Stand: 26.07.2023

Dass Cyberkriminelle versuchen, durch gefälschte E-Mails oder Internetseiten, Zugangsdaten oder andere sensible Informationen von Usern abzugreifen, ist keine neue Entwicklung. Allerdings haben sie ihre Methoden in den letzten Jahren immer weiter verfeinert, was es für User immer schwerer macht, betrügerische Nachrichten und Websites zu erkennen. Nach dem „Bericht zur Lage der IT-Sicherheit in Deutschland“ (Lagebericht 2022) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) handelte es sich bei 69 Prozent der Spam-Mails um Cyberangriffe, wobei 90 Prozent den Eindruck erweckten, von Banken und Sparkassen versendet worden zu sein (sog. Phishing-Mails). Die geschätzten volkswirtschaftlichen Schäden von Cyber-Delikten, die mit gezielten Phishing-Attacken beginnen, liegen in Deutschland pro Jahr mindestens im zweistelligen Millionenbereich.

Diese Zahlen zeigen, dass die Gefahr durch Phishing-Attacken nicht zu unterschätzen ist. Das Angriffspotenzial für Cyberkriminelle wird auch deshalb größer, da immer mehr Aktivitäten in die digitale Welt verlagert werden (bspw. Online-Banking, digitale Einkäufe, soziale Netzwerke). Der Schaden für die betroffenen Unternehmen und auch Privatpersonen hängt davon ab, welche Informationen abgegriffen wurden, und kann von Identitätsdiebstahl bis zu einem leeren Bankkonto reichen. User sollten bei Onlineaktivitäten deshalb stets wachsam und vorsichtig sein. Der nachfolgende Artikel gibt einen Überblick, worauf User achten sollten, um Phishing zu erkennen, und welche Phishing-Maschen aktuell im Umlauf sind.

Was bedeutet „Phishing“?

Der Begriff „Phishing“ ergibt sich aus einer Zusammensetzung der beiden Wörter „Password“ und „Fishing“. Bei Phishing-Attacken versuchen Cyberkriminelle, über gefälschte E-Mails, Kurznachrichten oder auch Websites eines vermeintlich vertrauenswürdigen Kommunikationspartners – beispielsweise Banken, Postdienstleister oder bekannte Onlineshops – persönliche Informationen wie Finanzinformationen, Zugangsdaten oder andere sensible Daten der Empfänger(innen) abzugreifen. Teilweise enthalten die Nachrichten auch Links zu gefälschten Websites oder Anhänge, die mit Schadsoftware infiziert sind.

Phishing-Mails werden häufig als unerwünschte, massenhafte Nachrichten, die dem Empfänger unverlangt zugestellt werden („Spam-Mail“) versendet. Teilweise richten sich Phishing-Attacken auch an einen bestimmten Empfänger, der gezielt ausgewählt wurde. Dieses Vorgehen wird als „Spear-Phishing“ (Speerfischen) bezeichnet.

Phishing-Mails erkennen

Bei der Gestaltung der Phishing-Mails werden Cyberkriminelle immer geübter, sodass gefälschte Nachrichten nicht bereits durch unpersönliche Anreden oder eine Vielzahl von Rechtschreib- und Grammatikfehler auffallen. Dadurch wird es für Empfänger schwerer, gefälschte Nachrichten zu erkennen. Grundsätzlich sollte auf folgende Punkte geachtet werden, die auf Phishing hindeuten könnten:

  • Unpersönliche Anreden „Sehr geehrter Kunde“
  • Aufforderung zur schnellen Handlung und Einsatz von Drohungen „Vervollständigen Sie Ihre Daten umgehend, sonst sperren wir Ihr Konto“
  • Schlechte Formulierungen, schlechte Rechtschreibung
  • Anhänge und Links in der E-Mail mit verdächtigen URLs
    • 189z-sparkasse.de/login
    • ab-bank-kundenservlce.net/change-password
  • Ungewöhnliche Datenabfrage (Name, Adresse, Bankverbindung, PIN, Kreditkartennummer)
  • Unseriöse Absender-Mail, ggf. auch versteckt hinter anderem Anzeigenamen
  • Absender scheint eine bekannte Person/Organisation zu sein, das Anliegen ist allerdings ungewöhnlich
  • Nachricht nicht an E-Mail-Adresse versendet, die im Kundenkonto hinterlegt ist
  • verschiedene Schriftgrößen und -farben, Bilder unscharf oder die Hintergrundfarbe der E-Mail anders als gewohnt

