Das ABC der Cybersicherheit: P wie Phishing

Allgemein gesagt ist Phishing eine Form des Betrugs, bei der ein Dritter versucht, Sie dazu zu bringen, geheime Daten preiszugeben, indem er so tut, als sei er eine vertrauenswürdige Firma bzw. Organisation. Normalerweise werden für Phishing-Angriffe E-Mails oder Instant-Messaging-Anwendungen verwendet, aber Phishing-Links können auch in Nachrichten versteckt sein, die in Sozialen Netzwerken, auf Bulletin-Boards usw. veröffentlicht werden.

Wie funktioniert Phishing?

Ein klassischer Phishing-Angriff beginnt mit einer E-Mail, die so aussieht, als sei sie von Ihrer Bank, Ihrem E-Mail-Provider oder einem anderen Unternehmen, mit dem Sie einen Vertrag haben. In der Nachricht werden Sie in der Regel aufgefordert, auf einen Link zu klicken, um persönliche Informationen zu bestätigen. Für den Fall, dass Sie dies nicht tun, droht man Ihnen damit, Ihr Konto vorübergehend zu sperren oder gar zu löschen. Damit diese Phishing-Nachricht möglichst glaubwürdig wirkt, enthält sie meistens Logos und andere Identifikationsmerkmale, die illegal von dem Unternehmen kopiert wurden, als das sich die Betrüger ausgeben.

über den Link gelangen Sie dann allerdings nicht zur Website beispielsweise Ihrer Bank, sondern auf die Website des Betrügers. Alle Daten, die Sie hier angeben, werden an den Angreifer gesendet, der dann damit illegal auf Ihr Konto zugreift. Sobald der Gauner Zugriff auf Ihr Konto hat, kann er es auf verschiedene Weise für betrügerische Zwecke nutzen. Dabei kommt es darauf an, um was für ein Konto es sich handelt. Wenn es sich um eine Website für E-Banking handelt, kann der Hacker mit Ihrem Geld bezahlen oder Überweisungen tätigen; bei einem E-Mail-Konto erhalten die Betrüger Zugriff auf private Unterhaltungen oder können es missbrauchen, indem sie zum Beispiel Spam an andere Benutzer schicken

Wie kann man eine Phishing-Nachricht beim einfachen Anschauen erkennen?

Je mehr Phishing-Nachrichten Sie im Laufe der Zeit bekommen, umso schneller erkennen Sie diese auf den ersten Blick. Oft sind diese Nachrichten voller Rechtschreibfehler, weil der Angreifer kein deutscher Muttersprachler ist. Außerdem ist die Nachricht unpersönlich gehalten. Sie beginnt mit "Hallo" oder "Sehr geehrte Damen und Herren" und nicht mit Ihrem Benutzernamen oder Ihrem vollständigen Namen. Im Gegensatz zu legitimen Nachrichten von Ihrer Bank oder Ihrem E-Mail-Provider oder einem Unternehmen werden in Phishing-Nachrichten weder Ihr vollständiger Name noch Ihr Benutzername genannt. Mit dieser Masche soll jeder Empfänger hereingelegt werden, nicht nur Sie. Und da die Angreifer nicht wissen, wer Sie sind, hoffen sie einfach darauf, dass Sie ein Konto bei dem betreffenden Unternehmen haben.

Außerdem unterscheidet sich der Link, auf den Sie klicken sollen, von der URL, die Sie im Browser eingeben, um auf die echte Website des Unternehmens zu gelangen. Oft beginnt die URL mit einer IP-Adresse.

Wie können Sie sich vor Phishing schützen?

Abwehrmanahmen gegen Phishing sind auf mehreren Ebenen möglich und erforderlich. Die erste Verteidigungslinie ist ein Spam-Filter - eine solche Lösung ist in der Regel in Ihre Antivirensoftware integriert und filtert Junk-E-Mails aus den legitimen E-Mails heraus. Durch einen guten Anti-Spam-Filter können Phishing-Versuche gleich im Keim erstickt werden, sodass Sie den Köder, der Ihnen geschickt wird, gar nicht erst sehen.

In der zweiten Verteidigungsebene ist ein Anti-Phishing oder Anti-Fraud-Modul aktiv - dies ist eine weitere Komponente Ihres Virenschutzprogramms, das die Webseite analysiert, auf der Sie landen, und ermittelt, ob diese Seite zum Abgreifen Ihrer Daten erstellt wurde. Selbst wenn Sie auf den Betrug hereingefallen sind und die Phishing-Nachricht geöffnet haben, sollte das Anti-Phishing-Modul Sie daran hindern, geheime Informationen (unter anderem Kreditkartennummer, Ablaufdatum, Prüfnummer oder PIN) einzugeben.

Und zu guter Letzt sollte die Einrichtung einer Zwei-Faktor-Authentifizierung für das Konto sicherstellen, dass sich jemand selbst dann, wenn er Ihre Anmeldedaten ergaunert hat, nicht ohne ein zweites Passwort, das von dem Dienst an Ihr Mobilgerät gesendet wird, oder ein vom Anbieter zur Verfügung gestelltes Token anmelden kann. Hier finden Sie ein richtig gutes Tutorial von Bitdefender (in englischer Sprache), in dem Sie erfahren, wie man für die beliebtesten Web-Dienste eine Zwei-Faktor-Authentifizierung einrichtet.

Der Oktober ist der Monat der Cybersicherheit. Hier finden Sie unsere 12 Artikel zum ABC der Cybersicherheit sowie 5 Bonusartikel zu Android-Bedrohungen.