Phishing durch Mails und SMS: Wie man sich schützt

Von: Verbraucherzentrale Bayern e.V.

Beim so genannten Phishing handelt es sich um eine Form des Online-Trickbetruges. Meist sind es E-Mails, die - als offizielle Schreiben getarnt - den Internetnutzer verleiten sollen, wichtige Informationen wie Passwörter und Geheimzahlen preiszugeben. Aber auch Fake-SMS werden häufig verschickt. Wie erkennt man Phishing und wie kann man sich schützen?

 

Was bedeutet Phishing?

Die Bezeichnung Phishing leitet sich vom Fischen (engl. fishing) nach persönlichen Daten ab. Die Ersetzung von F durch Ph ergibt sich dabei aus der Kombination der Worte password harvesting (engl. für Passwort-Ernte). Die Betrüger möchten also möglichst viele Passwörter und Zugangsdaten ernten.

Phishing-Angriffsziele sind vornehmlich Zugangsdaten für Bankenportale, Bezahlsysteme wie z.B. PayPal, Online-Shops oder Internet-Auktionshäuser. Mit den gestohlenen Zugangsdaten kann ein großer Schaden verursacht werden, vor allem natürlich Vermögensschäden, aber auch die Installation von Schadsoftware oder Rufschädigung durch die Übernahme der Identität des Opfers.

 

Die neuesten Warnungen gibt es im Phishing-Radar der Verbraucherzentralen.

Arten des Phishing: Mails, SMS und gefälschte Webseiten

Eine Phishing-Attacke beginnt entweder mit einer persönlich gehaltenen, offiziell anmutenden E-Mail oder einer deutlich erkennbaren Massenmail an viele Adressaten. Der Empfänger soll eine in der E-Mail verlinkte Website besuchen, die unter einem Vorwand zur Eingabe seiner Zugangsdaten auffordert. Folgt er dieser Aufforderung, gelangen seine Zugangsdaten in die Hände der Urheber der Phishing-Attacke. Dabei nutzen die Phishing-Betrüger die Möglichkeiten von HTML (HyperText Markup Language). Der Link-Text zeigt die Originaladresse (z. B. www.verbraucherzentrale-bayern.de) an, während das hinterlegte, unsichtbare Link-Ziel tatsächlich zur Adresse der gefälschten Webseite führt.

In anderen Fällen haben die gefälschten Zielseiten gefälschte Namen oder Bezeichnungen, die zwar ähnlich wie die offiziellen Seiten oder Firmen klingen, sich jedoch minimal vom Original unterscheiden. Auch die Optik der Zielseiten gleicht dem Aussehen der Originalseiten. Es ist nur sehr schwer zu erkennen, dass es sich bei den Seiten um Fälschungen handelt. Hier ist es wichtig, aufmerksam zu sein und die originalen Internet-Seitenadressen z. B. seiner Bank zu kennen. Die Adresszeile des Browsers kann Aufschluss darüber geben, dass man sich nicht auf der Originalwebsite befindet.

Eine andere, simplere Variante bindet ein Formular direkt innerhalb einer E-Mail ein. Dort sollen vertrauliche Daten eingegeben werden, die dann an die Phishing-Betrüger gesandt werden. Auf eine gefälschte Phishing-Website wird hierbei verzichtet.

Phishing-Attacken können darüber hinaus auch per SMS oder über einen Messenger-Dienst erfolgen. Besonders häufig sind in diesem Zusammenhang betrügerische SMS zu beobachten, die von angeblichen Paketdiensten stammen und bei denen Empfänger auf einen Link tippen sollen, zu beobachten. Durch das Antippen des Links installiert sich dann in der Folge unfreiwillig schädliche Software auf dem Handy des Benutzers, durch die massenhaft SMS verschickt werden. Diese Betrugsform ist auch als "Smishing" (Zusammensetzung aus den Worten „SMS“ und „Phishing“) bekannt. Durch die Installation der Schad-Software will der betrügerische Absender Daten auf dem Gerät auslesen. SMS mit ähnlichen Inhalten (zum Beispiel Benachrichtigungen über angebliche Sprachnachrichten für den Empfänger), haben allesamt zum Ziel, den Empfänger auf den mitgesendeten Link zu locken.

Wie erkennt man eine Phishing-Mail?

