Bist du sicher, dass die E-Mail, die du gerade erhalten hast, wirklich von deiner Bank stammt? Bist du davon überzeugt, dass der Link, auf den du gerade klickst, sicher ist? Oder wirst du gleich das neueste Phishing-Opfer?
Hinter Phishing verbirgt sich ein kreativer Cyberangriff, dem schon seit vielen Jahren regelmäßig Menschen auf den Leim gehen. Bei einem erfolgreichen Phishing-Angriff können deine Daten und dein Geld in die Hände von Kriminellen gelangen und deine Geräte mit Malware und Viren verseucht werden.
Hier findest du alles, was du wissen musst, um Phishing zu erkennen und dich vor derartigen Angriffen zu schützen.
Was ist unter Phishing zu verstehen?
Wahrscheinlich hast du schon eine Ahnung, woher der Name stammt. Das Wort „Phishing“ spielt auf die Art und Weise an, wie der Betrug vollzogen wird: das Opfer wird geködert, hängt dann am Haken und wird schließlich aus dem Wasser geangelt. Der Kriminelle hält dabei die Rute, und ja, du hast es erraten – du bist in diesem Bild der Fisch.
Es gibt verschiedene Phishing-Techniken. Die meisten Phishing-Angriffe erfolgen über E-Mail, auch wenn diese E-Mail bei umfangreicheren Attacken bisweilen nur den ersten Schritt darstellt.
Phishing-E-Mails sind auf eine gute Tarnung angewiesen. Dabei gibt sich der Kriminelle als vertrauenswürdiger Kontakt, als guter Freund oder als seriöses Unternehmen aus. Entsprechend tarnt er auch seine Nachricht: mit einer Betreffzeile, die dir ins Auge fällt, und all den Fallstricken einer authentischen E-Mail.
Phishing-Arten
Hier findest du drei der häufigsten Phishing-Arten.
Unmittelbare Erpressung
Das vielleicht bekannteste Beispiel einer unmittelbaren Erpressung im Rahmen des Phishings ist der ominöse „nigerianische Prinz“. Der Erfolg hängt davon ab, das Opfer in einen Austausch zu verwickeln, an dessen Ende es dazu überredet werden soll, eine Geldüberweisung durchzuführen. In diesem Rahmen verspricht der Angreifer, getarnt als vermeintlich wohlhabender Ausländer, dem Opfer oftmals eine enorme Geldsumme als Gegenleistung für eine „kleine“ Vorabinvestition.
In den letzten Jahren haben manche Kriminelle damit begonnen, ihre Opfer über Dating-Apps zu kontaktieren. Nachdem sie das Vertrauen ihres Opfers gewonnen und es überzeugt haben, ganz aufrichtig an seinem Wohlergehen interessiert zu sein, entwirft der Phisher dann ein fingiertes Szenario, in dem er ganz dringend Geld benötigt.
Zugegeben: Diese Betrugsmaschen sind in den letzten Jahren stärker ins allgemeine Bewusstsein gerückt, sodass ihnen weniger Menschen zum Opfer fallen.
Fake-Websites
Bei manchen Phishing-Formen stellt die erste E-Mail nur den Startschuss für ein deutlich umfangreicheres Verbrechen dar.
Die Masche funktioniert genauso wie bei einer E-Mail mit einem gefährlichen Link. Doch in diesem Fall führt der entsprechende Link die potenziellen Opfer auf eine Website, die zielgenau von dem Verbrecher gestaltet wurde. Diese Seite nutzt dabei dieselbe Tarnung und die gleiche Aufmachung wie die jeweilige E-Mail. Wenn sich jemand als deine Bank ausgibt und dich auffordert, deine Anmeldedaten zurückzusetzen, ahmt diese Seite die Farben und das Layout des Webauftritts deiner Bank nach.
Wenn du dann die geforderten Daten – die Passwörter und Kartendaten – eingibst, werden diese Daten entschlüsselt und für den Verbrecher sichtbar.
