Phishing: Wie Cyberkriminelle an Ihre Daten kommen und wie Sie dies verhindern und sich davor schützen

Phishing-Angriffe

Mit zunehmender Internetnutzung steigt auch die Zahl von Online-Betrügereien. Eine Ausprägung von Cyber-Kriminalität ist das sogenannte Phishing (Angeln) eine Art Tricktäuschung. Hier wird versucht, an persönliche Daten von Personen zu kommen.

Um persönliche Daten zu “fischen“, lassen sich Kriminelle immer raffiniertere Methoden einfallen. So arbeitet dieser Personenkreis mit E-Mails, Instant Messaging, Kurznachrichten, Telefon und gefälschten Internetseiten.

Man spricht in diesem Fall auch von Identitäts- und Datendiebstahl. Mit Hilfe der entwendeten persönlichen Daten werden dann beispielsweise Bankkonten abgeräumt.

Phishing-Websites

Im Falle von gefälschten bzw. präparierten Internetseiten arbeiten Kriminelle gerne mit Websites von bekannten und vertrauenswürdigen Banken, die dann nachgeahmt werden. Weitere Möglichkeiten sind Online-Formulare oder auch der Zugriff auf Newsgroups.

Gefälschte oder präparierte Internetseiten sind aufgrund der mittlerweile hohen Qualität kaum noch von der Originalseite zu unterscheiden. Selbst die URL wird teilweise richtig angegeben oder gefälscht.

Beispielsweise wird statt einem kleinen L ein großes I im Namen der Domain eingesetzt oder es werden Sicherheitslücken im Browser ausgenutzt (Exploits), um eine korrekte URL darzustellen.

Geködert wird meist mit E-Mail-Betreffzeilen wie „Aktualisieren Sie Ihr PayPal-Konto“ oder „Ihr eBay-Konto wurde gesperrt!“ oder „Ihre Rechnung“. Allerdings beginnt die Anrede bei den entsprechenden E-Mails zumeist unpersönlich mit „Sehr geehrter Kunde“, sodass man dies relativ leicht erkennen kann.

Nutzer werden sodann per E-Mail aufgefordert, ihre persönlichen Daten bzw. Transaktionsnummern (PIN und TAN) für das Onlinebanking einzugeben, um beispielsweise ein neues Sicherheitskonzept der Bank nutzen zu können.

Bei Nichtbeachtung der Hinweise wird oftmals auch mit Folgen gedroht, um eine sofortige Reaktion zu erwirken. Geschieht dies, fängt der Phisher die Daten ab und überweist beispielsweise Geld vom Konto des Geschädigten auf ein anderes Konto.

Diese Methode wird aber aufgrund der zahlreichen Sicherheits-Verbesserungen seitens der Banken, darunter auch das das i-TAN-Verfahren (indizierte TAN-Verfahren) eher selten verwendet.

Heutzutage versuchen Kriminelle statt mit E-Mails mit Hilfe von Malware bzw. Trojanischen Pferden an persönliche Daten zu kommen. Die Schadsoftware befindet sich zumeist auf einer infizierten Website.

Allein der Besuch reicht aus und die Schadsoftware installiert sich auf dem Computer. Zu beachten ist, dass auch eine echte und seriöse Internetseite infiziert sein. Auch kann man sich Schadsoftware durch Pop-ups einfangen.

Ziele der Angriffe ist immer das Ausspionieren von Daten über Bankverbindungen, Bezahlsysteme (z. B. MasterCard, Visa oder PayPal), Online-Versandhandel (z.B. Amazon), Internet-Auktionshäuser (z.B. eBay), Packstationen oder auch Online-Beratungen und Singlebörsen.

Gelangt ein krimineller Personenkreis an persönliche Daten, nutzt er diese sofort, um in die entsprechende Identität zu schlüpfen und kriminelle Handlungen durchzuführen.

Eine weitere Phishing-Ausprägung bzw. Variante ist das Spear-Phishing. Hier werden im Vorfeld bestimmte Zielgruppen ausgewählt, um die Attacke opferspezifischer durchzuführen. Mit der Variante Whaling werden spezifische Angriffe auf Führungskräfte bezeichnet.

Darüber hinaus können auch DNS-Anfragen von Web-Browsern manipuliert werden, was als Pharming oder Domain Spoofing bezeichnet wird. Hier werden Anwender auf eine gefälschte Webseite umgeleitet, obwohl die URL im Browser richtig eingegeben wurde.

Phishing via E-Mail

Innerhalb einer E-Mail befindet sich zumeist ein HTML-Formular mit der Aufforderung zur Eingabe von Daten oder zum Klicken auf Links. Dabei wird auch die Originaladresse angezeigt, während der unsichtbare Verweis auf die gefälschte Website verlinkt (Link-Spoofing).

Oftmals werden Antrags- oder Bestellformular für die Eingabe der persönlichen Daten verwendet. Auch die Absenderadresse der E-Mail wird dabei meistens gefälscht.

Füllen Sie am besten keine fragwürdigen Formulare aus und antworten Sie auch nicht auf derartige E-Mails.

SMS-Phishing

Via Short Messaging Services (SMS) verschicken Kriminelle eine Bestätigungsanfrage für einen Dienst, wobei eine Internetadresse angeben wird. Klickt man auf die Website, wird ein Trojaner-Programm installiert.