Passwortdiebstahl durch Phishing

8.02.2020

Spam verstopft nicht nur E-Mail-Postfächer und bahnt Betrugsversuche an, sondern infiziert oft auch das Empfängersystem mit einem Schadprogramm zum Ausspionieren persönlicher Daten: Phishing heißt diese Cybercrime-Spielart – ein Kunstwort, das sich aus Passwort und Fishing zusammensetzt. Das Fischen nach Passwörtern hört sich harmloser an, als es in der Realität tatsächlich ist. Denn Phishing steht am Anfang verschiedenartiger Delikte, die vom “einfachen” Datendiebstahl über illegale Kontoabbuchungen bis hin zu Angriffen auf kritische Infrastrukturen reicht. Das BSI berichtete in der Vergangenheit zum Beispiel auch über Phishing-Angriffe auf europäische und US-amerikanische Energieversorger – darunter auch Kernkraftwerksbetreiber.

Photo by Negative Space from PexelsLicense information


Spear-Phishing
Nicht alle Phishing-Mails landen im Gefolge einer ungezielten Spam-Welle im Postfach: Das sogenannte Spear-Phishing richtet sich gezielt gegen bestimmte Firmen oder Organisationen. Deshalb sind solche Phishing-Mails mit oft hohem Aufwand und viel Akribie auf einen ganz konkreten Empfänger zugeschnitten. Die Hintermänner gehören in solchen Fällen meist einer international organisierten Gruppe von Cyber-Kriminellen an. Spear-Phishing ist oft nur der Auftakt einer gestaffelten Angriffskette, bei der es häufig um Finanzbetrug, aber auch um das Abschöpfen von Geschäftsgeheimnissen oder militärischen Informationen geht.


Als seriöse Bank, Internetanbieter oder anderer Dienstleister getarnt, fordern SpamE-Mails mit gefälschtem Absender die Empfänger zum Beispiel zu einer vorgeblich notwendigen Aktualisierung ihrer persönlichen Daten auf. Als Vorwand für die Bestätigung von Kontoinformationen wird dann zum Beispiel der baldige Ablauf einer Kreditkarte genannt. Oder das Passwort müsse wegen eines angeblichen Sicherheitsvorfalls erneuert werden. Dabei spekulieren die Kriminellen darauf, dass sich unter den Empfängern einer Spam-Welle stets genügend Kunden der im Absender genannten Organisation befinden. Kein Wunder, dass der Name großer Bankengruppen wie die Sparkassen oder Volks- und Raiffeisenbanken so häufig für PhishingSpam missbraucht wird.

Phishing: Nachahmung von Websites bis zur Perfektion

Sowohl die PhishingMail selbst als auch die Website, auf die ein Link im Text verweist, sind dabei zumeist sorgfältig nachgeahmt. Cyber-Kriminelle verstehen ihr Handwerk. Allzu oft gelingt es ihnen, durch professionelle Imitation des Corporate Designs inklusive Logo, Farbgebung und Schriftarten der jeweiligen Organisation überzeugend Echtheit vorzutäuschen. Arglose Empfänger lassen sich so leichter dazu verleiten, auf einen Link in der Mail zu klicken – zumal er sich oftmals hinter einem perfekt designten Button verbirgt. Jetzt haben die Betrüger ihre Opfer genau da, wo sie sie hinhaben wollen: auf der gefälschten Website einer Organisation, die überall als vertrauenswürdig anerkannt ist.

Phishing in sozialen Netzen

Posts in sozialen Netzwerken können genauso wie der Link in der SpamE-Mail auf eine gefälschte Website führen. Hierbei sind es weniger Banken oder große Dienstleistungsunternehmen, die als fingierte Absender missbraucht werden, sondern vor allem bekannte Markennamen. Das Ziel der Phishing-Betrüger bleibt jedoch dasselbe – nämlich Vertrauen erschleichen und persönliche Daten abgreifen.

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Wie gefährlich ist Phishing?

Die volkswirtschaftlichen Schäden von Cyber-Delikten, die mit gezielten Phishing-Attacken beginnen, werden in Deutschland pro Jahr mindestens auf einen zweistelligen Millionenbetrag geschätzt.

Für Verbraucher und Verbraucherinnen ergeben sich je nach Zielrichtung eines Phishing-Angriffs unterschiedliche Risiken: Wer sich täuschen lässt und auf einer gefälschten Bank-Website arglos zum Beispiel seine Kreditkartennummer einschließlich Gültigkeitsdauer und Sicherheitscode eintippt, gibt den Tätern alles an die Hand, was sie für eine ausgiebige Internet-Shopping-Tour brauchen. Auch gefälschte Websites von Online-Versandhändlern zielen darauf ab, mit ausspionierten Account-Daten auf fremder Leute Kosten einzukaufen. Zu den Hauptgefahren von Phishing zählen demnach finanzielle Schäden.

Darüber hinaus aber bergen Phishing-Mails immer öfter zusätzliche Gefahren durch Malware-behaftete Datei-Anhänge: Jeder unbedachte Klick auf einen solchen bösartigen Anhang führt dann – vom Anwender meist unbemerkt – zu einer Infektion mit einem Schadprogramm . Dabei kann es sich ebenso um einen Trojaner handeln wie um Bots oder Ransomware.

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Wie erkenne ich Phishing-E-Mails?

