Immer mehr Leute in Deutschland werden Opfer einer Phishing-Attacke. Sie geben ihre Daten unwissend an Betrüger weiter, welche diese zu kriminellen Zwecken missbrauchen. Personen, die auf die Masche hereinfallen, verlieren oft hohe Geldsummen, setzen ihre Privatsphäre aufs Spiel und geraten im schlimmsten Fall sogar ins Kreuzfeuer weiterer Betrüger. Aber was genau ist Phishing überhaupt, wie funktioniert es und weshalb ist es so gefährlich?
Unterschiedliche Arten von Phishing-Angriffen, Ziele der Cyberkriminellen und Präventionsmaßnahmen, die du ergreifen kannst: Hier wird dir Phishing einfach erklärt.
Inhaltsverzeichnis
Was ist Phishing?
Phishing ist ein Kunstwort, dessen Bedeutung vom englischen „fishing“ also Fischen abstammt. Dies hat damit zu tun, dass die Betrüger beim Phishing nach Daten „fischen“, indem sie ihre Opfer ködern. Dieses Ködern geschieht dabei meist über sogenannte Phishing-E-Mails oder Phishing-Websites – mehr dazu später.
Grob gesagt geht es aber darum, dass die Täter durch Nachahmung von bekannten Organisationen und einem falschen Vorwand den Menschen sensible Informationen entlocken. Häufig geht es dabei um Zugangsdaten für Online-Profile, Kreditkartendaten oder Bankinformationen.
Die Folgen davon sind weitreichend. Das Bundeskriminalamt BKA und der Digitalverband Bitkom schätzen den jährlichen Schaden für die deutsche Wirtschaft durch Phishing-Angriffe auf einen dreistelligen Milliardenbetrag. Fakt ist, dass Behörden und Organisationen wie die Anti Phishing Working Group beobachten, dass Phishing-Angriffe in den letzten Jahren extrem zugenommen haben. Das spricht dafür, dass die Methode für die Angreifer nach wie vor enorm profitabel ist.
Phishing einfach erklärt: wie funktioniert es?
Wie bereits erwähnt, geht es beim Phishing (wie beim richtigen Fischen) darum, das Opfer mit einem Köder zu locken und dann die Beute an Land zu ziehen. Am häufigsten geschieht dies über Phishing-E-Mails und Phishing-Websites. Dabei handelt es sich um gefälschte Inhalte, die denen einer echten Organisation ähneln. Besonders beliebt sind gefälschte Webseiten oder E-Mails von Banken, Versicherungen, Social-Media-Plattformen, Speditionsdiensten, Behörden und Software-Diensten.
Unter einem Vorwand wie einer Kontenblockierung, einem Gewinnspiel oder der Zahlung einer Gebühr wirst du dazu verleitet, deine Daten anzugeben. Da die Inhalte der E-Mail oder der Webseite dem Original stark ähneln, erkennst du den Fake möglicherweise nicht und fällst auf den Betrug herein.
Phishing-Beispiele: verbreitete Arten
Phishing ist ein Oberbegriff, der eine Bandbreite an verschiedenen Betrugsversuchen zusammenfasst, bei denen Kriminelle digital nach deinen Daten fischen.
Classic-Phishing
Der Begriff Classic-Phishing, also „klassisches“ Fischen, beschreibt das, was generell als herkömmliches Phishing verstanden wird. Die Phisher fälschen Webseiten von bekannten Organisationen und Behörden und verleiten die Leute unter einem Vorwand dazu, ihre Daten anzugeben. Oft werden die Opfer über einen Link in einer Phishing-E-Mail auf die Seite gelockt. Doch auch Pop-ups und Werbeanzeigen auf unseriösen Webseiten können zu Phishing-Websites führen. Häufige Formen des herkömmlichen Phishings umfassen vermeintliche Anfragen zum Datenschutz, Gewinnspiele, Sicherheitsüberprüfungen, Aufforderungen zur Aktualisierung von Daten und Mitteilungen über Kontobeschränkungen. Auch Anbieter von Datei-Sharing oder Dienste zur Internet-Datenübertragung werden oft für Phishing-Attacken nachgeahmt.