Im Folgenden finden sich typische Merkmale, die Phishing-Mails aufweisen. Wer eine oder mehrere dieser Merkmale feststellt, kann davon ausgehen, dass es sich um eine betrügerische E-Mail handelt:

• Es wird künstlich Druck erzeugt, weil eine besondere Dringlichkeit vorgegaukelt wird. Man wird aufgefordert, schnellstmöglich eine wichtig klingende Aktion durchzuführen. Beispiele hierfür sind etwa "Sicherheitsüberprüfung", eine "Verifikation" oder eine "Freischaltung". Druck wird gerne auch durch Drohungen erzeugt. So wird angedroht, dass bei Nichtbeachtung der Anweisungen der Zugang gesperrt wird oder etwas anderes Schlimmes geschieht.

• Wird eine Passwort-Eingabe in der E-Mail selbst verlangt, so handelt es sich mit an Sicherheit grenzender Wahrscheinlichkeit um eine betrügerische Nachricht. Kein bekannter Anbieter verlangt die Angabe wichtiger Daten in einer E-Mail, weil diese ohne große Schwierigkeiten von Dritten gelesen werden können. E-Mails, in denen nach persönlichen Daten wie Passwörter oder TANs gefragt wird, sind in der Regel gefälscht und können gelöscht werden, selbst wenn sie keine der anderen Merkmale aufweisen.

• Zwar mögen die Verfasser von Phishing-Mails großartige Programmierer und Computerexperten sein. In der Praxis muss man aber immer wieder erstaunt feststellen, dass sie mit der deutschen Sprache offenbar auf Kriegsfuß stehen. Rechtschreib- und Grammatikfehler im Text, falsche oder fehlende Umlaute (ae anstatt ä) oder ungebräuchliche Worte (beispielsweise eintasten statt eingeben) finden sich sehr oft in den gefährlichen Nachrichten. Zum Teil stammen sie von nicht einwandfrei arbeitender Übersetzungssoftware.

• Phishing-Mails kann man oftmals auch an den kryptischen Absender-Adressen erkennen, die meist nicht der Adresse des vermeintlichen Absender-Unternehmens entspricht. Zudem beginnen die Nachrichten meist mit einer unpersönlichen Ansprache („Sehr geehrter Kunde“).

Wie kann man sich schützen?

• Banken, Versicherungen und auch andere Dienstanbieter fordern von ihren Kunden nie die Zusendung von Kreditkartennummern, PIN, TAN oder anderen Zugangsdaten per E-Mail, per SMS oder am Telefon.
  Darum gilt: Geben Sie niemals sicherheitsrelevante Daten per E-Mail, SMS oder am Telefon weiter.

• Außerdem sollte man niemals Links aus einer unaufgefordert zugesandten E-Mail oder aus einer SMS unbekannter Herkunft aufrufen. Lassen Sie sich die E-Mail ohne HTML anzeigen. URLs und E-Mail-Absenderadressen können gefälscht werden und sind generell nicht vertrauenswürdig.

• Beim Onlinebanking sollte man das gewünschte Ziel immer von Hand in die Adresszeile des Browsers eingeben oder im Browser gespeicherte Lesezeichen verwenden, die man selbst sorgfältig angelegt hat. Bevor sicherheitsrelevante Daten angegeben werden, sollte man sich vergewissern, dass es sich um die Original-Webseite handelt.

• Generell gilt: Wenn man unaufgefordert in sicherheitsrelevanten Bereichen angesprochen wird, sollte man von vornherein misstrauisch sein. Es ist immer besser, zunächst beim Dienstanbieter nachzufragen, wenn man unsicher ist.

Wer Opfer einer Phishing-Mail geworden ist,

• sollte unverzüglich den betreffenden Dienstanbieter informieren und Strafanzeige erstatten.

• sollte die gefälschte E-Mail speichern. Diese könnte als Beweismittel in einem Strafverfahren dienen.

• sollte, sofern noch möglich, seine Passwörter unverzüglich ändern, damit die gestohlenen Originalpasswörter unbrauchbar werden.

• sollte das Smartphone im Falle einer betrügerischen SMS in den Flugmodus schalten, die schädliche App deinstallieren oder sogar das Geräts in den Auslieferungszustand zurücksetzen und den Mobilfunkanbieter informieren.