Sie sind gemein, mittlerweile erstaunlich gut gemacht und längst die Pest in unserer elektronischen Post: Phishing-E-Mails, in denen uns Online-Betrüger dazu verleiten wollen, unsere Kundendaten, Passwörter oder PIN-Codes zu verraten. Auf oft verblüffend gut nachgeahmten Webseiten sollen wir - so die oft verwendete Formulierung - "aus Sicherheitsgründen die Kontodaten bestätigen", da es angeblich "zu Fremdzugriffen durch Dritte" gekommen sei.
Alternativ verschicken die Angreifer Nachrichten, die angeblich aktuelle Rechnungen enthalten, bei denen die Dateianhänge aber mit Schadsoftware verseucht ist, die beispielsweise die Eingabe der Kontodaten protokolliert und die Informationen dann heimlich an die Hacker weiterleitet. Gerade erst schwappte wieder eine Welle mit gefälschten Telekom- und Vodafone-Rechnungen durchs Netz und in die elektronischen Postfächer.
Fast immer ist die Aufforderung garniert mit der Drohung, das Konto, der Account, der Onlinezugang oder der Telefonanschluss werde kurzfristig gesperrt, wenn man nicht sofort reagiere/die Nutzerdaten prüfe/die Rechnung begleiche. Die Lösung des Problems dagegen sei nur einen Klick entfernt, man müsse bloß dem in der Nachricht eingebetteten Link folgen ...
Bekannte Masche
Die Masche ist - eigentlich - stets die gleiche und hinlänglich bekannt. Dennoch gelingt die Überrumpelung immer noch erstaunlich oft.
Selbst wenn sich die Zahl der gemeldeten Fälle in der letztverfügbaren Kriminalstatistik 2012 auf knapp 3.500 knapp halbiert hatte, gehen Sicherheitsspezialisten davon aus, dass die Dunkelziffer um ein Vielfaches höher liegt. Dafür spricht auch, dass die Zahl der Cybercrime-Delikte insgesamt weiter stark ansteigt.
Zugleich aber wächst bei den deutschen Surfern das Bewusstsein für das Phishing-Risiko. Viele Onliner löschen daher inzwischen rigoros E-Mails mit verdächtigen Betreff-Zeilen wie etwa "WICHTIG: PASSWORT PRÜFEN", "ID wurde aus Sicherheitsgründen deaktiviert" oder "ACHTUNG KONTOSPERRE".
Die Kehrseite der Totalverweigerung: Mit allen potenziell riskanten Nachrichten verschwinden auch jene in den Orkus, in denen Telefonkonzern, Bank oder Online-Händler tatsächlich vor neuen Sicherheitsrisiken, Spam- oder Phishing-Attacken warnen wollen.
So etwa der Onlineriese Ebay, der seine Kunden nach dem millionenfachen Diebstahl von Kundendaten zur Änderung der Nutzerpasswörter aufforderte. Meine erste Reaktion beim Blick auf den Betreff "Wichtig: …" war denn auch die Annahme, es sei der nächste Phishing-Versuch.
"Wir stecken da in einem Zielkonflikt", heißt es denn auch unisono bei Online-Händlern, Bankern, Web-Shops oder Cloud-Dienstleistern: "Wir warnen unsere Kunden per E-Mail vor Phishing-Attacken, die sie ebenfalls per E-Mail erreichen."
Statt also pauschal alles zu löschen, was möglicherweise ein Phishing-Versuch sein könnte, sollten Onliner wissen, wie sie getarnte Attacken im elektronischen Posteingang identifizieren können und wie sie das Risiko, den Betrügern in die Falle zu gehen, durch das richtige Verhalten beim Konto-Check noch zusätzlich minimieren können. Hier die entscheidenden Tipps:
Zehn entscheidende Tipps
1. Seien Sie angemessen skeptisch. Noch falscher als alle zweifelhaften Nachrichten zu löschen ist, die Aufforderungen darin ungeprüft umzusetzen. Kontrollieren Sie daher alle E-Mails auf Auffälligkeiten.
2. Sprechen Sie Deutsch. Viele Hacker kopieren zwar dreist Layout und Logos aus Originalnachrichten oder von den Webseiten der Banken, Onlineshops oder Netzbetreiber, nutzen zugleich noch immer minderwertige Übersetzungsprogramme, um ihre Schreiben zu übersetzen. Formulierungen wie "Ihre ID wurde aus Sicherheitsgrunden deaktiviert!" oder "Um Ihre Identität zu bestätigen, können Sie hier um zu gehen überprüfen" sind ein untrügliches Indiz für einen Betrugsversuch.
3. Prüfen Sie den Adressat. Kontrollieren Sie, dass die Nachrichten tatsächlich an SIE adressiert sind, und zwar an die richtige E-Mail-Adresse. Nachrichten ohne persönliche Anrede ("Hallo, Ihr Konto ist in Gefahr") sind verdächtig, wenn sie etwa vermeintlich von Ihrem Telefonanbieter stammen, der sie sonst immer persönlich anschreibt. Gleiches gilt, wenn die E-Mail-Adresse, unter der Sie die Nachricht erhalten, gar nicht die ist, mit der Sie sonst beim Dienstanbieter (etwa iCloud, Dropbox, WhatsApp, etc.) angemeldet sind. Auch dann gilt: Finger weg!
