Internetbetrüger „phishen“ nach Geld

Vertiefung im Thema Online-Banking
Diese Seite drucken
Creative Commons Namensnennung-Keine kommerzielle Nutzung-Keine Bearbeitung 3.0 Deutschland
Online-Banking Datenklau (120px)
Online-Banking gilt grundsätzlich als sicher, so lange die Konto-Zugangsdaten sicher verwahrt und sorgsam eingesetzt werden. Mit der zunehmenden Verbreitung von Online-Banking haben aber auch die Betrugsversuche, insbesondere das „Phishing“, zugenommen. Dabei versuchen Kriminelle, dem Internetnutzer durch verschiedenste Tricks Kontodaten zu stehlen oder abzuluchsen.

Der aus den englischen Worten Password (Kennwort), harvesting (ernten) und fishing (Angeln) zusammengesetzte Begriff P-h-ishing bezeichnet – bildlich gesprochen – das 'Angeln' von Kennwörtern (Passwörtern). Gemeint ist damit der Diebstahl von Kennwörtern oder anderen Zugangsdaten. Bankkunden werden beim Phishing von Kriminellen beispielsweise mit gefälschten E-Mails dazu verleitet, ihre vertraulichen Bankdaten herauszugeben.

Betrugsfälle durch Phishing erreichten 2007 einen vorläufigen Höhepunkt. Nach den Hochrechnungen des Branchenverbandes BITKOM stieg die Zahl der Betroffenen 2007 auf etwa 4100 Betrugsfälle. Die Täuschung ist oft hoch professionell ausgeführt und nur schwer zu erkennen. In einem typischen Phishing-Szenario erhalten Sie eine E-Mail, die angeblich von Ihrer eigenen Bank gesendet wurde. Diese enthält meistens eine kurze Erklärung und die Aufforderung, auf einen Link in der E-Mail zu klicken. Als Vorwand kann zum Beispiel ein behauptetes technisches Problem bei der Bank dienen.

Wenn Sie auf den Link klicken, landen Sie auf einer gefälschten Internetseite, die meistens wie die Ihrer Bank aussieht. Sollten Sie dort Ihre Daten eingeben, landen diese direkt in den Händen der Betrüger. Handelt es sich um Ihre Online-Banking-Daten, dann können die Betrüger kurz darauf das Konto leer räumen.

Phishing existiert in verschiedenen Varianten. Nicht immer geht es den Dieben gleich um die Online-Banking-Daten. Auch PayPal-Konten sind ein attraktives Ziel für Online-Kriminelle. Andere Betrüger haben es auf Zugangsdaten für Ebay-Konten abgesehen, mit denen sie unter fremdem Namen illegal Geschäfte tätigen.

Achtung, Phishing-Angriff!

Die meisten Phishing-Angriffe erfolgen per E-Mail. Eine typische Phishing-E-Mail sieht meistens so aus, als wäre sie wirklich von dem entsprechenden Geldinstitut versendet worden. Den Betrügern fällt es leicht zum Beispiel Logo oder auch übliche Formulierungen der Banken zu kopieren und für ihre Fälschungen zu missbrauchen.

Phishing E-Mails erkennen

Obwohl manche Phishing Angriffe sehr ausgefeilt sind, gibt es dennoch eine große Anzahl von Angriffsversuchen, die bei genauerem Hinsehen als Fälschungen identifizierbar sind. Folgende Merkmale sind typisch für Phishing-E-Mails:

  1. Sie werden aufgefordert vertrauliche Bankdaten wie beispielsweise PINS, TANs oder Passwörter anzugeben. Das kann nur ein Betrugsversuch sein, denn Ihre Bank fragt Sie niemals nach vertraulichen Daten, weder per E-Mail noch per Telefon.

  2. Die Anrede ist unpersönlich. Ihre Bank kennt Sie und würde den korrekten Namen für das Anschreiben verwenden.

  3. Die E-Mail weist viele Rechtschreib- oder Grammatikfehler auf. Besonders auffällig ist das Fehlen von Umlauten. Aber ein fehlerfreier Text allein ist trotzdem noch kein Garant für gute Absichten des Absenders. Es gibt auch Phisher, die die deutsche Sprache perfekt beherrschen.

  4. In der E-Mail ist ein Formular eingebunden, dass Sie ausfüllen sollen. Formulare in E-Mails sind grundsätzlich verdächtig und sollten Ihr Misstrauen hervorrufen.

  5. In der E-Mail gibt es einen Link, den zu besuchen, Sie aufgefordert werden. Links in E-Mails können unsichtbar auf ein ganz anderes Ziel verweisen, wie zum Beispiel auf eine gefälschte Webseite der Betrüger. Kopieren sie daher lieber Links aus der E-Mail in Ihre Browser-Adresszeile und klicken Sie nicht auf Links in E-Mails.

