Was ist Phishing und wie kann man sich davor schützen?

Phishing Login Details

Phishing ist die mit Abstand häufigste Art von Betrug, um an sensible Daten, bzw.
das Vermögen der Opfer heranzukommen. Es ist keine Hacker-Attacke im eigentlichen
Sinne, sondern eine Form des Social Engineerings, bei der die Opfer dazu gebracht werden sollen, Geld zu überweisen, Informationen herauszugeben oder auf einen Link zu klicken. Auch für erfahrene Internetnutzer besteht eine Gefahr, da es neben den lästigen Spam-E-Mails auch personalisierte oder gut getarnte Köder geben kann. Weiter unten erklären wir, wie Sie Phishing erkennen und sich am besten davor schützen können.

Phishing gab es im Prinzip schon vor der Erfindung des Internets, etwa bei Telefonanrufen. Solche Anrufe sind auch als Enkeltrick bekannt, bei dem sich ein Betrüger als Enkel von ahnungslosen älteren Menschen ausgibt.

Der Name Phishing ist die Zusammensetzung der englischen Wörter Fishing (Angeln) und Phone (Telefon). Zudem ist er wahrscheinlich abgeleitet von dem Begriff Phreaking, der in der Hackerszene die Auseinandersetzung mit Telekommunikationssystemen bezeichnet.

Phishing-E-Mails

Einige von diesen gefälschten E-Mails mögen zwar unglaubwürdig aussehen und landen direkt im Spam-Ordner, aber wenn nur ein Bruchteil der Empfänger auf den Link klickt oder Geld überweist, hat es sich für die Betrüger schon gelohnt. Oft handelt es sich um kurze Nachrichten von angeblichen Bekannten oder scheinbar offiziellen Stellen, etwa einer Bank. Die Grundregel ist, dass man nie auf Links in E-Mails klicken sollte, wenn man sich nicht absolut sicher über den Absender und den Inhalt des Links ist.

Woran erkennt man eine Phishing-E-Mail?

  • Rechtschreibfehler oder gebrochenes Deutsch
  • Ungewöhnliche E-Mail-Adresse, die etwa den Namen einer bekannten Institution imitiert oder deren TLD nicht .de oder .com ist
  • Plakative Sprache: Sternchen, übergroße Bilder und große Schrift sind selten in seriösen E-Mails zu finden
  • Die unangekündigte Aufforderung, sensible Daten herauszugeben.

Es ist möglich, E-Mails durch Authentifikation und Verschlüsselung zu sichern, aber dies hat sich noch nicht allgemein durchgesetzt. Im Zweifelsfall sollten Sie die Webseite des vermeintlichenAbsenders aufrufen (nicht über einen Link in der E-Mail) und beim entsprechenden Kundendienst nachfragen. Wenn Ihnen einer Ihrer echten Kontakte eine verdächtige E-Mail schickt, informieren Sie diese Person – möglicherweise ist sie Opfer eines Angriffs geworden und hat die Nachricht unwissentlich verschickt.

Phishing-Webseiten

Phishing-Webseiten erscheinen oft als Pop-ups, wenn Sie gerade andere Seiten aufrufen wollen. Oft sind es angebliche Gewinnspiele oder Ihnen wird als millionstem Besucher ein lukrativer Preis versprochen. Lassen Sie sich nicht hereinlegen – diese Webseiten sind Fakes. Geben Sie auf keinen Fall persönliche Daten ein, nicht einmal eine E-Mail-Adresse. Für den Fall, dass eine Phishing-Webseite vorspielt, der Login zu einem Ihrer Accounts zu sein, kann eine Zwei-Faktor-Authentifizierung hilfreich sein, sodass die Eingabe eines Passworts allein nicht ausreicht, um auf Ihren Account zuzugreifen. Auch bei Passwortmanagern, die automatisch Ihre Login-Daten eingeben, sollten Sie darauf achten, dass dies nur auf verifizierten Seiten geschieht.

Bleiben Sie wachsam: Es wird garantiert immer wieder neue Maschen geben, mit denen Betrüger zumindest zeitweise Erfolg haben werden. Antworten Sie nicht auf verdächtige E-Mails, auch nicht zum Spaß. Informieren Sie sich zu guter Letzt regelmäßig auf einschlägigen Seiten wie etwa unserem Cybersicherheitsblog.

Christian wird eines Tages in eine virtuelle Welt einziehen. Bis dahin schreibt er hier über Cybersicherheit und Privatsphäre.