CosmosDirekt - Die Versicherung.
Phishing

Phishing:

So schützen Sie sich vor dem Datenklau per E-Mail

Im Jahr 2013 wurden 38 Prozent der Internetnutzer in Deutschland zu Opfern von Cyberkriminalität (Quelle: BITKOM 2014). Jedes Jahr steigt die Anzahl der Straftaten, die mit Hilfe des Internets begangen werden. Zu den häufigsten Delikten gehört das Phishing – der Versuch, durch einen Betrug an vertrauliche Informationen, Kontodaten oder ähnliches zu gelangen.

Im folgenden Artikel erklärt CosmosDirekt, wie der Datenklau im Internet funktioniert und wie eine Phishing-Mail aussieht. Zudem erhalten Sie Informationen, wie und wem Sie versuchtes Phishing melden können. Sorgen Sie mit den folgenden Tipps für mehr Sicherheit im Internet.

Die Masche ist altbekannt: Ein bekannter Name, der Vertrauen erweckt. Eine wichtige Änderung, auf die man umgehend reagieren muss. Eine schnelle und unbürokratische Lösung, die zudem völlig kostenlos ist. Doch das ist alles nur Show, ein Trick, um an vertrauliche Informationen zu gelangen. Die Identität des Gegenübers ist erfunden, der vermeintliche Bekannte entpuppt sich als skrupelloser Betrüger. Sein Ziel: ahnungslose Menschen um ihr Geld bringen. Im Zeitalter von E-Mails, Sozialen Netzwerken und Smartphone-Messaging-Systemen hat diese uralte Betrugsmasche einen neuen Namen erhalten: Phishing. Die Strategie dabei: Internet-Nutzer geben ganz freiwillig ihre vertraulichen Daten preis.


Was ist Phishing?

Der Begriff Phishing ist ein Kunstwort, das sich aus den Wörtern "Password" und "Fishing" zusammensetzt. Das Bild ist treffend gewählt: Die Betrüger fischen im Internet gezielt nach Passwörtern, um sich Zugang zu Online-Konten aller Art zu verschaffen. Getarnt als seriöse Bank oder Firma werden unter deren Namen massenweise E-Mails verschickt. Entweder weil die Betrüger hoffen, dass die Internet-Nutzer tatsächlich Kunden bei den jeweiligen Unternehmen sind. Oder weil sie dies bereits wissen und die Opfer gezielt ansprechen. Phishing gehört zu den alltäglichen Gefahren im Internet – laut einer Umfrage des Online-Zahldienstes Paypal erhielt knapp jeder zweite Brite zwischen 1 und 9 Phishing-Mails pro Monat, bei jedem Dritten waren es 10 und mehr Phishing-Mails.

Das Ziel der Datendiebe

Die Betrüger wollen die Konten bei Online-Banken, Online-Bezahlsystemen oder Online-Shops plündern. Manchmal ist das Ziel jedoch auch die Identität eines Internet-Nutzers, beispielsweise, indem das E-Mail-Konto übernommen wird. So können Kriminelle in Ihrem Namen Straftaten begehen.

Phishing-Attacken: Häufigste Angriffsziele

Quelle: Kaspersky Lab

Link: https://securelist.com/analysis/kaspersky-security-bulletin/59411/financial-cyber-threats-in-2013-part-1-phishing/

Ziele von Phishing-Attacken

Die meisten Phishing-Mails zielen darauf ab, folgende Informationen abzugreifen:

  • Kontodaten (Kontonummer und PIN)
  • Transaktionsdaten (TANs)
  • Login-Daten für Online-Dienste (E-Mail-Konten, Shops, Auktionshäuser, Online-Games)
  • Identifikationsnummer für Behörden

Datenklau im Internet: Das Vorgehen

Das Bundesamt für Sicherheits- und Informationstechnik (BSI) unterscheidet zwei Ebenen, auf denen Phishing-Angriffe erfolgen:

1. Die Phishing-Mail
2. Die nachgeahmte Webseite

Die Phishing-Mail ist eine vorgetäuschte E-Mail. Mit dieser wird ein Vertrauensverhältnis hergestellt und anschließend ausgenutzt. Eine Möglichkeit ist, dass der Empfänger auf eine betrügerische Webseite gelockt wird. Der angegebene Link führt nur scheinbar zur richtigen Zielseite, der im Quelltext hinterlegte Link hingegen zur tatsächlichen, kriminell motivierten Internetseite.

