Phishing: Darauf müssen Kunden von Amazon, Banken & Co. achten

6 Min. Lesezeit in Pocket speichern
Phishing wird meistens unterschätzt. Dabei stellen diese eine der häufigsten Formen der Cyberkriminalität dar. Der Schaden, den Phishing-Mails verursachen können, erstreckt sich von Identitätsdiebstahl bis zu einem leeren Bankkonto – und das gilt auch für Privatpersonen.
Phishing Mail

Phishing-Betrug

Laut dem Digitalverband Bitkom erledigten 2023 etwa 90 Prozent der Bundesbürger ihre Bankgeschäfte online. Und auch Dienste wie Amazon, PayPal oder eBay werden nach wie vor gerne für digitale Einkäufe und Geldtransfers verwendet. Gute Nachrichten für Cyberkriminelle, die mittels Social Engineering, also zwischenmenschlicher Beeinflussung, an das Geld oder die Identitäten von Anwendern gelangen. Das sogenannte Phishing stellt dabei eine beliebte und weitverbreitete Strategie dar. Da die Methode flächendeckend eingesetzt werden kann, fallen täglich zahlreiche Nutzer auf die Masche herein. Wir verraten dir, wie Phishing funktioniert, worauf du achten musst, um digitalen Angriffen zu entgehen. Und auch, was du tun kannst, sollte das Unglück bereits passiert sein.

Phishing – so funktioniert die Betrugsmasche

Der Begriff Phishing setzt sich aus den beiden Wörtern „Passwort“ und „Fishing“ zusammen. Der Grund hierfür ist simpel: Beim Phishing legen Internetkriminelle Köder in Form von gefälschten E-Mails oder Internetseiten aus und warten, bis nichts ahnende Opfer in die Falle tappen. Konkret funktioniert es in etwa wie folgt:

Betrüger erstellen eine E-Mail, die dem Corporate Design eines bekannten und weitverbreiteten Unternehmens entspricht. Dabei kann es sich beispielsweise um eine große Bank oder einen Internet-Dienstleister wie den Online-Versandhändler Amazon handeln. Diese verschicken die Täter an möglichst viele Nutzer, von denen einige die thematisierten Dienstleistungen statistisch gesehen tatsächlich in Anspruch nehmen. Solche Nutzer werden nun dazu aufgefordert, ihre Nutzerdaten wie etwa Benutzernamen und Passwörter zu bestätigen, da beispielsweise ungewöhnliche Account-Aktivitäten festgestellt wurden. Falls die Betroffenen auf den weiterführenden Link klicken, werden sie jedoch nicht zur Seite des jeweiligen Dienstleisters, sondern zu deren Kopie weitergeleitet. Die hier eingegebenen (Anmelde-)Daten landen bei den Betrügern. Doch, wozu eigentlich?

Amazon-Phishing
Quelle: Verbraucherzentrale NRW
Amazon-Phishing
Quelle: Verbraucherzentrale NRW
Gefälschte Amazon-E-Mail
Quelle: Verbraucherzentrale NRW

Was kann schon passieren? – so einiges

Je nachdem, welchen Dienst die Täter „gehackt“ haben, kann der drohende Schaden unterschiedliche Formen annehmen. Falls die Betrüger Daten einer Bank oder von PayPal gestohlen haben, streben sie höchstwahrscheinlich illegale Geldtransfers oder Kontoabbuchungen an. Accounts von eBay, Amazon und Co. können die Cyberkriminellen stattdessen fürs Online-Shopping verwenden – wobei die Täter ihre Bestellungen dann sicherlich nicht an deine Adresse liefern lassen. Sollten dagegen Facebook oder Twitter übernommen worden sein, könnte das Stichwort „Identitätsdiebstahl“ lauten. Login-Daten zu solchen Konten werden auch gerne gebündelt im Darknet verkauft. Zu guter Letzt gab es 2018 einen Fall, bei dem sich ein Cyberkrimineller die Anmeldedaten von Apples iCloud-Konten ergaunert und Nacktbilder sowie -videos kopiert und geteilt hat. Die Möglichkeiten werden im Grunde ausschließlich durch die Fantasie der Täter eingeschränkt.

