Phishing ist ein Kunstwort, das sich vom englischen „fishing“ ableitet. Gemeint ist damit das „Angeln“ nach Passwörtern und anderen persönlichen Daten. Phishing gibt es in vielen unterschiedlichen Erscheinungsformen. Die Kriminellen versuchen, Internetnutzer über E-Mails, Messenger, Webseiten oder soziale Netzwerke zur Preisgabe von Daten oder zum Download von Schad-Software zu verleiten. Manchmal ist die Betrugsabsicht so einfach zu erkennen, dass wohl niemand darauf hereinfällt. Oft arbeiten die Täter jedoch mit Tricks des Social Engineering. Sie spielen mit Neugier oder Angst, und dann lassen die potenziellen Opfer alle Vorsicht vergessen. Wenn dann auch noch die E-Mails oder die Webseiten professionell und fehlerfrei gestaltet sind, können die Kriminellen ihre Kampagne wahrscheinlich mit hohen Erfolgsaussichten durchführen. Wer jedoch die Techniken der Täter kennt, kann sich erfolgreicher vor solchen Betrügereien schützen.
Gefährliche E-Mails
Die Spam-Filter der E-Mail-Anbieter sorgen dafür, dass Phishing-E-Mails nicht massenhaft in den Postfächern der Nutzer landen. Ein paar kommen jedoch immer durch, denn die Filter können nicht lückenlos zwischen unerwünschten und erwünschten Nachrichten unterscheiden, und manchmal dauert es einige Zeit, bis ein Absender auf die schwarze Liste gesetzt und dann blockiert wird. Die eingehenden Nachrichten haben dann Titel wie „Deutsche Post. Sie mussen eine Postsendung abholen“, „Bitte Verifizieren Sie ihre Kreditkarte“ oder „Ihren Fahrkartenkauf (Auftrag EW6PSV)“. Wer jetzt gerade ein Paket erwartet oder einer Fahrkarte online gekauft hat, öffnet dann vielleicht den Dateianhang oder klickt auf einen der enthaltenen Links. Oder der Empfänger glaubt an einen Irrtum und sieht sich daher die angehängte Datei an. Damit gelangt dann Schad-Software auf den Rechner, über die sich Kontodaten ausspionieren lassen oder über die weitere Schadprogramme auf den Rechner gelangen können. Bei den genannten Beispielen, die alle von echten Spam-E-Mails aus der letzten Zeit stammen, gibt es jedoch Indizien für die unseriöse Herkunft. Die Betreffzeilen und der Nachrichtentext enthalten Rechtschreibfehler, bei denen man erahnen kann, dass die Verfasser Deutsch nicht als Muttersprache beherrschen. Theoretisch kann das zwar auch bei offiziellen E-Mails deutscher Unternehmen vorkommen, das sollte aber eher die große Ausnahme bleiben.
So gehen Sie mit Phishing und Spam um
Gefälschte Webseiten
Phishing-E-Mails enthalten oft keine Schadsoftware im Anhang, sondern Links auf Webseiten. Kriminelle bauen die Webseiten bekannter Banken oder Dienstleiter möglichst detailgetreu nach und locken ihre Opfer auf diese Seiten. Die Links werden auch auf anderen Wegen verbreitet, etwa über Forenbeiträge oder Facebook. Unter einem Vorwand werden die Besucher auf der gefälschten Webseite aufgefordert, Benutzernamen, Passwort und weitere Infos wie TANs (Transaktionsnummern) einzugeben. Inzwischen kommt allerdings hauptsächlich mTAN (Mobile TAN) zum Einsatz, welche die Bank per SMS an das Mobiltelefon sendet. Diese Zwei-Wege-Authentifizierung hat den Schutz verbessert. Trotzdem gibt es weiterhin Betrugsfälle, bei denen über eine Phishing-Seite und einen Trojaner zuerst das Smartphone manipuliert wird. Die SMS mit der mTAN geht dann direkt an die Kriminellen, die damit jede beliebige Überweisung bestätigen können. Der Weg über einen Trojaner ist jedoch kompliziert und verlangt vom Nutzer zusätzliche Schritte. Einfacher und damit erfolgreicher sind Phishing-Versuche, die weniger abgesicherte Dienste im Visier haben. Hier bieten sich etwa Paypal-Konten an. Unter der Überschrift „Bequem bezahlen“ wirbt Paypal mit dem Satz „Sobald Sie ein PayPal- Konto haben, zahlen Sie nur noch mit Ihrer E-Mail-Adresse und Ihrem Passwort“. Die Bequemlichkeit hat jedoch ihren Preis. Wenn Kriminelle über eine Phishing-Seite E-Mail- Adresse und Passwort eines Paypal-Nutzers in Erfahrung bringen, können sie das Konto beliebig belasten. Ähnliches gilt auch für Online- Shops, bei denen Bestellung und Bezahlung nur durch ein Passwort abgesichert sind. Der Schaden für den Kunden hält sich dabei jedoch in Grenzen. In der Regel wird der Rechnungsbetrag erstattet, wenn sich ein Missbrauch des Kontos nachweisen lässt. Das setzt jedoch voraus, dass der Kunde den Einbruch in das Konto rechtzeitig bemerkt.