Wenn Sie eine E-Mail erhalten, auf die eines der folgenden Merkmale zutrifft, sollten Sie misstrauisch werden. Denn dann handelt es sich mit hoher Wahrscheinlichkeit um eine Phishing-Mail:

  • Die Anrede ist unpersönlich, ohne Ihren Namen zu nennen: “Sehr geehrter Kunde …”.
  • Der Text der Mail schützt dringenden Handlungsbedarf vor, etwa: “Wenn Sie Ihre Daten nicht umgehend aktualisieren, dann gehen sie unwiederbringlich verloren …”.
  • Drohungen kommen zum Einsatz: „Wenn Sie das nicht tun, müssen wir Ihr Konto leider sperren …”.
  • Sie werden aufgefordert, vertrauliche Daten wie die PIN für Ihren Online-Bankzugang oder eine Kreditkartennummer einzugeben.
  • Die E-Mail enthält Links oder Formulare.
  • Der Nachrichtentext ist in schlechtem Deutsch verfasst.
  • Der Text enthält kyrillische Buchstaben, falsch aufgelöste oder gänzlich fehlende Umlaute – zum Beispiel a oder “ea” statt ä.

Aber Achtung: Anders als noch vor einigen Jahren weisen viele Phishing-Mails inzwischen keinerlei sprachliche Mängel mehr auf. Auch bei gut formuliertem Text sollten Sie deshalb wachsam sein.

Bei einer Phishing-Mail im HTML-Format verbirgt sich hinter dem angezeigten Absender oft eine andere E-Mail-Adresse. Ob dem so ist, können Sie auf verschiedene Weise feststellen: Wenn Sie Ihre E-Mails mit einem Browser verwalten, werfen Sie einen Blick auf den sogenannten Quelltext der HTML-Mail. In einem gängigen E-Mail-Programm können Sie den Cursor einfach mit der Maus über die Absenderzeile führen, aber ohne darauf zu klicken. Dann sehen Sie die, ob in der Absenderzeile eine andere Adresse eingebettet ist.

Quelle:Bundesamt für Sicherheit in der Informationstechnik

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Wie schützt man sich gegen Phishing?

Noch einmal die Grundregel vorweg: Kein Kreditkarteninstitut und kein seriöser Anbieter fordert Sie per E-Mail auf, vertrauliche Zugangsdaten preiszugeben – auch nicht um der Sicherheit willen.

Was Sie außerdem beachten sollten, wenn Sie Daten- oder Passwortdiebstahl entgehen möchten:

  • Überprüfen Sie stets die Adressleiste in Ihrem Browser. Am besten tragen Sie die Adressen zu häufig besuchten Login-Seiten in die Favoritenliste Ihres Browsers ein.
  • Klicken Sie niemals auf Links in einer dubiosen E-Mail.
  • Versuchen Sie im Zweifelsfall stattdessen, die im E-Mail-Text genannte Seite über die Startseite der betreffenden Organisation zu erreichen – also ohne den angegebenen Link in die Adresszeile des Browsers einzutippen.
  • Wenn Sie sich nicht sicher sind, ob eine E-Mail vielleicht berechtigter Weise nach vertraulichen Daten fragt, fragen Sie am besten telefonisch bei dem genannten Anbieter nach.
  • Geben Sie keinesfalls persönliche Daten wie Passwörter, Kreditkarten- oder Transaktionsnummern via E-Mail preis – egal, wie vertrauenserweckend die betreffende E-Mail erscheint.
  • Geben Sie persönliche Informationen nur in der gewohnten Weise etwa auf der Online-Banking-Website ein. Sobald Ihnen irgendetwas seltsam vorkommt, beenden Sie die Verbindung sofort und kontaktieren Sie den regulären Website-Betreiber.
  • Starten Sie niemals einen Download-Link direkt aus einer E-Mail heraus, auf deren Echtheit Sie sich nicht hundertprozentig verlassen können. Starten Sie, wenn möglich, einen Download stets direkt von der Anbieter-Website.
  • Öffnen Sie insbesondere niemals Dateien im Anhang einer verdächtigen E-Mail.
  • Beenden Sie jede Online-Session durch einen regulären Log-out – statt einfach nur das Browserfenster zu schließen.
  • Kontrollieren Sie regelmäßig den Saldo Ihres Bankkontos sowie Umsätze zum Beispiel von Internetzahlungsdienstleistern. So können Sie bei unbefugten Abbuchungen schneller reagieren.
  • Geben Sie niemals persönliche Daten auf Webseiten mit unverschlüsselter Verbindung ein. Ob eine Website verschlüsselt mit Ihrem Browser kommuniziert, erkennen Sie an der Abkürzung “https://” in der Adresszeile sowie an dem kleinen Vorhängeschloss- Symbol neben der Adresszeile des Browsers.
  • Achten Sie stets darauf, dass Ihre Antivirus-Software aktuell und die Firewall aktiv ist.

Weiterführende Informationen, wie Sie sich vor Phishing und den davon ausgehenden Gefahren schützen können, finden Sie im Sicherheitskompass der Polizei und des BSI. Sie es zu tun haben.

Quelle:Bundesamt für Sicherheit in der Informationstechnik

Vorsicht, Phishing! Betrügerische E-Mails erkennen

Nutzen Sie folgende Infografik als Erinnerung, wie Sie Phishing-Angriffe erkennen können.

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Beispiele für Phishing-Angriffe

Aktuelle Beispiele finden Sie u.a. auf der Homepage des Bundesamt für Sicherheit in der Informationstechnik.

Phishing: Checkliste für den Ernstfall

Das BSI und ProPK stellen eine Checkliste zum Them Phishing als Download bereit. Über folgenden Link können Sie sich die Checkliste als PDF herunterladen (ohne Gewähr):  >> Download Checkliste für den Ersntfall <<