Resilienz zu stärken, finden Sie auf dieser Seite zahlreiche Beispiele für Phishing. Klicken Sie sich einfach mal durch:
