Datenklau verhindern – aber wie?

Vorsicht Phishing! So entgeht ihr den fiesen Maschen der Daten-Angler

Foto von Olivia von Westernhagen

von Olivia von Westernhagen -

Wer per E-Mail erfährt, dass die Sicherheit seiner Onlinebanking-Daten gefährdet ist oder dass er einen hohen Geldbetrag gewonnen hat, denkt mitunter nicht lange nach: Er folgt den Anweisungen des Absenders – und läuft dabei Gefahr, Online-Betrügern ins Netz zu gehen. Oft fällt in diesem Zusammenhang das Schlagwort "Phishing". Doch was genau ist das eigentlich, und wie kann man sich schützen?

Bereits seit Mitte der 90er Jahre wird das "Fischen" nach persönlichen Daten im Internet unter dem Begriff "Phishing" zusammengefasst, wobei das "Ph" am Anfang des Kunstworts dem Jargon der Hacker-Szene geschuldet ist. Das Ziel sogenannter "Phisher" ist der Identitätsdiebstahl zum Zweck der persönlichen Bereicherung. Account-Daten – beispielsweise für Online-Banking, Bitcoin Mining, PayPal, E-Mail Postfächer, soziale Netzwerke oder Shopping-Portale – sind dabei ebenso gefragt wie Adress-, Konto- oder Kreditkarten-Daten.

Phishing-Mails sehen immer professioneller aus.

Nutzer helfen unfreiwillig mit

Das Besondere beim Phishing ist, dass der Angriff auf die Daten nicht heimlich, sondern ganz offen geschieht. Hier werden nicht etwa aktuelle Sicherheitslücken oder Backdoor-Funktionen eines eingeschleusten Trojaners genutzt, um Daten zu sammeln und unbemerkt an einen entfernten Server zu senden. Vielmehr ist es der Nutzer selbst, der seine Daten mittels eines Eingabeformulars im Browser direkt an die Datenbanken der Phisher übermittelt.

Schon gewusst?

Im weiteren Sinne wird auch dann von Phishing gesprochen, wenn Malware für das Umleiten auf Phishing-Seiten verantwortlich ist. Das Ergebnis ist dasselbe: Das Opfer landet auf einer gefälschten Seite, die es für seriös hält.

Mit dieser Masche waren die Betrüger erst vor ein paar Jahren derart erfolgreich, dass zahlreiche Banken sich gezwungen sahen, ihre Kunden auf ihren Online-Portalen vor den Kriminellen zu warnen.

So gehen Phishing-Betrüger vor

Im Fokus standen damals umfangreiche Phishing-Kampagnen per E-Mail. Diese zeichneten sich anfangs vor allem durch eine mangelhafte Rechtschreibung und Grammatik aus, sahen jedoch mit zunehmender Erfahrung der Cyberkriminellen immer professioneller aus.

Indem die Phisher mittels HTML-Elementen die jeweiligen Bank-Logos einfügten, die E-Mails mit einem Impressum versahen und mitunter sogar den Betreff und die Anrede der Empfänger personalisierten, sorgten sie für einen immer überzeugenderen Täuschungseffekt.

Phishing lockt arglose Anwender auf vermeintlich seriöse Webseiten.

Inhaltlich zielten sie auf die sich verändernde TAN-Technologie ab. So wurde beispielsweise behauptet, dass im Zuge der Umstellung von klassischem TAN- zum iTAN-Verfahren einzelne TAN-Nummern oder auch ein Foto der gesamten iTAN-Liste an die Bank übermittelt werden müsse.

Zu diesem Zweck enthielten die E-Mails einen Link zu einer gefälschten Version der jeweiligen Onlinebanking-Website, auf der viele ahnungslose Opfer der Phishing-Kampagnen tatsächlich die geforderten Daten eingaben.

Phishing nach wie vor beliebt bei Hackern

Auch heute noch werden auf elektronischem Wege – meist per E-Mail, aber auch per Instant-Messaging oder SMS – zahlreiche Nachrichten unter dem Deckmantel eines vermeintlich seriösen Absenders verschickt. Deren Inhalt soll den Empfänger auf eine präparierte Website locken, wo er im schlimmsten Fall die von den Phishern gewünschten Daten eingibt.

