Phishing zielt auf persönliche Daten ab, die online "abgefischt" werden können. Von privaten Gesprächen bis hin zu Finanzdaten und sogar Zugang zu Bankkonten, von persönlichen Fotos bis hin zu Suchverläufen oder Details des Online-Verhaltens - all dies ist wertvoll für die Benutzer, aber auch für Hacker, die versuchen, die Benutzer in die Irre zu führen, um an diese Daten zu gelangen.
Was ist Phishing?
Phishing ist eine Form des Online-Betrugs, bei der Benutzer durch Social-Engineering-Angriffe dazu gebracht werden, ihre sensiblen Daten wie Kreditkartennummern und Anmeldedaten preiszugeben, indem sie sich als eine vertrauenswürdige Einrichtung ausgeben. Phishing wird in der Regel per E-Mail, SMS oder Instant-Messaging-Anwendungen über einen gefährlichen Link durchgeführt. Phishing-Links können aber auch in Nachrichten in sozialen Netzwerken, Schwarzen Brettern usw. eingeschleust werden.
Phishing-Betrügereien sind der effizienteste Angriffsvektor für den Diebstahl vertraulicher Informationen. Obwohl Angreifer viele Möglichkeiten haben, bevorzugen sie Phishing, weil es eines besser kann als jede andere Methode: Es verleitet die Opfer dazu, an ihrem eigenen Angriff teilzunehmen.
Wie läuft ein Phishing-Angriff ab?
Ein klassischer Phishing-Angriff beginnt mit einer E-Mail oder SMS, die angeblich von Ihrer Bank, Ihrem E-Mail-Anbieter oder einem anderen seriösen Unternehmen stammt, bei dem Sie sich angemeldet haben. In diesen Nachrichten werden Sie in der Regel aufgefordert, einem Link zu folgen, um einige persönliche Daten zu bestätigen. Wenn Sie dem nicht nachkommen, wird Ihr Konto gesperrt oder gekündigt. Um Glaubwürdigkeit zu erlangen, enthält eine Phishing-Nachricht in der Regel Logos und visuelle Identitäten, die von der angeblichen Einrichtung abgekupfert wurden. Der Link führt jedoch nicht auf die Webseite der Bank, sondern auf die Website des Betrügers. Alle Angaben, die Sie dort machen, werden an den Angreifer gesendet und für den illegalen Zugriff auf das Konto verwendet. Sobald das Konto kompromittiert ist, kann der Angreifer es auf verschiedene Arten missbrauchen, je nachdem, um welche Art von Konto es sich handelt. Im Falle einer E-Banking-Website könnte ein Hacker Zahlungen vornehmen oder Geld vom Konto des Benutzers überweisen. Ein E-Mail-Konto kann verwendet werden, um Zugang zu privaten Gesprächen zu erhalten oder Spam an andere Benutzer zu senden usw.
Stellen Sie sich vor, Sie warten in der Warteschlange auf einen Kaffee und Ihr Telefon fängt an zu klingeln. Plötzlich erhalten Sie zwei SMS-Nachrichten, eine E-Mail und einen verpassten Anruf - alles von Ihrer Bank, die Ihnen mitteilt, dass sie betrügerische Aktivitäten auf Ihrem Konto vermutet. Sie haben Ihre Konten aus Sicherheitsgründen gesperrt und bitten Sie dringend, sich mit ihnen in Verbindung zu setzen, um die Konten freizuschalten. Sie wollen dem nachgehen, aber irgendetwas kommt Ihnen nicht richtig vor.
Eine Analyse von Cofense Intelligence hat ergeben, dass 70 % der Phishing-Vorfälle mit Informationsdiebstahl und Keyloggern zu tun haben, d. h. mit Malware-Programmen, die heimlich Informationen von Ihrem Computer sammeln und es den Betrügern ermöglichen, Ihre Anmeldedaten abzugreifen.
Übliche Phishing-E-Mail-Betrügereien beinhalten eine Nachricht, die besagt, dass verdächtige Kontoaktivitäten stattgefunden haben und Sie persönliche Daten angeben müssen, um Ihr Konto zu entsperren. Sobald Sie diese Informationen zur Verfügung stellen, kann der Angreifer damit Ihre Bankkonten leerräumen oder mit Ihrer Kreditkarte betrügerische Einkäufe tätigen. Ein "Smishing"-Betrug (SMS + Phishing) folgt der gleichen Logik, nur dass der Betrüger den Kontakt über eine Textnachricht herstellt.
