Was ist Phishing? Definition, Beispiele und Schutzmaßnahmen
Durch Phishing versuchen Cyberkriminelle an persönliche Daten von dir zu gelangen oder dich dazu zu bringen, eine schädliche Aktion auszuführen. Du könntest zum Beispiel eine vermeintliche E-Mail von deiner Bank erhalten, in der man dich unter einem Vorwand auffordert, deine Login-Daten für das Online-Banking zu bestätigen. Wenn du das tust, bist du bereits Opfer eines Phishing-Angriffs. Wir zeigen dir hier, wie du Phishing erkennst und wie du dich schützen kannst.
Inhaltsverzeichnis
Inhaltsverzeichnis
Was ist Phishing?
Phishing ist eine Art Cyberangriff, bei dem mithilfe von E-Mails, Textnachrichten, Anrufen oder Webseiten, persönliche Daten wie Passwörter, Finanzinformationen oder persönliche Identifikationsnummern (PINs) gestohlen werden sollen. Die Cyberkriminellen geben beim Phishing vor, eine vertrauenswürdige Person oder Organisation zu sein. Dies kann geschehen, indem sie dir eine Nachricht schicken, die scheinbar von einer seriösen Quelle stammt, aber in Wirklichkeit eine Fälschung ist.
Diese Art von Scam appelliert in der Regel an die Gefühle der Menschen, was ihr Urteilsvermögen trübt. Phishing-Betrug ist eine der am weitesten verbreiteten Formen von Cyberangriffen. Manche Cyberkriminelle nutzen aber auch Schadsoftware, um mehr Informationen über eine Person oder ein Unternehmen zu erhalten, die online verkauft werden können. E-Mails sind die beliebteste Form des Phishings. Manche sind so gründlich recherchiert und gut gemacht, dass es schwer sein kann, eine Fälschung zu erkennen. Laut Bundesregierung waren in Deutschland 84% aller Spam-E-Mails Phishing, die es vor allem auf Authentifizierungsdaten für Banken- und Sparkassen-Logins absahen.
Wie funktioniert Phishing?
Es gibt viele Möglichkeiten, wie Phishing-Angreifer versuchen können, dich dazu zu bringen, ihnen sensible Informationen oder Zugang zu deinen Geräten zu geben. Sie können URL-Phishing verwenden, um dich dazu zu verleiten, auf einen Link zu klicken oder einen Anhang herunterzuladen, der Schadsoftware oder Spyware enthält, die ihnen Zugang zu deinem Computer oder Telefon verschaffen kann. Sie können auch versuchen, dich dazu zu bringen, deine sensiblen Daten auf einer gefälschten Webseite einzugeben, die legitim aussieht, aber von den Angreifern kontrolliert wird.
Es ist wichtig, vorsichtig zu sein, wenn du ungewöhnliche Anfragen nach persönlichen Daten erhältst oder wenn du aufgefordert wirst, auf einen Link zu klicken oder einen Anhang von jemandem herunterzuladen, den du nicht kennst.
Hier sind die wichtigsten Methoden, wie Phishing-Angriffe durchgeführt werden:
- Social Engineering. Social-Engineering-Angriffe beruhen auf zwischenmenschlicher Interaktion, um Opfer dazu zu bringen, Standard-Sicherheitsverfahren außer Acht zu lassen oder sensible Daten preiszugeben. Diese Form der psychologischen Manipulation zielt darauf ab, eine Person zu einer Handlung zu bewegen, die vielleicht nicht in ihrem besten Interesse liegt.
- Link-Manipulation. Bei dieser Art von Datenexfiltrationsangriff wird das Erscheinungsbild eines bösartigen Links manipuliert, um die Opfer zu täuschen oder in die Irre zu führen. So kann es passieren, dass jemand auf einen Link klickt, den er sonst nicht angeklickt hätte.
- Filterumgehung. Dies ist eine Technik zur Umgehung oder Vermeidung von Filtern, die den Zugang zu bestimmten Inhalten im Internet blockieren oder einschränken.
Wie gefährlich sind Phishing-Angriffe?
Die Zahl der gefährlichen Phishing-Angriffe steigt jedes Jahr dramatisch an. Das liegt daran, dass Phishing extrem effizient ist und wenig Aufwand erfordert, aber einen großen finanziellen Gewinn bringt.
Schauen wir uns die Gefahren des Phishings einmal genauer an:
- Identitätsdiebstahl. Wenn ein Phishing-Angreifer in den Besitz deiner persönlichen Daten kommt, kann er sie nutzen, um deine Identität zu stehlen und finanziellen Betrug zu begehen.
- Verlust von Geld. Kriminelle können dich dazu bringen, ihnen Zugang zu deinen Bankkonten oder Kreditkarten zu gewähren, damit sie Geld stehlen oder unberechtigte Einkäufe tätigen können.
