Phishing: Was ist das und wie kann ich mich davor schützen?

Montag, 29.01.2018

Beim Phishing versuchen Betrüger, über gefälschte Webseiten oder Malware an Ihre persönlichen Daten zu gelangen. Oft geht es dabei um den Zugang zum Bankkonto, das leergeräumt werden soll. Der Begriff „Phishing“ fasst den Vorgang recht plastisch zusammen: „P“ steht für das Passwort, nach dem geangelt (fishing) wird. 

Der finanzielle Schaden durch Phishing im Onlinebanking geht in die Millionen, war aber in den vergangenen Jahren in Deutschland stark rückläufig. Meldete das Bundeskriminalamt für 2014 noch einen Schaden von rund 28 Millionen Euro, waren es 2016 schon weniger als neun. Die Gründe für diese positive Entwicklung liegen im verbesserten Mail-Schutz, sichereren Verfahren im Online-Banking und in einer höheren Sensibilität der Nutzer.

Wie läuft Phishing ab?

In den meisten Fällen erhalten die potentiellen Opfer der Phisher eine E-Mail. Darin werden Sie aufgefordert, die Daten für Ihren jeweiligen Account zu aktualisieren. Der in der Mail angegebene Link führt vermeintlich auf die Seite der Bank, die jedoch eine Fälschung ist. Geben Sie auf der gefälschten Seite Ihre Daten preis, landen diese bei den Betrügern. Diese erhalten damit meist uneingeschränkten Kontenzugriff.

Phishing-Mails werden in den meisten Fällen massenhaft verschickt. Die Opfer werden also nicht bewusst ausgewählt, sondern es genügt den Betrügern ein gewisser Prozentsatz an Leichtgläubigen, um ihre illegalen Geschäfte zu machen. Werden zum Beispiel 100.000 Mailadressen angeschrieben und nur 0,1 Prozent der Adressierten fallen auf den Betrug herein, sind 100 Konten offen. Der Betrug lohnt.

Daneben gibt es aber auch Phishing-Arten, bei denen die lokalen Gegebenheiten (viele Kunden einer Region nutzen eine bestimmte Bank) ausgekundschaftet werden. Man spricht hier vom Spear-Phishing. Die Ansprache ist dabei weit gezielter, es werden weniger Menschen adressiert, aber die Erfolgsquote für die Betrüger steigt. 

Trojaner (Malware) können ebenfalls dazu führen, dass Betrüger an ihre Daten kommen. Die Schadsoftware, die zum Beispiel in Mailanhängen steckt, erlaubt es den Angreifern, sich in die Kommunikation zwischen Bank und Kunden einzuschalten.     

Wie kann man sich gegen Phishing schützen?

Der beste Schutz sind ein gutes Antivirenprogramm und eine gesunde Skepsis. Diese sollte spätestens dann einsetzen, wenn Sie außerhalb des üblichen Überweisungsvorgangs zur Eingabe sensibler Daten aufgefordert werden. Ein wirksamer Schutz vor Phishing besteht auch darin, generell auf die Weiterleitung per Klick aus Mails zu verzichten. Loggen Sie sich ohne den falschen Link auf Ihrem Konto ein, stellen Sie sofort fest: Es gibt keine Bankanfrage dieser Art.

Die Verbraucherzentrale hat zudem die folgenden Punkte herausgearbeitet, an denen sich der Betrugsversuch rechtzeitig aufdecken lässt:

Fehler in Grammatik und Orthografie: Da viele Phishing-Angriffe aus dem Ausland erfolgen, treten in den Mails und auf den gefälschten Seiten häufig Fehler auf. Diese sind eine klares Indiz für eine Fälschung.

Mails in einer Fremdsprache: Zum Teil verfassen die Betrüger ihre Mails in englischer Sprache und gehen dann international auf Opfer-Suche. Ihre Bank würde Sie, sofern nicht anders vereinbart, immer in Deutsch kontaktieren.

Anonyme Ansprache: Das Massen-Mailing führt dazu, dass die direkte Anrede mit dem Namen fehlt, die Ihre Bank verwenden würde. In Phishing-Mails heißt es dagegen nur: „Lieber Kunde…“

Aufforderungen mit Dringlichkeit: In Phishing-Mails wird fast immer höchste Dringlichkeit suggeriert. „Geben Sie spätestens innerhalb von 48 Stunden…“ Wird dabei auch die Eingabe von PINs und TANs verlangt? Das würde Ihre Bank grundsätzlich nicht abfragen.

Aufforderungen zum Download / Öffnen einer Datei: Öffnen Sie keine Dateien im Mailanhang oder von Webseiten. Sie ermöglichen damit das Einschleusen von Trojanern auf Ihrem Rechner. Banken kommunizieren bisher in der Regel per Brief, Mails mit Formular-Anhängen werden nicht versendet.

Hinweis: Bestehen Zweifel an der Authentizität einer Mail, die Sie jedoch nicht unbeachtet lassen wollen, können Sie die IP-Adresse im Mail-Header prüfen. In vielen Mail-Programmen erhalten Sie die Details zum Absender über „Ansicht“, „Optionen“. Hier finden Sie zahlreiche Details, darunter auch die nicht fälschbare IP-Adresse. Mit wenigen Kommando-Schritten lässt sich im Folgenden abgleichen, ob Server und IP-Adresse übereinstimmen. Anleitungen dazu finden Sie bei der Verbraucherzentrale.

Ein wirksamer Schutz besteht auch darin, vor jeder sensiblen Dateneingabe auf die im Browser angezeigte Verschlüsselung zu achten. Das Motto: ohne https:// und Schlosssymbol keine Eingabe.    

Symbolbild Tastatur, Kreditkarte, Angelhaken

Weitere Artikel

Kommentare