Tipp

Überprüfen Sie den Link, indem Sie mit der Maus – ohne zu klicken! – darauf zeigen. Unterhalb des Mauszeigers erscheint das tatsächliche Ziel in einer kleinen, meist gelben Box. Stimmt dieses Ziel nicht mit der im Link angegebenen URL überein, handelt es sich um eine Maskierung, die für einen Phishing-Betrug benutzt werden soll.

Die andere Möglichkeit: die E-Mail hat versteckte Malware im Schlepptau. Diese kann dazu dienen, den Nutzer auszuspähen, die Passwort-Eingabe aufzuzeichnen und insgeheim die Daten an Betrüger zu übermitteln. Trojaner können auch gezielt den Browser manipulieren und dem Nutzer vortäuschen, sich auf einer echten Seite zu bewegen, obwohl die Phishing-Seite aufgerufen wurde.

Die zweite Ebene basiert auf einem sogenannten Spoofing. Das bedeutet, dass die offizielle Seite einer Bank, eines Zahlungsdienstes oder ähnlicher Unternehmen täuschend echt nachgebaut wurde. Auf der nachgeahmten Webseite erfolgt der eigentliche Betrug. Hier wird der Internet-Nutzer dazu gebracht, seine Daten preiszugeben. Die Kriminellen im Hintergrund greifen dann Benutzername, PIN beziehungsweise TAN ab. Anschließend verschaffen sie sich Zugang zum Online-Konto und buchen Geld ab.


Platzhalter_RentePlus
Wie sehen Phishing-Mails aus?

Wie sehen Phishing-Mails aus?

Die typische Phishing-Mail gibt es nicht. Das Erscheinungsbild kann ganz verschieden sein. Mal scheinen die E-Mails von Ihrer Bank zu stammen, mal von einer Wohltätigkeitsorganisation oder einem Online-Shop. Auch der Inhalt unterscheidet sich. Es gibt aber typische Eigenschaften, anhand der Sie gefälschte E-Mails erkennen können:

  • Anrede: häufig allgemein gehalten, beispielsweise "Sehr geehrte Damen und Herren" oder "Sehr geehrter Kunde", mittlerweile werden zunehmend die Empfänger der E-Mails persönlich angesprochen: "Sehr geehrte Erika Mustermann"
  • Köder: scheinbar authentischer Grund für die E-Mail, beispielsweise eine notwendige Anpassung des Kundenkontos, eine Sicherheitsüberprüfung wegen verdächtiger Aktivitäten, eine Gesetzesänderung, ein Update der Sicherheitstechnik oder andere Unstimmigkeiten, die es zu klären gilt
  • Notwendigkeit des Handelns: soll den Empfänger der E-Mail animieren, umgehend tätig zu werden, beispielsweise Zugangsdaten fürs Bankkonto erneut einzugeben, den Account bei einem Bezahldienst zu bestätigen beziehungsweise eine Kreditkartennummer verifizieren
  • Zeitdruck: häufig wird eine kurze Zeitspanne angemahnt, um aktiv zu werden. Grund: der Empfänger der Mail soll nicht lange nachdenken können
  • Konsequenzen: demjenigen, der nicht handelt, werden schwerwiegende Konsequenzen angedroht, beispielsweise dass das Konto deaktiviert wird, dass der Online-Shop nicht mehr genutzt werden kann oder der Zugang ganz gesperrt wird
  • Ausweg: die angehängte Datei oder der Link im E-Mail-Text bieten eine schnelle und kostenfreie Lösung des Problems
  • Grußformel: ist ebenfalls in der Regel unpersönlich gehalten, beispielsweise "Ihr Online-Shop-Serviceteam" oder "Ihre Bank"