Indikatoren und Beispiele für Phishing-E-Mails
Wenn Sie mehr und mehr Phishing-Nachrichten erhalten, werden Sie lernen, sie mit einem kurzen Blick zu erkennen. In der Regel sind diese Nachrichten mit Rechtschreibfehlern behaftet. Das liegt meist daran, dass der Angreifer kein Muttersprachler ist. Die Nachricht ist außerdem unpersönlich und allgemein gehalten. Sie beginnt oft mit "Lieber Benutzer" und enthält weder Ihren Benutzernamen noch Ihren vollständigen Namen. Im Gegensatz zu legitimen Nachrichten des Dienstanbieters wird in Phishing-Nachrichten weder Ihr vollständiger Name noch Ihr Benutzername genannt. Sie zielen darauf ab, alle Empfänger zu täuschen, nicht nur Sie, und die Angreifer wissen nicht, wer Sie sind. Die Angreifer wissen nicht, wer Sie sind, sie hoffen nur, dass Sie ein Konto bei dem betreffenden Dienst haben. Der Link, dem Sie folgen sollen, unterscheidet sich auch von der URL, die Sie in Ihrem Browser eingeben, wenn Sie auf den jeweiligen Dienst zugreifen. Oft beginnt die URL mit einer IP-Adresse.
Einige der lukrativsten Phishing-E-Mails geben vor, von Apple Inc. in Cupertino, Kalifornien, zu stammen. Die Betreiber dieser Kampagnen haben ihre Fähigkeiten verfeinert, um Nachrichten zu erstellen, die von den Grafiken von Apple kaum zu unterscheiden sind. So gewappnet verleiten sie Tausende von Nutzern dazu, ihre Passwörter und Kreditkartendaten preiszugeben, in dem Glauben, sie würden mit dem tatsächlichen Support von Apple kommunizieren. In Wirklichkeit geben sie ihre Daten an Angreifer weiter. Wie der Screenshot unten zeigt, flößt die Nachricht Angst ein, indem sie besagt, dass Ihr Konto kompromittiert wurde, dass Apple es "aus Sicherheitsgründen" gesperrt hat und dass Sie nun alle Ihre Daten erneut eingeben müssen, um zu bestätigen, dass Sie Sie sind und nicht der Hacker.
Eine typische Phishing-E-Mail
Die Nachricht ist gut genug gestaltet, um das ungeübte Auge zu täuschen, aber ein paar verräterische Anzeichen zeigen, dass wir hier betrogen werden.
Hinweis Nr. 1: "[email protected] wurde vorübergehend deaktiviert"
Fragen Sie sich Folgendes: Wie kann mein Konto deaktiviert sein, wenn ich diese Nachricht über mein aktuelles iCloud-E-Mail-Konto erhalte, auf das ich mit meiner aktuellen Apple ID und meinem Passwort immer noch problemlos zugreifen kann? Irgendetwas stimmt hier nicht.
Hinweis Nr. 2: E-Mail-Absender
Betrüger versuchen in der Regel, die E-Mail-Adresse des Unternehmens, für das sie sich ausgeben, zu imitieren. In diesem Fall haben sie den ikonischen "i"-Begriff verwendet, der typischerweise in der Apple-Nomenklatur zu finden ist. Damit soll sowohl die Glaubwürdigkeit erhöht als auch die Anti-Phishing-Mechanismen umgangen werden. Ein Klick auf den Adressennamen offenbart auch die tatsächliche Adresse, von der die E-Mail stammt. Die Adresse "[email protected]" klingt kaum nach dem echten Apple in Cupertino.
Bei allen anderen Diensten oder Unternehmen, für die sich die Angreifer ausgeben könnten, sollten Sie frühere legitime E-Mails überprüfen, um zu sehen, wie die echte Adresse aussieht.
Hinweis Nr. 3: "Ihre Apple ID wurde aus Sicherheitsgründen gesperrt"
Typische Scareware-Betreffzeile. Phishing-Betrüger versuchen, Ihnen Angst einzujagen, indem sie behaupten, dass etwas schief gelaufen ist und Sie SOFORT handeln müssen. Das ist ein klassischer Hinweis darauf, dass Sie es mit einem Betrug zu tun haben. Und sollte "Grund" (im Englischen, das Wort "reason") hier nicht im Plural stehen? Schlechtes Englisch ist immer ein Zeichen, dass Sie vorsichtig sein sollten.
Hinweis Nr. 4: "HIER gehen" führt Sie nicht wirklich zur Apple-Website
Wenn Sie den Mauszeiger über einen Hyperlink bewegen, wird die tatsächliche URL angezeigt, ohne dass Sie darauf klicken müssen. In diesem Beispiel ist iCloud Mail in Chrome geöffnet, wo die URL in der linken unteren Ecke des Browserfensters angezeigt wird. In Microsoft Outlook wird die URL in einer quadratischen Blase direkt über dem Mauszeiger angezeigt.
