Stand: 26.07.2023
Dass Cyberkriminelle versuchen, durch gefälschte E-Mails oder Internetseiten, Zugangsdaten oder andere sensible Informationen von Usern abzugreifen, ist keine neue Entwicklung. Allerdings haben sie ihre Methoden in den letzten Jahren immer weiter verfeinert, was es für User immer schwerer macht, betrügerische Nachrichten und Websites zu erkennen. Nach dem „Bericht zur Lage der IT-Sicherheit in Deutschland“ (Lagebericht 2022) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) handelte es sich bei 69 Prozent der Spam-Mails um Cyberangriffe, wobei 90 Prozent den Eindruck erweckten, von Banken und Sparkassen versendet worden zu sein (sog. Phishing-Mails). Die geschätzten volkswirtschaftlichen Schäden von Cyber-Delikten, die mit gezielten Phishing-Attacken beginnen, liegen in Deutschland pro Jahr mindestens im zweistelligen Millionenbereich.
Diese Zahlen zeigen, dass die Gefahr durch Phishing-Attacken nicht zu unterschätzen ist. Das Angriffspotenzial für Cyberkriminelle wird auch deshalb größer, da immer mehr Aktivitäten in die digitale Welt verlagert werden (bspw. Online-Banking, digitale Einkäufe, soziale Netzwerke). Der Schaden für die betroffenen Unternehmen und auch Privatpersonen hängt davon ab, welche Informationen abgegriffen wurden, und kann von Identitätsdiebstahl bis zu einem leeren Bankkonto reichen. User sollten bei Onlineaktivitäten deshalb stets wachsam und vorsichtig sein. Der nachfolgende Artikel gibt einen Überblick, worauf User achten sollten, um Phishing zu erkennen, und welche Phishing-Maschen aktuell im Umlauf sind.
Was bedeutet „Phishing“?
Der Begriff „Phishing“ ergibt sich aus einer Zusammensetzung der beiden Wörter „Password“ und „Fishing“. Bei Phishing-Attacken versuchen Cyberkriminelle, über gefälschte E-Mails, Kurznachrichten oder auch Websites eines vermeintlich vertrauenswürdigen Kommunikationspartners – beispielsweise Banken, Postdienstleister oder bekannte Onlineshops – persönliche Informationen wie Finanzinformationen, Zugangsdaten oder andere sensible Daten der Empfänger(innen) abzugreifen. Teilweise enthalten die Nachrichten auch Links zu gefälschten Websites oder Anhänge, die mit Schadsoftware infiziert sind.
Phishing-Mails werden häufig als unerwünschte, massenhafte Nachrichten, die dem Empfänger unverlangt zugestellt werden („Spam-Mail“) versendet. Teilweise richten sich Phishing-Attacken auch an einen bestimmten Empfänger, der gezielt ausgewählt wurde. Dieses Vorgehen wird als „Spear-Phishing“ (Speerfischen) bezeichnet.
Phishing-Mails erkennen
Bei der Gestaltung der Phishing-Mails werden Cyberkriminelle immer geübter, sodass gefälschte Nachrichten nicht bereits durch unpersönliche Anreden oder eine Vielzahl von Rechtschreib- und Grammatikfehler auffallen. Dadurch wird es für Empfänger schwerer, gefälschte Nachrichten zu erkennen. Grundsätzlich sollte auf folgende Punkte geachtet werden, die auf Phishing hindeuten könnten:
- Unpersönliche Anreden „Sehr geehrter Kunde“
- Aufforderung zur schnellen Handlung und Einsatz von Drohungen „Vervollständigen Sie Ihre Daten umgehend, sonst sperren wir Ihr Konto“
- Schlechte Formulierungen, schlechte Rechtschreibung
- Anhänge und Links in der E-Mail mit verdächtigen URLs
- 189z-sparkasse.de/login
- ab-bank-kundenservlce.net/change-password
- Ungewöhnliche Datenabfrage (Name, Adresse, Bankverbindung, PIN, Kreditkartennummer)
- Unseriöse Absender-Mail, ggf. auch versteckt hinter anderem Anzeigenamen
- Absender scheint eine bekannte Person/Organisation zu sein, das Anliegen ist allerdings ungewöhnlich
- Nachricht nicht an E-Mail-Adresse versendet, die im Kundenkonto hinterlegt ist
- verschiedene Schriftgrößen und -farben, Bilder unscharf oder die Hintergrundfarbe der E-Mail anders als gewohnt
Bei der Gestaltung von Phishing-Websites haben Betrüger ihre Methoden ebenfalls verfeinert. Sie erwerben für die gefälschten Seiten ebenfalls SSL-Zertifikate, sodass im Browser „https://“ angezeigt wird und nicht sofort eine Warnmeldung erscheint. Betrügerische Links lassen sich beispielsweise daran erkennen, dass beim Namen der Institution Tippfehler bestehen oder der Name mit ungewöhnlichen Zahlen oder Zeichenkombinationen ergänzt wurde. Wie bei E-Mails deuten auch bei Internetseiten ungewöhnliche Anfragen auf einen Betrug hin – beispielsweise, wenn nach der Anmeldung im Kundenkonto eine Aufforderung erscheint, bekannte Daten wie Name, Adresse oder IBAN, erneut einzugeben.