In der Regel sind die Absenderadressen gefälscht. Dies kann man zwar nur mit einer Header-Auswertung erkennen und indem man die angegebene IP-Adresse überprüft. Oft genügt es aber schon, den Namen des Absenders und die eigentliche E-Mail-Adresse zu vergleichen. Keine Bank wird über eine kostenlos zugängliche Email-Adresse Kontakt aufnehmen, beispielsweise "meinebank@gmx.de".

Früher wurden Phishing-Mails mit einfachen Programmen aus einer Fremdsprache übersetzt. Daher waren sie oft in schlechtem Deutsch: eigenartige Grammatik, Rechtschreibfehler, merkwürdige Formulierungen. Zudem kam es vor, dass die E-Mail keine Umlaute enthielt, beispielsweise "o" statt "ö".

Achtung: Kriminelle gehen mittlerweile sehr professionell vor. Aktuelle Phishing-Mails werden selten Rechtschreib- oder Grammatikfehler aufweisen.

  • Phishing-E-Mails versuchen, sensible Daten von Amazon-, eBay-, Paypal- oder iTunes-Kunden oder Kreditkarten-Firmen abzufischen.
  • Im Visier der Kriminellen sind auch Bankkunden. In den letzten Jahren waren z.B. Konten bei der INGDiBa, Targobank oder Postbank betroffen.
  • Manche Betrüger tarnen sich als staatliche Behörden. So versprach eine gefälschte E-Mail im Namen des Bundeszentralamtes für Steuern (BZSt) eine Steuerrückerstattung. Dabei wird dies vom örtlichen Finanzamt veranlasst.
  • Ganz dreist war eine E-Mail, die angeblich vom Bundesamt für Sicherheit in der Informationstechnik (BSI) stammte. Der Empfänger sollte ein Formular ausfüllen, um "anwaltliche Schritte" wegen "verdächtiger Aktivitäten" unter der eigenen IP-Adresse zu vermeiden.

Beliebte Formulierungen in Phishing-Mails sind:

  • Wir haben eine nicht autorisierte Transaktion in Ihrem Account festgestellt. Um sicherzustellen, dass Ihr Konto nicht gefährdet wurde, klicken Sie bitte auf den unten angegeben Link und bestätigen Sie Ihre Identität.
  • Während unserer routinemäßigen Überprüfung Ihres Accounts konnten wir Ihre Informationen nicht bestätigen. Bitte klicken Sie hier, um Ihre Daten zu aktualisieren und zu verifizieren.
  • Unsere Aufzeichnungen zeigen, dass Ihrem Konto versehentlich ein Betrag von 50 € abgezogen wurde. Bitte klicken Sie hier, damit wir die Gutschrift veranlassen können.

Hinweis

Die Verbraucherzentrale Nordrhein-Westfalen veröffentlicht das Phishing-Radar. Hierbei handelt es sich um einen täglichen Report, in dem Sie sich über aktuelle Betrugsversuche informieren können.


Wie sehen Phishing-Webseiten aus?

Ähnlich wie eine Phishing-Mail ist auch eine Phishing-Webseite durch eine Reihe von Merkmalen identifizierbar:

  • Adresszeile: Oft fehlt das "https", mit dem die verschlüsselte Datenübertragung signalisiert wird.
  • Sicherheitszertifikat: fehlt, der Browser zeigt in der Status-Leiste kein Schloss-Symbol.
  • Internet-Adresse:
    - ähnelt der echten, weist aber unübliche Zusätze auf – beispielsweise Zahlen (Beispiel: www.123-paypal.com).
    - ist nur eine Subdomain bei einem Domain-Anbieter – gelegentlich mit ausländischer Länderkennung (Beispiel: paypal.gratis-domain.cz).
    - von der echten nicht zu unterscheiden, wenn die Adresse mittels JavaScript manipuliert wurde.
  • Login: fragt sensible Daten ab, die man ansonsten nicht eingeben muss – beispielsweise TAN-Codes für Online-Überweisungen.