Arten von Phishing-Angriffen
Phishing-Angriffe finden in einer Vielzahl unterschiedlicher Formen statt. Der Hauptunterschied zwischen den meisten Arten von Phishing-Angriffen liegt im Medium, über das sie ausgeführt werden. Hier findest du einige der häufigsten Methoden.
E-Mail-Phishing
E-Mail-Phishing ist wohl die am weitesten verbreitete Phishing-Art. Wie der Name schon sagt, erfolgt der Angriff dabei per E-Mail. Normalerweise ahmen E-Mails, die von böswilligen Akteuren erstellt wurden, dabei legitime Quellen nach, um ahnungslose Nutzer dazu zu bringen, ihre sensiblen Daten preiszugeben.
Spear-Phishing
Der wesentliche Unterschied zwischen spear phishing und anderen Arten von Phishing-Angriffen besteht darin, dass die böswilligen Akteure im Rahmen eines Spear-Phishing-Angriffs mit hoher Präzision ein einzelnes Ziel ins Visier nehmen. In den meisten Fällen handelt es sich bei den Zielen um bestimmte Personen oder Organisationen.
Whaling
Whaling wird manchmal auch als CEO-Fraud bezeichnet. Dahinter verbirgt sich ein Angriff, bei dem es der Täter – ganz wie beim Spear-Fishing – auf ein individuelles Ziel abgesehen hat. Whaling-Angriffe zielen jedoch in der Regel auf hochrangige Beamte oder andere leitende Mitglieder einer Organisation ab, über die der Cyberkriminelle unbefugten Zugang zu sensiblen Finanzdaten oder Computersystemen erhalten möchte.
Vishing und Smishing
Vishing und Smishing unterscheiden sich dabei dahingehend von anderen Phishing-Angriffen, dass beide auf das Smartphone ihres potenziellen Opfers beschränkt sind. Unter Vishing ist Voicephishing zu verstehen. Denke dabei einfach an Betrugsanrufe, bei denen sich jemand als Bank ausgibt oder dir auf andere Art lukrative Investment-Möglichkeiten anbietet. Smishing beschränkt sich dagegen auf Textnachrichten. Die Art des Angriffs sowie seine Ausgestaltung ähnelt jedoch stark dem bekannten E-Mail-Phishing.
Phishing-Statistiken
Heute gehören Phishing-Angriffe zu den häufigsten und gefährlichsten Formen der Cyberkriminalität, mit denen Unternehmen und Privatpersonen gleichermaßen jeden Tag aufs Neue konfrontiert werden.
Bei einer kürzlich durchgeführten ESET-Studie stellte sich zwischen Mai und August 2021 ein Anstieg der E-Mail-basierten Phishing-Angriffe um 7,3 % heraus. Eine weitere von IBM durchgeführte Studie ergab, dass die Anzahl der Phishing-Angriffe zwischen 2019 und 2020 um 2 % zunahm. Im Verizon Data Breach Report aus dem Jahr 2021 wurde festgestellt, dass Phishing-Angriffe auf die eine oder andere Weise an etwa 36 % aller Datenpannen beteiligt sind.
Im Laufe der Jahre nahmen die Phishing-Angriffe nicht nur zahlenmäßig immer weiter zu, sondern fielen auch immer raffinierter aus. Während Forscher von Tessian herausfanden, dass 76 % aller Phishing-E-Mails keine schädlichen Anhänge enthielten, entdeckte der Cyber-Threat-Bericht von SonicWall aus dem Jahr 2021 zwischen 2018 und 2020 einen steilen Anstieg der Anzahl schädlicher PDF- und Microsoft Office-Dateien. Dieser Anstieg ist wahrscheinlich auf den Umstand zurückzuführen, dass die meisten Menschen PDFs und MS-Office-Dokumenten tendenziell eher vertrauen. Dieses Vertrauen spiegelt sich ferner in der Tatsache wider, dass Microsoft laut dem Check Point von allen Marken mitunter am häufigsten nachgeahmt wird. Der Bericht ergab, dass der Tech-Riese in bis zu 43 % aller betrügerischen E-Mails imitiert wurde. DHL, Amazon und LinkedIn zählen ebenso zu den Unternehmen, als die sich Betrüger am häufigsten ausgeben.