Spear-Phishing
Spear-Phishing ist inspiriert vom Speerfischen, der gezielten Unterwasserjagd mittels Speer oder Harpune. Dieser Vergleich ist äußerst treffend, da die Kriminellen beim Spear-Phishing ebenfalls zielgerichtet bestimmte Personen ins Visier nehmen. Anders als beim herkömmlichen Phishing versenden die Täter also keine generellen Phishing-E-Mails an eine breite Masse, sondern suchen sich strategisch bestimmte Opfer aus. Spear-Phishing kommt beispielsweise dann zum Einsatz, wenn Kriminelle sich Zugang zu einem Unternehmen verschaffen möchten. Sie koordinieren die Phishing-Attacke und schneiden eine E-Mail so zu, dass sie für einen bestimmten Mitarbeiter interessant ist.
Smishing
Neben dem klassischen Phishing per E-Mail oder Webseite ist Smishing, kurz für SMS-Phishing, eine der am weitesten verbreiteten Arten des Phishings. Die Mehrheit der deutschen Bevölkerung hat ein Smartphone und nutzt dieses mehrmals täglich. Dazu kommt, dass viele Menschen SMS gegenüber weniger skeptisch sind als gegenüber E-Mails. Unter dem Eindruck von Rabattaktionen, Gutscheinen, Gewinnen etc. zu profitieren, klicken sie auf gefährliche Links.
Vishing
Vishing steht für Voice Phishing. Hierbei wirst du durch einen verpassten Anruf zum Rückrufen verleitet. Ein automatisiertes System ruft an und legt sofort auf. Rufst du zurück, erreichst du die Täter. Diese geben sich meist als vertrauenswürdige Person aus, etwa als Bankmitarbeiter. Sie behaupten dann, dein Konto sei missbraucht worden und deine Daten müssten verifiziert werden. Hier fließen Elemente des Social Engineerings ein, in dem die Betrüger ihre Opfer unter Druck setzen und sie etwa dazu manipulieren, die Anmeldedaten fürs E-Banking anzugeben oder Geschenkkarten zu kaufen.
Whaling
Whaling ist eine eigene Art des Spear-Phishings und zielt auf hochrangige Führungskräfte ab. Diese Cyberangriffe sind besonders raffiniert und maßgeschneidert, oft mit täuschend echten E-Mails und Websites, die Namen und Positionen der Opfer enthalten. Im Gegensatz zu breit angelegtem Phishing oder zielgerichtetem Spear-Phishing erfordert Whaling eine besonders detaillierte Vorbereitung und bietet hohe Erfolgsaussichten. Diese Art des Betruges kann Schäden in Millionenhöhe auslösen.
Spoofing
Beim Spoofing geben sich Angreifer als vertrauenswürdige Kontakte oder bekannte Unternehmen aus. Ihr Ziel? Sie wollen an deine persönlichen Daten gelangen. Sie kopieren das Aussehen vertrauenerweckender Websites oder senden Nachrichten, die täuschend echt wirken. Technische Varianten wie DNS- oder IP-Spoofing manipulieren den Internetverkehr oder täuschen Netzwerke mit gefälschten IP-Adressen. Diese Angriffe dienen oft dazu, Malware zu verbreiten oder Daten unbemerkt zu stehlen. Häufig nutzen Hacker E-Mail-Spoofing, um dich durch Phishing zu täuschen.
Clone-Phishing
Bei einer Clone-Phishing-Attacke kopieren Täter eine echte E-Mail, die du schon erhalten hast, und schicken eine fast identische Version davon. Diese neue E-Mail kommt von einer Adresse, die seriös erscheint. Doch Vorsicht: Alle Links und Anhänge sind jetzt mit Schadsoftware versehen. Die Betrüger behaupten oft, es habe in der vorherigen E-Mail Probleme gegeben, um dich zum Klicken zu verleiten. Da du den Inhalt bereits kennst, hoffen sie, dass du weniger misstrauisch bist.
Watering Hole Phishing
Beim sogenannten Watering Hole Phishing (zu Deutsch Wasserloch-Phishing) lauern die Angreifer wie Krokodile an einer Wasserstelle und warten auf ihre Beute. Online suchen sie gezielt nach Websites, die du oder deine Mitarbeiter oft besuchen. Häufig handelt es sich dabei um Seiten von regelmäßig genutzten Lieferanten. Diese Seiten präparieren sie so, dass beim Besuch automatisch Malware auf deinem Computer installiert wird. Einmal aktiviert, verschafft sich die Schadsoftware Zugang zu deinem Netzwerk, den Servern und sensiblen Daten, einschließlich persönlicher und finanzieller Informationen.