Worauf muss ich beim Phishing achten?

Die beste Anti-Phishing-Maßnahme ist nach wie vor eine gesunde Portion Skepsis. Doch Skepsis allein reicht nicht aus, wenn man nicht weiß, worauf man achten sollte. Schließlich sind „Skepsis“ und „Generalverdacht“ keine Synonyme. Solltest du eine E-Mail von einem Dienstleister erhalten haben, empfiehlt es sich, zunächst stets auf den Absender zu achten. Damit ist allerdings nicht der Name, sondern die E-Mail-Adresse des Absenders gemeint, denn diese lässt sich nur schwer manipulieren. Wobei „schwer“ und „unmöglich“ nicht dasselbe ist. Stichwort: E-Mail-Spoofing.

Auch das Fehlen einer direkten Ansprache ist ein deutliches Warnsignal – genauso wie Rechtschreib- und Grammatikfehler im Text. Wobei an dieser Stelle noch erwähnt werden muss, dass die Qualität der Phishing-Mails in den vergangenen Jahren sehr stark angestiegen ist. Ordentlich verfasste Fake-Mitteilungen stellen keine Seltenheit mehr dar. Und selbst personenbezogene Daten aus vorangegangenen Datenlecks wie Namen und Adressen fließen gelegentlich in die Phishing-Mails hinein.

Es bleibt der inhaltliche Aspekt. Drohungen oder Fristen sind stets gute Indizien für Phishing-Mails. Du sollst deine Nutzerdaten innerhalb von 24 Stunden bestätigen, andernfalls wird dein Konto gesperrt? Bei solchem Inhalt sollten ausnahmslos sämtliche Alarmglocken läuten. Und solltest du doch mal auf den hinterlegten Bestätigungslink geklickt haben, dann schau dir unbedingt die URL an. Denn ein korrektes Corporate Designs – inklusive eines Logos, der Farbgebung und der Schriftart – stellt keinen Beweis für die Echtheit der aufgerufenen Website dar.

So schützt du dich vor Angriffen

Die gesunde Skepsis verhindert im Regelfall das Schlimmste. Doch oftmals bleibt die Frage nach der Echtheit einer E-Mail dennoch unbeantwortet. Auch für einen solchen Fall gibt es konkrete Handlungsempfehlungen: Zunächst einmal solltest du dich von dem Gedanken verabschieden, einen Link anzuklicken oder den Anhang herunterzuladen. Beide könnten nicht nur zum Zwecke von Phishing, sondern auch als Malware-Quallen fungieren. Das gilt insbesondere dann, wenn die Datei die Endungen „.exe“ oder „.scr“ aufweist.

Stattdessen empfiehlt es sich, die URL des jeweiligen Dienstleisters eigenständig in die Adressleiste des Browsers einzutippen, sich anzumelden und etwa interne Postfächer nach einer Bestätigung der ursprünglichen E-Mail zu durchforsten. Alternativ kannst du auch den Kundenservice kontaktieren, allerdings auf keinen Fall über eine in der Mail hinterlegte Telefonnummer. Neben Phishing gibt es nämlich noch das sogenannte Vishing sowie das Smishing. Das Funktionsprinzip ist dabei jeweils dasselbe, allerdings versuchen die Trickbetrüger ihre Opfer nicht per E-Mail, sondern per Telefon oder SMS zu erreichen.

