Phishing

Von: Verbraucherzentrale Bayern e.V.

Beim so genannten Phishing handelt es sich um wie beim Pharming eine Form des Trickbetruges. Meist sind es E-Mails, die - als offizielle Schreiben getarnt - den Internetnutzer verleiten sollen, wichtige Informationen wie Passwörter und Geheimzahlen preiszugeben.

Die neuesten Warnungen gibt es im Phishing-Radar der Verbraucherzentralen.

Was bedeutet Phishing?

Die Bezeichnung Phishing leitet sich vom Fischen (engl. fishing) nach persönlichen Daten ab. Die Ersetzung von F durch Ph ergibt sich dabei aus der Kombination der Worte Password und harvest (engl. für Ernte).

Die Betrüger möchten also möglichst viele Passwörter und Zugangsdaten ernten.

Phishing-Angriffsziele sind vornehmlich Zugangsdaten für Bankenportale, Versandhäuser oder Internet-Auktionshäuser. Mit den gestohlenen Zugangsdaten kann der Phisher viel Schaden verursachen, vor allem natürlich Vermögensschäden, aber auch die Installation von Schadsoftware.

Die Masche

Eine Phishing-Attacke beginnt entweder mit einer persönlich gehaltenen, offiziell anmutenden E-Mail oder einer deutlich erkennbaren Massenmail an viele Adressaten. Der Empfänger soll eine in der E-Mail verlinkte Website besuchen, die unter einem Vorwand zur Eingabe seiner Zugangsdaten auffordert. Folgt er dieser Aufforderung, gelangen seine Zugangsdaten in die Hände der Urheber der Phishing-Attacke.

Dabei machen sich die Phisher die Möglichkeiten von HTML (HyperText Markup Language) zu eigen. Der Linktext zeigt die Originaladresse (z. B. www.verbraucherzentrale-bayern.de) an, während das hinterlegte, unsichtbare Linkziel tatsächlich zur Adresse der gefälschten Website führt. In anderen Fällen wird der Link als Grafik dargestellt. Auf dem Bildschirm des Anwenders erscheint zwar Text, dieser ist allerdings eine Grafik.

Die gefälschten Zielseiten haben meistens gefälschte Namen oder Bezeichnungen, die ähnlich klingen wie die offiziellen Seiten oder Firmen. Die Zielseiten mit dem Webformular haben das gleiche Aussehen wie die Originalseiten. Sie sind deswegen nur sehr schwer als Fälschungen identifizierbar. Es ist deswegen wichtig, dass man als Anwender die originalen Internet-Seitenadressen z. B. seiner Bank kennt. Denn die Adresszeile des Browsers verrät einem, dass man sich nicht auf der Originalwebsite befindet.

Eine andere, simplere Variante bindet ein Formular direkt innerhalb einer E-Mail ein. Dort sollen vertrauliche Daten eingegeben werden, die dann an den Urheber gesendet werden. Auf eine gefälschte Phishing-Website wird hierbei verzichtet.

Wie erkennt man eine Phishing-Mail?

Im Folgenden finden sich typische Merkmale, die Phishing-Mails aufweisen. Wer eine oder mehrere dieser Merkmale feststellt, kann davon ausgehen, dass er es mit einer betrügerischen E-Mail zu tun hat.

• Es wird künstlich Druck erzeugt, weil eine besondere Dringlichkeit vorgegaukelt wird. Man wird, schnellstmöglich eine wichtig klingende Aktion durchzuführen. Beispiele hierfür sind etwa "Sicherheitsüberprüfung", eine "Verifikation" oder eine "Freischaltung".
  Druck wird gerne auch durch Drohungen erzeugt. So wird einem angedroht, dass bei Nichtbeachtung der Anweisungen der Zugang gesperrt wird oder etwas anderes Schlimmes geschieht. 

• Wird eine Passwort-Eingabe in der E-Mail selbst verlangt, so handelt es sich mit an Sicherheit grenzender Wahrscheinlichkeit um eine betrügerische Nachricht.
  Kein bekannter Anbieter verlangt die Angabe wichtiger Daten in einer E-Mail, weil diese immer ohne große Schwierigkeiten von Dritten gelesen werden können.
  E-Mails, in denen man nach persönlichen Daten wie Passwörter oder TANs gefragt wird, sind in der Regel gefälscht und können gelöscht werden, selbst wenn sie keine der anderen Merkmale aufweisen. 

• Zwar mögen die Verfasser von Phishing-Mails großartige Programmierer und Computerexperten sein. In der Praxis muss man aber immer wieder erstaunt feststellen, dass sie mit der deutschen Sprache offenbar auf Kriegsfuß stehen. Rechtschreib- und Grammatikfehler im Text, falsche oder fehlende Umlaute (ae anstatt ä) oder ungebräuchliche Worte (beispielsweise eintasten anstatt eingeben) finden sich sehr oft in den gefährlichen Nachrichten. Zum Teil rühren sie von nicht einwandfrei arbeitender Übersetzungssoftware.

Wie kann man sich schützen?

In jüngster Zeit waren es zumeist Banken, die von Phishing-Mails betroffen waren.

• Dabei gilt: Banken und Versicherungen fordern von ihren Kunden nie die Zusendung von Kreditkartennummern, PIN, TAN oder anderen Zugangsdaten per E-Mail, per SMS oder am Telefon.
  Deswegen: niemals sicherheitsrelevante Daten per E-Mail versenden.
  
  
• Außerdem sollte man niemals Links aus einer unaufgefordert zugesandten E-Mail unbekannter Herkunft aufrufen. Lassen Sie sich die E-Mail ohne HTML anzeigen. URLs und E-Mail-Absenderadressen können gefälscht werden und sind generell nicht vertrauenswürdig.
  
  
• Beim Onlinebanking sollte man das gewünschte Ziel immer von Hand in die Adresszeile des Browsers eingeben oder im Browser gespeicherte Lesezeichen verwenden, die man selbst sorgfältig angelegt hat. Bevor sicherheitsrelevante Daten angegeben werden, sollte man sich der Echtheit der Seite vergewissern.
  
  
• Generell gilt: wenn man unaufgefordert in sicherheitsrelevanten Bereichen angesprochen wird, sollte man von vornherein misstrauisch sein. Es ist besser zunächst beim Dienstanbieter nachzufragen, wenn man unsicher ist.

Wer Opfer einer Phishing-Mail geworden ist,

• sollte unverzüglich das betreffende Dienstleistungsunternehmen informieren und Strafanzeige erstatten. 

• sollte die gefälschte E-Mail speichern. Diese könnte als Beweismittel in einem Strafverfahren dienen.

• sollte, sofern noch möglich, seine Passwörter unverzüglich ändern, damit die gestohlenen Originalpasswörter unbrauchbar werden.