Wie man Phishing-Betrügereien erkennt und vermeidet
In diesem modernen Zeitalter der Globalisierung, in dem über zwei Drittel der Weltbevölkerung Zugang zu SMS, mobilen Anrufen und E-Mails haben, könnten die Zahlen leicht den Schluss nahe legen, dass mehr als die Hälfte der Weltbevölkerung bereits einmal einem Phishing-Versuch ausgesetzt war. Die vermutete Exposition ergibt sich daraus, dass Phishing-Angriffe meist über eines der genannten Medien durchgeführt werden, wobei E-Mails am häufigsten genutzt werden. Das letztendliche Ziel eines Phishing-Angriffs besteht darin, persönliche Informationen des Opfers zu erlangen, wobei Bankdaten das begehrteste Ziel sind. Dieser Artikel wird Ihnen alles Wissenswerte über diese Cyber-Bedrohung erklären und Ihnen zeigen, wie Sie Phishing-Angriffe erkennen und es vermeiden können, Opfer von Phishern zu werden.
Die eigenartige Roadmap der Phishing-Betrugsmaschen
Das Hauptziel des Phishing ist es, die persönlichen Zugangsdaten zu Ihren Finanzkonten zu erlangen. Obwohl Betrüger im Laufe der Jahre ihre Taktiken zur Täuschung von Einzelpersonen weiter entwickelt haben, gibt es dennoch einige Warnsignale, die es möglich machen, Phishing-Anrufe, -Texte oder -E-Mails zu dem zu machen, was sie sind – Betrug!
- Phishing-Anrufe, E-Mails und Textnachrichten von scheinbar vertrauenswürdigen Organisationen. Haben Sie schon einmal eine E-Mail erhalten, die angeblich von Ihrem „Kundenbetreuer“ stammt und in der Sie um persönliche Daten wie Ihre Sozialversicherungsnummer und andere Bankdaten gebeten werden? Es würde Sie interessieren, wenn Sie herausfinden würden, dass diese Nachrichten und E-Mails von Phishern stammen, die sich als echte Organisationen ausgeben;
- Phishing-E-Mails und -Texte enthalten oft unbegründete Geschichten. Der Trick bei solchen spannenden Geschichten besteht darin, die Leidenschaft des Opfers zu wecken. Ein berühmter Phishing-Angriff, dem mehrere Bankkunden zum Opfer fielen, forderte die Kunden auf, „bitte“ ihre letzten Anmeldedaten erneut zu übermitteln, um die Datenbank der Bank zu aktualisieren. Diese Aufforderung erfolgte nach einer Erzählung darüber, wie Hacker kürzlich die Dateninfrastruktur der Bank angegriffen hatten.
Eine bekanntere Geschichte, der leicht zu erliegen ist, sind die Behauptungen, dass verdächtige Anmeldeversuche auf Ihrem Konto bemerkt wurden. Infolgedessen wird den Nutzern geraten, ihr Passwort zurückzusetzen, indem sie einige persönliche Daten angeben, normalerweise auf einer gefälschten Website, die erstellt wurde, oder auf der tatsächlichen Website, die vorübergehend gekapert wurde.
Normalerweise funktioniert das Sammeln von persönlichen Daten der Opfer durch Phishing-Betrüger so:
- Sie kaufen die Daten Ihrer Abonnements für Online-Dienste, z. B. Handynummern oder E-Mail-Adressen.
- Als Nächstes legen sie den Köder in Form von irreführenden E-Mails, Texten und gefälschten Websites aus, um die Benutzer davon zu überzeugen, dass die Nachrichten von Unternehmen stammen, die sie kennen und denen sie vertrauen.
- Die Betrüger senden die Nachrichten massenweise an die ursprünglich gekauften Kontakte, manchmal an Tausende von Nutzern auf einmal.
- Die Phisher nutzen die Daten, die sie von unwissenden Empfängern der Nachrichten sammeln können, um unbefugte Käufe und Handlungen über das Konto der Opfer zu tätigen.