Evil Twin
Evil Twin Phishing-Angriffe nutzen ein gefälschtes WLAN-Netzwerk, das einem legitimen zum Verwechseln ähnlich sieht. Nutzer verbinden sich unwissentlich mit diesem Netzwerk. Die Hacker können dann alles überwachen, von Netzwerkverkehr bis zu privaten Anmeldedaten. Zuerst wählen die Betrüger einen Ort mit beliebtem, kostenlosem WLAN wie Flughäfen oder Cafés. Dort richten sie einen Zugangspunkt ein, der denselben Namen wie das echte Netzwerk trägt. Oft nutzen sie dazu Geräte wie Laptops oder tragbare Router. Sie erstellen eine gefälschte Log-in-Seite, die du beim Verbinden siehst und auf der du deine Daten eingibst. Sobald du verbunden bist, kann der Angreifer deinen gesamten Online-Verkehr überwachen und Log-in-Daten sammeln. Dies ist besonders riskant, wenn du dieselben Zugangsdaten für mehrere Konten verwendest.
Pharming
Pharming ist eine raffinierte Form des Phishings, die ohne dein aktives Zutun funktioniert. Anders als beim Phishing, wo du auf einen betrügerischen Link klicken musst, leitet dich Pharming automatisch um. Gibst du die richtige URL ein, landest du trotzdem auf einer gefälschten Webseite. Cyberkriminelle manipulieren dabei die Wege, wie das Internet Verbindungen herstellt. Es gibt zwei Hauptarten von Pharming-Angriffen: Malware-basierte und DNS-Server-basierte. Bei der ersten Methode verändern Angreifer den DNS-Cache deines Computers, bei der zweiten greifen sie direkt die DNS-Server an. Beide Methoden führen dazu, dass du unbemerkt auf manipulierte Seiten umgeleitet wirst, selbst wenn du glaubst, die korrekte Adresse eingegeben zu haben. Dies macht Pharming besonders hinterhältig und gefährlich.
Weitere Phishing-Beispiele
- Angling
- Dyre-Phishing
- Social Media Phishing
- Google Docs Phishing
- Suchmaschinen-Phishing
- HTTPS-Phishing
- MITM-Phishing
Wie entdeckst du Phishing?
Phishing zu erkennen, ist nicht immer einfach. Die Methoden werden immer ausgefeilter und sind oft nicht auf den ersten Blick als Betrug erkennbar. Dennoch gibt es ein paar Möglichkeiten, die Warnsignale ausfindig zu machen:
Achte auf E-Mails oder Nachrichten mit ungewöhnlicher oder dringender Sprache. Fehler in der Rechtschreibung und Grammatik sind oft Warnsignale. Überprüfe die Absenderadresse genau; sie kann auf den ersten Blick seriös wirken, weist jedoch manchmal kleine Abweichungen auf. Sei misstrauisch bei Links. Fahre mit dem Mauszeiger darüber, um zu sehen, wohin sie tatsächlich führen, ohne zu klicken. Echte Unternehmen fordern dich nie auf, sensible Informationen per E-Mail zu bestätigen. Kontaktiere bei Zweifeln das Unternehmen direkt über einen verifizierten Kontaktweg. Wenn etwas zu gut ist, um wahr zu sein, wie ein unerwartetes Geschenk oder eine Drohung, ist Vorsicht geboten. Nutze Sicherheitstools und -software, um zusätzlichen Schutz zu gewährleisten.
Wie vermeidet man Phishing?
Folgend findest du Präventions-Tipps, wie du Phishing vermeiden kannst.
Nicht auf Links in E-Mails klicken
Sei vorsichtig mit Links in E-Mails, besonders wenn sie unerwartet kommen. Betrüger nutzen gefälschte Links, um dich auf schädliche Websites zu locken. Überprüfe immer den Absender und zögere nicht, direkt beim Unternehmen oder der Behörde nachzufragen, bevor du auf einen Link in einer E-Mail klickst.
Skepsis bei Pop-ups
Misstraue Pop-up-Fenstern, die auf Webseiten erscheinen, besonders wenn sie dich auffordern, persönliche Informationen anzugeben. Echte Unternehmen fragen dich nicht über solche Methoden nach sensiblen Daten.
