Phishing durch Mails und SMS: Wie man sich schützt

Von: Verbraucherzentrale Bayern e.V.

Beim so genannten Phishing handelt es sich um eine Form des Online-Trickbetruges. Meist sind es E-Mails, die - als offizielle Schreiben getarnt - den Internetnutzer verleiten sollen, wichtige Informationen wie Passwörter und Geheimzahlen preiszugeben. Aber auch Fake-SMS werden häufig verschickt. Wie erkennt man Phishing und wie kann man sich schützen?

Was bedeutet Phishing?

Die Bezeichnung Phishing leitet sich vom Fischen (engl. fishing) nach persönlichen Daten ab. Die Ersetzung von F durch Ph ergibt sich dabei aus der Kombination der Worte password harvesting (engl. für Passwort-Ernte). Die Betrüger/-innen möchten also möglichst viele Passwörter und Zugangsdaten ernten.

Phishing-Angriffsziele sind vornehmlich Zugangsdaten für Bankenportale, Bezahlsysteme wie z.B. PayPal oder Klarna, Online-Shops und Internet-Auktionshäuser. Mit den gestohlenen Zugangsdaten kann großer Schaden verursacht werden, vor allem natürlich Vermögensschäden. Phishing-Angriffe können aber auch dazu führen, dass Schadsoftware auf dem eigenen Gerät installiert wird oder dass die Identität des Opfers gestohlen und dadurch sein Ruf geschädigt wird.

Die neuesten Warnungen gibt es im Phishing-Radar der Verbraucherzentralen.

Arten des Phishing: Mails, SMS und gefälschte Webseiten

Eine Phishing-Attacke beginnt entweder mit einer persönlich gehaltenen, offiziell anmutenden E-Mail oder einer deutlich erkennbaren Massenmail an viele Adressat/-innen. Empfänger/-innen sollen eine in der E-Mail verlinkte Webseite besuchen, die unter einem Vorwand zur Eingabe ihrer Zugangsdaten auffordert. Folgen sie dieser Aufforderung und geben Zugangsdaten ein, gelangen diese Daten in die Hände derjenigen, die die Mail verschickt haben. Zwar zeigt der angeklickte Link-Text die Originaladresse einer seriösen Zieladresse an (z.B. die bekannte Adresse einer Bank) an; das tatsächlich hinterlegte, auf den ersten Blick nicht sichtbare Link-Ziel führt dann allerdings zur Adresse der gefälschten Webseite.

Die falschen Zielseiten sind nicht vom Original zu unterscheiden. Vor allem Aufmachung und Gestaltung der „falschen“ Zielseiten gleichen dem Aussehen der „richtigen“ Originalseiten. Umso wichtiger ist es, aufmerksam zu sein und die originalen Internet-Seitenadressen (also die URL) z. B. seiner Bank zu kennen. Die Adresszeile des Browsers gibt Aufschluss darüber, ob man sich nach dem Klicken auf der Originalwebsite befindet oder nicht.

Eine weitere, simplere Variante des Phishing bindet ein Formular direkt innerhalb einer E-Mail ein. Dort sollen vertrauliche Daten eingegeben werden, die dann an die Phishing-Betrüger/-innen gesandt werden. Auf eine gefälschte Phishing-Webseite wird hierbei verzichtet.

Phishing-Attacken können auch per SMS oder über einen Messenger-Dienst erfolgen. Besonders häufig sind in diesem Zusammenhang betrügerische SMS zu beobachten, die von angeblichen Paketdiensten stammen und bei denen Empfänger/-innen auf einen Link tippen sollen. Dadurch installiert sich dann in der Folge unfreiwillig schädliche Software auf dem Handy des Benutzers, durch die massenhaft SMS verschickt werden. Diese Betrugsform ist auch als "Smishing" (Zusammensetzung aus den Worten „SMS“ und „Phishing“) bekannt. Durch die Installation der Schad-Software will der/die betrügerische Absender/-in Daten auf dem Gerät auslesen. SMS mit ähnlichen Inhalten (zum Beispiel Zoll-Benachrichtigungen über angeblich offene Forderungen) haben allesamt zum Ziel, den/die Empfänger/-in auf den mitgesendeten Link zu locken. Großer Schaden kann den Verbraucherinnen und Verbrauchern entstehen, wenn ihr Mobilfunktarif keine SMS- Flatrate umfasst, also für die unbeabsichtigte Versendung der SMS Kosten in Rechnung gestellt werden. In diesem Fall kann es für Kund/-innen teuer werden. Sie sollten sich auf jeden Fall schnellstmöglich mit dem Mobilfunkanbieter in Verbindung setzen und den Betrug aufklären.

