Phishing: Die Gefahren im digitalen Meer oder warum Phishing so gut funktioniert
Unter dem Begriff Phishing (Kunstwort aus Passwort und Fishing) versteht man den Versuch, sensible Informationen wie Benutzernamen, Passwörter und Kreditkarteninformationen zu stehlen oder eine Transaktion oder einen Download von Malware auszulösen. Dazu nutzen Angreifer betrügerische E-Mails, Textnachrichten, Telefonanrufe oder Websites als Startpunkt. Da die Taktiken der Betrüger immer ausgefeilter werden, hat sich diese Form des Cyberbetrugs im Laufe der Jahre, zu einer ernsthaften Bedrohung für Personen und Unternehmen entwickelt.
Phishing ist seit den Anfängen des Internets bekannt und wurde erstmals Mitte der Neunziger Jahre von Betrügern auf den Instant Messaging Kanälen von AOL genutzt, um AOL-Nutzerdaten zu stehlen. Seitdem hat sich die Hackerszene mit der Entwicklung des Internets weiterentwickelt und es werden mittlerweile täglich mehrere Milliarden an Phishing-Emails versendet. Zudem haben mehr als ein Drittel aller Datenverstöße ihren Ursprung in Phishingattacken. Trotz fortwährend steigender Sicherheitsschulungen in Unternehmen klicken immer noch ca. 1% aller Angestellten auf Phishing-E-Mails und mehr als die Hälfte dieser Mitarbeiter gibt danach auch ihre persönlichen Daten Preis. Somit ist Phishing die am weitesten verbreitete Form des Social Engineerings mit der einfachen Idee der psychologischen Manipulation bzw. menschliches Versagen auszunutzen.
Angreifer geben sich als vertrauenswürdige Quelle (Familienangehöriger, Chef, Kollege, bekanntes Dienstleistungsunternehmen) aus und täuschen ihr potenzielles Opfer, um an die persönlichen Informationen zu gelangen. Typische Beispiele sind gefälschte E-Mails oder SMS, die von einer Bank, einem Online-Dienst, einem Zustell- oder Paketdienst, dem Enkel oder einer Behörde stammen mit der Aufforderung, seine persönlichen Daten einzugeben oder eine eilbedürftige Transaktion vorzunehmen. Oft enthalten diese Nachrichten Links zu gefälschten Webseiten, die extra von den Betrügern erstellt wurden und den Originalen zum Verwechseln ähnlich sehen. Alternativ können schädliche Anhänge beim Draufklicken Malware auf dem Rechner installieren. Da die Empfänger der vermeintlichen vertrauenswürdigen Quelle vertrauen bzw. sich unter Druck gesetzt fühlen, führen sie oftmals die Anweisungen des Hackers ohne weitere Überprüfung sofort aus und der Schaden ist nicht mehr rückgängig zu machen, wenn er denn überhaupt zeitnah entdeckt wird.
Um die Opfer dazu zu bringen persönliche Informationen preiszugeben, nutzen die Angreifer soziale Manipulationstechniken und erzeugen oft Angst, Dringlichkeit, Neugier, Mitleid oder auch Gier, um Menschen zum Handeln zu bewegen, bevor sie rational die Sachlage prüfen (können). Oft wird auch Druck ausgeübt und dem Opfer suggeriert, dass er sich oder seinem Unternehmen erheblichen Schaden zuführt, wenn er nicht handelt.
Beispiele für Phishing-E-Mails
Es wird beispielsweise behauptet, dass
- das Konto oder das IT-System kompromittiert wurde (“Your account has been compromised! Reset your password immediately.”),
- dringende Maßnahmen erforderlich sind, um eine Bedrohung abzuwenden (“Ihr Passwort wurde kompromittiert. Ändern Sie sofort Ihr Passwort, um wieder Zugang zu Ihrem Konto zu erlangen.”),
- für den obersten Chef dringend eine Zahlung angewiesen werden muss (“Die Zahlung muss sofort getätigt werden, um das Geschäft nicht zu gefährden!”),
- dringend eine überfällige Rechnung bezahlt werden muss (“Wenn Sie heute nicht bezahlen, werden wir rechtliche Schritte gegen Sie einleiten!”),
- ein Paket nicht zugestellt werden kann und einer Neuauslieferung bedarf (“Wir konnten Sie heute nicht antreffen. Bitte klicken Sie hier, um sich das Paket neu zustellen zu lassen.”),
- nur noch heute der Gewinn eines Gewinnspiels eingelöst werden kann. (“Sie haben gewonnen! Lösen Sie Ihren Gewinn über €10.000 noch heute ein.”),
- etc.
