Phishing: Wie Du Dich schützt
© Ton Photograph / Getty Images
Phishing im Jahr 2024 – und wie Du Dich schützt
30.09.2024 - 09:32 Uhr
Phishing ist nach wie vor gefährlich für alle potenziellen Opfer dieser Betrugsmasche. Wir zeigen Dir, wie Kriminelle im aktuellen Jahr vorgehen und was Du dagegen machen kannst.
Phishing und seine Bedeutung heute
Datendiebstahl, Geldbetrug, Informationsklau, Malwareinfektion: Phishing und dessen Auswirkungen kennen praktisch keine Grenzen. 2023 stieg der Anteil der gemeldeten Phishingvorfälle im Vergleich zum Vorjahr um etwa 60 %. Dieses extreme Wachstum zeigt, wie bedeutend Phishing nach wie vor ist und dass die Bedrohung im Laufe der Zeit keineswegs abgenommen hat – im Gegenteil
Wie funktioniert Phishing?
Im Kern geht es um Social Engineering in der einen oder anderen Form: Kriminelle möchten Dich beim Phishing dazu bringen, persönliche Daten herauszugeben. Das sind etwa Kontendetails, Anmeldedaten, Kreditkartennummern und ähnliche, vor allem finanziell relevante Details. Der Name leitet sich daher ab, dass die Angreifer praktisch eine Art Köder auswerfen, an dem Du anbeißen sollst – wie beim Angeln. Im besten Fall schluckst Du den Angelhaken, bevor Du überhaupt merkst, dass irgendetwas schiefläuft.
Wie genau Phishing vor sich geht, unterscheidet sich jedoch von Fall zu Fall. Wir zeigen Dir neun verschiedene Arten, denen Du aufmerksam aus dem Weg gehen solltest:
- Angler
Diese Methode wirst Du schon einmal gesehen haben, wenn Du viele soziale Medien nutzt. Beim Angler-Phishing geben sich Kriminelle als Vertreter offizieller Stellen aus – also vielleicht Mitarbeiter von großen Unternehmen oder auch als prominente Persönlichkeit. In Posts oder Kommentaren sollst Du dazu gebracht werden, beispielsweise auf einen vermeintlich sicheren Link zu klicken. Da es sich um einen offiziellen Account handelt, kann nichts schiefgehen – oder?
Hinter diesem angeblich echten Account stecken natürlich Betrüger. Sie hoffen, dass Du nicht merkst, dass Du es nicht mit einem echten Mitarbeiter eines Unternehmens zu tun hast. Daher gilt: Verifiziere immer, mit wem Du gerade interagierst – vor allem, wenn es um Geld oder persönliche Daten geht. - Deepfakes
Deepfakes sind sehr echt aussehende Videos, die über große Plattformen oder auch in privaten Anrufen abgespielt werden. So könnte Dir etwa Elon Musk versprechen, Dir garantiert 10.000 Euro zu überweisen, wenn Du jetzt auf diesen Link in der Videobeschreibung klickst. Das Video wurde von Kriminellen erstellt, die KI-Software verwendet haben. Oft vertrauen Opfer auf diese Videos, denn große Persönlichkeiten würden schließlich keinen öffentlichen Betrug begehen.
Auch hier gilt, dass Du nicht auf diese Videos hereinfallen solltest. Egal, was Du siehst: Verifiziere immer, dass die angegebenen Informationen stimmen. Wenn ein Angebot zu gut ist, um wahr zu sein, dann ist es das wahrscheinlich auch. Anhand der Stimme kannst Du den Betrug meistens nicht erkennen, denn die wird täuschend echt nachgestellt. - Vishing
Im letzten Absatz hatten wir bereits die Stimme als Betrugsmasche genannt – und genau darum geht es beim Vishing. Beim „Voice-Phishing“ geht es darum, automatisierte Anrufe abzusetzen. Nimmst Du den Anruf an, wird oft mit rechtlichen Schritten gedroht wegen irgendeiner Sache, in die Du angeblich verstrickt wärst. Das stimmt zwar nicht, aber einige Menschen lassen sich dadurch einschüchtern und zahlen lieber die Summe, die als Ausgleichsbetrag genannt wird. Damit wäre diese angebliche rechtliche Sache dann vom Tisch.
In diesem Fall gilt: Kühlen Kopf bewahren und überlegen, ob die angegebenen Daten stimmen können (was natürlich nicht der Fall ist). Danach am besten nicht weiter darauf eingehen und die Sache ignorieren. Reale Anwälte würden nie zu diesen Methoden greifen. - Smishing
Smishing hast Du eventuell schon einmal erlebt: Du bekommst eine SMS-Nachricht, in der zum Beispiel ein Paketlieferdienst sagt, dass Dein Paket bald ankommen würde. Unter einem Link in der SMS könntest Du den Paketweg nachverfolgen. Interessiert tippen einige Menschen auf den Link, der dann wahrscheinlich zu einer infizierten Webseite führt. Am besten schützt Du Dich davor, wenn Du nie auf Links in SMS-Nachrichten tippst – auch nicht von Freunden, denn deren Smartphone könnte ebenfalls von Schadsoftware infiziert sein.
Außerdem kann es nicht schaden, sich selbst zu fragen, ob du überhaupt ein Paket erwartest. Nein? Dann gibt es auch keinen Grund, auf diese SMS-Nachrichten hereinzufallen. Manchmal geben sich die Nachrichten auch als angeblich wichtige Nachricht von Verwandten aus – auch dies solltest Du ignorieren. - Quishing
QR-Codes sind in ihrem Kern nichts anderes als ein Link, nur dass dieser als Bild dargestellt wird und nicht als Buchstaben. Somit sind QR-Codes ebenso beliebte Ziele von Kriminellen. Das Problem daran ist, dass Du sie schlecht vorher identifizieren kannst. Siehst Du in freier Wildbahn irgendwo einen Code, möchtest Du ihn vielleicht schon aus reiner Neugier scannen. Das kann jedoch in einigen Fällen problematisch sein.
Dasselbe gilt für QR-Codes in E-Mails. Auch hier gilt: Nicht scannen, wenn Du nicht weißt, von wem die E-Mail stammt und wohin der Code führt. Im Vergleich zu lesbaren URLs sind QR-Codes wesentlich kryptischer, die Identifikation fällt daher oft schwer. Daher gilt auch hier: Überwinde Deine Neugier und scanne unbekannte Codes im Zweifelsfall nicht. - Kalenderangriff
Auch Kalendereinladungen eignen sich für Angriffe – vor allem, da die Methode weniger bekannt ist. Dies führt dazu, dass die meisten Menschen weniger misstrauisch sind. Das Gefahrenpotenzial ist aber dennoch hoch: Dabei versuchen Kriminelle, dir Einladungen an Deinen Kalender zu schicken, die Du dann ablehnen oder annehmen kannst. In manchen Berufen sind Termine an der Tagesordnung, sodass einige Personen einfach blind alles annehmen.
Bei diesen Kalenderlinks handelt es sich jedoch um Weiterleitungen, die auf gefährliche Webseiten führen. Das Ziel lautet dabei, wie immer, Deine Daten zu erhalten. Der Schutz ist denkbar einfach: Indem Du vorher prüfst, um was es bei dem Termin überhaupt geht, kannst Du die meisten Phishingversuche via Kalender leicht vermeiden. Dennoch solltest Du immer zwei Mal hinschauen – vor allem bei Einladungen renommierter Unternehmen. - Whaling
Whaling dürfte für die meisten Menschen irrelevant sein, aber für einige Personen ist es dennoch gefährlich. Dabei handelt es sich um Angriffe, die explizit auf hochrangige Personen zugeschnitten sind: Geschäftsführer, Politiker, leitende Angestellte, Manager & Co. Dies ist zwar weniger häufig erfolgreich, da diese Personen Sicherheitsmaßnahmen ergreifen. Funktioniert es aber dennoch, ist der Gewinn entsprechend hoch.
Leitest Du vielleicht ein Unternehmen oder befindest Dich in einer ähnlich hohen Position, solltest Du daher noch vorsichtiger als andere Menschen sein. Der Zugang zu sicheren Systemen etwa sollte immer 2FA-gesichert sein – denn dann wären selbst die via Phishing erlangten Login-Daten so gut wie nutzlos. Der beste Schutz lautet aber auch hier, den gesunden Menschenverstand zu nutzen und sich sehr gut abzusichern. - Spear-Phishing
Spear-Phishing lässt Dich glauben, dass Du es mit einer ganz bestimmten Person zu tun hast, was das Vertrauenspotenzial erhöht. Beispielsweise könntest Du eine Mitteilung von der Chefin aus der IT-Abteilung bekommen. In diesem Fall haben aber Kriminelle den Namen dieser Chefin übernommen und reichern die E-Mail vielleicht noch mit anderen persönlichen Informationen an – und schon steigen die Chancen, dass Du ihr glaubst.
Anschließend wirst Du vielleicht gebeten, bestimmte Login-Daten zu wichtigen Systemen zu übermitteln – kein Problem, denn die IT-Chefin wird schon keine Fehler machen, oder? Sobald Du die Daten übersendet hast, stehen den Angreifern dann alle Türe offen und das Unternehmen eventuell vor einem hohen Schaden. Nachrichten dieser Art solltest Du daher immer zwei Mal verifizieren, bevor Du die Daten wirklich herausrückst. - E-Mail-Betrug
Der Klassiker zum Schluss: Gefälschte E-Mails funktionieren leider noch immer zu oft. Dabei erhältst Du E-Mails von Google, Apple, Microsoft und anderen bekannten Unternehmen. Auch Banken sind sehr beliebt. Andere Mails zielen auf Abo-Dienste ab: „Klicke hier, um dein Netflix-Konto wiederherzustellen.“ Natürlich handelst Du sofort, denn dein Netflix-Konto soll schließlich nicht gesperrt, sondern wieder verfügbar sein.
Hinter den Links stecken selbstverständlich Betrüger, die Dich auf sehr echt aussehende, aber falsche Webseiten führen. Dort wirst Du dann um deine Daten erleichtert. Bevor Du einen Link anklickst, solltest Du überprüfen, wohin dieser führt (indem Du mit der Maus kurz darüberfährst) und im Zweifelsfall Kontakt zu dem Unternehmen aufnehmen. Dort wird man klären können, ob die E-Mail echt ist oder nicht – und in den meisten Fällen ist sie leider gefälscht.
Quelle: IDG
