Sie sind eine Zielscheibe für Cyber-Kriminelle, sobald Sie einen Online-Account haben. Die Gauner können aus nahezu allen gestohlenen Zugangsdaten Profit schlagen. Und sie beschaffen diese auf immer raffiniertere Weise.
So funktioniert Phishing: Fälschen und Betrügen
Phishing wird eine Art von Betrug genannt, die den Diebstahl Ihrer persönlichen Daten zum Ziel hat, etwa von Kreditkartennummern oder Online-Banking-Kennwörtern. Phishing-Attacken erfolgen, indem der Betrüger gefälschte Mails sendet, die angeblich von der Website eines Ihrer legitimen Geschäftspartner stammen – etwa einer Bank. Es sind also Websites, auf denen Sie Log-ins zu Konten haben. Die Mails locken den Anwender unter Vorwänden auf die gefälschten Sites und verleiten ihn dann dazu, seine Zugangsdaten, Kreditkartennummern oder andere Details herauszugeben.
1. Rufen Sie die Website Ihrer Bank immer direkt auf
Phisher verwenden oft Links in Mails, um ihre Opfer zu einer gefälschten Website zu leiten, deren Adresse ähnlich der echten ist, etwa meinebankonline.de anstelle von meinebank.de. Zudem lässt sich in einer HTML-Mail die tatsächliche Web-Adresse hinter einem beliebigen Text verbergen. Sie sollten deshalb die Web-Adresse Ihrer Bank stets manuell in die Adresszeile des Browsers eintippen.
Prüfen Sie Ihre Konten und Accounts regelmäßig
2. Antworten Sie nicht auf Mails, die Finanzinfos verlangen
Kriminelle verwenden oft Sensationsnachrichten oder Warnmeldungen als Lockmittel, um eine sofortige Reaktion zu erhalten. Beispiel ist eine Mail mit der Warnung „Achtung – Ihre Kontendaten wurden wahrscheinlich gestohlen.“ Seriöse Unternehmen fragen ihre Kunden nicht per Mail nach Kennwörtern oder Kontendetails. Selbst wenn Sie glauben, die Mail sei legitim – antworten Sie nicht. Wenden Sie sich per Telefon an das Unternehmen, oder besuchen Sie dessen Website. Verwenden Sie dafür eine Telefonnummer oder Web-Adressse, die sie unabhängig recherchiert haben.
3. Prüfen Sie, ob die besuchte Website sicher ist
Bevor Sie sich auf Ihrer Bank-Website in Ihr Konto einloggen oder auf einer anderen Website vertrauliche Informationen eingeben, sollten Sie die Verschlüsselung der Website kontrollieren: Prüfen Sie die URL in der Adresszeile des Browsers. Wenn die besuchte Website eine sichere Verbindung anbietet, muss die Adresse mit „https://“ („s“ für Sicherheit) anstelle von „http://“ beginnen. Suchen Sie außerdem in der Statuszeile des Browsers nach einem Schloss-Symbol. Neuere Browser zeigen das Symbol am Ende der der Adresszeile an. Sie können die Verschlüsselungsebene prüfen, indem Sie auf das Symbol klicken. Beachten Sie, dass die Website trotz Verschlüsselung nicht unbedingt legitim sein muss. Es bedeutet nur, dass die Daten verschlüsselt versendet werden.
4. Prüfen Sie Ihre Konten und Accounts regelmäßig
Melden Sie sich regelmäßig auf Ihren Online-Konten an, und überprüfen Sie Ihre Kontoauszüge. Wenn Sie dort verdächtige Transaktionen feststellen, melden Sie diese umgehend Ihrer Bank oder Ihrem Kreditkartenunternehmen. Loggen Sie sich auch in andere Accounts mit persönlichen Daten regelmäßig ein, und prüfen Sie, ob sich dort etwas verändert hat.
Wechseln Sie Ihr Passwort regelmäßig
5. Sichern Sie Ihren Computer mit Antiviren-Software & Co.
Einige Phishin Mails wollen nicht auf eine gefälschte Website locken, sondern enthalten Spyware. Diese speichert Informationen über Ihre Internet-Aktivitäten und öffnet eine Backdoor, um Hackern Zugriff auf Ihren Computer zu gewähren. Sie sollten grundsätzlich keine ausführbaren Mailanhänge starten und sogar beim Öffnen von Dokumenten vorsichtig sein. Antiviren-Software hilft beim Erkennen schädlicher Anhänge, sobald Sie diese auf Platte speichern. Empfehlenswert ist etwa das kostenlose Avira Antivir Personal Free Antivirus 9.0 (für XP, Vista und Windows 7).
Ein Filter gegen bekannte Phishing-Websites ist bei aktuellen Browsern bereits eingebaut. Wer noch mehr Schutz wünscht, sollte den Website-Filter Web of Trust (WOT) installieren. Das Plug-in kennt viele betrügerische Websites und warnt vor ihnen. WOT 20090414 für Firefox und Internet Explorer gibt’s unter www.mywot.com.
6. Wechseln Sie Ihr Passwort regelmäßig
Für alle Accounts, bei denen Sie das Passwort selbst bestimmen dürfen, sollten Sie es regelmäßig wechseln. Falls es einem Phisher doch mal gelungen ist, an die Log-in-Daten zu kommen, können Sie ihn so wieder aussperren. Bei der Passwortwahl sollten Sie diese Regeln beachten:
Regel 1: Je länger das Passwort ist, desto besser. Denn leistungsstarke Rechner knacken mit Brute Force kurze Passwörter sehr schnell. Acht Zeichen sollten es mindestens sein, zehn sind noch besser. Ideal ist es, wenn Sie eine Passwort-Phrase, also einen ganzen Satz eingeben können. Allerdings erlauben nur wenige Dienste so lange Passwörter.
Regel 2: Nutzen Sie ungewöhnliche Zeichenkombinationen. Wörterbuch-Attacken decken einfache Passwörter schnell auf. Deshalb steht ein gutes Kennwort in keinem Wörterbuch.
Ein Beispiel für ein schlechtes Passwort ist „test123“ – es ist sogar bereits im Virus Conficker gespeichert.
7. Melden Sie verdächtige Aktivitäten immer
Wenn Sie eine Mail erhalten, die Ihnen nicht echt erscheint, senden Sie diese an das Unternehmen weiter, das imitiert wurde (viele Unternehmen haben eine Mail-Adresse, die speziell für das Melden solchen Missbrauchs eingerichtet wurde). Natürlich dürfen Sie dabei nicht die „Antworten“-Funktion des Mailprogramms verwenden, sonst landet die Mail wahrscheinlich nur beim Phisher.
Quelle: PC-Welt