Sicherheitslexikon: Phishing

Oft haben Online-Betrüger nur ein Ziel vor Augen: Sie wollen an das Geld ihrer Opfer gelangen. Einer der gängigsten Betrugswege im Netz ist „Phishing“. Damit ergaunern Kriminelle Kontodaten, Passwörter oder TANs. Die Folge: Finanzielle Schäden bei den Opfern. Üblicherweise startet ein solcher Angriff mit einer persönlich gehaltenen, offiziell anmutenden E-Mail oder dem Massenversand von E-Mails. Die Nachricht fordert den Empfänger auf, eine Website aufzurufen, die dem Original der Bank, des E-Commerce-Anbieters oder Paketdienstes gleicht. Der Unterschied: Die Phishing-Seite liest die eingegebenen Zugangsdaten mit, die Hintermänner haben damit Zugriff auf das Konto des Opfers.

Relativ neu beim Phishing ist der Einsatz von Trojanern: Sie klinken sich in die Kommunikation von Anwender und Website der Bank ein und leiten das Opfer dann auf eine präparierte Website – die klassische Phishing E-Mail entfällt. Kriminelle überlisten auf diese Weise sogar das sonst als vergleichsweise sicher geltende i-TAN-Verfahren.

Besonders schwierig zu entdecken sind sogenannte Spear-Phishing-Angriffe. Das Grundprinzip – Opfer auf präparierte Seiten locken – ist gleich. Allerdings haben es die Hacker auf ganz spezielle, ausgewählte Opfer, wie Mitarbeiter oder Kunden einer bestimmten Bank oder Firma abgesehen. Diese Nachrichten werden nicht massenhaft versandt und sind damit auch schwieriger zu entdecken.

Der beste Schutz vor Phishing ist der gesunde Menschenverstand. Je besser Anwender informiert sind, desto leichter erkennen sie zweifelhafte E-Mails. Dies klingt leichter, als es ist. Denn zahlreiche Phishing-Kampagnen sind inzwischen so gut gemacht, dass selbst Experten erst auf den enthaltenen Link klicken müssen, um das wahre Ziel zu erkennen.

Darüber hinaus reduziert eine gute Sicherheitssoftware das Risiko natürlich. Die Anwendung sollte immer folgende Elemente prüfen:

  • E-Mails auf Spam und Phishing
  • Webseiten auf Drive-by-Downloads und andere Infektionen
  • Internetadressen (URLs) gegen eine bekannten Liste mit Phishing-Webseiten
  • Alle vom Anwender herunter geladenen oder per E-Mail empfangenen Dateien auf Malware

Übrigens: Ganz ohne Phishing kommen Abzocker auf Plattformen wie eBay aus. Hier müssen sie nur mit der Gier ihrer Opfer spielen und begehrenswerte Waren wie Smartphones, Tablets, Uhren oder Autos zu konkurrenzlos günstigen Preisen anbieten – schon geraten unachtsame Anwender in die Falle. Auch hier schützt in erster Linie der gesunde Menschenverstand: Was zu schön ist, um wahr zu sein, ist in aller Regel auch nicht wahr. Sondern ein Betrugsversuch.