Nie sensible Daten per Telefon oder E-Mail teilen
Gib niemals persönliche Informationen wie Passwörter oder Bankdaten per Telefon oder E-Mail preis. Seriöse Organisationen fordern diese Details nicht auf diesem Weg an.
Webseiten auf Vertrauenswürdigkeit prüfen
Prüfe die URL einer Webseite, bevor du persönliche Daten eingibst. Stelle sicher, dass die Adresse mit ‚https://‘ beginnt und ein Schloss-Symbol in der Browserleiste sichtbar ist, was auf eine sichere Verbindung hinweist.
Gesundes Misstrauen walten lassen
Bleibe immer skeptisch gegenüber Angeboten oder Warnungen, die zu gut oder zu dringend erscheinen, um wahr zu sein. Nimm dir Zeit, die Informationen zu überprüfen und lass dich nicht unter Druck setzen.
Verifizierungsprozesse und Datenschutz
Achte darauf, dass alle Websites und Dienste, die du nutzt, klare Verifizierungsprozesse und Datenschutzrichtlinien haben. Das schließt Zwei-Faktor-Authentifizierung und regelmäßige Updates der Sicherheitsmaßnahmen ein.
Vorsicht bei doppelten E-Mails
Wenn du ähnliche E-Mails doppelt erhältst, besonders mit leicht unterschiedlichen Details, sei vorsichtig. Dies kann ein Zeichen für Clone-Phishing sein, bei dem Betrüger versuchen, dich mit verschiedenen Versionen einer Nachricht zu täuschen.
Keine unbekannten Nummern zurückrufen
Rufe keine unbekannten Nummern zurück, besonders wenn sie in kurzer Zeit mehrfach anrufen, ohne eine Nachricht zu hinterlassen. Dies könnte ein Vishing-Versuch sein, um deine persönlichen Daten zu erfragen.
Neuer E-Mail-Account einrichten
Wenn du oft suspekte E-Mails erhältst, ist es wahrscheinlich, dass deine E-Mail-Adresse in zwielichtigen Listen hinterlegt ist und an Betrüger verkauft wird. Um das Risiko zukünftiger Phishing-Angriffe zu reduzieren, kannst du dir eine neue E-Mail-Adresse einrichten.
Ein VPN nutzen
Ein VPN (Virtual Private Network) hilft, deine Online-Identität und Aktivitäten zu verschleiern. Es schützt dich vor Hackern und Schnüfflern, besonders wenn du öffentliches WLAN benutzt.
Alt ID nutzen
Mit der Alt ID von Surfshark bewegst du dich anonym im Netz und schützt deinen Datenverkehr. Deine virtuelle Identität beinhaltet zudem ein E-Mail-Konto, wodurch dein echter Account unter Verschluss bleibt.
Was tun, wenn du Opfer von Phishing wirst?
Wenn du Opfer einer Phishing-Attacke geworden bist, gibt es mehrere Schritte, die du sofort ergreifen solltest. Ändere zunächst deine Passwörter, besonders wenn es um soziale Netzwerke oder Online-Shops geht. Falls die Betrüger dein Passwort bereits geändert haben, kontaktiere den Anbieter, um den Zugang sperren zu lassen. Solltest du Bank- oder Kreditkartendaten preisgegeben haben, sperre umgehend deine Konten und Karten, um zu verhindern, dass Geld abgebucht wird. Informiere auch das betroffene Unternehmen, das im Phishing-Versuch nachgeahmt wurde. Häufig können Banken bereits abgebuchtes Geld zurückbuchen.
Zudem kannst du bei der Polizei eine Anzeige aufgeben. Dies ist kostenlos und hilft, Muster von Phishing-Angriffen zu erkennen und die Täter zu fassen. Die Polizei wird dich unterstützen und beraten, wie du weiter vorgehen kannst.
Falls bereits Geld abgebucht wurde, ist die Lage leider etwas komplizierter. Viele Banken übernehmen die Haftung nicht, wenn du auf Phishing-Angriffe hereingefallen bist, da du eine Geheimhaltungspflicht deiner Daten hast. Trotzdem bieten viele Banken Unterstützung an und arbeiten mit dir zusammen, um den Schaden zu minimieren.