Phishing betrifft uns alle!
Die Auswirkungen von Phishing-Angriffen können für Einzelpersonen und Unternehmen gleichermaßen verheerend sein.
Bei Einzelpersonen kann der Diebstahl sensibler Daten zu finanziellen Verlusten führen und weitere schwerwiegende Folgen haben. Werden zum Beispiel auf einer gefälschten Webseite Zugangsdaten eingegeben, können Angreifer diese verwenden und versuchen mittels Credential Stuffing auf weitere Konten zuzugreifen.
Werden in einem Unternehmen vertrauliche Daten/Informationen gestohlen, leidet nicht nur das Vertrauen und Ansehen, in der Regel entstehen auch massive finanzielle Verluste.
Welche Arten von Phishing gibt es?
Massen-E-Mail-Phishing
Massen-Phishing-E-Mails sind ein ernstzunehmendes Problem im privaten Bereich in der heutigen digitalen Welt. Betrüger und Angreifer versenden wahllos eine große Anzahl von E-Mails und hoffen, dass zumindest einige wenige der Empfänger auf ihre Täuschungsversuche hereinfallen. Dabei versuchen die Hacker alles, um die versendeten E-Mails so authentisch wie möglich erscheinen zu lassen, meist kombiniert mit einer dringlichen Handlungsaufforderung, um Vertrauen bei ihren Zielpersonen zu erwecken und schnelles Handeln auszulösen. So werden in der Regel bekannte und geschätzte Marken, Logos, Impressum, Corporate Branding von Unternehmen wie Post- und Beförderungsfirmen, Telekommunikationskonzernen und Banken in der Absicht missbraucht, dass die Opfer Kunden dieser Unternehmen sind oder zumindest diese als seriös und vertrauenerweckend einschätzen.
Phishing-E-Mails wurden in der Vergangenheit von Kriminellen manuell erstellt, was oft fehleranfällig war. Mit Einführung von künstlicher Intelligenz (KI) werden zunehmend immer bessere Phishing-Texte erstellt, die von den meisten Spamfiltern nicht mehr als solche erkannt werden und wo selbst Profis Schwierigkeiten haben, diese also solche zu erkennen. Zudem wird nicht mehr nur “ein” Text für Tausende von Massen-E-Mails geschrieben, sondern eine Vielzahl an unterschiedlichen Texten, um nicht als Massen-E-Mail identifiziert zu werden.
Die versendeten Spam-E-Mails erscheinen oft harmlos oder sogar verlockend, doch ihre Absicht ist es, vertrauliche Informationen zu stehlen oder das Herunterladen von Ransomware zu provozieren.
Die Täuschung erfolgt meist durch gefälschte Absenderadressen oder ansprechende Betreffzeilen, die den Eindruck erwecken, dass es sich um legitime Anfragen handelt. Opfer fühlen sich oft sicher und klicken auf Links oder laden Dateien herunter, ohne die Risiken zu erkennen. Beispiele für Phishing-E-Mails haben wir bereits im vorgenannten Abschnitt beleuchtet.
Spear-Phishing
Spear Phishing ist eine besonders perfide Form des Phishings, die sich im Vergleich zu Massen-E-Mail-Phishing durch gezielte Angriffe auf Einzelpersonen oder einzelne Organisationen auszeichnet. Da der Angriff in der Regel nur auf ein Opfer oder eine Opferorganisation abzielt und der Hacker normalerweise nur einen Versuch hat, bereitet sich der Betrüger, der sogenannte Spear-Fisher, mit detaillierten Nachforschungen auf den Angriff auf sein Zielobjekt vor. Dabei werden regelmäßig nur bekannte Persönlichkeiten (auch als Whale-Phishing bekannt), Personen in exponierten Positionen wie Vorstand, Geschäftsführung oder Personen mit Domainwissen von vertraulichen Daten (z.B. Personal- und Rechtsabteilungen) oder Personen mit besonderen Befugnissen (z.B. die Buchhaltung- oder Finanzabteilung), in Spear-Phishing-Attacken angegriffen.