Das erste, was hier auffällt, ist, dass die URL gekürzt wurde. Kein seriöses Unternehmen, insbesondere Apple, würde das jemals tun. Aber nehmen wir an, Sie bemerken das nicht und klicken auf den Link. In der Regel werden Sie auf eine Seite weitergeleitet, die so aussieht, als sei sie die Website von Apple. Wahrscheinlich befindet sich auf der Seite ein Formular, in dem Sie aufgefordert werden, Ihre persönlichen Daten und manchmal sogar finanzielle Daten einzugeben. Tun Sie das nicht! Apple wird Sie niemals dazu auffordern, auch nicht, wenn Ihr Konto gehackt wird.
Beispiel für ein gefälschtes Formular - Phishing-Betrug
Hinweis Nr. 5: "Ihr Konto wird dauerhaft deaktiviert, wenn Sie Ihr Konto nicht innerhalb von 24 Stunden verifizieren"
Eine weitere Dosis Panikmache, nur für den Fall, dass die ersten Versuche fehlgeschlagen sind. Kein Unternehmen wird Ihr Konto jemals dauerhaft deaktivieren, nur weil es gehackt wurde. Ganz im Gegenteil. Sie werden versuchen, das Problem mit dem Konto zu beheben und Ihnen helfen, es weiter zu nutzen.
Auch hier fehlt ein Verb im englischen Originalsatz.
Hinweis Nr. 6: E-Mail-Signatur
Große Unternehmen wie Apple, Facebook und Google signieren E-Mails in der Regel nur mit dem Firmennamen. Manche enthalten auch Begriffe wie "Support" oder "Team" usw. Das ist von Unternehmen zu Unternehmen unterschiedlich. Aber "Apple Information"?
Das klingt nicht gerade nach dem Namen einer Abteilung, oder? Tatsächlich klingt es fast so, als ob den Betrügern die Ideen ausgingen.
Wenn Sie Zweifel haben, suchen Sie nach der letzten legitimen E-Mail desselben Unternehmens und vergleichen Sie die Signaturen. Wenn sie nicht übereinstimmen, wissen Sie, dass es sich um einen Phishing-Versuch handelt.
Hinweis Nr. 7: keine URL, wo eine sein sollte
Die Wörter "Apple ID" und "Datenschutzrichtlinie" scheinen Hyperlinks zu sein. Tatsächlich handelt es sich aber um falsche Hyperlinks, die nirgendwo hinführen. Ein weiteres Zeichen dafür, dass etwas nicht stimmt. Eine "Datenschutzrichtlinie" sollte für den Kunden zugänglich sein, um die Rechte und Pflichten aller beteiligten Parteien zu überprüfen.
Hier haben wir es mit einer unvollständigen Kopie der Apple-Vorlage zu tun:
Dies ist ein klassisches Beispiel dafür, wie Betrüger mit Phishing-Kampagnen vorgehen.
Wie kann ich Phishing-E-Mails und -SMS stoppen?
Der Schutz vor Phishing umfasst einen mehrschichtigen Mechanismus.
- Die erste Verteidigungslinie ist der Spam-Filter: eine Funktion, die in der Regel in Ihre Sicherheitslösung integriert ist und die Junk-E-Mails aus legitimen Nachrichten herausfiltert. Ein guter Antispam-Filter blockiert den Phishing-Versuch bereits im Anfangsstadium, so dass Sie den Köder, der Ihnen ausgelegt wird, gar nicht sehen.
- Die zweite Verteidigungslinie ist ein guter Filter für Android-Phishing-Betrügereien. Der Betrugswarnung-Filter von Bitdefender überwacht eingehende SMS-Nachrichten in Echtzeit und warnt Sie, wenn ein gefährlicher Link in einer Textnachricht auf Ihrem Smartphone eingeht.
- Die dritte Verteidigungsebene ist das Anti-Phishing- oder Anti-Betrugs-Modul - eine weitere Komponente des Virenschutzes, die die Webseite, auf der Sie landen, analysiert und feststellt, ob sie zum Diebstahl Ihrer Daten gedacht ist. Selbst wenn Sie auf den Betrug hereingefallen sind und die Phishing-Nachricht geöffnet haben, sollte das Anti-Phishing-Modul verhindern, dass Sie das Formular mit Ihren sensiblen Daten (u. a. Kreditkartennummer, Ablaufdatum, CVV- oder PIN-Nummer) ausfüllen.
- Nicht zuletzt stellt die Einrichtung der Zwei-Faktor-Authentifizierung für die Konten, die sie unterstützen, sicher, dass, selbst wenn jemand Ihre Anmeldedaten in die Hände bekommt, er sich nicht ohne ein zweites Passwort anmelden kann, das vom Dienst auf Ihr mobiles Gerät oder Ihren Token gesendet wird.