Bei der Gestaltung von Phishing-Websites haben Betrüger ihre Methoden ebenfalls verfeinert. Sie erwerben für die gefälschten Seiten ebenfalls SSL-Zertifikate, sodass im Browser „https://“ angezeigt wird und nicht sofort eine Warnmeldung erscheint. Betrügerische Links lassen sich beispielsweise daran erkennen, dass beim Namen der Institution Tippfehler bestehen oder der Name mit ungewöhnlichen Zahlen oder Zeichenkombinationen ergänzt wurde. Wie bei E-Mails deuten auch bei Internetseiten ungewöhnliche Anfragen auf einen Betrug hin – beispielsweise, wenn nach der Anmeldung im Kundenkonto eine Aufforderung erscheint, bekannte Daten wie Name, Adresse oder IBAN, erneut einzugeben.

Schutz gegen Phishing

Verdächtige E-Mails sollten sicherheitshalber gelöscht und keinesfalls Anhänge geöffnet oder Links angeklickt werden. Wenn der Absender tatsächlich echt ist und ein wirkliches Anliegen hat, wird er sich auf anderem Weg noch einmal melden. Insbesondere Banken informieren Kunden in aller Regel postalisch über Änderungen u. Ä.. In anderen Fällen erfolgt beispielsweise eine Information über eine Anzeige nach dem regulären Login beim Kundenkonto oder auf den Internetseiten.

Bei Unsicherheiten, ob eine E-Mail seriös oder betrügerisch ist, kann auch versucht werden, den Inhalt zu verifizieren. Beispielsweise über eine telefonische Nachfrage beim angeblichen Absender bzw. bekannten Ansprechpartnern, eine Internetrecherche oder Ähnliches. Wichtig hierbei ist es, nicht die Kontaktdaten zu verwenden, die in der E-Mail enthalten sind. Einige Finanzdienstleister haben zudem auf Ihren Websites Checklisten oder Hinweise veröffentlicht, wie eigene Nachrichten von Phishing und anderen Spam-Mails unterschieden werden können. Das Aufrufen von Links aus E-Mails sollte vermieden werden, stattdessen sollte der Aufruf über die Direkteingabe im Browser erfolgen. Grundsätzlich gilt: Lieber zweimal hinsehen und Vorsicht bei E-Mails von unbekannten Absendern.

Daneben gibt es allgemeinere Maßnahmen, auf die User achten sollten. Hierzu gehört der Einsatz eines Antivirenprogramms und dessen regelmäßige Aktualisierung, die Eingabe von Passwörtern nur bei verschlüsselten Websites und die Verwendung unterschiedlicher Passwörter für das Konto und die verknüpfte E-Mail-Adresse. Zudem bietet eine Zwei-Faktor-Authentifizierung zusätzlichen Schutz, da der zweifache Anmeldemechanismus verhindert, dass Kriminelle auch bei erfolgreichem Abfischen des Passworts, auf das Konto zugreifen können.

Aktuelle Phishing-Maschen

Für Phishing-Attacken werden in der Regel Namen bekannter Banken, Finanzdienstleister, Postdienstleister, Anbieter sozialer Netzwerke oder Onlineshops verwendet. Der Empfänger soll häufig Stammdaten, Bankverbindungen, Ablageort oder Transaktionen bestätigen und hierfür eine Reihe von teils sensiblen Daten angeben. Aktuell sind beispielsweise gefälschte E-Mails folgender Institutionen im Umlauf:

Eine E-Mail, die angeblich von Disney+ stammt, informiert über eine Sperrung des Kontos, da es zu einem „technischen Zwischenfall“ kam und das Abonnement nicht verlängert werden konnte. . Um die Dienste weiter nutzen zu können, soll der Betroffene auf einen Link klicken und seine Zahlungsinformationen aktualisieren.

In einem zweiten Fall hat es angeblich Probleme mit der Zahlung gegeben und das Abonnement musste storniert werden. Der Empfänger soll dem beigefügten Link folgen und seine Zahlungsinformationen aktualisieren, um das Streaming-Angebot weiter nutzen zu können.

Kunden des Onlinedienstes iCloud von Apple erhalten vermehrt E-Mails mit dem Betreff „iCloud-Speicher ist voll“ inkl. siebenstelliger Nummer. Bei dieser Mail handelt es sich um einen Betrugsversuch. Es ist von einem Treueprogramm die Rede, durch das der Kunde 50 GB Speicherplatz kostenlos erhalten kann. Hierzu müsse nur dem Link gefolgt und die persönlichen Daten inkl. Kreditkartendaten eingegeben werden.