Gängige Arten von Phishing und wie man sie erkennt
Phishing beschränkt sich keineswegs nur auf die unten aufgeführten Beispiele, denn Betrüger entwickeln ihre Taktiken ständig weiter. Jedoch können Aufzeichnungen von weit verbreiteten Phishing-Angriffen helfen, sie in die folgenden Kategorien einzuteilen:
1. SMS-Phishing betrifft das Weiterleiten von Textnachrichten an Mobiltelefonnutzer, in denen sie aufgefordert werden, einen Kundenbetreuer zu kontaktieren oder eine Organisation über einen in den Text eingebetteten Link zu besuchen. Durch das Anklicken des Links gelangen die Opfer auf eine Anmeldeseite oder ein Textdialogfenster, in dem die Eingabe persönlicher Informationen erforderlich ist, um vollen Zugriff auf die angebliche Webseite oder Ressource zu erhalten. Diese Art von Angriff ist im Steigen begriffen, teilweise weil die Hersteller von Mobiltelefonen hauptsächlich Smartphones produzieren, die an die Internetrevolution anknüpfen.
Eine einfache Möglichkeit, einen SMS-Phishing-Angriff zu identifizieren, besteht darin, dass die Nachricht in der Regel von seltsamen Nummern gesendet wird oder sogar schlecht formulierte Texte enthält.
2. E-Mail-Phishing Nachrichten werden per E-Mail an nichtsahnende Opfer versendet. Die E-Mails werden in der Regel als Massensendung (BCC) an mehrere E-Mail-Adressen gesendet, wobei Logo und Fußnoten von der eigentlichen imitierten Organisation oder Person gestohlen wurden. E-Mail-Phishing-Angriffe enden selten mit der Nachricht selbst; in der Regel werden die Empfänger der Nachricht aufgefordert, über einen Textlink eine bekannte Webseite zu besuchen oder einen Spam-Anhang herunterzuladen, der in der E-Mail enthalten ist. Auf der Zielseite des beigefügten Links werden die Opfer aufgefordert, persönliche Informationen einzugeben. Die Webseite kann ebenso dazu führen, dass sich auf einem Computer automatisch Malware installiert, sobald die Webseite geladen wird. Die geladene Phishing-Malware erfasst persönliche Informationen vom Computer, Smartphone oder Gerät des Opfers auf eine von vielen möglichen Arten:
- Aufzeichnung der Tastenanschläge des Benutzers beim Ausfüllen von Formularen
- Auswertung des Benutzer-Caches und Weiterleitung seines Inhalts an den entfernten Angreifer
Wie beim SMS-Phishing hilft ein genauer Blick auf die Quell-E-Mail-Adresse dem Empfänger dabei, bösartige Nachrichten zu isolieren und als Phishing-Angriff zu melden. Ein Phisher, der beispielsweise den Amazon Kundendienst imitieren möchte, könnte eine Adresse wie [email protected] verwenden. Eine legitime E-Mail von Amazon würde mit dem Domainnamen des Unternehmens kommen, z. B. [email protected]. Im Übrigen würde keine ordnungsgemäß strukturierte Organisation Ihre persönlichen oder finanziellen Daten per E-Mail anfordern.
3. Spear Phishing ist eine strategischere Art von Betrug, die ebenfalls die E-Mail-Schwachstelle nutzt. Im Vergleich zum E-Mail-Phishing, bei dem E-Mails als Rundschreiben an mehrere Personen gesendet werden, ist das Spear Phishing gezielter. Mitarbeiter von Online-Dienstleistern oder Regierungsbehörden, die als Zugang zu den persönlichen Informationen mehrerer Benutzer gekennzeichnet sind, sind die häufigen Ziele des Spear Phishing.
Die E-Mail scheint von einem Vorgesetzten oder dem Firmenchef zu kommen und fordert Zugang zu Benutzerinformationen. In anderen Fällen wird die E-Mail offensichtlich aus unbekannten Quellen versendet, mit einer reizvollen Überschrift, die interessant genug ist, um den Empfänger dazu zu bringen, die Nachricht zu öffnen. Die Nachricht ist normalerweise leer und enthält einen Anhang; Neugier veranlasst den Empfänger dann, den Anhang zu öffnen und Ransomware auf dem Computer zu installieren.
Opfer von Spear-Phishing-Angriffen können mit dem Kopf der sprichwörtlichen Hydra verglichen werden. Die bei solchen Angriffen gesammelten Daten werden dann dazu verwendet, einen großflächigen Angriff auf Nutzerkonten durchzuführen, die mit der betroffenen Organisation in Verbindung stehen.