Um die eigene Erfolgswahrscheinlichkeit eines Angriffs zu erhöhen, versucht der Spear-Fisher vorher, möglichst viele Informationen über sein Zielobjekt zu sammeln. Er durchsucht dafür das Internet, die sozialen Medien, Zeitungen, andere öffentlichen Quellen und zapft dafür in Einzelfällen sogar das Darknet an oder verschafft sich Zugriff auf Datenbanken, die wertvolle Informationen enthalten könnten. Ziel der Informationsbeschaffung ist es Informationen über:
- Wirtschaftliche Situation des Unternehmens,
- Dienstleister eines Unternehmens,
- Beziehungsgeflechte zwischen Kollegen, Mitarbeitern und Kunden,
- Bank- und Kontoinformationen,
- Persönliche Informationen über Mitarbeiter, z.B. Krankheit, Urlaub, Hochzeit, Geburt von Kindern, Todesfall in der Familie, Beförderung, Auszeichnungen
zu erhalten. Ziel der Informationsbeschaffung ist die möglichst glaubhafte Ansprache eines Mitarbeiters. Dabei treten Spear-Phisher regelmäßig als Chef, Kollege, Lieferant, Bankmitarbeiter, Finanzbeamter, Inkassodienstleister, Anwalt, Freund, etc. auf, um Vertrauen bei ihren Opfern aufzubauen. Indem vorgenannte Hintergrundinformationen und persönliche Informationen über das Umfeld der Zielperson in dem Anschreiben genutzt werden, wird das Anliegen für das Opfer noch glaubwürdiger gestaltet.
Diese personalisierten Nachrichten erscheinen oft so authentisch, dass sie selbst die vorsichtigsten Nutzer in die Falle locken können. Das gilt umso mehr, da sich die Textqualität aufgrund KI sprunghaft verbessert hat und auch ausländische Cyberkriminelle leicht qualitativ hochwertige Anschreiben formulieren können. Im Unternehmensumfeld zielt der Angriff in der Regel darauf ab, entweder Daten (Geschäftsgeheimnisse im Rahmen der Industriespionage, Kunden- oder Finanzinformationen) oder Geld zu erbeuten. Betrüger nutzen besonders gerne zwei beliebte Spear-Phishing-Methoden, mit denen sie oft Millionen von Euro stehlen:
-
Zugriff auf E-Mailkontos eines Mitarbeiters: Der Hacker versucht, Zugang zu E-Mailkonten von Mitarbeitern zu erlangen. Ziel ist es danach im Namen dieses Mitarbeiters selbst E-Mails mit falschen Rechnungen zu versenden, Kollegen zu Überweisungen auf Betrügerkonten zu veranlassen und/oder sensible und vertrauliche Daten anzufordern. Ziel ist es hier, das Vertrauen in bekannte Kontakte innerhalb und außerhalb der angegriffenen Organisationen zu missbrauchen.
-
Anweisung eines vermeintlichen Vorstandes oder Geschäftsführers eines größeren Unternehmens: Ein Angreifer gibt sich als oberste Führungskraft aus und fordert einen hierarchisch weit unter ihm stehenden Mitarbeiter der Einkaufs-, Finanz- oder Entwicklungsabteilung eine größere, eilbedürftige und vertrauliche Überweisung dringend zu tätigen, Daten bereitzustellen oder Software (in der Regel Malware) von einem kompromittierten Server herunterzuladen. Die Gefahr liegt darin, dass der Mitarbeiter sich nicht traut, Anweisungen von “oben” zu hinterfragen, Angst hat im Rahmen einer Überprüfung vertrauliche Informationen mit den falschen Kollegen zu teilen oder nicht verantwortlich sein möchte, wenn ein eilbedürftiges Geschäft mangels seiner Kooperation scheitert.
Andere Arten von Phishing
Es gibt zahlreiche weitere Phishing Methoden. Dabei werden heute alle bekannten Kommunikationskanäle von Phishing-Betrügern bespielt wie beispielsweise SMS oder WhatsApp, Telefon, QR-Codes, soziale Medien, etc. Zudem professionalisieren die Hacker ihre Kampagnen fortlaufend und setzen mittlerweile auch Kombinationen aus verschiedenen Phishing Varianten ein (auch Hybrid Phishing genannt).