Was tun, wenn Sie einen Phishing-Versuch erhalten?
Angesichts der explosionsartigen Zunahme von Social-Engineering-Angriffen wie Phishing-, Vishing- oder Smishing-Betrug ist es ratsam, dringenden und unerwarteten E-Mails, Anrufen und Textnachrichten, die Sie erhalten, skeptisch gegenüberzustehen. Nutzen Sie Ihr Urteilsvermögen. Wenn Sie eine E-Mail, eine Textnachricht oder einen Anruf erhalten, in dem Ihnen mitgeteilt wird, dass verdächtige Aktivitäten auf einem Konto stattgefunden haben, sollten Sie vorsichtig sein. Als Faustregel gilt: Geben Sie niemals Ihre persönlichen Daten, Passwörter oder Kreditkarteninformationen per E-Mail an, bevor Sie nicht gründlich überprüft haben, ob der Absender wirklich der ist, für den er sich ausgibt.
Das Wichtigste, was Sie sich merken sollten, ist Folgendes: Seriöse Unternehmen werden Sie niemals per E-Mail oder SMS auffordern, Ihre persönlichen Daten anzugeben. Sie werden Sie auch nicht anrufen und danach fragen. Finanzinstitute teilen Ihnen vielleicht mit, dass sie Ihre Konten aufgrund verdächtiger Aktivitäten einfrieren mussten, aber dann weisen sie Sie an, sie wieder freizugeben. In der Regel werden Sie nicht nach Ihren Zugangsdaten gefragt, sondern aufgefordert, sich über eine sichere Internetverbindung bei Ihrem Online-Konto anzumelden, um die Transaktionen zu überprüfen. Wenn Sie eine solche Nachricht erhalten, markieren Sie sie als Spam und löschen Sie sie. Das heißt nicht, dass Sie jede Warnmeldung als Betrug ansehen sollten. Stellen Sie nur sicher, dass Sie gründlich recherchieren, bevor Sie etwas unternehmen, was Sie später bereuen könnten.
So verhindern Sie Phishing-Betrug:
- Klicken Sie niemals auf den in der E-Mail angegebenen Link, und rufen Sie keine der angegebenen Telefonnummern an. Besuchen Sie stattdessen die offizielle Website der Organisation und wenden Sie sich an die dort angegebene Kundendienstnummer. Alternativ können Sie auch die Nummer anrufen, die auf der Rückseite Ihrer Bank- oder Kreditkarte angegeben ist.
- Richten Sie Ihr E-Mail-Postfach so ein, dass Spam- und Phishing-Mails herausgefiltert werden. Aktivieren Sie Bitdefender Antispam auf Windows-Computern, die Microsoft Outlook und Mozilla Thunderbird verwenden. Wenn Sie eine Phishing-E-Mail erhalten, die vorgibt, aus Cupertino zu stammen, empfiehlt Apple, die Nachricht mit den vollständigen Kopfzeileninformationen an [email protected] weiterzuleiten, damit das Unternehmen die Angelegenheit untersuchen kann.
- Fahren Sie mit der Maus über jeden Link, um sicherzustellen, dass er dorthin führt, wo Sie ihn erwarten, bevor Sie klicken.
- Denken Sie daran, dass Betrugsversuche durch Betrüger die häufigste Form des Online-Betrugs sind. Neben Phishing und Smishing gibt es diese Angriffe auch in Form von Vishing (oder Voice-Phishing), bei dem sich jemand für die Polizei, Ihre Bank oder andere Behörden ausgibt.
Was ist zu tun, wenn Sie bereits auf eine Phishing-Nachricht geantwortet haben?
Wenn Sie Opfer eines Betrugs geworden sind und Ihr Kennwort, Ihre Bankverbindung, persönliche Daten oder andere sensible persönliche Informationen angegeben haben, hat der Betrüger Ihre Daten bereits.
Je nachdem, welche Informationen preisgegeben wurden, sollten Sie sofort die folgenden Maßnahmen ergreifen:
- Ändern Sie das Passwort des Kontos - E-Mail, soziale Medien usw. - über das Sie Informationen angegeben haben. Wenn Sie dasselbe Passwort auch für andere Konten verwenden, ändern Sie auch diese. Wenn Sie sich nicht alle Ihre Passwörter merken können, sollten Sie einen Passwort-Manager verwenden.
- Wenn Sie einem Betrüger Ihre Bankdaten gegeben haben, wenden Sie sich sofort an Ihre Bank und erklären Sie, dass Sie Opfer eines Betrugs geworden sind.
- Melden Sie das Phishing den zuständigen Behörden, wenn Sie jemanden bezahlt haben, den Sie für einen Betrüger halten, persönliche Daten weitergegeben haben oder wenn der Betrüger Zugang zu Ihren Geräten hat.