Das Wort Phishing ist in aller Munde. Doch was ist Phishing eigentlich genau? Und warum ist es so gefährlich? In diesem Blogbeitrag erfährst Du, was Phishing ist, welche Arten von Phishing es gibt und worauf Du achten solltest, um dich vor einem Angriff zu schützen.
Was ist Phishing?
Phishing ist eine der größten Gefahren für Internetnutzende. Das BSI schätzt den jährlichen Schaden in Deutschland durch diese Form der Cyberkriminalität auf einen zweistelligen Millionenbetrag. Das Wort „Phishing“ stammt aus dem Englischen und bildet eine Kombination aus den Worten „Password“ und „fishing“. Es handelt sich also um das metaphorische Fischen nach Passwörtern. Ziel der Betrüger ist es, Passwörter, Kreditkartendaten oder PINs zu ergaunern. In Folge kann es zu finanziellen Schäden oder Identitätsdiebstahl kommen.
Klassischer Ablauf
Die Betrüger hinter der Phishing-Attacke geben sich meist als Bank, Versandhandel, Bezahldienst, oder anderes Unternehmen aus. Der/Die Betroffene wird hierbei per Mail aufgefordert, einen Link zu öffnen und auf der verlinkten Webseite Daten, wie zum Beispiel Login-Daten oder Bankdaten, einzugeben. Auf den ersten Blick wirken diese Links seriös. Allerdings verbirgt sich dahinter ein gefälschter Link. Diese Form der Linkfälschung bezeichnet man auch als „Link-Spoofing“. Die gefälschten Links führen anschließend zu einer gefälschten Webseite, die der Originalseite des Unternehmens sehr ähnlichsehen (Visual Spoofing). Folglich umfasst der klassische Ablauf meist zwei Phishing-Arten: Das E-Mail-Phishing, sowie das Webseiten-Phishing.
E-Mail-Phishing
Früher konnte man Phishing-E-Mails ganz einfach an einem sehr schlechten Deutsch oder einer unpersönlichen Anrede wie „Sehr geehrte Damen und Herren“ erkennen. Mittlerweile sind die Betrüger jedoch weitaus geschickter. Wenn eines der folgenden Merkmale in einer E-Mail auftritt, ist in jedem Fall Vorsicht geboten:
- Die E-Mail betont dringenden Handlungsbedarf, zum Beispiel: „Wenn Sie Ihre Daten nicht umgehend aktualisieren, dann gehen sie unwiederbringlich verloren …“.
- Es werden Drohungen ausgesprochen, wie zum Beispiel „Wenn Sie den Anweisungen nicht folgen, müssen wir Ihr Konto leider sperren …“.
- Du wirst dazu aufgefordert, vertrauliche Daten einzugeben, wie zum Beispiel die PIN zu Deinem Online-Bankzugang oder Deine Kreditkartennummer.
- Du erhältst eine E-Mail von einem Unternehmen / einer Bank, bei dem / der Du gar kein/e Kunde/Kundin bist.
- Die E-Mail enthält Links oder Formulare.
- Die Mail scheint von einer bekannten Person oder Organisation zu stammen, jedoch erscheint Dir das Anliegen sehr ungewöhnlich.
- Der Text enthält kyrillische Buchstaben oder fehlende Umlaute wie „u“ statt „ü“ oder „ue“
Bei E-Mails im HTML-Format kann sich hinter dem anzeigten Absender eine andere E-Mail-Adresse verbergen. Um herauszufinden, ob sich hinter dem Absender die richtige E-Mail-Adresse verbirgt, hast Du zwei Optionen. Bei E-Mail-Anwendung im Browser kannst Du einen Blick auf den sog. Quelltext der HTML-werfen. Bei E-Mail-Programmen kannst Du mit dem Cursor über Adresse fahren und schauen, ob eine andere Adresse angezeigt wird.
Webseiten-Phishing
Vielleicht hast du schon einmal den Tipp gehört, dass Webseiten, die mit „https://www.“ beginnen, stets sicher sind. Dies ist allerdings ein Trugschluss. „https://“ bedeutet nicht, dass die Webseite definitiv sicher ist, sondern heißt nur, dass der Seitenbetreiber ein sog. SSL-Zertifikat erworben hat. Du solltest dem URL-Beginn „https://“ niemals blind vertrauen.
Bei Webseiten mit Namen der Institution / des Unternehmens aber ungewöhnlichen Kombinationen aus Zahlen und Buchstaben solltest du immer stutzig werden, z.B. www.Unternehmen123x.de. Diese Form des URL-Fälschens nennt man URL-Spoofing. Es gibt jedoch weitere Möglichkeiten des URL-Spoofings. Beispielsweise sieht das kyrillische „?“ dem uns bekannten, lateinischen „a“ sehr ähnlich. Wird das „a“ in einer URL, beispielsweise in www.Beispielbank.de, als kyrillisches „a“ dargestellt, sieht der Link zwar richtig aus, ist technisch aber abweichend zur Original-URL und verlinkt somit auf eine andere Webseite, ohne, dass wir es bemerken. Eine weitere Möglichkeit ist das Fälschen der Adresszeile des Browsers in einem JavaScript.
Zudem ist das Abfragen von TANs ohne das Auslösen einer Transaktion immer verdächtig. Außerdem: Wenn die Bankwebseite Dich zur erneuten Eingabe Deiner Daten mit Namen, Adresse, IBAN bittet, kannst Du davon ausgehen, dass die Seite gefälscht ist.
Ein weiterer neuerer Trend des Datendiebstahls ist das sogenannte „Smishing“.
Smishing
Bei dieser Phishing-Methode wird eine SMS verwendet. Hierbei erhältst Du per SMS eine ungewöhnliche Paketankündigung mit einem Link. Klickst du auf den Link, startet ein App-Download. Der Download der App soll angeblich dazu dienen, das Paket zu verfolgen. Allerdings installierst Du dir damit einen Trojaner aufs Smartphone, der den Betrügern verschiedenste Zugangsdaten von deinem Smartphone schickt – z.B. deine Bankdaten! Da bei iOS keine Apps aus fremden Quellen installiert werden können, bist Du als iPhone-User sicher vor dieser Phishing-Methode. Android-User sollten allerdings stets vorsichtig bei dubiosen SMS sein.