So schützen Sie sich effektiv vor Phishing-Angriffen

Mit unseren Tipps geben Sie Betrügern im Netz keine Chance...

Werbung
Phishing: Wie Betrüger im Netz auf Beutezug gehen.
Phishing: Wie Betrüger im Netz auf Beutezug gehen.

Als „Phishing“ (ˈfɪʃɪŋ, aus dem Englischen für „angeln“) bezeichnet man den Versuch, über gefälschte Nachrichten, Websites oder Telefonanrufe an Zugangsdaten und andere persönliche bzw. vertrauliche Daten eines Nutzers zu gelangen.

Sinn und Zweck dieses Vorgehens besteht für den Betrüger darin, durch Identitätsdiebstahl Straftaten zu begehen, sei es die unautorisierte Abbuchung größerer Geldbeträge von Bankkonten oder das Verbreiten von Falschinformationen unter der Identität des Opfers.

Bei Phishing handelt es sich um eine Form des „Social Engineerings“, welches psychologische Konzepte zur Manipulation einsetzt. Grundsätzlich wird mit der Gutgläubigkeit der späteren Opfer gespielt, diese getäuscht und durch das Überraschungsmoment überrumpelt.


Werbung


Typische Vorgehensweise

Die Täter bedienen sich bei Phishing-Aktionen für gewöhnlich zweier Schritte:

Der erste Schritt ist das Zusenden einer Nachricht an eine meist wahllos ausgewählte Gruppe von Empfängern („die Angel wird ausgeworfen“). Solche Phishing-Mails machen sich oft den Zündschnureffekt zunutze, um vom Leser eine unüberlegte Aktion zu provozieren.

Beliebte Köder in Phishing-Mails sind unter anderem:

  • Ihr E-Mail- oder Messenger-Account muss überprüft werden oder wird sonst gelöscht !
  • Aufgrund einer verdächtigen Transaktion wird Ihr Bankkonto demnächst gesperrt !
  • Ihre Zugangsdaten laufen bald ab !
  • Sie haben eine Rechnung nicht bezahlt, es drohen hohe Mahngebühren !
  • Ein Geldgewinn kann erst nach Bestätigung der eigenen Identität ausgezahlt werden !

Manche Phishing-Mails enthalten HTML-Formulare, in welche die Zugangsdaten gleich eingegeben werden sollen oder gar ausführbare Dateianhänge, die den Computer des Nutzers mit Schadsoftware infizieren.

Sobald ein potentielles Opfer auf die Nachricht reagiert, folgt der zweite Schritt: Das Abgreifen der persönlichen Daten („der Fang wird eingeholt“).

Dies geschieht meist durch den Besuch einer gefälschten Website. Oft wird das Erscheinungsbild (Corporate Identity) des echten Anbieters nachgeahmt, um keinen Verdacht zu erregen und ein trügerisches Gefühl der Sicherheit zu vermitteln.

Auf dieser Website werden dann die geforderten Daten abgegriffen. Das können Zugangsdaten sein, aber auch TAN-Listen aus dem Homebanking oder persönliche Kontaktdaten. Seltener sollen die Daten direkt als Antwort z.B. via E-Mail oder Messenger verschickt werden.

In vielen Fällen wird danach eine Fehlermeldung angezeigt und auf die echte Website des Anbieters weitergeleitet, um den Nutzer nicht zu verunsichern und die eigenen Spuren zu verwischen.

Werbung