Achtung: Banken oder Online-Shops werden Sie nie auffordern, aus einer E-Mail heraus eine Webseite zu öffnen, um dort persönliche Infos oder vertrauliche Kontodaten einzugeben beziehungsweise zu bestätigen. Bekommen Sie eine solche E-Mail, löschen sie diese einfach.


Platzhalter_RentePlus
Phishing: Wie kann ich mich schützen?

Wie kann ich mich vor Phishing schützen?

Um sich vor dem Datenklau im dem Internet zu schützen, lauten die wichtigsten Regeln:

  • Achten Sie auf Warnsignale
  • Ergreifen Sie Vorsichtsmaßnahmen

Das sollten Sie beachten, wenn Sie eine Phishing-Mail erhalten:

  • Geben Sie niemals persönliche Infos an, wenn Sie per E-Mail danach gefragt werden – zum Beispiel Name, Geburtsdatum, Adresse, Kontodaten, Login-Daten, Kundennummern.
  • Klicken Sie niemals auf einen Link in einer E-Mail, wenn Sie den Absender nicht zu 100 % kennen.
  • Lassen Sie sich nicht unter Druck setzen, um Informationen weiterzugeben.
  • Löschen Sie sofort die Phishing-Mail.

Das können Sie für mehr Internet-Sicherheit tun:

  • Seien Sie misstrauisch.
  • Achten Sie auf Warnsignale wie Drohungen oder die Aufforderung, vertrauliche Daten eingeben zu müssen.
  • Prüfen Sie immer genau die Absender-Adresse der E-Mail.
  • Vergleichen Sie angegebenen und tatsächlichen Link, indem Sie mit dem Mauszeiger darüber fahren (nicht anklicken).
  • Kontrollieren Sie regelmäßig Ihre Konten, um sicherzustellen, dass alle Abbuchungen und Transaktionen korrekt sind.

Wenn Sie nicht wissen, ob die E-Mail von Ihrer Bank stammt oder ob es sich um einen Phishing-Versuch handelt, kontaktieren Sie Ihren Sachbearbeiter bei der Bank telefonisch. Nutzen Sie dafür eine Telefonnummer, die Sie entweder Ihren persönlichen Unterlagen oder dem Telefonbuch entnehmen. Lassen Sie sich von der Kontaktperson alles Weitere bestätigen, bevor Sie etwas tun.

Generelle Tipps für mehr Sicherheit im Internet

Viele Gefahren kann man im Internet von vornherein erfolgreich abwehren, wenn man sich an einige Grundregeln für sicheres Surfen hält.

Tun (Do's)
Nicht tun (Dont's)
Wählen Sie für alle Online-Dienste sichere Passwörter.Verwenden Sie nicht dasselbe Passwort für mehrere Online-Dienste.
Seien Sie immer misstrauisch – vor allem, wenn jemand vertrauliche oder sensible Daten wissen möchte.Geben Sie keine vertraulichen Informationen auf unbekannten bzw. nicht vertrauenswürdigen Webseiten ein.
Geben Sie die Internet-Adresse eines Online-Dienstes manuell in die Browserzeile ein.Klicken Sie nicht auf Links auf unbekannten Webseiten, auch wenn diese vorgeben, zu einem bekannten Online-Dienst zu führen.
Löschen Sie verdächtige E-Mails, ohne sie zu öffnen.Öffnen Sie nie Datei-Anhänge in E-Mails von Unbekannten.
Überprüfen Sie Ihr Bankkonto regelmäßig.Benutzen Sie keine öffentlich zugänglichen oder fremden Computer (insbesondere Internet-Cafe), um Online-Banking vorzunehmen.
Setzen Sie ein Limit für Online-Überweisungen fest (insbesondere Auslands­überweisungen).Reagieren Sie nicht auf Instant-Messenger-Nachrichten (PC und Smartphone), SMS oder MMS von unbekannten Kontakten.
Gehen Sie vorsichtig mit Passwörtern, PINs, TANs und iTANs um.Geben Sie keine sensiblen Daten auf Webseiten ein, die kein Vorhängeschloss-Symbol in der Statuszeile des Browsers aufweisen.