- Schädigung des Rufs. Wenn es einem Angreifer gelingt, vertrauliche Informationen zu erlangen, kann er sie nutzen, um den Ruf eines Unternehmens oder einer Person zu schädigen.
- Verlust von sensiblen Daten. Phishing-Angreifer können es auch auf dich oder Organisationen abgesehen haben, um sensible Daten wie Geschäftsgeheimnisse oder geistiges Eigentum zu stehlen.
- Installation von Schadsoftware. Bei manchen Phishing-Angriffen werden Menschen dazu verleitet, Schadsoftware herunterzuladen, die dann dazu benutzt werden kann, sich Zugang zu ihren Geräten zu verschaffen und Informationen zu stehlen.
Wenn die Diebe einmal die Daten erbeutet haben, können sie damit deine Identität fälschen, sich Zugang zu deinen Konten verschaffen oder die Informationen gewinnbringend im Darknet anbieten.
Welche Arten von Phishing-Angriffen gibt es?
Betrüger nutzen viele Arten von Phishing-Techniken, um ihre Opfer dazu zu bringen, ihre persönlichen Daten preiszugeben. Hier sind die wichtigsten Arten von Phishing:
E-Mail-Phishing
E-Mail-Phishing ist eine Art des Cyberangriffs, bei dem E-Mails als Hauptmittel der Täuschung eingesetzt werden. Ein E-Mail-Phishing-Angriff zielt darauf ab, den Empfänger zu einer Aktion zu verleiten, z.B. auf einen Link zu klicken, einen Anhang herunterzuladen oder persönliche Daten anzugeben.
Spear-Phishing
Angriffe, die auf eine bestimmte Person zugeschnitten sind, werden Spear-Phishing-Angriffe genannt. Bevor der Angreifer die Phishing-E-Mail versendet, recherchiert er sein Ziel. Dazu gehören Informationen aus ihren öffentlichen Konten, Datenverstöße, an denen sie beteiligt waren, und alles, was der Hacker über sie oder das Unternehmen, für das sie arbeiten, finden kann. Mit all diesen Informationen kann der Cyberkriminelle vorgeben, vertrauenswürdig zu sein – er gibt sich als Mitarbeiter, alter Freund oder Vertreter eines beliebten Dienstes aus, den das Opfer häufig nutzt.
Whaling
Whaling ist eine weitere Form des Spear-Phishings, bei der der Angreifer vorgibt, ein hochrangiges Mitglied eines Unternehmens zu sein: Vorstandsvorsitzender, Vorstandsmitglied, Hauptaktionär usw. Es ist schwieriger, sich als solche auszugeben, daher muss der Cyberkriminelle viel mehr Arbeit investieren, um es glaubhaft zu machen. Da leitende Angestellte jedoch mehr Einfluss im Unternehmen haben, sind die Gewinne in der Regel viel größer. Ihre Angestellten überweisen Geld oder geben vertrauliche Informationen heraus, ohne allzu viele Fragen zu stellen.
Klon-Phishing
Damit diese Art von Phishing funktioniert, muss der Angreifer den Posteingang seines Opfers genau beobachten können. Sie nehmen eine kürzlich erhaltene E-Mail (vorzugsweise mit einem Link oder einem Anhang) und erstellen einen Klon. Das meiste bleibt gleich, aber der Anhang enthält Schadsoftware oder der Link leitet auf eine gefälschte Webseite um.
Vishing
Vishing-Angriffe basieren stark auf Social Engineering, indem sie Stresssituationen schaffen, die Menschen dazu bringen, ohne nachzudenken zu handeln. Die Angreifer versuchen oft, ihre Opfer einzuschüchtern, indem sie behaupten, dass jemand versucht hat, ihre Kreditkarte zu benutzen, dass sie vergessen haben, eine Strafe zu bezahlen usw. Leider haben sie damit oft Erfolg. Wenn Menschen ihr Urteilsvermögen von Emotionen vernebeln lassen, geben sie Online-Banking-Daten und andere persönliche Informationen preis, ohne es zu durchdenken.
Smishing
Smishing oder SMS-Phishing ist eine Phishing-Technik, bei der ein Betrüger eine SMS-Nachricht sendet, die scheinbar von einer seriösen Organisation stammt. In der Nachricht wird der Empfänger möglicherweise aufgefordert, auf einen Link zu klicken, um persönliche Daten anzugeben oder Kontodaten zu bestätigen. Der Link in der Nachricht kann zu einer Webseite führen, die legitim aussieht, aber in Wirklichkeit eine Phishing-Webseite ist, um persönliche Daten zu stehlen.
