Phishing - how much is the phish!?
Wir erläutern Phishing und seine Unterarten wie Quishing, Smishing oder Vishing
Wir beginnen mit ein paar Zahlen:
- Etwa jede Dritte unerwünschte E-Mail (Werbung, vermeintliche Gewinnbenachrichtigungen oder ein Newsletter, der sich nicht abbestellen lässt) beinhaltet einen Phishing-Versuch und
- 62 % haben schon einmal wissentlich eine Phishing-E-Mail erhalten.
Nervige E-Mails verstopfen also nicht nur E-Mail-Postfächer und bahnen Betrugsversuche an, sondern infizieren oft auch das Empfängersystem mit einem Schadprogramm zum Ausspionieren persönlicher Daten: Phishing heißt diese Cybercrime-Spielart – ein Kunstwort, das sich aus "Passwort" und "Fishing" zusammensetzt.
Gezieltes Phishing ist eine Straftat und kann böse Folgen für die Opfer haben. Und mittlerweile gibt es mehrere Unterarten des Phishings - in Anlehnung an den Kommunikations- oder Medienkanal, auf dem sie auftreten. Das nachfolgende Video gibt einen ersten Überblick, was Phishing ist:
Das Fischen nach Passwörtern hört sich harmloser an, als es in der Realität tatsächlich ist. Denn Phishing steht am Anfang verschiedenartiger Delikte, die vom "einfachen" Datendiebstahl über illegale Kontoabbuchungen bis hin zu Angriffen auf Kritische Infrastrukturen reicht. Das BSI berichtete in der Vergangenheit zum Beispiel über Phishing-Angriffe auf europäische und US-amerikanische Energieversorger – darunter auch Kernkraftwerksbetreiber.
Spear-Phishing: Nicht alle Phishing-E-Mails landen im Gefolge einer ungezielten Spam-Welle im Postfach: Das sogenannte Spear-Phishing (von engl. spear = Speer) richtet sich gezielt gegen bestimmte Firmen oder Organisationen. Deshalb sind solche Phishing-E-Mails mit oft hohem Aufwand und viel Akribie auf einen ganz konkreten Empfänger zugeschnitten. Die Hintermänner gehören in solchen Fällen meist einer international organisierten Gruppe von Cyber-Kriminellen an. Spear-Phishing ist oft nur der Auftakt einer gestaffelten Angriffskette, bei der es häufig um Finanzbetrug oder um das Abschöpfen von Geschäftsgeheimnissen oder militärischen Informationen geht.
Phishing – Vorsicht vor der Tarnung!
Als seriöse Bank, Internetanbieter oder anderer Dienstleister getarnt, fordern Spam-E-Mails mit gefälschtem Absender die Empfängerinnen und Empfänger zum Beispiel zu einer vorgeblich notwendigen Aktualisierung ihrer persönlichen Daten auf. Als Vorwand für die Bestätigung von Kontoinformationen wird dann zum Beispiel der baldige Ablauf einer Kreditkarte genannt. Oder das Passwort müsse wegen eines angeblichen Sicherheitsvorfalls erneuert werden. Dabei spekulieren die Kriminellen darauf, dass sich unter den Empfängern einer Spam-Welle stets genügend Kunden der im Absender genannten Organisation befinden. Kein Wunder, dass der Name großer Bankengruppen wie die Sparkassen oder Volks- und Raiffeisenbanken so häufig für Phishing-Spam missbraucht wird.
Aktuelle Beispiele für Phishing
Sowohl die Phishing-E-Mail selbst als auch die Website, auf die ein Link im E-Mail-Text verweist, sind dabei zumeist sorgfältig nachgeahmt. Cyber-Kriminelle verstehen ihr Handwerk. Allzu oft gelingt es ihnen, durch professionelle Imitation des Corporate Designs inklusive Logo, Farbgebung und Schriftarten der jeweiligen Organisation überzeugend Echtheit vorzutäuschen. Arglose Empfängerinnen und Empfänger lassen sich so leichter dazu verleiten, auf einen Link in der E-Mail zu klicken – zumal er sich oftmals hinter einem perfekt designten Button verbirgt. Jetzt haben die Betrüger ihre Opfer genau da, wo sie sie hinhaben wollen: auf der gefälschten Website einer Organisation, die überall als vertrauenswürdig anerkannt ist.
Posts in Sozialen Netzwerken können genauso wie der Link in der Spam-E-Mail auf eine gefälschte Website führen. Hierbei sind es weniger Banken oder große Dienstleistungsunternehmen, die als fingierte Absender missbraucht werden, sondern vor allem bekannte Markennamen. Das Ziel der Phishing-Betrüger bleibt jedoch dasselbe – Vertrauen erschleichen und persönliche Daten abgreifen.