Tipp

Ob Online-Banking oder Shoppen im Internet: angemessene Sicherheit gibt es nur mit dem richtigen Passwort. Wie Sie ein Passwort erstellen, das nur schwer geknackt werden kann, erfahren Sie im Artikel:

Schutzmöglichkeiten mit Software-Unterstützung

Auch wenn E-Mail-Provider viele Phishing-Versuche schon automatisch herausfiltern – oft genug landet dennoch eine Phishing-Mail im eigenen Postfach. Um den Datenklau im Internet zu unterbinden, kann Ihnen auch ein breites Spektrum an Software nützen. Wichtigste Voraussetzung: Halten Sie Ihr Betriebssystem immer auf dem neuesten Stand. Die Updates schließen in der Regel bereits kurzfristig bekannt gewordene Sicherheitslücken und hindern auf diese Weise das Eindringen von Trojanern und anderer Malware.

Wer im Internet auf möglichst hohe Sicherheit bedacht ist, benötigt ein Anti-Viren-Programm sowie eine Firewall diese sollten regelmäßig aktualisiert werden. Zudem sollte der Browser ebenfalls stets auf dem neuesten Stand sein. Programme wie Firefox, Google Chrome oder Internet-Explorer besitzen zudem Phishing-Filter. Daneben sind auch Zusatz-Elemente verfügbar, sogenannte Add-ons, die aktiv vor gehackten Webseiten warnen.

Darüber hinaus sollten Sie Ihre Technik abhörsicher machen: Verwenden Sie fürs Online-Banking zu Hause entweder nur eine Kabelverbindung oder eine verschlüsselte WLAN-Verbindung. So kann niemand Ihre Passwörter bei der Eingabe abfangen. Hilfreich ist auch, wenn Ihre Kommunikation über mehrere Kanäle erfolgt. Legen Sie sich also mehrere E-Mail-Adressen zu: mit dem einen Konto bearbeiten Sie wichtige Korrespondenz, mit dem zweiten melden Sie sich bei Online-Shops, Sozialen Netzwerken etc. an. Wenn im ersten Postfach plötzlich eine E-Mail auftaucht, die eigentlich im zweiten hätte landen sollen, können Sie sicher sein, dass es sich um eine Phishing-Mail handelt.

Tipp

Schützen Sie sich bei allen Schäden im Zahlungs­verkehr, zum Beispiel bei Datenmissbrauch oder Phishing. Der FinanzSchutz von CosmosDirekt übernimmt den Schaden, wenn Ihre Bank nicht zahlt – Schäden bis 10.000 €/Jahr, auch bei grober Fahrlässigkeit.


Wo kann ich einen Phishing-Versuch melden?

Haben Sie eine Phishing-Mail oder eine verdächtige E-Mail erhalten, sollten Sie diese keineswegs öffnen. Stattdessen: E-Mail löschen und den Absender auf die Spam-Liste setzen. Über besonders raffinierte Phishing-Versuche sollten Sie auf jeden Fall das betroffene Unternehmen informieren.

