Die Tricks der Passwort-Angler
Was Sie zu Phishing wissen müssen
17. Mai. 2024 –
Netflix informiert über eine blockierte Zahlung, die Postbank hat das Konto aus Sicherheitsgründen deaktiviert und Paypal will die Sicherheitsbestimmungen aktualisieren. Alle drei Mails der vergangenen Wochen haben eins gemeinsam: Sie sind gefälscht und wollen an die Kontodaten der Empfänger. Ein kleiner Leitfaden zum Phishing.
Was ist Phishing?
Der Begriff steht für eine besondere Form von Kriminalität im Internet. Er ist zusammengesetzt aus den englischen Worten „password“ und „fishing“ – Passwort angeln. Kriminelle versuchen, mit E-Mails, SMS oder etwa Whatsapp-Nachrichten Zugangsdaten zum Beispiel zu Bankkonten zu bekommen und dann dort Geld zu stehlen. Oft werden die Daten auch weiterverkauft.
Wie gehen die Täter vor?
Es gibt verschiedene Tricks. Der Klassiker ist eine E-Mail, die aussieht, als komme sie von einer Bank. Vermeintliche Absender können auch ein Paketdienst sein, ein Streamingdienst oder ein Hotelbuchungsportal. In der Mail wird auf einen Fehler hingewiesen, etwa bei der Buchung oder beim Bankzugang, und gebeten, einen Link anzuklicken. Oder der Empfänger wird aufgefordert, die TAN-Liste des Kontos zu aktualisieren oder eine Buchung zu stornieren. Der Link führt dann auf eine Internetseite, die täuschend echt aussieht, aber gefälscht ist. Wer hier die Bankzugangsdaten eingibt, meldet sich dann nicht bei seinem Konto an, sondern liefert den Kriminellen die Informationen. Nachrichten, die auf gefälschte Seiten verweisen, können auch bei Facebook, X (vormals Twitter), Whatsapp oder einem anderen Kurznachrichtenportal versandt werden.
Neu sind QR-Codes in Mails oder Nachrichten. Das QR steht für quick response, schnelle Antwort. Der Begleittext fordert auf, den Code mit dem Mobiltelefon zu scannen, um zum Beispiel eine Rechnung zu öffnen oder schnell auf das Konto zuzugreifen. Auch dieser Code führt auf eine gefälschte Seite.
Woran erkennt man ein gefälschtes Schreiben?
Wer kein Kunde des Unternehmens ist, das die Mail angeblich geschickt hat, wird sie sofort als falsch erkennen und löschen. Andere gefälschte Schreiben entlarven sich durch Kleinigkeiten im Absender, etwa wenn die Mail vom Karrierenetzwerk LinkedIn kommen soll, im Absender aber als Linked-in auftaucht. Auch der angegebene Link kann Hinweise geben. Wer mit der Maus drüberfährt, ohne zu klicken, sieht die dahinterliegende Internetadresse angezeigt. Bei Vijsa.com statt Visa.com sollte man vorsichtig sein. Gleiches gilt für ergänzte Adressen wie Paypal-zahlen.de. Gefälschte Nachrichten verraten sich auch durch allgemeine Anreden sowie Schreib- oder Grammatikfehler, wobei die Täter inzwischen Programme nutzen, um ihre Mails oder Nachrichten echter aussehen zu lassen. Der Bankenverband rät, ein digitales Schreiben mit anderen zu vergleichen, die man bereits bekommen hat. Außerdem nutzen vor allem Banken und Sparkassen üblicherweise keine SMS oder Mails, um ihre Kunden anzusprechen oder gar nach sensiblen Daten zu fragen. Ist der Absender unbekannt, empfiehlt es sich grundsätzlich, skeptisch zu sein. Im Phishing-Radar der Verbraucherzentralen sind zudem viele der neuesten Tricks aufgeführt.
Wie kann man sich schützen?
Grundsätzlich sollten Sie Passwörter und Zugangsdaten nie für mehrere Webseiten gleichzeitig verwenden. Sonst haben Täter bei erfolgreichem Phishing möglicherweise noch mehr Zugriff. Haben Sie merkwürdige Post erhalten, bewahren Sie Ruhe, auch wenn die Mail oder Nachricht eine Frist setzt oder drängt, sofort zu handeln. Fragen Sie sich: Habe ich gerade etwas gebucht? Ein Paket über den Paketversender bestellt? Erwarte ich Post von der Bank? Melden Sie sich bei einem Buchungsportal oder Kreditinstitut grundsätzlich über den Weg im Internet an, den Sie sonst auch nutzen: Tippen Sie die Adresse im Browser ein, nutzen Sie die App oder Lesezeichen. Sie halten den Absender für unseriös? Dann kontaktieren Sie das Unternehmen, von dem Mail oder SMS stammen sollen, direkt etwa per Telefon. Klicken Sie nicht auf den Link. Antworten Sie nicht.
Ich habe auf den Link geklickt. Was nun?
Es kann sein, dass Sie sich jetzt ein Schadprogramm eingefangen haben, dass den Rechner nach Passworten scannt. Sie sollten das Antivirenprogramm, das Sie nutzen aktualisieren und laufen lassen. Suchen Sie im Zweifel professionellen Rat.
Ich habe meine Daten eingegeben. Was tue ich?
Informieren Sie Ihr Kreditinstitut und sperren Sie sofort das betroffene Konto und die dazugehörigen Karten. Lassen Sie ein aktualisiertes Antivirenprogramm laufen. Ändern Sie auch die Online-Zugangsdaten bei anderen Banken, Streamingdiensten oder dort, wo Sie sich sonst noch anmelden. Nutzen Sie am besten einen anderen Rechner dafür. Stellen Sie Strafanzeige und löschen Sie die Mail oder Nachricht, auf die Sie hereingefallen sind, nicht. Sie ist ein Beweismittel.
Wie hoch ist der Schaden?
Die internationale Anti-Phishing-Initiative APWG hat 2023 rund fünf Millionen Phishing-Angriffe verzeichnet. 2022 waren es 4,7 Millionen. Tendenz deutlich steigend. Wie hoch die Schäden beim Verbraucher sind, ist nicht genau erfasst. Der durchschnittliche Schaden im vierten Quartal 2023 Phishing über Geschäftsmails betrug nach Zahlen des Sicherheitsunternehmens Forta im Schnitt rund 56.200 Dollar (52.000 Euro). Ein Quartal zuvor war es doppelt so viel.
Phishing-Radar der Verbraucherzentrale Nordrhein-Westfalen:
https://www.vz-nrw.de/phishing
Link zum BSI: