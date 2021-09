Laut einer aktuellen Bitkom-Umfrage nutzen 2021 80 Prozent der Bundesbürger Online-Banking. Und auch Dienste wie Amazon, PayPal oder eBay werden nach wie vor gerne für digitale Einkäufe und Geldtransfers verwendet. Gute Neuigkeiten für Cyberkriminelle, die mittels Social Engineering, also zwischenmenschlicher Beeinflussung, an das Geld oder die Identitäten von Anwendern gelangen. Das sogenannte Phishing stellt dabei eine beliebte und sehr weitverbreitete Strategie dar. Da die Methode flächendeckend eingesetzt werden kann, fallen täglich zahlreiche Nutzer auf die Masche herein. Wir verraten dir, wie Phishing funktioniert, worauf du achten musst, um den Angriffen zu entgehen und was du tun kannst, sollte das Unglück bereits passiert sein.

Phishing – so funktioniert die Betrugsmasche

Der Begriff Phishing setzt sich aus den beiden Wörtern „Passwort“ und „Fishing“ zusammen. Der Grund hierfür ist simpel: Beim Phishing legen Internetkriminelle Köder in Form von gefälschten E-Mails oder Internetseiten aus und warten, bis nichts ahnende Opfer in die Falle tappen. Konkret funktioniert es in etwa wie folgt:

Betrüger erstellen eine E-Mail, die dem Corporate Design eines bekannten und weitverbreiteten Unternehmens entspricht. Dabei kann es sich beispielsweise um eine große Bank oder einen Internet-Dienstleister wie den Online-Versandhändler Amazon handeln. Diese verschicken die Täter an möglichst viele Nutzer, von denen einige die thematisierten Dienstleistungen statistisch gesehen tatsächlich in Anspruch nehmen. Solche Nutzer werden nun dazu aufgefordert, ihre Nutzerdaten wie etwa Benutzernamen und Passwörter zu bestätigen, da beispielsweise ungewöhnliche Account-Aktivitäten festgestellt wurden. Falls die Betroffenen auf den weiterführenden Link klicken, werden sie jedoch nicht zur Seite des jeweiligen Dienstleisters, sondern zu deren Kopie weitergeleitet. Die hier eingegebenen (Anmelde-)Daten landen bei den Betrügern. Doch, wozu eigentlich?

Amazon-Phishing Quelle: Verbraucherzentrale NRW Amazon-Phishing Quelle: Verbraucherzentrale NRW Gefälschte Amazon-E-Mail Quelle: Verbraucherzentrale NRW

Was kann schon passieren? – so einiges

Je nachdem welchen Dienst die Täter „gehackt“ haben, kann der drohende Schaden unterschiedliche Formen annehmen. Falls die Betrüger Daten einer Bank oder von PayPal gestohlen haben, streben sie höchstwahrscheinlich illegale Geldtransfers oder Kontoabbuchungen an. Accounts von eBay, Amazon und Co. können die Cyberkriminellen stattdessen fürs Online-Shopping verwenden – wobei die Täter ihre Bestellungen dann sicherlich nicht an deine Adresse liefern lassen. Sollten dagegen Facebook oder Twitter übernommen worden sein, könnte das Stichwort „Identitätsdiebstahl“ lauten. Login-Daten zu solchen Konten werden auch gerne gebündelt im Darknet verkauft. Zu guter Letzt gab es 2018 einen Fall, bei dem sich ein Cyberkrimineller die Anmeldedaten von Apples iCloud-Konten ergaunert und Nacktbilder sowie -videos kopiert und geteilt hat. Die Möglichkeiten werden im Grunde ausschließlich durch die Fantasie der Täter eingeschränkt.

Worauf muss ich beim Phishing achten?

Die beste Andi-Phishing-Maßnahme ist nach wie vor eine gesunde Portion Skepsis. Doch Skepsis allein reicht nicht aus, wenn man nicht weiß, worauf man achten sollte. Schließlich sind „Skepsis“ und „Generalverdacht“ keine Synonyme. Solltest du eine E-Mail von einem Dienstleister erhalten haben, empfiehlt es sich, zunächst stets auf den Absender zu achten. Damit ist allerdings nicht der Name, sondern die E-Mail-Adresse des Absenders gemeint, denn diese lässt sich nur schwer manipulieren. Auch das Fehlen einer direkten Ansprache ist ein deutliches Warnsignal – genauso wie Rechtschreib- und Grammatikfehler im Text. Wobei an dieser Stelle noch erwähnt werden muss, dass die Qualität der Phishing-Mails in den vergangenen Jahren deutlich angestiegen ist. Ordentlich verfasste Fake-Mitteilungen stellen keine Seltenheit mehr dar.