Schutz gegen Phishing
Verdächtige E-Mails sollten sicherheitshalber gelöscht und keinesfalls Anhänge geöffnet oder Links angeklickt werden. Wenn der Absender tatsächlich echt ist und ein wirkliches Anliegen hat, wird er sich auf anderem Weg noch einmal melden. Insbesondere Banken informieren Kunden in aller Regel postalisch über Änderungen u. Ä.. In anderen Fällen erfolgt beispielsweise eine Information über eine Anzeige nach dem regulären Login beim Kundenkonto oder auf den Internetseiten.
Bei Unsicherheiten, ob eine E-Mail seriös oder betrügerisch ist, kann auch versucht werden, den Inhalt zu verifizieren. Beispielsweise über eine telefonische Nachfrage beim angeblichen Absender bzw. bekannten Ansprechpartnern, eine Internetrecherche oder Ähnliches. Wichtig hierbei ist es, nicht die Kontaktdaten zu verwenden, die in der E-Mail enthalten sind. Einige Finanzdienstleister haben zudem auf Ihren Websites Checklisten oder Hinweise veröffentlicht, wie eigene Nachrichten von Phishing und anderen Spam-Mails unterschieden werden können. Das Aufrufen von Links aus E-Mails sollte vermieden werden, stattdessen sollte der Aufruf über die Direkteingabe im Browser erfolgen. Grundsätzlich gilt: Lieber zweimal hinsehen und Vorsicht bei E-Mails von unbekannten Absendern.
Daneben gibt es allgemeinere Maßnahmen, auf die User achten sollten. Hierzu gehört der Einsatz eines Antivirenprogramms und dessen regelmäßige Aktualisierung, die Eingabe von Passwörtern nur bei verschlüsselten Websites und die Verwendung unterschiedlicher Passwörter für das Konto und die verknüpfte E-Mail-Adresse. Zudem bietet eine Zwei-Faktor-Authentifizierung zusätzlichen Schutz, da der zweifache Anmeldemechanismus verhindert, dass Kriminelle auch bei erfolgreichem Abfischen des Passworts, auf das Konto zugreifen können.
Aktuelle Phishing-Maschen
Für Phishing-Attacken werden in der Regel Namen bekannter Banken, Finanzdienstleister, Postdienstleister, Anbieter sozialer Netzwerke oder Onlineshops verwendet. Der Empfänger soll häufig Stammdaten, Bankverbindungen, Ablageort oder Transaktionen bestätigen und hierfür eine Reihe von teils sensiblen Daten angeben. Aktuell sind beispielsweise gefälschte E-Mails folgender Institutionen im Umlauf:
Was tun, wenn?
Besteht der Verdacht, dass Zugangsdaten abgegriffen wurden, sollte – unabhängig von der Zwei-Faktor-Authentifizierung – umgehend das Passwort geändert werden. Zudem ist auf ungewöhnliche Aktivitäten (z. B. Transaktionen auf dem Bankkonto) zu achten. Beschäftigte sollten zudem ihre Vorgesetzen und/oder IT-Administrator informieren, damit auch der betreffende Rechner, über den ggf. betrügerische Links angeklickt wurden, auf Schadsoftware geprüft und die Systeme des Unternehmens kontrolliert werden können. Je nach Einzelfall ist zu prüfen, welche weitere Maßnahmen zur Schadenseindämmung umgesetzt werden müssen.
Fazit
Auch wenn die Betrugsmasche „Phishing“ nicht neu und mittlerweile grundsätzlich auch weitläufig bekannt ist, gilt es trotzdem, die damit einhergehende Gefahr nicht zu unterschätzen. Wie aus den obigen Beispielen erkennbar ist, werden Cyberkriminelle immer raffinierter und erschweren es Usern, betrügerische E-Mails, Websites & Co. zu erkennen. Deshalb ist bei Onlineaktivitäten sowohl im privaten als auch im beruflichen Bereich stets Vorsicht geboten. Verantwortliche Stellen sollten ihre Beschäftigten für die Gefahren im Bereich der Cybersicherheit sensibilisieren und über aktuelle Fälle/Betrugsmaschen informieren. Zwar kann nicht hundertprozentig verhindert werden, dass über Phishing (Zugangs-)Daten abgegriffen werden. Je sensibler Beschäftigte im Arbeitsalltag allerdings damit umgehen, desto geringer ist das Risiko, dass das Unternehmen Opfer einer erfolgreichen Phishing-Attacke wird.