SMS-Phishing (Smishing)
SMS-Phishing ist ein ernstzunehmendes Problem, das immer mehr Menschen betrifft. Gefälschte Textnachrichten, die als Mitteilungen von Mobilfunkanbietern, Banken, Versorgern oder Online-Versendern getarnt sind, machen die Empfänger schnell zu Opfern. Die Betroffenen erhalten Nachrichten, die sie auffordern, persönliche Daten (u.a. auch Kreditkarteninformationen, Zugangsdaten) zu aktualisieren oder eine Gebühr zu zahlen, sodass ein Paket versendet werden kann oder dass eine offene Rechnung für Strom, Wasser, Telefonanschluss sofort gezahlt werden muss, da sonst die Beendigung des Vertrages droht. Diese Nachrichten wirken oft täuschend echt und enthalten sogar offizielle Logos. Die Kriminellen nutzen diese Taktiken, um Vertrauen aufzubauen und ihre Opfer in die Falle zu locken.
Voice-Phishing (Vishing)
Voice-Phishing, auch bekannt als Vishing, ist eine alarmierende Form des Betrugs. Bei gefälschten Tonnachrichten erhalten ahnungslose Opfer einen Telefonanruf von vermeintlichen Institutionen, die dringend persönliche Daten aktualisieren oder eine Gebühr einziehen müssen. Durch die Nutzung der Voice-over-IP Technologie können diese Anrufe automatisiert, in großer Anzahl abgewickelt und zusätzlich besser die Identität des Anrufers durch Fälschung der Anrufer-ID verschleiert werden.
Die Betrüger (oft auch als automatisierte Stimme) geben sich in diesen Vishing-Anrufen ähnlich wie beim SMS-Phishing als Mitarbeiter von vertrauenswürdigen Organisationen aus und fordern sensible Daten wie Kreditkarteninformationen oder zur Überweisung überfälliger Zahlungen an/auf.
Quishing
Eine weitere Phishing Methode, um an Nutzerdaten zu gelangen, ist das sogenannte Quishing, ein Kunstwort aus QR-Code und Phishing. Dabei werden QR-Codes mit Weiterleitung zu gefälschten Webseiten, die ihrem echten Zwilling zum Verwechseln ähnlich sehen, genutzt. Ziel ist es, wie bei den anderen Phishingvarianten auch, an die sensiblen Daten (u.a. auch Identitätsdaten) von potenziellen Opfern zu kommen oder betrügerische Zahlungen anzustoßen. So werden QR-Codes auf Plakaten, Flyern, Werbetafeln, die im öffentlichen Raum stehen/hängen oder ausliegen, mit manipulierten QR-Codes überklebt oder diese ausgetauscht. Die Manipulation zu erkennen ist meistens sehr schwierig und führt leider immer wieder zu unwissenden Opfern.
Social-Media-Phishing
Mit den ständig steigenden Nutzungszahlen und -zeiten sind auch die sozialen Medien immer mehr in den Fokus von Betrügern und Hackern gerückt. Beim Social-Media-Phishing werden die Messagingfunktionen bekannter Internetplattformen wie z.B. Tiktok, Instagram, Facebook, LinkedIn, Xing, X (Twitter), etc. genauso genutzt wie bei vorgenannten anderen Phishing Methoden. Ziel ist es zuallererst die Zugangsdaten der Nutzer zu erlangen, um dann das gekaperte Nutzerkonto im eigenen betrügerischen Sinne zu nutzen. Darüber hinaus werden oftmals die gestohlenen Zugangsdaten eingesetzt, um diese auch bei anderen Portalen zu testen und im besten Fall ebenfalls ausnutzen zu können. Daher gilt, niemals gleiche Passwörter nutzen und einen Passwortmanager einsetzen.
Neben den reinen Messagingfunktionen nutzen Betrüger auch oft Foren, Kommentarfunktionen und Hilfeforen von Social Media Plattformen, um sich als offizielle Organisation auszugeben, Fragen zu beantworten und so Nutzer auszutricksen, sodass diese ihre persönlichen Nutzerdaten preisgeben (auch bekannt als Angler-Phishing).
Browser-Phishing
Da viele Menschen mittlerweile immer vorsichtiger werden, was Phishing-Mails anbelangt, setzen die Angreifer verstärkt auf eine neue Masche – Links in der Trefferliste von Suchmaschinen. Hierbei platzieren die Angreifer Phishing-Links in Suchmaschinen durch das Schalten von Werbeanzeigen oder bringen die Fake-Webseiten mittels Suchmaschinenoptimierung (SEO) in die Trefferliste. Auch hier ist das Ziel, die potenziellen Opfer auf die gefälschten Webseiten zu locken und sie dazu zu bringen, dort ihre Anmeldedaten einzugeben.