Einen versuchten Datenklau im Internet sollten Sie auch der Verbraucherzentrale Nordrhein-Westfalen melden. Neben dem täglich aktualisierten Phishing-Radar hat die Verbraucherzentrale auch ein Online-Forum eingerichtet, das weitere Infos über Phishing-Versuche enthält. Damit die Mitarbeiter andere Internet-Nutzer über die Phishing-Mail genauer informieren können, sind folgende Angaben erforderlich:

  • Betreffzeile der Phishing-Mail
  • Zeitpunkt, zu dem Sie die E-Mail bekommen haben
  • Name und Absender-Adresse der E-Mail
  • Name der Organisation (Unternehmen), von der angeblich die E-Mail/ Webseite stammt

Wenn Sie das Opfer einer Phishing-Attacke geworden sind, sollten Sie den Fall nicht nur dem Verbraucherschutz melden, sondern auch unbedingt bei der Polizei zur Anzeige bringen. Selbst wenn etliche Wochen später noch nichts passiert ist, heißt das nicht, dass die Betrüger Ihr Konto übersehen hätten. Die Polizei ist in solchen Fällen eher der Auffassung, dass die eingesammelten Daten die Kapazitäten der Kriminellen übersteigen – sie hatten einfach noch keine Zeit, Ihr Konto zu plündern. Durch die Anzeige kann die Polizei die Geldströme verfolgen und im besten Fall die Betrüger verhaften.


Wie verhalte ich mich, wenn ich auf eine Phishing-Attacke hereingefallen bin?

Wenn Sie in eine Phishing-Falle getappt sind (oder es zumindest vermuten), kommt es darauf an, schnell und richtig zu handeln. Denn sind die Betrüger erst einmal im Besitz Ihrer Daten, können sie binnen Minuten hohe Summe transferieren oder Kaufvorgänge veranlassen. Um Sie von Gegenmaßnahmen abzuhalten, werden in der Regel die bestehenden Zugangsdaten durch neue ersetzt. So verschaffen sich die Kriminellen mehr Zeit, um Ihr Konto plündern zu können. Als Geschädigter kommen Sie dann nicht mehr in Ihren Account. Deshalb sollten Sie folgendes unbedingt rasch erledigen:

  • Zugang zum Online-Banking sperren
  • Zugänge zu Kreditkarten, Auktionshäusern, Online-Shops und ähnlichen Dienstleistern sperren
  • Im Schadensfall: Anzeige bei der Polizei
  • Schnellstmöglich in Verbindung mit der Hausbank setzen und Kontoumsätze der letzten Tage prüfen
  • Ist eine unberechtigte Transaktion vorhanden: Überweisungsrückruf veranlassen (bei Auslandsüberweisungen nur geringe Aussicht auf Erfolg)

Da möglicherweise auch Malware auf Ihrem Rechner platziert wurde, müssen Sie unbedingt Ihr gesamtes System reinigen:

  • Datensicherung: alle wichtigen Dokumente auf externer Festplatte oder USB-Stick abspeichern
  • Schadsoftware beseitigen: Computer formatieren oder vom Spezialisten formatieren lassen, Betriebssystem mit aktuellen Sicherheitsupdates installieren, Anti-Viren-Programm und Firewall in neuester Version installieren, alle externen Speichermedien auf Malware überprüfen.

Fazit zu Phishing

Achten Sie auf Warnsignale und ergreifen Sie Vorsichtsmaßnahmen! Seien Sie immer misstrauisch und lassen Sie sich nicht zur Preisgabe persönlicher Daten oder zum Öffnen von Webseiten oder Dateien verleiten. Setzen Sie ein Limit für Online-Überweisungen.


Schützen Sie Ihr E-Mail-Konto mit dem FinanzSchutz
Die Versicherung die Ihre Finanzen schützt1
100 % FinanzSchutz für nur 7,90 € pro Jahr
  • Schutz bei allen Schäden im Zahlungsverkehr – z.B. beim Online-Shopping und Online-Banking
  • Weltweiter Schutz: online, offline, überall
  • Absicherung der gesamten Familie

War der Artikel hilfreich? Helfen Sie anderen und teilen Sie den Ratgeber:


Zum nächsten Kapitel...
Alles wichtige zum sicheren Online-Shopping
SPAM-Mails sind ein großes Problem