Abseits der bereits erwähnten Maßnahmen gibt es noch einige allgemeinere Schutzmittel beziehungsweise -handlungen. Dazu gehört beispielsweise ein Antivirenprogramm, welches du regelmäßig aktualisieren solltest. Zudem sollten Nutzerdaten generell ausschließlich auf verschlüsselten und somit geschützten Seiten eingegeben werden. Diese lassen sich an einem Schloss in der Adressleiste sowie an der URL „https://“ identifizieren. Eine weitere generelle Regel ist, dass sich das Passwort des Kontos und das der damit verknüpften E-Mail stets unterscheiden muss. Alternativ könnten die Täter die „Passwort vergessen“-Funktion nutzen, um sich Zugriff zu anderen mit der E-Mail verknüpften Konten zu verschaffen – selbst dann, wenn diese über andere Kennwörter verfügen.

Zwei-Faktor-Authentifizierung als Heilmittel gegen Phishing

So gut die oben genannten Maßnahmen auch sein mögen, die sogenannte Zwei-Faktor-Authentifizierung ist ihnen in Bezug auf Phishing jeweils überlegen. Dabei handelt es sich um einen zweifachen Anmeldemechanismus, der verhindert, dass sich Internetkriminelle ohne Zugang zu etwa deinem Telefon oder deiner E-Mail-Adresse anmelden oder Transaktionen tätigen können. Auch dann nicht, wenn sie sich im Besitz deiner Login-Daten befinden. Doch Achtung: Die Zwei-Faktor-Authentifizierung ist oftmals deaktiviert und muss zunächst noch eingerichtet werden, bevor der Schutz wirkt.

Du bist auf eine Phishing-Mail hereingefallen, was nun?

Solltest du Opfer eines Phishing-Angriffs geworden sein, musst du zuallererst dein Bankkonto sperren lassen (Sperr-Notruf: 116 116) respektve das Passwort des jeweiligen Dienstleisters ändern. Anschließend empfiehlt es sich, den Kontostand zu überprüfen und gegebenenfalls Kontakt mit der Bank / dem Dienstleister aufzunehmen. Sollte tatsächlich Geld entwendet worden sein oder ein Fall von Identitätsdiebstahl vorliegen, dann kann zudem eine Anzeige bei der örtlichen Polizeidienststelle erstattet werden. Allerdings stehen deine Chancen auf eine Auflösung nicht gerade gut. Denn laut einer Cybercrime-Statistik des Bundeskriminalamts aus dem Jahr 2022 wurden im selben Jahr insgesamt 136.865 Fälle erfasst und nur 39.937 Fälle aufgeklärt. Das entspricht einer Aufklärungsquote von 29,2 Prozent – und die Quote sinkt seit Jahren nahezu unaufhörlich.

6 Kommentare

  1. gurkulolator
    Es ist 2021 und es wird ein Artikel über die Funktionsweise von phishing herausgegeben. Wer ist eigentlich die zielgruppe für so etwas, ist diese zielgruppe völlig bescheuert und hat die letzten 30 Jahre verschlafen? Oder fällt inside digital nichts besseres ein?
    • Artem Sandler
      Leider kennen sich auch im Jahr 2021 manche Nutzer besser mit der digitalen Welt aus als andere. Und da weltweit immer mehr Menschen Zugang zum Internet haben, ist das Thema Phishing gegenwärtig so aktuell wie nie.
  2. Clash
    Jede Woche mindesens 2 versuche gehen bei mir ein. Bei Bestellung bitte nie auf Paypal Friends eingehen!! Geld weg in 60% der Fälle. Ware gibt es nicht, ist wohl klar!
  3. Die Zicke
    der oder die gurku....scheint ja besonders schlau zu sein. wenn es nicht immer wieder Opfer dieser miesen Tricks geben würde, dann gäbe es sie nicht mehr und keiner bräuchte mehr drüber zu s treiben.
  4. Vera Jordan
    am besten lassen ihre Troilebusse raus mit ihren neuen latschen von 1990 1966 , dann wird man wissen wie Hacker funktionieren als Kommerz
[-AMP Version-]