Woran erkennt man Phishing-Mails?
Bis vor einigen Jahren strotzten Phishing Nachrichten noch vor Fehlern, wodurch diese leicht zu erkennen waren. Die Betrüger gehen hier aber mittlerweile professioneller vor auch Dank der sich stetig weiterentwickelnden KI (künstliche Intelligenz). Rechtschreib- und Grammatikfehler sind nur noch selten zu finden. Doch auch bei einem gut formulierten Text sollte man vorsichtig sein, besonders dann, wenn in einer Nachricht Links, unerwartete Anhänge oder die Aufforderung zur Angabe persönlicher Daten enthalten sind. Nachfolgend stellen wir eine Reihe von Techniken vor, die Angreifer verwenden. Sie zu kennen und zu berücksichtigen aber auch generell vorsichtig auf jegliche Anfragen zu reagieren, hilft, nicht auf eine Phishing-Attacke hereinzufallen:
- Nicht angeforderte Nachrichten oder Nachrichten von unbekannten Sendern sollten ignoriert und gelöscht werden, wenn es nicht einen triftigen Grund zur Bearbeitung gibt. Bei einer Bearbeitung müssen nachfolgende Warnmeldungen umso mehr beachtet werden.
- Bei Drohungen und dringlichen Aufforderungen wie “Wenn Sie Ihren Kontozugang nicht bestätigen, wird Ihr Konto vorübergehend gesperrt …” sollte man hellhörig sein.
- Wenn Nachrichten versuchen, Mitleid zu erzeugen oder aber um Mithilfe bei der Bewältigung von Folgen eines Krieges, einer Naturkatastrophe, einer Pandemie bitten, sollte trotz eines eventuellen Hilfebedürfnisses oberste Vorsicht gelten. So sollten auch hier keine Links geklickt oder Aufforderungen ausgeführt werden. Es ist ratsam stattdessen in einer Internetsuchmaschine zu der Anfrage zu recherchieren und den Absender auf gesondertem Weg zu kontaktieren und seine Hilfe anzubieten.
- Bei Nachrichten mit Rechtschreib- und Grammatikfehlern ist Achtsamkeit geboten.
- Bei Nachrichten mit wenig oder keinem geschriebenem Text aber Text als Teil von Bildern, sollte man weder auf Links klicken noch Anweisungen ausführen.
- Besonders wichtig ist es, auf einen bekannten Absender zu achten. Oftmals werden gefälschte E-Mailadressen oder Domainnamen genutzt, die nur bei genauerem Hinsehen merkwürdig erscheinen, wie z.B. ein “m” wird als “r” und ”n” geschrieben, oder ein bekannter Name nur der Subdomain einer Domain genannt (z.B. “google.betrueger.de” ist keine Website von Google, sondern die Website “betrueger.de”).
- Bei Bitten um Geldüberweisungen oder der Aufforderung zum Preisgeben von sensiblen Informationen, besonders wenn man selbst keine Kommunikation mit dem Counterpart vor kurzem gestartet hat, sollte man sehr vorsichtig sein.
- Angreifer nutzen gerne sehr bekannte Unternehmen, deren Produkte und Dienstleistungen weit verbreitet und eingesetzt werden. So sollte man bei Nachrichten von Amazon, Google, Apple, Microsoft, LinkedIn, Facebook, DHL und anderen Versendern sowie von Banken besonders achtsam sein.
- Oftmals werden Phishing Nachrichten im Auftrag einer vermeintlichen Bank verschickt, bei der man vielleicht selbst gar kein Konto hat. Oder es heißt ein Paket kann aufgrund einer fehlenden Anschrift nicht zugestellt werden, dabei wird keine Lieferung erwartet. In solchen Fällen sollte man von einer Phishing Nachricht ausgehen und diese auch umgehend löschen.
Wie schütze ich mich vor Phishing Versuchen?
Mit einer Kombination aus Technologie, Schulung und erhöhter Wachsamkeit, lässt sich Phishing wirksam bekämpfen.