Der Bericht von Verizon weist dabei auf den Umstand hin, dass folgende Daten im Rahmen von Phishing-Attacken am häufigsten kompromittiert werden: Anmeldeinformationen wie Passwörter, PIN-Nummern und Benutzernamen sowie personenbezogene Daten wie Vor- und Nachnamen und E-Mail-Adressen und ferner medizinische Daten, wozu Versicherungsansprüche und Sozialversicherungsnummern zählen. Gleichsam unterstreicht der Bericht, dass der mittlere Schaden im Zusammenhang mit einer kompromittierten geschäftlichen E-Mail-Adresse bei 30.000 US-Dollar liegt.
Die Berichte über aktuelle Trends bei Cybersicherheitsbedrohungen von Cisco aus dem Jahr 2021 beschäftigten sich mit den Branchen, die am häufigsten zur Zielscheibe von Phishing-Betrügern werden. Dabei stellte sich heraus, dass die Finanzdienstleistungsbranche ganz oben auf der Liste der Cyberkriminellen steht. Zu den weiteren Branchen, auf die Phishing-Verbrecher oftmals abzielen, gehören der Einzelhandel, das verarbeitende Gewerbe, die Lebensmittelindustrie, Forschung und Entwicklung sowie die Tech-Branche.
Welche Anzeichen deuten auf einen Phishing-Versuch hin?
Bei einem großen Teil der Phishing-Betrugsmaschen soll primär die Angst der Opfer ausgenutzt werden. Häufig informiert eine Phishing-E-Mail den Benutzer darüber, dass es ein Problem bei seinem Konto gebe. Um dieses vorgetäuschte Problem zu lösen, wird der Benutzer in der Regel aufgefordert, auf einen bösartigen Link zu klicken oder einen Anhang herunterzuladen. Infolgedessen ist es nicht überraschend, dass in der Betreffzeile der meisten Phishing-E-Mails eine gewisse Dringlichkeit betont wird.
Ebenso richtet sich der Fokus der Angreifer auf die Erstellung von Domains, die der Domain einer verlässlichen Brand zum Verwechseln ähnlich aussehen können. Böswillige Akteure binden deshalb Markenlogos in ihre E-Mails und Webauftritte ein, um ahnungslose Benutzer noch stärker hinters Licht zu führen.
So geht dir ein Phisher an den Haken
Die meisten Phishing-E-Mails enthalten ein paar typische Warnsignale, auf die du achten solltest.
Zuerst solltest du nachsehen, ob in der E-Mail dein echter Name erwähnt wird oder nicht. Wenn du mit „Lieber Kunde“ oder „Sehr geehrte Damen und Herren“ angesprochen wirst, solltest du auf der Hut sein.
Phishing-Betrüger versenden ein und dieselbe E-Mail oftmals in riesigen Mengen, ohne dabei bestimmte Personen anzusprechen. Wenn ein legitimes Unternehmen dich kontaktiert, kennt es dabei jedoch fast immer deinen Namen.
Auch die Sprache, in der Phishing-E-Mails verfasst sind, kann ein deutlicher Hinweis sein. Achte auf seltsame sprachliche Wendungen, Grammatikfehler oder überdeutliche Rechtschreibfehler. Denn eine authentische E-Mail von deiner Bank enthält derartige Fehler einfach nicht.
Natürlich ist auch die Adresse des Absenders der E-Mail von Bedeutung. Achte deshalb darauf, dass die E-Mail tatsächlich aus einer legitimen Quelle stammt. Wenn du Zweifel hast, vergleichst du sie am besten mit anderen E-Mails, die du von der jeweiligen Organisation erhalten hast.
Zu guter Letzt: Sei besonders auf der Hut, wenn in der E-Mail eine besondere Dringlichkeit betont wird. Wenn jemand Geld fordert oder dich bedrängt, auf einen Link zu klicken, „bevor es zu spät ist“, ist das kein gutes Zeichen. Verbrecher versuchen oftmals, ihre Opfer in Panik zu versetzen oder zum Handeln zu drängen, ohne vorher kurz innezuhalten, um sich die E-Mail selbst etwas näher anzusehen.