Wenn Sie eines dieser Merkmale entdecken, könnte es sich bei der E-Mail um einen Phishing-Angriff handeln.

Gefälschte Webseiten

In vielen Phishing-E-Mails versuchen Betrüger den Empfänger über einen Link zu einer gefälschten Webseite zu locken. Der Link mag aussehen, als würde er zu Ihrem Kreditinstitut führen. Er führt Sie aber in Wirklichkeit zu einer gefälschten, von den Angreifern manipulierte Webseite. Eine solche Webseite könnte exakt wie die ihrer Bank aussehen.

Oftmals können Sie optisch also nicht unterscheiden, ob gute oder böse Absichten hinter der Webseite stecken. Aber dennoch gibt es wiederum einige Hinweise, die einen Phishing-Angriff vermuten lassen:

  1. Der Name der Internetadresse ist schlichtweg falsch. Oftmals wird lediglich ein Buchstabe vertauscht oder hinzugefügt, manchmal auch eine ähnlich klingende Subdomain hinzugefügt. Überprüfen Sie daher die Internet-Adresse immer genau – auf Flüchtigkeitsfehler hoffen die Betrüger zuerst.

  2. Die Angreifer nutzen eine nicht korrekt verschlüsselte Verbindung zur Bank – weder ein Schlosssymbol noch ein „https://“ sind in der Adresszeile des Webbrowsers erkennbar.

  3. Es wird die Eingabe von sensiblen Kundendaten gefordert, die ausschließlich für den Kunden bestimmt sind, wie PINS, TANs oder Passwörter. Solche Daten werden nie auf einer Seite unspezifisch abgefragt, sondern nur in einem ganz bestimmten von der Bank festgelegten Kontext. So zum Beispiel müssen Sie nur genau eine TAN eingeben, wenn Sie eine Überweisung absenden wollen und in keinem anderen Fall. PINs von EC-Karten, ebenso wie von Online-Konten dürfen aus Sicherheitsgründen lediglich dem Kunden und nie den Bankangestellten bekannt sein. Daher würden Sie nie von Bankangestellten oder Bank-Webseiten danach gefragt werden.

  4. Die Webseite zeichnet sich durch eine schlechte Wortwahl oder Rechtschreibfehler aus (zum Beispiel „Tasten Sie ... ein ...“).

Unterschiedliche Beispiele für Phishing-Angriffe können Sie auf den Websites des BSIs für Bürger und des Fraunhofer Instituts ansehen.

Betrüger verfeinern Phishing-Angriffe

Phishing funktioniert am besten dann, wenn Betroffene nicht um Phishing-Angriffe wissen. Sobald die Strategien bekannt sind, sind sie leichter zu entlarven. Die Betrüger hoffen nämlich, dass Sie unaufmerksam sind oder vielleicht in Hektik schnell nur Ihre E-Mails bearbeiten und nicht genau darüber nachdenken, was Sie tun. Je mehr vor Phishing gewarnt wird, umso mehr Nutzer können durch Achtsamkeit und mehr Vorsicht Betrugsversuche frühzeitig erkennen. Aber auch Achtsamkeit ist leider keine Garantie, denn auch die Phishing-Strategien der Betrüger werden ausgefeilter und immer schwieriger zu identifizieren.

Phishing mit Schadsoftware

Betrüger betreiben großen Aufwand, um für das Phishing spezielle Schadsoftware zu entwickeln. Mit Hilfe solcher Schadsoftware sind Phishing-Angriffe vom Betroffenen nicht mehr als solche identifizierbar. Denn ist Ihr Computer einmal mit Phishing-Schadsoftware infiziert, dann können Sie trotz Eingabe einer korrekten Internetadresse auf eine gefälschte Webseite umgeleitet werden. Die Schadsoftware fängt dazu Ihre Website-Anfrage ab und leitet sie zu Computern der Betrüger um.

Diese Schadsoftware wird meist in Form eines so genannten trojanischen Pferdes (Trojaner) verbreitet. Dazu senden Betrüger zum Beispiel eine einfache E-Mail mit Anhang. Der Anhang wird von arglosen Empfängern geöffnet und installiert die Schadsoftware automatisch. Prompt ist der Computer infiziert.

In aktuellen Fällen haben Betrüger auch Internetseiten manipuliert, die arglose Surfer nur besuchen müssen, um ihren Computer mit der Schadsoftware zu infizieren. Diese Art der Infizierung wird auch „Drive-by-Download“ genannt. Das bedeutet übersetzt „Download beim Vorbeifahren“ und meint, dass lediglich durch das Aufrufen der Webseite, das „vorbei-surfen“, ohne irgendeinen Link geklickt zu haben, bereits für eine Infizierung mit Schadsoftware ausreicht.