Viele Unternehmen setzen auf Spam-Filter, E-Mail-Sicherheitssoftware, Antivirensoftware oder Webfilter, die verdächtige Nachrichten erkennen und blockieren bzw. den Aufruf von kompromittierten Links unterbinden. Entscheidend ist aber auch hier wieder die Schulung von Mitarbeitern, um über die verschiedenen Arten von Phishing-Angriffen zu informieren. Dieses Schulungswissen hilft den Mitarbeitern, verdächtige Nachrichten die einen Spamfilter überwunden haben, zu erkennen und auf Betrugsversuche angemessen und sicher zu reagieren. Dazu gehört auch die Einrichtung eines Meldewesens, um Phishingversuche an das IT- und Cybersecurity-Team des Unternehmens weiterleiten zu können. Zudem sollten Firmen Unternehmensrichtlinien aufstellen, die Geldtransfers oder Weitergabe von sensiblen Informationen aufgrund einer E-Mailanweisung ohne Plausibilisierung auf einem anderen Kommunikationsweg verbieten.
Auch wenn Privatpersonen nicht über die technischen Möglichkeiten von Unternehmen verfügen, sollte jeder versuchen, sich über das Internet für die eigene Internetsicherheit auf dem Laufenden zu halten. Sollte man darüber hinaus in den Genuss von Firmenschulung kommen, sollten man dies nicht als Pflichtübung ansehen, sondern eher als großartige Möglichkeit, sich für die eigene Sicherheit in der Privatkommunikation bestmöglich aufzustellen.
Bei der täglichen E-Mail und Internetnutzung sollte immer eine gesunde Portion Skepsis vorhanden sein und im Zweifel folgende Vorsichtsmaßnahmen angewendet werden:
- Nicht auf angehängte Links in E-Mails, SMS, WhatsApp oder Social Media Nachrichten klicken: Im Zweifel lieber die einem bekannte Website selbstständig in das Browserfenster eingeben oder die entsprechende Webseite in einem Suchprogramm ausfindig machen und nutzen.
- Eine mit HTTPS verschlüsselte Seite ist kein Garant für eine vertrauenswürdige Seite. Jeder kann sich heute in Sekunden HTTPS Seiten erstellen, denen jeder Browser vertraut. Deshalb immer auch auf die URL (Internetadresse) achten und diese auf Richtigkeit prüfen.
Nachfolgend Webseiten denen man vertrauen kann ✅ und Seiten die nicht sicher sind ❌.
| Domain | Erläuterung | |
|---|---|---|
| ✅ | sparkasse.de
|
Die eigentliche Domain von Sparkasse ist sparkasse.de. |
| ❌ | sparkasse.pl
|
Die Domain ist nicht sparkasse.de. |
| ✅ | id.sparkasse.de
|
id ist eine Subdomain von sparkasse.de, die der Sparkasse gehört. |
| ❌ | id-sparkasse.de
|
id-sparkasse.de ist keine Domain von sparkasse.de, weil - keine gültigen Trennzeichen sind. Nur . sind Trennzeichen. |
| ✅ | banking.sparkasse.de
|
banking ist eine Subdomain von sparkasse.de die der Sparkasse gehört. |
| ❌ | banking-sparkasse.de
|
banking-sparkasse.de ist keine Domain von sparkasse.de, weil - keine gültigen Trennzeichen sind. Nur . sind Trennzeichen. |
| ✅ | sicherheit.sparkasse.de
|
sicherheit ist eine Subdomain von sparkasse.de die der Sparkasse gehört. |
| ❌ | sparkasse.de.sicherheit.de
|
Das ist nicht sparkasse.de, sondern sicherheit.de. Die Haupt-Domain befindet sich immer auf der rechten Seite, nicht auf der linken. |
Im Gegensatz zu normalen Texten die von links nach rechts gelesen werden, sind Domains herarchisch strukturiert. Sie setzen sich aus verschiedenen Ebenen zusammen und werden von rechts nach links gelesen. Die Trennung zwischen den einzelnen Teilen einer Domain erfolgt immer mit einem Punkt und wichtig sind hierbei die ersten zwei Teile von rechts aus gelesen.
- Nicht auf Anhänge von unbekannten Sendern oder Dienstleistern klicken oder angehängte (.exe)-Programme ausführen.
- Halte Deine Betriebssystemsoftware und andere Software immer auf dem aktuellen Stand und aktiviere am besten die Auto-Update Funktion.
- Nutze eine Firewall, die Deinen eingehenden und ausgehenden Traffic kontrolliert und gegebenenfalls einen Datenabfluss blockieren kann.