Wie erkennt man eine Phishing-Mail?

Im Folgenden finden sich typische Merkmale von Phishing-Mails. Wer eine oder mehrere dieser Merkmale entdeckt, sollte davon ausgehen, dass es sich um einen Phishing- Versuch handelt:

• Es wird künstlich Druck erzeugt, indem eine besondere Dringlichkeit vorgegeben wird. Man wird aufgefordert, schnellstmöglich gemäß den Anweisungen zu reagieren. Beispiele hierfür sind etwa Betreffzeilen mit den Worten "Sicherheitsüberprüfung", eine "Verifikation" oder eine "Freischaltung". Druck wird gerne auch durch Drohungen erzeugt. So wird beispielsweise angedroht, dass bei Nichtbeachtung der Anweisungen der Zugang gesperrt wird oder andere unangenehme Folgen drohen.

• Wird eine Passwort-Eingabe in der E-Mail selbst verlangt, so handelt es sich mit an Sicherheit grenzender Wahrscheinlichkeit um eine betrügerische Nachricht. Kein seriöser Anbieter verlangt, dass sensible Daten in einer E-Mail angegeben werden, weil diese ohne große Schwierigkeiten von Dritten gelesen werden können. E-Mails, in denen nach persönlichen Daten wie Passwörter oder TANs gefragt wird, sind in der Regel gefälscht und sollten sofort gelöscht werden, selbst wenn sie keine der übrigen Merkmale von Phishing aufweisen.

• In der Praxis stellt man immer wieder fest, dass Phishing-Mails oft viele sprachliche Fehler enthalten. Rechtschreib- und Grammatikfehler im Text, falsche oder fehlende Umlaute (ae anstatt ä) oder ungebräuchliche Worte (beispielsweise eintasten statt eingeben) finden sich sehr oft in den gefährlichen Mitteilungen. Zum Teil stammen sie von unzureichender Übersetzungssoftware.

• Phishing-Mails kann man oftmals auch an den kryptischen Absender-Adressen erkennen, die meist nicht der Adresse des vermeintlichen Absenders entspricht. Zudem beginnen die Nachrichten meist mit einer unpersönlichen Ansprache („Sehr geehrter Kunde“ o.ä.).

Wie kann man sich schützen?

• Banken, Versicherungen und auch andere Dienstanbieter fordern von ihren Kunden nie die Zusendung von Kreditkartennummern, PIN, TAN oder anderen Zugangsdaten per E-Mail, per SMS oder am Telefon.
  Darum gilt: Geben Sie niemals sicherheitsrelevante Daten per E-Mail, SMS oder am Telefon weiter.

• Außerdem sollte man niemals Links aus einer unaufgefordert zugesandten E-Mail oder aus einer SMS unbekannter Herkunft aufrufen. Lassen Sie sich die E-Mail in reiner Textformatierung anzeigen, indem Sie HTML deaktivieren. URLs und E-Mail-Absenderadressen können gefälscht werden und sind generell nicht vertrauenswürdig.

• Beim Onlinebanking sollte man die bekannte URL der gewünschten Zielwebseite immer von Hand in die Adresszeile des Browsers eingeben oder im Browser gespeicherte Lesezeichen verwenden, die man selbst zuvor sorgfältig angelegt hat. Bevor sicherheitsrelevante Daten angegeben werden, sollte man sich vergewissern, dass es sich um die Original-Webseite handelt.

• Generell gilt: Wenn man unaufgefordert in persönlichen und sensiblen Bereichen angesprochen wird, sollte man von vornherein misstrauisch sein. Es ist immer besser, zunächst beim Dienstanbieter persönlich nachzufragen, wenn man unsicher ist. Dazu sollte man sich möglichst mit seinem/seiner bekannten Ansprechpartner/-in unter den bekannten Kontaktdaten in Verbindung setzen.

Wer versehentlich sensible Daten eingegeben hat,

• sollte unverzüglich den richtigen Diensteanbieter informieren und Strafanzeige erstatten.

• sollte die gefälschte E-Mail speichern. Diese könnte als Beweismittel in einem Strafverfahren dienen.

• sollte, sofern noch möglich, seine Passwörter unverzüglich ändern, damit die gestohlenen Originalpasswörter unbrauchbar werden.

• sollte das Smartphone im Falle einer betrügerischen SMS in den Flugmodus schalten, die schädliche App deinstallieren oder sogar das Geräts in den Auslieferungszustand zurücksetzen und den Mobilfunkanbieter informieren.