Smishing – Betrug per SMS
Hinter Smishing - dem Phishing per SMS - steckt eine weitere Angriffsvariante von Cyber-Kriminellen. Das vorrangige Ziel ist es, Zugangsdaten abzugreifen und diese für weitere Betrügereien zu missbrauchen. Die SMS kommen meist von angeblichen Paketdiensten, die eine Sendungsverfolgung, Probleme mit der Paketzustellung beinhalten oder auch von Onlineshopping-Plattformen, die eine Zahlungsaufforderung enthalten.
Oberstes Gebot ist Vorsicht! Überlegen Sie erst einmal genau, ob Sie gerade ein Paket erwarten und lassen Sie sich nicht unter Druck setzen. Achten Sie zum Beispiel auf Rechtschreibfehler (insbesondere bei Umlauten wie ö, ä, ü) in der SMS und kuriose Zeichenabfolgen innerhalb der Links. Klicken Sie im Zweifel nicht auf diese Links in der SMS.
Auf der Seite der Verbraucherzentrale NRW gibt es zahlreiche Beispiele für Smishing.
Quishing – Betrug per QR-Code
QR-Codes sind mittlerweile weit verbreitet, um Daten schnell auszulesen, lange URLs zu vermeiden oder die Anzeige von Informationen vom Analoge ins Digitale mithilfe eines Smartphones darzustellen - z.B. im Kontext von Geodaten, Menükarten in einem Restaurant, Eintrittskarten oder auf persönlichen Visitenkarten.
Cyberkriminelle missbrauchen QR-Codes, indem sie diese in E-Mails - vermeintlich z.B. von Behörden oder Banken - integrieren und zu einer dringenden Aktion aufrufen, die nur mithilfe dieses QR-Codes zu lösen ist. Durch das Abscannen des Codes gelangt man entweder auf eine maliziöse Webseite, die ihr Gerät mit Schadcode infiziert, oder man ist aufgefordert in eine gefälschte Eingabemaske sensible (Bank) -daten einzutragen. Virenscanner stufen QR-Codes als harmloses Bild ein und werden daher nicht erkannt.
Der BSI-Tipp: Scannen Sie in solchen E-Mails keine QR-Codes ab, erscheint die E-Mail auch noch so seriös. Lassen Sie sich auch hier nicht von der Dringlichkeit unter Druck setzen und kontaktieren Sie den Dienst, die Behörde oder die Bank auf anderem Wege, zum Beispiel via Telefon und lassen sich die Echtheit erst einmal bestätigen.
Vishing – Phishing am Telefon (via voice)
Wo viele eine digitale Reizüberflutung wahrnehmen, greifen Cyberkriminelle wieder verstärkt zum Telefon. Denn da, wo am anderen Ende der Leitung vermeintlich jemand von einer Polizeidienststelle, einer Bank oder einem IT-Unternehmen eine Notsituation herstellt und Sie zu einer schnellen Handlung bewegen will, ist ebenso Vorsicht geboten. Gerade, wenn das Telefon im stressigen Alltag klingelt und scheinbar Gefahr für Leib und Leben einer/s Angehörigen oder das eigene Geld besteht, handeln manche Menschen überhastet, weil sie von ihren Emotionen überwältigt sind. Viele hab schon von dem sogenannten Enkeltrick (ein Enkel braucht unbedingt Geld und lässt es von einem Freund abholen) gehört. Außerdem gibt es den Polizeianruf, bei dem Gefahr durch Einbrecherbanden suggeriert wird und man solle der Polizei an der Tür Wertgegenstände zur sicheren Verwahrung mitgeben.
Aber nicht nur Geld oder Wertgegenstände sind das Ziel solcher Vishing-Anrufe.Auch persönliche Daten, die ein vermeintlicher IT-Support-Mitarbeiter - sogar nebenbei - abfragt, sollen abgegriffen und dann für weitere kriminelle Zwecke verwendet werden.
BSI-Tipp: Keine persönlichen Daten am Telefon herausgeben, sondern direkt auflegen und wenn eine Nummer angezeigt wird die sie nicht kennen: am besten nicht annehmen und wenn möglich sperren oder zum Beispiel bei der Bundesnetzagentur melden. Sollten Sie mit ihrer Bank in Telefonkontakt stehen, vereinbaren Sie zum Beispiel ein geheimes Code-Wort, um ein vertrauliches, echtes Gespräch am Telefon zu führen.
Der Cybersicherheits-Lotse ist eine Orientierungshilfe für Verbraucherinnen und Verbraucher, die gezielt und über das Informations- und Beratungsangebot des BSI hinausgehend zu weiteren Akteuren im Digitalen Verbraucherschutz und deren Unterstützungsangeboten vermittelt. Wenn Sie uns Feedback zu unserem neuen Tool geben möchten, hier geht es zu einer kurzen Umfrage.