- Nutze Passwörter immer nur für einen Service und nicht für mehrere. Nutze einen Passwortmanager.
- Wenn möglich, aktiviere immer die Zwei-Faktor-Authentifizierung (sofern angeboten), da dies Deine Sicherheit deutlich erhöht. Hacker haben in der Regel keinen Zugriff auf den zweiten Faktor und können somit auch keinen Schaden anrichten.
- Gebe Kreditkartendaten nur an vertrauenswürdige Counterparts heraus.
- Führe niemals Anweisungen in Online-Nachrichten ohne eigenen Plausibilitätscheck aus.
- Auch bei SMS oder Anrufen kann die Absender-Nummer einfach gefälscht werden. Nur weil eine bekannte Nummer im Display steht, die sogar mit dem Adressbuch übereinstimmt, heißt das nicht, dass die gewünschte Person dran ist. Demnach: Bei einem Anruf der Polizeinotrufnummer 110 sollte man auch erst einmal gesundes Misstrauen haben.
- Beachte: Banken, Behörden oder seriöse Unternehmen fragen niemals nach vertraulichen Daten wie PINs, TANs oder Passwörter egal ob per E-Mail, Messenger, SMS, Telefon, etc. Im Zweifel gilt direkt beim Anbieter über ein anderes Kommunikationsmittel nachfragen.
- Wenn Du von vermeintlichen Dienstleistern angerufen wirst, gebe niemals persönliche Informationen am Telefon preis, insbesondere wenn nicht sicher ist, wer am anderen Ende der Leitung ist. Im Zweifel frage nach dem Namen des Gegenübers und rufe die in Deinen eigenen Unterlagen befindliche Telefonnummer zurück (nutze nicht die Telefonnummer, die Dir der Anrufer gibt!)
- Gleiches gilt für Aufforderungen von Vorgesetzten oder ungewöhnlichen Bitten von Angehörigen (Enkel: “Oma, überweise mir bitte mal €20.000….”). Am besten das Telefon in die Hand nehmen und explizit nachfragen. Notfalls zum Abgleich eine persönliche Frage einflechten (also solche, die nicht öffentlich dokumentiert wurde). Das wirkt vielleicht aufwendig, aber lieber die Frage stellen, als unnötig Geld an einen Betrüger zu überweisen.
- Sei alarmiert, wenn Dir Geschenke oder Angebote gemacht werden, die einfach zu gut sind, um wahr sein zu können.
Fazit
Trotz aller Bemühungen von ISPs, Hostern, Betriebssystemherstellern, Antiviren- und Antispamfilterherstellern, etc. Phishing wirksam zu bekämpfen, ist es trotz vieler Erfolge zu einer dauerhaften Sicherheitsbedrohung in unserer digitalen Welt geworden, die nicht ignoriert werden darf. In einer Art Hase und Igel Spiel entwickeln die Angreifer fortwährende neue Angriffsmethoden, die erst erkannt werden müssen und auf die sich die Nutzerwelt und deren Dienstleister einstellen müssen. Dabei spielt besonders die ständige Technologieentwicklung eine besonders wichtige Rolle. In den letzten Jahren wurde das sogenannte KI-Phishing immer populärer, bei der generative KI (künstliche Intelligenz) eingesetzt wird, um maßgeschneiderte Anschreiben für E-Mails, SMS, Webseiten und andere Texte zu generieren. So konnte insbesondere auch das Phishing über Länder- und Sprachgrenzen hinaus professionalisiert werden, da Rechtschreibe- und Grammatikfehler sowie andere typische Merkmale von Phishing-Versuchen mittels KI minimiert werden. Auch die Geschwindigkeit der Erstellung von Phishing-Dokumenten kann durch KI oftmals um ein Vielfaches beschleunigt werden. Neben der Erstellung von Texten gilt Gleiches für die KI-gestützte Schaffung von glaubwürdigen Bildern, zum Klonen von Stimmen in Sprachnachrichten und anderen Inhalten, die im Rahmen von Phishing-Versuchen eingesetzt werden.
So ist es wichtig, dass jeder einzelne Nutzer wachsam nach Unregelmäßigkeiten Ausschau hält und mit der nötigen Skepsis erhaltene Nachrichten wie E-Mails und SMS bewertet. Nur so kann man dazu beitragen, sich selbst und seine Daten zu schützen.