Um sich zu schützen, gilt generell: Ein aktuelles Antiviren-Programm kann die Installation von Schadsoftware verhindern und eine Firewall deren Kommunikation blockieren. Außerdem sollten Sie Sicherheitsupdates Ihres Browsers und anderer Internet-Anwendungen zeitnah installieren. Das verhindert, dass bekannte Sicherheitslücken von den Betrügern zur Installation von Schadsoftware auf Ihrem Computer missbraucht werden können.

Phishing über Instant Messaging (Chat)

Neben E-Mail zählt für Betrüger das Instant Messaging zu den beliebtesten Phishing-Werkzeugen. Im Normalfall können Sie den Angriff schnell erkennen, da Ihnen beispielsweise ein Link zu einer präparierten Webseite von einem unbekannten Kontakt zugeschickt wird.

Seit geraumer Zeit sind jedoch auch Phishing-Angriffe zu beobachten, die einen bekannten Kontakt aus der eigenen Freundesliste als Absender haben. Dazu übernehmen die Betrüger das Konto Ihres Kontakts, um Sie zu täuschen. Die Betrüger senden Ihnen von dort entweder Links zu gefälschten Websites oder direkt ein Schadprogramm zu. Oft sind diese Schadprogramme als lustige Spielchen oder Videos getarnt. Um solchen Angriffen zu entgehen, sollten Sie prinzipiell jeden Link, der Ihnen gesendet wird, genau untersuchen und kritisch hinterfragen.

Soziale Netzwerke als Ort von Phishing-Angriffen

Ähnlich wie beim Instant Messaging funktioniert ein Phishing-Angriff mit Hilfe von gekaperten Profilen in sozialen Netzwerken. Gelingt es einem Betrüger, die Kontrolle über ein Profil in einem sozialen Netzwerk zu übernehmen, so kann er im Namen des eigentlichen Profil-Eigentümers den Link zu seiner gefälschten Webseite an alle im Profil hinterlegten Freunde verschicken. Die Nachricht des Betrügers wirkt für die Empfänger vertrauenswürdig, da sie annehmen, dass der Absender ein Freund ist. Auch hier sollten Sie den Link kritisch untersuchen.

Technische Hilfsmittel gegen Phishing

Um Surfer besser vor Phishing-Angriffen zu schützen, wurden inzwischen verschiedenste technische Hilfsmittel entwickelt. Dazu zählen zum Beispiel in E-Mail-Programme integrierte Spam-Filter, die Phishing-E-Mails erkennen oder Online-Sicherheitslösungen wie etwa die Anti-Phishing-Toolbar von Netcraft. Auch viele Internet-Sicherheitspakete und Antiviren-Programme bieten in den aktuellen Versionen Schutz vor Phishing.

Viele Webbrowser verfügen über einen eingebauten Phishing-Schutz, den Sie jeweils aktivieren können. So zum Beispiel Firefox, Internet Explorer 7 und 8 oder auch Safari. In die Kritik geraten ist dieser Phishing-Schutz, weil er nur dann funktioniert, wenn sämtliche Besuche auf Webseiten von den Betreibern des Browsers mitprotokolliert und mit bekannten Phishing-Webseiten abgeglichen werden. Der Benutzer erhält dann eine Warnung, wenn versehentlich eine bekannte Phishing-Seite besucht wird. Allerdings muss dafür ein beträchtliches Maß an Datenschutz aufgegeben werden, zumal dieser Schutz auch nur vor bereits bekannten Phishing-Seiten warnen kann. Da Phishing-Seiten oft ihre Adressen ändern und umziehen, kann dieser Phishing-Schutz sie darüber hinaus nur begrenzt beschützen.

Beachten Sie hierzu auch unsere Checkliste „Technische Hilfsmaßnahmen gegen Phishing“.

Abschließende Hinweise

Neben E-Mails und präparierten Webseiten nutzen Betrüger auch sämtliche anderen Kommunikationswege, um an Ihre geheimen Zugangsdaten zu gelangen. Dazu zählen unter anderem SMS, MMS, Telefon aber auch die Internet-Telefonie, zum Beispiel über Skype.

Um diesen Phishing-Arten vorzubeugen, sollten Sie solchen Versuchen der Kontaktaufnahme mit gesundem Misstrauen begegnen. Geben Sie sensible Bankinformationen nie an Dritte weiter. Unsere Checklisten „Erkennen von Phishing-E-Mails“ und „Erkennen von Phishing-Webseiten“ fassen zusammen, wie Sie Phishing-Attacken erkennen können.

Beachten Sie auch unsere Checkliste „Verhaltensregeln zum Vorbeugen von Phishing“.