Nach einer vergleichsweise sprachlich anspruchsvollen Einleitung dieser E-Mail wird der Kunde aufgefordert, seine Kontodaten auf der Homepage zu evaluieren, die über den eingefügten Button verlinkt sei. Hier sollen Kunden ihre persönlichen Kontodaten preisgeben. Das Besondere hier ist, dass mit dem 31.07.2023 eine konkrete Frist genannt ist, um zeitlichen Druck auszuüben.

Ein vermeintlicher Verwandter, z. B. Kind oder Enkel, meldet sich mit einer neuen Nummer, die unbedingt gespeichert werden soll. Zusätzlich soll gleich auf diese Nachricht geantwortet werden. Ist dies geschehen, folgt eine traurige Geschichte über ein kaputtes Handy oder ein kaputtes Auto mit der Bitte, die Rechnung zu übernehmen, da das Online-Banking gerade nicht möglich ist oder die Kreditkarte nicht funktioniert.

 Der Empfänger erhält eine E-Mail mit dem Inhalt, dass es eine vermeintlich verdächtige Anmeldeaktivität gegeben hat. Die gesendete E-Mail dient nur dazu, das Konto und den Anmeldeversuch zu bestätigen. Durch die Einfachheit der Mail sollen die Empfänger dazu gebracht werden, den Anmeldebutton zu klicken.

Bei der aktuellen E-Mail befindet sich in der Betreffzeile eine wahllose Zahlenkombination und es wird auf eine Anrede verzichtet. Der Empfänger wird über unautorisierte Aktivitäten in der verknüpften Zahlungsmethode informiert. Über einen Link sollen alle sensiblen Daten innerhalb eines Tages bestätigt werden, sonst würde das Konto dauerhaft geschlossen. Besonders auffällig ist, dass am Schluss eine „Finanztransaktion“ auf dem verknüpften Konto autorisieren soll. Damit wollen die Betrüger nicht nur die Daten, sondern auch das Geld der Empfänger stehlen.

Die Sparkasse führt angeblich wichtige Aktualisierungen im Online-Banking-System durch. Der Kunde soll sein Koto zeitnah aktualisieren, da sonst zusätzliche Kosten und administrative Verzögerungen entstehen könnten, z. B. müsste ein Konto neu eröffnet werden. Die Aktualisierung sei ganz einfach über den beigefügten Button vorzunehmen.

Was tun, wenn?

Besteht der Verdacht, dass Zugangsdaten abgegriffen wurden, sollte – unabhängig von der Zwei-Faktor-Authentifizierung – umgehend das Passwort geändert werden. Zudem ist auf ungewöhnliche Aktivitäten (z. B. Transaktionen auf dem Bankkonto) zu achten. Beschäftigte sollten zudem ihre Vorgesetzen und/oder IT-Administrator informieren, damit auch der betreffende Rechner, über den ggf. betrügerische Links angeklickt wurden, auf Schadsoftware geprüft und die Systeme des Unternehmens kontrolliert werden können. Je nach Einzelfall ist zu prüfen, welche weitere Maßnahmen zur Schadenseindämmung umgesetzt werden müssen.

Fazit

Auch wenn die Betrugsmasche „Phishing“ nicht neu und mittlerweile grundsätzlich auch weitläufig bekannt ist, gilt es trotzdem, die damit einhergehende Gefahr nicht zu unterschätzen. Wie aus den obigen Beispielen erkennbar ist, werden Cyberkriminelle immer raffinierter und erschweren es Usern, betrügerische E-Mails, Websites & Co. zu erkennen. Deshalb ist bei Onlineaktivitäten sowohl im privaten als auch im beruflichen Bereich stets Vorsicht geboten. Verantwortliche Stellen sollten ihre Beschäftigten für die Gefahren im Bereich der Cybersicherheit sensibilisieren und über aktuelle Fälle/Betrugsmaschen informieren. Zwar kann nicht hundertprozentig verhindert werden, dass über Phishing (Zugangs-)Daten abgegriffen werden. Je sensibler Beschäftigte im Arbeitsalltag allerdings damit umgehen, desto geringer ist das Risiko, dass das Unternehmen Opfer einer erfolgreichen Phishing-Attacke wird.