Selbst aktiv werden!

Indem ihr den betroffenen Firmen Phishing-Versuche meldet, schützt ihr unter Umständen andere Nutzer davor, in dieselbe Falle zu tappen .

Ein ganz aktuelles Beispiel ist eine E-Mail-Kampagne von Anfang September 2016. Unter dem Betreff "Ihr Postfach hat die Speichergrenze überschritten" wurden T-Online-Kunden aufgefordert, einen Link anzuklicken, der zu einem Phishing-Nachbau des T-Online Anmeldebereichs führte. Wer die dort befindlichen Formulare tatsächlich ausfüllte, gab nacheinander zunächst seine Account- und im Anschluss auch noch seine Bankdaten preis.

Der beste Schutz: Skeptisch bleiben!

Ob es nun um den Diebstahl von iTANs, die Nutzung fremder Zugangsdaten für Online-Auktionen oder das Sammeln von Adressdaten für künftige Werbekampagnen geht: Erfolgreiches Phishing basiert auf der Gutgläubigkeit des Nachrichtenempfängers. Ähnliche Maschen gab es bereits lange, bevor die digitalen Kommunikationsmittel ins Zentrum der Aufmerksamkeit rückten.

Vertrauliche Informationen niemals leichtfertig preisgeben!

Telefonbetrüger setzen, zum Beispiel beim berühmten "Enkeltrick", ebenso auf psychologische Manipulation wie die Online-Betrüger beim Phishing. Es geht gewissermaßen um den Einbruch in das menschliche Betriebssystem, weshalb oft auch der Begriff "Social Engineering" verwendet wird.

Was kann ich als Anwender tun?

Um einem Einbruch wirksam vorzubeugen, ist es zwingend notwendig, einen einzigen Grundsatz zu verinnerlichen und konsequent anzuwenden: Vertrauliche Informationen dürfen niemals preisgegeben werden, wenn die Identität des Empfängers nicht zu 100 % klar ist. Die folgenden Tipps und Tricks helfen beim Verhindern eines Phishing-Angriffs:

  • Mail-Adresse prüfen: Stimmt die in der E-Mail enthaltene Domain mit der Internetpräsenz der angeblich versendenden Institution überein? Zwar können per sogenanntem Mail-Spoofing oder mittels eines Hackerangriffs Adressen gefälscht oder missbraucht werden. Oft liefert eine schnelle Internetrecherche jedoch schon einen Hinweis auf eventuelle Phishing-Angriffe.

  • Auf Rechtschreibfehler achten: Lasst euch nicht von Logos oder Firmenadressen täuschen, sondern achtet vor allem auf Satzbau und Rechtschreibung. Obwohl Phisher kontinuierlich an den Mail-Inhalten arbeiten, ist die Verwendung von Online-Übersetzungs-Tools und ausländischen Zeichensätzen (oft kyrillisch oder asiatisch) noch immer an der Tagesordnung.

  • Hinterfragt den Zweck der Mail: Lest euch den Inhalt der Nachricht aufmerksam durch und fragt euch, ob die jeweilige Institution eine solch wichtige Warnung oder Ankündigung wirklich per E-Mail verschicken würde. Was hat der Absender vom Abfragen der Daten und würde er sich aus Sicherheitsgründen nicht eher auf dem Postweg melden oder um ein persönliches Gespräch bitten? Kurz: Macht euch Gedanken über die Plausibilität des Anliegens und fragt bei dem geringsten Zweifel lieber telefonisch nach.

  • Achtet auf das "https": Vertrauenswürdige Online-Dienste verwenden zur Übertragung wichtiger Daten eine SSL-Verschlüsselung. Im Browser ist sie an einem der Adresse vorangestellten "https" zu erkennen, das häufig grün umrahmt dargestellt wird. Findet die Übertragung unverschlüsselt statt, solltet ihr auf die Eingabe verzichten und euch mit dem Anbieter in Verbindung setzen.

Sag uns deine Meinung!

Um einen Kommentar zu verfassen, melde Dich an oder registriere Dich jetzt auf Netz.de!

Werbung
Ab ins Netz mit dir