Angler-Phishing
Angler-Phishing ist eine neue Phishing-Technik, die in sozialen Netzwerken eingesetzt wird. Die Angreifer geben sich in sozialen Netzwerken als Kundendienstmitarbeiter aus, um den Opfern ihre persönlichen Daten oder Kontodaten zu entlocken.
Kalender-Phishing
Beim Kalender-Phishing werden Kalendereinladungen verwendet, um Menschen dazu zu bringen, auf einen bösartigen Link zu klicken. Der Angreifer schickt der Zielperson eine Kalendereinladung, die einen Link zu einer bösartigen Webseite enthält. Der Link führt zu einer Phishing-Webseite oder zu einer Seite, die Schadsoftware auf dem Gerät des Opfers installiert.
Reale Beispiele von Phishing-Angriffen in Deutschland
Phishing-Angriffe nutzen oft große Namen, um die Opfer in Sicherheit zu wiegen, hier einige echte Beispiele, wie Phishing aussehen kann:
- PayPal-Betrug: Cyberkriminelle nutzen die DSGVO aus, indem sie Phishing-E-Mails versendeten, die vorgeben, von PayPal zu stammen. In diesen E-Mails wurde fälschlicherweise behauptet, dass das Versäumnis, die Kundendaten zu verifizieren, zur Sperrung des Kontos aufgrund der DSGVO führen wird. PayPal oder ein anderer seriöser Dienst würde aber niemals persönliche Daten per E-Mail abfragen.
- Banken-Phishing: Kunden von Volks- und Raiffeisenbanken sind Ziel von Phishing-E-Mails geworden, in denen behauptet wird, dass eine „Sicherheitsüberprüfung“ erforderlich sei, um eine Kontosperrung zu vermeiden. Zu den Anzeichen für Phishing gehörten generische Begrüßungen und falsch geschriebene Banknamen, wie „Reifeisenbanken“. Bei der Sparkassen-Bank gab es ebenfalls so einen Fall. Sparkassenkunden wurden mit Phishing-E-Mails angegriffen, in denen behauptet wird, dass „veraltete Daten“ aktualisiert werden müssen. Diese E-Mails verwenden persönliche Begrüßungen und drohten mit einem teuren Einschreiben, nicht mit einer Kontosperrung.
- Facebook-Phishing-Betrug: Ein gefälschter Post, der kostenlose Markenturnschuhe auf Facebook anbot, leitete User auf eine Phishing-Seite, die einer bekannten Sportmarke ähnelt. Die Phishing-Seite verwendet irreführende Subdomains.
Wie kann man Phishing erkennen?
Phishing-Angreifer haben Methoden, um ihre Opfer dazu zu verleiten, auf einen Link zu klicken oder eine schädliche Datei herunterzuladen. Aber wenn du die Augen offen hältst, kannst du den Cyberkriminellen einen Schritt voraus sein. Es gibt mehrere Möglichkeiten, einen Phishing-Angriff zu erkennen:
- Schau, ob ein Gefühl der Dringlichkeit vermittelt wird. Die meisten Phishing-Angriffe nutzen die Angst der Menschen aus, etwas zu verpassen, um sie zu fragwürdigen Entscheidungen zu bewegen. Ein Sonderangebot, das nur für kurze Zeit verfügbar ist, könnte einen eingefleischten Fan einer Marke dazu verleiten, auf den Link in der E-Mail oder SMS zu klicken, ohne sich zu vergewissern, ob er echt ist.
- Prüfe auf Rechtschreib- und Grammatikfehler. Gibt es grammatikalische Fehler? Wirkt der Ton der Nachricht insgesamt unpassend? Diese Dinge deuten auf einen möglichen Phishing-Betrug hin. Seriöse Unternehmen und Organisationen haben in der Regel gut geschriebene und fehlerfreie Nachrichten. Achte außerdem immer auf falsch geschriebene Wörter oder Namen in den angegebenen Links. Ein Social-Engineering-Angriff namens Typosquatting zielt auf Menschen ab, die bei der Eingabe von Website-Namen Fehler machen.
- Sei vorsichtig mit Anhängen oder Links. Es ist unwahrscheinlich, dass Unternehmen Newsletter, Warn-E-Mails oder andere Nachrichten mit Anhängen verschicken – sie haben keinen Grund dazu. Sei auch bei bösartigen Links vorsichtig, besonders wenn du die E-Mail nicht erwartet hast. Lade sie niemals herunter und öffne sie.
- Sei misstrauisch bei generischen Begrüßungen. Phishing-E-Mails werden oft an große Gruppen von Menschen geschickt und verwenden statt deines Namens oft allgemeine Begrüßungsformeln wie „Sehr geehrter Kunde“.