Die 20 lustigsten Phishing-Mails
Schutz vor Phishing
Skepsis ist der beste Schutz vor Phishing-Attacken. Auch wenn Sie gerade einen Flug gebucht oder bei Ihrem Lieblings-Versandhändler etwas bestellt haben: Öffnen Sie keine E-Mail-Anhänge, die ZIP- oder EXE-Dateien enthalten. PDFs betrachten Sie am besten im Viewer von aktuellen Browsern wie Firefox oder Chrome, nicht mit dem anfälligen Acrobat Reader. Prüfen Sie genau, ob die E-Mail tatsächlich vom angeblichen Absender stammt. Genaueres über die Herkunft einer Nachricht verrät der E-Mail-Header. In Thunderbird beispielsweise öffnen Sie die fragliche Nachricht und gehen auf „Ansicht > Nachrichten- Quelltext“. Google-Mail-Nutzer klicken auf den Pfeil rechts oben in einer Nachricht und wählen im Menü „Original anzeigen“. Der Kopfbereich der meisten EMails enthält eine Fülle von Informationen. Sie müssen aber nur auf die Angaben hinter „Received: from“ achten. Hier stehen IP-Adressen und Domain-Namen. Wenn die Domain-Angabe vom Absender abweicht, handelt es sich mit ziemlicher Sicherheit um Spam. Beachten Sie auch, dass „update.firma. com“ und „update-firma.com“ nicht dasselbe sind. Bei ersterer handelt es sich um eine legitime Adresse von firma.com, die Zweite ist eine völlig eigenständige Domain, die Internet-Kriminellen gehören könnte. Nach IP-Adressen aus dem Quelltext forschen Sie über www.ripe.net (RIPE Network Coordination Centre). Geben Sie die IP-Adresse ins Eingabefeld unter „RIPE Database“ ein und klicken auf „Search“. Sie erhalten dann Informationen darüber, wo und von wem diese Nummer registriert wurde. Echtheit von Webseiten prüfen: Über die Adresszeile des Browsers lassen sich gefälschte Phishing-Seiten von echten unterscheiden. Zwar taucht in der Regel auch der Namen der angeblichen Bank oder des Bezahldienstes als Bestandteil der URL auf, jedoch sollten erfahrene Anwender zumindest bei einem kritischen zweiten Blick auf die komplette Adresse die Fälschung erkennen können. Die Verbindungen zu Banken oder Online-Shops sind fast immer über HTTPS gesichert. Sie erkennen das am Schloss in der Adresszeile. Nach einem Klick darauf erhalten Sie Infos über den Inhaber des Sicherheitszertifikats. Phishing-Seiten verwenden in aller Regel kein HTTPS. Folgen Sie außerdem keinen vorbereiteten Links in fragwürdigen E-Mails, sondern tippen Sie die Adresse eigenhändig in den Browser ein. Wer trotzdem die Links benutzen will, sollte sorgfältig den Inhalt und die Adresse der daraufhin erscheinenden Seite überprüfen.
Autor: Thorsten Eggeling
Thorsten Eggeling schreibt seit gut 20 Jahren Artikel für die PC-WELT.