Mit Phishing versuchen Cyberkriminelle durch Betrug an persönliche vertrauliche Daten zu kommen. Der Diebstahl der Daten wie beispielsweise Passwörter erfolgt per Internet meist durch das Versenden von gefälschten E-Mails oder SMS.
Auch wenn diese E-Mails oder SMS auf den ersten Blick echt erscheinen, gibt es einige Merkmale, an denen sich erkennen lässt, dass es sich hierbei um einen Betrugsversuch handelt.
Inhaltsverzeichnis
Was ist Phishing?
Beim Phishing handelt es sich um einen auf elektronischem Weg ausgeführten Betrugsversuch, bei dem Daten wie Benutzerkennungen und Passwörter gestohlen werden.
Cyberkriminelle verwenden dafür nachgemachte E-Mails von vertrauenswürdigen Unternehmen, welche den Anwender auf gefälschte Internetseiten von beispielsweise Banken oder Onlineshops locken sollen.
Dort sollen die User anschließend ihre Daten eingeben, welche dann von den Kriminellen gestohlen und für Hackerangriffe oder Kontoplünderungen genutzt werden.
Woran lässt sich ein Phishing-Angriff erkennen?
Oftmals ist es nicht leicht eine Phishing-Mail als solche zu erkennen, denn die Cyberkriminellen lassen die E-Mails täuschend echt aussehen.
Dennoch gibt es einige Merkmale, welche auf Phishing hindeuten:
Grammatikalische und Orthographische Mängel
Häufig kommt es vor, dass Phishing-E-Mails in einem fehlerhaften Deutsch geschrieben sind.
Dies liegt daran, dass Angreifer aus dem Ausland zum Verfassen solcher Nachrichten eine Software zur Übersetzung nutzen.
Solche Fehler sind ein klares Zeichen für eine Phishing-Mail. Zudem tauchen in Phishing-Mails oftmals fremde Zeichen wie kyrillische Buchstaben oder fehlende Umlaute auf.
E-Mails in fremder Sprache
Weit verbreitet sind auch Phishing-Mails in fremder Sprache. Wer ein Bankkonto in Deutschland führt, kann davon ausgehen, dass es sich bei einer E-Mail in einer anderen Sprache um einen Betrugsversuch handelt.
Fehlende individuelle Anrede
Cyberkriminelle führen ihre Phishing-Angriffe für gewöhnlich gleich bei tausenden Empfängern durch. Daher nutzen sie in der Regel auch keine individuelle Anrede, sondern eine allgemeine Floskel wie beispielsweise „Sehr geehrte Kundin/Sehr geehrter Kunde“. Seriöse Vertragspartner wie Banken nutzen hingegen immer eine persönliche Anrede.
Aufforderung zu sofortigem Handeln
In Phishing-Mails wird versucht das Opfer unter Druck zu setzen.
Die Empfänger der Nachricht werden dazu aufgefordert schnellstmöglich zu handeln.
Diese Handlungsaufforderung ist meist mit einer Drohung verbunden, wie beispielsweise dem Sperren des Online-Kontos bei Unterlassung.
Anhänge
Cyberkriminelle nutzen häufig Anhänge, bei denen es sich beispielsweise um eine angebliche Rechnung oder einen Kontoauszug handelt.
Meist nutzen Betrüger diese Anhänge wie PDFs, um darin Malware zu verstecken. Alternativ können solche Dateien auch über einen Link zum Download bereitgestellt werden.
Links
Phishing-Mails enthalten häufig Links zu falschen Webseiten, die wie das Original aussehen. Die Opfer sollen dort ihre Zugangsdaten angeben, welche dann von den Kriminellen gestohlen werden.
Dafür nutzen die Hacker URLs, die nahezu identisch mit dem Original sind.
Daher ist es wichtig Links vorher sorgfältig durchzulesen oder am besten die Webseitenadresse selbst direkt im Browserfenster einzugeben.
Anfrage persönlicher Daten
Eine Bank würde nie persönliche Daten auf dem elektronischen Weg erfragen, sondern nutzt dazu in der Regel die Briefform. Beim Phishing hingegen besteht häufig die Aufforderung persönliche Daten wie PIN oder TAN einzugeben.
Erste E-Mail dieses Unternehmens oder kein Kunde
Phishing-Betrüger senden ihre Mails wahllos an möglichst viele Empfänger, ohne zu wissen, ob es sich dabei um Kunden dieses Unternehmens handelt.
Wer eine E-Mail von einer Bank oder einem Unternehmen erhält, bei der er kein Kunde ist, kann daher von Phishing ausgehen.
Auch wenn eine vermeintliche E-Mail von der eigenen Bank kommt, obwohl die Bank zuvor nie E-Mails geschickt hat, ist Skepsis angebracht.
Mailheader
Angreifer können original E-Mails täuschend echt nachbilden. Dies gilt auch für grafische Elemente und auch die Absenderangaben der E-Mail. Im Zweifelsfall sollte ein näherer Blick auf den Mailheader genommen werden.
Hier findet sich die IP-Adresse des Absenders und nur diese ist fälschungssicher, sodass sich der tatsächliche Absender ermitteln lässt.
Schutzmaßnahmen gegen Phishing
Um sich vor Phishing zu schützen, sollten die folgenden Maßnahmen eingehalten werden:
- Keine vertraulichen Daten per E-Mail, SMS oder Chat übermitteln.
- Vertrauliche und persönliche Daten ausschließlich über SSL-verschlüsselte Seiten bekanntgeben (erkennbar am Schloss-Symbol oder „https://“ am Beginn der Internetadresse).
- Keine unbekannten Datei-Anhänge öffnen und auf keine Links gehen.
- Vorsicht bei verdächtigen E-Mails. Auf die Phishing-Warnzeichen achten und verdächtige E-Mails sofort löschen.
- Passwörter regelmäßig ändern.
- Konten und Bankeinzüge regelmäßig auf betrügerische Transaktionen überprüfen.
- Add-Blocker verwenden. Regelmäßige Sicherheits-Updates auf Computer und Smartphone durchführen und Anti-Viren-Programme installieren und zudem regelmäßig aktualisieren.
- Zwei-Wege-Authentifizierung nutzen. Hierbei dient nicht nur ein Passwort als Sicherheitsschutz, sondern zusätzlich noch beispielsweise ein SMS-Code.
