Dass Phishing eine der verbreitetsten Bedrohungen im Internet ist, überrascht kaum noch. Doch für viele stellt sich noch immer die Frage: Was ist Phishing genau?
Täglich fallen Leute auf Phishing-Tricks herein, ob aus Unachtsamkeit oder eben dem steigenden Geschick der Betrüger. Dabei gibt es zwei primäre Ziele von Phishing-Angriffen: Datendiebstahl und finanzieller Betrug.
Dies gilt auch bei Online-Zahlungen, wo Kreditkartendaten, Passwörter oder weitere Zugangsdaten abgefragt werden können. Deshalb geben wir dir eine Übersicht darüber, was Phishing ist und wie du dich schützen kannst.
Was genau ist Phishing?
Klären wir zunächst die allgemeine Frage: Was ist Phishing?
Beim Phishing handelt es sich um eine Art von Cyberangriff. Kriminelle geben sich als vertrauenswerte Quelle aus, um an persönliche Daten zu gelangen. Ableiten lässt sich der Begriff vom englischen „fishing“, also Angeln, da die Angreifer ähnlich nach Informationen „fischen“. Häufige Phishing-Taktiken sind:
- über gefälschte E-Mails
- dubiose SMS
- manipulierte Webseiten
- unseriöse, manipulative Telefonanrufe
Was ist das Hauptziel von Phishing? Die Angreifer suchen nach Wegen, um sensible Daten zu gewinnen, so wie deine Zugangsdaten zu diversen Zahlungsmitteln. Diese nutzen sie für ihre eigenen Zwecke oder geben diese weiter. Manchmal wird auch versucht, dass sich die Opfer dieser Angriffe Malware auf ihr Gerät laden. Auch diese kann weiterhin sensible Daten mitlesen.
Typische Abläufe – was ist ein Phishing-Angriff?
Psychologische Manipulation macht den Kern jeglicher Art von Phishing-Angriff aus: Es wird versucht, das Vertrauen und die Gutgläubigkeit der Opfer auszunutzen. Dementsprechend gibt es auch ein paar gängige Methoden:
- Social Engineering: beispielsweise wird Dringlichkeit oder Zeitdruck erzeugt oder eine Belohnung versprochen. Kurzes Beispiel: „Ihr Konto wurde gesperrt – handeln Sie sofort!“
- Spoofing: die Angreifer täuschen die Identität einer vertrauenswürdigen Quelle vor. Hierbei kann es sich um Firmen als auch Behörden handeln.
Hieraus ergibt sich die Frage, wer die typischen Opfer von Phishing-Angriffen sind. Dies kann leider jeden betreffen:
- Privatpersonen, die Online-Banking nutzen
- Online-Shopper, die Zahlungsdaten eingeben
- Unternehmensmitarbeiter, die vertrauliche Zugänge über ihre E-Mail-Adressen haben
Angriffe erkennen: Was ist typisch für Phishing?
Phishing-Angriffe wehrst du am ehesten ab, indem du sie rechtzeitig erkennst. Dabei gibt es bestimmte Phrasen, Methoden oder Anzeichen, auf die du achten kannst, um betrügerische Nachrichten zu identifizieren. Diese finden sich auch in allen Phishing-Arten wieder.
Was ist Phishing in E-Mails?
Eine der häufigsten Formen des Phishings läuft über E-Mails ab. Die gefälschten E-Mails geben meist vor, die Nachrichten folgender Absender zu sein:
- von Banken – besonders, wenn du Online-Banking nutzt
- von Zahlungsdienstleistern wie PayPal oder Klarna
- von bekannten Onlineshops
- von Internet- und Telefon-Anbietern
Zu den typischen Erkennungsmerkmalen solcher Mails zählen:
- schlechte Rechtschreibung und Grammatik
- eine unpersönliche Anrede, beispielsweise „Sehr geehrter Kunde“
- verdächtige Links, die auf gefälschte Webseiten führen
- gefälschte URLs und Mail-Adressen
Erwartest du also beispielsweise eine Bestätigungsmail für deinen Steam-Gutschein oder wartest du auf deine PIN für deine Paysafecard, solltest du auf diese Anzeichen vorher achten.
Phishing-Mails lassen sich aber noch in weitere Unterarten aufteilen:
- das Massen-E-Mail-Phishing mit einer allgemeinen Nachricht für eine große Anzahl von Empfängern
- das Spear-Phishing, das gezielt auf Einzelpersonen oder Unternehmen eingeht
- die Kompromittierung geschäftlicher Mails, bei der sich Angreifer als Geschäftspartner oder Vorgesetzte ausgeben
Was ist URL-Phishing?
Beim URL-Phishing geht es um manipulierte Links und URLs, die Benutzer auf gefälschte Webseiten locken sollen. Das Problem heutzutage ist, dass solche Webseiten oft täuschend echt aussehen und oft sogar das Design bekannter Plattformen gut imitieren können.
Typische Merkmale von URL-Phishing sind:
- leicht abgewandelte URLs – wie „paypa1.com“ statt „paypal.com“
- die Verwendung von URL-Shortenern – wie bit.ly
- das Fehlen einer HTTPS-Verschlüsselung
- fehlende oder unvollständige Impressumsangaben
Was ist das Ziel einer Phishing-Website? Es sollen deine Login-Daten für die Original-Seite abgefangen werden – beispielsweise für PayPal oder für den Account, über den du PSN-Guthaben kaufst. Aber auch Kreditkarteninformationen oder andere sensible Daten können gefährdet werden.
Weitere allgemeine Phishing-Arten sind beispielsweise:
- Smishing – also Phishing über SMS-Nachrichten
- Vishing – Phishing-Angriffe über Telefonanrufe
- Phishing in sozialen Medien – am ehesten über gefälschte Nachrichten oder Links in sozialen Netzwerken zu erkennen
Schutzmaßnahmen: Was ist hilfreich gegen Phishing-Angriffe?
Leider können Phishing-Angriffe jeden treffen, ob im privaten oder beruflichen Kontext. Allerdings lassen sich effektive Sicherheitsmaßnahmen gegen diese einrichten.
Allgemeine Sicherheitsmaßnahmen
- Öffne niemals E-Mails oder Nachrichten von Unbekannten – besonders nicht, wenn sie Anhänge besitzen
- Überprüfe die URLs und HTTPS von Webseiten bevor du deine Daten eingibst
- Vorsicht, was abgefragt wird: Seriöse Unternehmen fragen nie per E-Mail oder SMS nach Passwörtern, Kreditkarteninformationen oder ähnlichem
Technische Schutzmaßnahmen
- Installiere und aktualisiere deine Antivirus-Programme und Phishing-Filter
- Installiere eine Zwei-Faktor-Authentifizierung für alle deine Online-Konten
- Führe regelmäßige Updates und Backups wichtiger Daten durch
Verhalten bei Verdacht auf Phishing
Hegst du den Verdacht, dass es sich bei einer Nachricht oder einem Anruf um Phishing handeln könnte, dann:
- Gib keine Daten preis – keine Passwörter, Kreditkartendaten oder Sozialversicherungsnummern oder ähnliches
- Klicke nicht auf Links oder Anhänge
- Melde den Phishing-Versuch – beispielsweise bei der Anti-Phishing-Arbeitsgruppe (APWG) oder direkt bei deinem E-Mail-Anbieter
- Prüfe deine Konten regelmäßig und behalte deine Bank- und Kreditkartenabrechnungen im Auge