Es bleibt der inhaltliche Aspekt. Drohungen oder Fristen sind stets gute Indizien für Phishing-Mails. Du sollst deine Nutzerdaten innerhalb von 24 Stunden bestätigen, andernfalls wird dein Konto gesperrt? Bei solchem Inhalt sollten ausnahmslos sämtliche Alarmglocken läuten. Und solltest du doch mal auf den hinterlegten Bestätigungslink geklickt haben, dann schau dir unbedingt die URL an. Denn ein korrektes Corporate Designs – inklusive eines Logos, der Farbgebung und der Schriftart – stellt keinen Beweis für die Echtheit der aufgerufenen Website dar.

So schützt du dich vor Angriffen

Die gesunde Skepsis verhindert im Regelfall das Schlimmste. Doch oftmals bleibt die Frage nach der Echtheit einer E-Mail dennoch unbeantwortet. Auch für einen solchen Fall gibt es konkrete Handlungsempfehlungen: Zunächst einmal solltest du dich von dem Gedanken verabschieden, einen Link anzuklicken oder den Anhang herunterzuladen. Beide könnten nicht nur zum Zwecke von Phishing, sondern auch als Malware-Quallen fungieren. Das gilt insbesondere dann, wenn die Datei die Endungen „.exe“ oder „.scr“ aufweist.

Stattdessen empfiehlt es sich, die URL des jeweiligen Dienstleisters eigenständig in die Adressleiste des Browsers einzutippen, sich anzumelden und etwa interne Postfächer nach einer Bestätigung der ursprünglichen E-Mail zu durchforsten. Alternativ kannst du auch den Kundenservice kontaktieren, allerdings auf keinen Fall über eine in der Mail hinterlegte Telefonnummer. Neben Phishing gibt es nämlich noch das sogenannte Vishing. Das Funktionsprinzip ist dabei jeweils dasselbe, allerdings versuchen die Trickbetrüger hierbei keinen Klick auf einen Link, sondern einen Anruf zu provozieren.

Abseits der bereits erwähnten Maßnahmen gibt es noch einige allgemeinere Schutzmittel beziehungsweise -handlungen. Dazu gehört beispielsweise ein Antivirenprogramm, welches du regelmäßig aktualisieren solltest. Zudem sollten Nutzerdaten generell ausschließlich auf verschlüsselten und somit geschützten Seiten eingegeben werden. Diese lassen sich an einem Schloss in der Adressleiste sowie an der URL „https://“ identifizieren. Eine weitere generelle Regel ist, dass sich das Passwort des Kontos und das der damit verknüpften E-Mail stets unterscheiden muss. Alternativ könnten die Täter die „Passwort vergessen“-Funktion nutzen, um sich Zugriff zu anderen mit der E-Mail verknüpften Konten zu verschaffen – selbst dann, wenn diese über andere Kennwörter verfügen.

Zwei-Faktor-Authentifizierung als Heilmittel gegen Phishing

So gut die oben genannten Maßnahmen auch sein mögen, die sogenannte Zwei-Faktor-Authentifizierung ist ihnen in Bezug auf Phishing jeweils überlegen. Dabei handelt es sich um einen zweifachen Anmeldemechanismus, der verhindert, dass sich Internetkriminelle ohne Zugang zu etwa deinem Telefon oder deiner E-Mail-Adresse anmelden oder Transaktionen tätigen können. Auch dann nicht, wenn sie sich im Besitz deiner Login-Daten befinden. Doch Achtung: Die Zwei-Faktor-Authentifizierung ist oftmals deaktiviert und muss zunächst noch eingerichtet werden, bevor der Schutz wirkt.

Du bist auf eine Phishing-Mail hereingefallen, was nun?

Solltest du Opfer eines Phishing-Angriffs geworden sein, musst du zuallererst dein Bankkonto sperren lassen (Sperr-Notruf: 116 116) beziehungsweise das Passwort des jeweiligen Dienstleisters ändern. Anschließend empfiehlt es sich, den Kontostand zu überprüfen und gegebenenfalls Kontakt mit der Bank / dem Dienstleister aufzunehmen. Sollte tatsächlich Geld entwendet worden sein oder ein Fall von Identitätsdiebstahl vorliegen, dann kann zudem eine Anzeige bei der örtlichen Polizeidienststelle erstattet werden. Allerdings stehen deine Chancen auf eine Auflösung nicht gerade gut. Denn laut einer Cybercrime-Statistik des Bundeskriminalamts aus dem Jahr 2020 wurden im selben Jahr insgesamt 108.474 Fälle erfasst und nur 34.390 Fälle aufgeklärt. Das entspricht einer Aufklärungsquote von 32,6 Prozent.