Echte Phishing-Beispiele aus Deutschland
Paketgebühr
Einige der häufigsten Phishing-Nachrichten in Deutschland gehören zum sogenannten Paketgebühr-Scam. Bei diesem Phishing-Beispiel erhältst du per E-Mail oder SMS eine Nachricht, dass du die Zoll- oder Liefergebühr für ein Paket nachzahlen musst. Da im Zeitalter des Online-Shoppings viele Leute tatsächlich ein Paket erwarten, fallen sie auf die Phishing-Mails rein und geben ihre Kreditkartendaten an. Anstelle der angezeigten ein oder zwei Euro werden jetzt jedoch regelmäßig Beträge im drei- oder vierstelligen Betrag abgebucht.
Sei bei E-Mails zur Nachzahlung von Gebühren skeptisch und überprüfe die Trackingnummer. Sperre deine Kreditkarte sofort, wenn du unbekannte Belastungen entdeckst.
Einkaufsgutschein
Per SMS oder Pop-up wirst du darüber informiert, dass du einen Einkaufsgutschein bei einer bekannten Ladenkette gewonnen hast. Um den Gutschein zu erhalten, musst du lediglich deine persönlichen Daten auf der Webseite der Ladenkette eingeben. Leider sind die Gewinnmeldung und die Webseite gefälscht und deine persönlichen Daten werden an zwielichtige Gruppen verkauft, die weitere Betrugsversuche vornehmen werden.
Bei Gewinnen im Internet ist Skepsis angebracht, besonders wenn du nie an einem Wettbewerb teilgenommen hast.
Online-Banking Kennwort
Hier erhältst du eine Phishing-Mail, die als Nachricht von deiner Bank getarnt ist. Deine Bank teilt dir mit, dass sie dein Kennwort vergessen haben oder dass du dich aus einem trivialen Grund einloggen musst. Natürlich ist deine Bank nicht der Absender dieser E-Mail und der Link führt auf eine gefälschte Website. Wenn du dich nun einloggst, gibst du den Betrügern dein Passwort bekannt.
Greife nur über die App oder die Webseite auf dein Online-Banking zu und nie über einen Link. Deine Bank wird dich nicht per E-Mail nach deinem Passwort fragen.
Unbefugter Zugriff
Eine weitere perfide Masche ist es, dass du eine Mitteilung erhältst, die dich vor einem unbefugten Zugriff auf einen deiner Online-Accounts warnt. Betroffen sind häufig Online-Dienste oder Social-Media-Plattformen. Um dein Profil abzusichern, wird dir empfohlen, dein Passwort zurückzusetzen. Damit gibst du den Cyberkriminellen dein Log-in bekannt.
Öffne die Log-in-Seite von Online-Diensten nie über einen Direktlink, den du per E-Mail oder SMS-Nachricht erhalten hast. Aktiviere zudem die 2-Faktoren-Authentifizierung.
Tatvorwurf
Per Anruf, E-Mail oder SMS- bzw. Social-Media-Nachricht wirst du informiert, dass dir rechtliche Konsequenzen drohen. Die als Behörde getarnten Betrüger werfen dir beispielsweise den Konsum illegaler Inhalte oder Steuerdelikte vor. Ziel ist es, dich zu Zahlungen zu bewegen, an deine persönlichen Daten zu gelangen oder deinen Computer per E-Mail-Anhang mit Malware zu infizieren.
Im Falle einer Anzeige oder Strafuntersuchung gegen dich wirst du nicht über inoffizielle Kanäle informiert werden. Wenn du unsicher bist, ob du tatsächlich etwas falsch gemacht hast, kannst du dich direkt bei der entsprechenden Behörde melden.
FAQs
Was ist der Unterschied zwischen Phishing und Spam?
Phishing ist das gezielte Ködern mit dem Ziel, an deine Daten zu gelangen. Spam hingegen beschreibt lediglich den ungezielten Massenversand von Werbung und unseriösen Angeboten.
Gehört Phishing zur Cyberkriminalität?
Ja, Phishing ist eine Art der Cyberkriminalität. Zwar bewegen sich manche Phisher in einer rechtlichen Grauzone, in den meisten Fällen machen sie sich jedoch strafbar.
Wie verbreitet ist Phishing in Deutschland?
Phishing ist in Deutschland, wie beinahe überall auf der Welt, leider sehr verbreitet. Die Anzahl der Phishing-Attacken nimmt weiter zu. Da die Betrüger oft organisiert sind und international agieren, ist es schwierig, sie zu fassen.