Was passiert, wenn du auf einen Phishing-Link klickst oder einen bösartigen Anhang herunterlädst?
Wenn du Opfer eines Phishing-Betrugs geworden wirst, kannst du dir fast sicher sein, dass die Hintermänner andere Betrüger darüber informieren werden, dass ihr Angriff auf dich ein voller Erfolg war. Infolgedessen werden in Zukunft höchstwahrscheinlich noch mehr Phishing-Angriffe auf dich zukommen.
Wirst du Opfer eines Phishing-Betrugs kann dies ferner dazu führen, dass sich deine personenbezogenen Daten wie dein Name, deine Adresse, deine Telefonnummer oder andere Daten, mit denen du identifiziert werden kannst, in den Händen von Verbrechern befinden, was zu immer mehr Problemen wie Identitätsdiebstahl führen kann.
Ein erfolgreicher Phishing-Angriff auf ein Unternehmen könnte zu einer umfassenden Datenpanne führen, was heutzutage absolut das Ende des gesamten Unternehmens bedeuten könnte.
So verhinderst du Phishing
Halte inne und denke nach.
Das ist ganz wichtig. Arbeite niemals zwischen Tür und Angel eine E-Mail ab und befolge blind die Anweisungen, die du dort findest. Drängt dich jemand, sofort auf einen Link zu klicken, um das große Preisgeld abzuräumen? Wirst du aufgefordert, so schnell wie möglich eine Website aufzurufen und dort deine Passwörter zu ändern? Halte einen Moment inne und vergewissere dich zuerst, dass die E-Mail auch wirklich von einem authentischen Absender stammt.
Folge nicht blind irgendwelchen Links.
In den meisten Phishing-E-Mails wirst du aufgefordert, auf einen Link zu klicken. Damit könntest du jedoch Malware, Viren und Ransomware Tür und Tor öffnen. Dieses Problem kannst du komplett vermeiden, indem du niemals auf Links aus E-Mails klickst, wenn sie nicht von einem verifizierten Absender stammen, dem du vertraust.
Wenn du Zweifel hast, kannst du eine neue Registerkarte öffnen und dort manuell die Website des tatsächlichen Unternehmens aufrufen. Um absolut sicher zu gehen, kannst du der Organisation auch direkt eine E-Mail schicken oder dort anrufen und nachfragen, ob dich jemand kürzlich kontaktiert hat.
Vertraue deinen Spam-Filtern nicht bei allem.
Dein E-Mail-Konto filtert Spam und Junk-Mail in einen eigenen Ordner, wo die entsprechenden Nachrichten später gelöscht werden. Doch Spam-Filter können nicht jeden Betrugsversuch abfangen. Du darfst nicht davon ausgehen, dass eine E-Mail automatisch sicher ist, wenn sie nicht von deinen Filtern aus dem Posteingang gefischt wurde. Solche Fehler passieren ständig, also sei vorsichtig.
Frag dich, ob du mit dem Absender bereits in Kontakt standest.
Wenn dir eine Bank, bei der du kein Konto hast, eine E-Mail schreibt und dich darin auffordert, dich über diese E-Mail-Nachricht bei deinem Konto anzumelden, ist das ein sicheres Zeichen dafür, dass du gerade zum möglichen Opfer eines Phishing-Betrugs auserkoren wurdest. Die meisten Phishing-E-Mails werden in der Hoffnung versendet, dass du auf den Link klicken wirst, ohne groß darüber nachzudenken. Frag dich deshalb, ob du überhaupt ein Konto bei dem jeweiligen Unternehmen hast, bzw. ob du in einer wie auch immer gearteten Beziehung zu dem Unternehmen stehst, als dessen Vertreter sich der Absender darstellt. Wenn die Antwort auf diese Frage „nein“ lautet, dann ignoriere oder lösche die Nachricht.
Fazit
Phishing-E-Mails können sehr effektiv sein, und sie zählen zu einer der ältesten Betrugsmaschen im Internet überhaupt. Die beste Verteidigung dagegen lautet Wachsamkeit und gesunder Menschenverstand.