Phishing

“Ihr Konto wurde vorübergehend eingeschränkt”, gefolgt von einem Button mit der Aufschrift “Anmeldung und Verifizierung” - so ähnlich sind die Mails gestaltet, mit denen beim Phishing deine Kennwörter gestohlen werden. Phishing zählt zu den größten Gefahren für Internetnutzende und ist eine der beliebtesten Formen der Cyberkriminalität. 

Aber was ist Phishing eigentlich?

Der Begriff setzt sich aus den beiden Wörtern “password” und “fishing” zusammen. Ziel der Phishing Attacken ist es, in den Besitz privater Daten unbedachter Nutzer zu gelangen. Darunter fallen unter anderem Passwöter, Kreditkartennummer, Kontoinformationen und Zugangsdaten. 

Mit dem Fischen nach Passwörtern werden verschiedenartige Delikte umfasst. Sie reichen von einfachem Diebstahl bis zu illegalen Kontoabbuchungen. 

Unerfahrene Nutzer werden mit legitim aussehenden E-Mails gefälschter Webseiten gelockt. Dabei handelt es sich um täuschend echte Nachbildungen - häufig betroffen sind dabei Banken oder andere Zahlungsinstitute. Mit Links werden Nutzer dann auf die Webseiten geführt und gebeten Daten einzugeben - oft mit dem Vorwand, Daten zu aktualisieren, nachdem ein Konto angeblich gesperrt wurde. Die Spam-Mails erreichen Nutzer aus der ganzen Welt. 

Ist man auf die Täuschung rein gefallen, erschleichen Betrüger geheime Zugangsdaten, um dann unberechtigt Geld von dem Konto abzuheben oder auf ein anderes Konto zu buchen. Aber Achtung: bereits das Indiz, dass weder Logo noch Impressum in der Fußzeile angegeben sind, weist auf die Unseriösität der E-Mails hin. 

Darüber hinaus können auch ungebetene SMS oder Nachrichten aus einer App gefährlich sein. Links, die Passwortdiebstahl ermöglichen, können hier ebenfalls enthalten sein - dabei spricht man von SMS-Phishing. 

Die Abbuchung des Geldes erfolgt dann oft durch Mittelsmänner, sogenannte Strohmänner. Sie werden mit verlockenden Provisionen oder unter falschem Vorwand von den Tätern dazu gebracht, ihre Konten für Transaktionen bereitzustellen. Das mit den Phishing-Attacken erbeutete Geld wird dann auf das Konto der Mittelsmänner gebucht, von dort abgehoben und auf ein Transfer-Bank-Konto eingezahlt, weiter transferiert und schließlich irgendwo im Ausland in Bar abgehoben.

Nahezu unmöglich zu durchschauen: Pharming

Eine beson­dere Form des Phis­hing ist das Phar­ming. Hier wird der Nutzer zusätz­lich durch die Mani­pula­tion zentraler Server unbe­merkt auf eine gefälschte Inter­netseite geleitet. Hier wird versucht, Kenn­wörter, PINs und andere vertrau­liche Daten auszu­spio­nieren. Phar­ming ist kaum zu durch­schauen: Dabei werden die DNS-Server derart mani­puliert, dass der Anwender auch bei der selbst vorge­nommenen Eingabe einer URL im Browser nicht mehr zu der Origi­nalseite geführt wird, sondern zu einer täuschend echten Kopie derselben. 

Neben Pharming gibt es auch noch andere Phishing-Varianten. Beim Spear-Phishing werden die Mails nicht massenhaft, sondern gezielt an einen bestimmten Empfängerkreis gesendet. Das Whaling dagegen richtet seinen Angriff direkt gegen hochrangige Führungskräfte. 

Doch wie kann man dagegen vorgehen?

Wachsamkeit ist der beste Schutz - mit folgenden Punkten kannst du dich selbst vor dem Datenklau schützen:

1. Aktualisierung der Antiviren-Software
2. Selbstständige Eingabe der Internetadresse von Banken, keinen Links folgen
3. Nutzung verschlüsselter Verbindungen (Vorhängeschloss und "s" in „https“)
4. Überprüfung des Sicherheitszertifikats der Webseiten
5. Keine Herausgabe von Passwörtern, PIN- oder TAN- Nummern
6. Regelmäßige Kontrolle der Kontoaktivitäten
7. Kenntnis über Kartensperrung und Deaktivierung des Online Banking-Accounts

Phishing-Radar

Beliebte Ziele der Phishing-Attacken sind und bleiben Banken. Darunter besonders häufig betroffen sind Kunden der Sparkasse, Volksbank und der DKB.