- Vergewissere dich, dass du mit dem Absender vertraut bist. Wenn ein bestimmter Dienst dich noch nie mit Hinweisen auf geänderte Passwörter kontaktiert hat oder dir Sonderangebote geschickt hat, die zu gut sind, um wahr zu sein, dann solltest du misstrauisch werden.
- Schau, ob Geld oder wichtige Zugangsdaten gefordert werden. Wenn dich jemand in einer E-Mail um Geld, eine Vorauszahlung oder Bankdaten bitten, ist das ein klarer Hinweis auf Phishing, eine Bank würde dich zum Beispiel nie bitten, deine Anmeldedaten preiszugeben. Auch Vorauszahlungen oder andere Geldforderungen solltest du erst einmal auf ihre Legitimität prüfen, bevor du eine Transaktion beauftragst.
Vergiss nicht, dass die Betrüger immer raffinierter werden und dass diese Erkennungsmethoden nicht immer funktionieren. Bleibe immer skeptisch, wenn du unaufgeforderte E-Mails, Nachrichten oder Anrufe erhältst, egal wie verlockend sie auch klingen mögen. Du kannst auch einen Schritt weiter gehen und Phishing-Erkennungstools verwenden, um proaktiv vorzugehen.
Was kann man tun, wenn man auf einen Phishing-Link klickt?
Wenn du bereits auf einen Phishing-Link reagiert hast und sogar Daten von dir preisgegeben hast und erst später merkst, dass es sich um Phishing handelt, musst du danach sofort reagieren. Wenn du deine Bankdaten auf einer bösartigen Webseite aus einer Phishing-E-Mail eingegeben hast, wende dich umgehend an den Kundensupport deiner Bank und melde den Vorfall. Sie werden Maßnahmen gegen die illegale Nutzung deiner Daten ergreifen.
Wenn du persönliche Informationen wie deine Sozialversicherungsnummer, Kontaktdaten oder deine Adresse weitergegeben hast, besuche IdentifyTheft.gov. Dort findest du Informationen darüber, wie du weiter vorgehen kannst.
Wie kann man sich vor Phishing-Angriffen schützen?
Zum Schutz vor Phishing kann eine gute Netiquette beitragen sowie folgende Maßnahmen, die du beachten solltest:
- Verwende Spamfilter. Der beste Weg, um Phishing-E-Mails zu vermeiden, ist zu verhindern, dass sie in deinem Posteingang landen. So verhinderst du, dass du versehentlich eine E-Mail mit bösartigen Links und Anhängen öffnest. Für zusätzliche Sicherheit können dir Anti-Phishing-Tools helfen, solche Inhalte automatisch zu erkennen und zu blockieren.
- Hol dir einen Anhangsfilter. Der Bedrohungsschutz Pro vom Online-VPN-Dienst NordVPN soll dich vor Phishing-Versuchen schützen. Es ist eine Sicherheitsfunktion, die dich beim Surfen sicher hält und dich vor Schadsoftware schützt. Sie scannt deine Dateien während des Downloads und blockiert bösartige Inhalte, bevor sie dein Gerät erreichen.
- Lerne, sie zu erkennen. Mit ein bisschen Übung kannst du lernen, Phishing-E-Mails zu erkennen. Auch die kleinen Dinge sind wichtig – wenn dein Vorgesetzter seine E-Mails immer mit „Danke!“ unterschreibt, aber aus dem Nichts heraus „Mit freundlichen Grüßen“ schreibt, solltest du am besten noch einmal nachhaken. Wenn es um Betriebsgeheimnisse und große Geldsummen geht, kann man nie vorsichtig genug sein.
- Halte deine Software auf dem neuesten Stand. Um dich vor Sicherheitslücken und Cyberangriffen zu schützen, ist es wichtig, dass du deine Software auf dem neuesten Stand hältst. Software-Updates enthalten in der Regel einen Schutz gegen die neuesten Bedrohungsfaktoren.
- Nutze einen Link- oder Datei-Checker. Wenn du dir nicht sicher bist, ob ein E-Mail-Link oder eine Datei im Anhang sicher ist, solltest du Cybersicherheits-Tools wie einen Link-Checker bzw. einen Datei-Checker nutzen, um zu sehen, ob das Anklicken ungefährlich ist.
- Verwende einen Passwort-Manager. Erstelle und speichere komplexe, eindeutige und sichere Passwörter für jedes deiner Online-Konten.
- Bleib wachsam. Sei skeptisch und zögere nicht, die Echtheit einer E-Mail oder Webseite zu überprüfen. Kontaktiere das Unternehmen oder die Person, von der die E-Mail angeblich stammt, auf andere Weise, um sie zu überprüfen.
Online-Sicherheit beginnt mit einem Klick.
Bleib sicher – mit dem weltweit führenden VPN