4. Clone Phishing, wie der Name schon vermuten lässt, beinhaltet, dass ein Opfer eine E-Mail erhält, die genau denselben Inhalt hat wie eine zuvor von einer vertrauenswürdigen Organisation gesendete E-Mail. Der Phisher jedoch fügt unwissend einen Link zu einem schädlichen Anhang oder einer gefälschten Website hinzu. Die einzige Variation besteht darin, dass die Quell-E-Mail-Adresse leicht verändert und so gestaltet wird, dass sie der ursprünglichen sehr ähnlich sieht. Diese Taktik macht Clone Phishing zum schwersten zu entdeckenden Typ.
5. Whaling Phishing ist sehr ähnlich wie Spear Phishing. Das Ziel ist der Zugriff auf sensible oder persönliche Informationen von Personen, die die Dienste einer Organisation in Anspruch nehmen. Whaling-Angriffe zielen jedoch auf die ‘Wale’ innerhalb von Organisationen – wie Top-Manager und den Vorstand.
6. Pop-up Phishing ähnelt sehr den Werbe-Pop-ups, die Ihr Nutzererlebnis beim Surfen auf einer monetarisierten Website unterbrechen. Pop-up Phishing hingegen kommt als Warnung, nicht als Werbung; das Pop-up informiert den Nutzer über ein nicht genanntes bösartiges Dokument oder eine Anwendung, die den Computer infiziert habe. Es wird dann die Option angeboten, ein Antivirus-Programm herunterzuladen, das die Bedrohung kostenlos beseitigt. Die Installation einer solchen Software stellt ein Risiko dar, dass Ihr Computer mit unerwünschter Malware infiziert wird; die behauptete Bedrohung ist meistens ein Schwindel.
Sich vor Phishing schützen: So werden Sie kein Opfer
In Zeiten des E-Commerce ist es wichtig, sich vor Betrug zu schützen, um nicht zum Opfer zu werden oder als Kanal für die Offenlegung sensibler organisatorischer Daten verwendet zu werden. Hier sind einige grundlegende Tipps zur Sicherheit.
- Sichern Sie Ihre Daten. Eine Kopie der wichtigen Daten auf Ihrem Computer oder Smartphone auf einem externen Medium zu sichern, ist unerlässlich. Falls Sie doch einmal Opfer eines Ransomware-Angriffs werden, ist die Sicherungskopie Ihrer Dokumente sicher auf einem Cloud-Speicherdienst oder einem externen Speichermedium, das nicht mit Ihrem Computernetzwerk verbunden ist.
- Verwenden Sie eine mehrstufige Benutzerauthentifizierung. Phisher sind immer hinter Kontodaten wie Benutzername und Passwort her. In Situationen, in denen die zweite Stufe der Authentifizierung für Ihre sensiblen Konten eingerichtet wurde, werden Ihr Passwort und Ihr Benutzername zur Nebensache. Ein hervorragendes Beispiel für eine mehrstufige Authentifizierung ist der Bestätigungscode, der bei Bankgeschäften oder beim Einloggen an Ihr Mobiltelefon gesendet wird. Eine biometrische Authentifizierungsebene, wie Fingerabdruck, Augen- oder Gesichtsscans, sind sichere Methoden zum Schutz unserer Konten.
- Aktualisieren Sie Ihre Geräte mit den neuesten Sicherheits-Patches. Die wichtigsten Computer- und Smartphone-Hersteller aktualisieren ihre Betriebssysteme regelmäßig, um Fehler und Schlupflöcher zu beheben, über die Phishing-Angreifer ihre Angriffe gestartet haben. Die Aktualisierung dieser Geräte erspart den Techniknutzern eine Menge Sicherheitskopfschmerzen.
- Vermeiden Sie das Öffnen verdächtiger Nachrichten. Beachten Sie alle genannten Fehler, die für Phishing-Angriffe typisch sind. Prüfen Sie den Inhalt von E-Mails sorgfältig, bevor Sie auf Links klicken, Anhänge öffnen oder Begleitformulare ausfüllen. Wenn Sie gezwungen sind, die Integrität einer Behauptung in einer E-Mail zu bestätigen, besuchen Sie direkt die Website des Unternehmens, anstatt über einen angegebenen Link zu gehen.
Fazit
Da die Online-Präsenz zahlreicher Organisationen und Einzelnutzer wächst, ist die Wahrscheinlichkeit größer, dass das Phishing in Umfang und Auswirkungen zunimmt. Aber mit proaktiven Vorsichtsmaßnahmen, wie in diesem Artikel vorgeschlagen, sollten Internetnutzer es schaffen, den Phishern einen Schritt voraus zu sein.