4. Kontrollieren Sie den Absender. Betrüger geben sich mal mehr, mal weniger Mühe, ihr Tun zu verschleiern. Oft fällt schon beim Blick auf die Absender-Adresse auf, dass etwas faul ist. Wer etwa eine angeblich von Ebay stammende Nachricht von einem Absender wie "xlds@hondshu.co" bekommt, gewinnt jede Wette, dass die E-Mail gefälscht ist. Aber Vorsicht, auch vermeintlich Vertrauen erweckende Absender wie "kunden@e.appIe.de" können in die Irre führen, weil die Absender - statt des Kleinbuchstabens "l" den Großbuchstaben "I" in die Adresse eingefügt haben. Sowas fällt nur bei genauem Hinsehen auf. Tun Sie's.
5. Achten Sie auf den Betreff. Netzbetreiber und E-Mail-Anbieter wie Telekom, Vodafone oder 1&1 nennen in E-Mails mit elektronisch verschickten Rechnungen im Betreff oder im Nachrichtentext vielfach ausdrücklich ihre Kundennummer. Machen Sie sich im Zweifel die Mühe, diese Nummern mit früheren E-Mails abzugleichen. Stimmen die Nummern nicht, seien Sie vorsichtig.
6. Meiden Sie integrierte Links. Wenn die Nachrichten einen Link enthalten, über den Sie angeblich direkt auf die Web-Seite zur Passwortprüfung, Freischaltung des Kontos oder welcher Eingaben von Kundendaten auch immer aufgefordert werden, dann sollten alle Alarmlampen anspringen. Denn oft verbirgt sich hinter der dann erscheinenden Webseite eben gerade nicht der vorgebliche Dienst, sondern ein Server des Betrügers, der alle eingegebenen Daten protokolliert. Dass die Eingabeseiten dann zwar aussehen, wie die Homepage von Bank, Web-Händler etc. besagt nichts. Sie sind nicht mehr als eine Kopie der Originale. Um solch eine Irreführung auszuschließen, hat Ebay beispielsweise in seiner jüngsten Aufforderung zur Passwortänderung bewusst keinen Direkt-Link eingebaut sondern bittet seine Nutzer, die Änderung auf direkt über die Webseite vorzunehmen.
Surfen Sie sicher
7. Prüfen Sie Ihre Umgebung. Wie im realen Leben schützt Aufmerksamkeit auch im Web vor Betrug. Kontrollieren Sie daher bei sensiblen Nachrichten oder Online-Aktionen immer genau, auf welchen Webseiten Sie unterwegs sind, beziehungsweise wohin genau ein Link Sie verweisen will. Fahren Sie dazu mit der Maus über in E-Mails eingebettete Links und klicken Sie mit der rechten Taste auf "Hyperlink kopieren". Wenn Sie diese Adresse dann in die Eingabezeile Ihres Browsers (Internet Explorer, Firefox, Chrome) einfügen - aber nicht mit "Enter" bestätigen - sehen Sie, wohin der Link Sie verweisen würde. Auch dabei gilt: Stimmen Ziel und vorgeblicher Absender der Nachricht nicht überein, lotst Sie also beispielsweise eine angeblich von der Postbank stammende E-Mail auf einen Server namens "www.bank.org", ist's höchstwahrscheinlich Betrug
8. Lesen Sie genau. Phisher sind einfallsreich. Um nicht schon bei der ersten Kontrolle der Web-Adresse (Punkt 7) aufzufliegen, verschleiern sie nicht nur die E-Mail-Absender. Auch die Web-Adresse selbst lässt sich fälschen: "www.apple.com" ist eben nicht das Gleiche wie "www.appIe.com". Letzteres aber übersieht, wer nur einen schnellen, oberflächlichen Blick in die Adresszeile des Browsers wirft. Und auch zumindest vordergründig unauffällig wirkende Adressen wie "www.post.bank.net", "www.postbank-kundenservice.com" oder "www.postbank/security.cyber.control/netmoney-cn.hk" führen mit Sicherheit in die Falle.
9. Machen Sie den Gegencheck im Netz. Egal ob Online-Bank, Ebay oder Vodafone, fast alle Anbieter von Web-Diensten bieten ihren Kunden auch ein digitales Online-Postfach wie etwa "My Ebay", "My Vodafone" oder ähnliches. Und fast alle hinterlegen dort auch parallel die an ihre Kunden per E-Mail verschickten Nachrichten und Dokumente. Wer also sicher gehen möchte, dass die Zahlungsaufforderung, die Mahnung zum Passwort-Check oder die Bitte um Änderung des Passworts tatsächlich echt ist, der sollte in eben diesem Online-Postfach nachsehen, ob eine entsprechende Nachricht auch dort wartet. Falls ja, dann ist wohl auch der zugehörige E-Mail-Hinweise echt.
10. Zögern Sie nicht. Packt Sie nach einem vorschnellen Klick auf einen dubiosen Link oder der Eingabe der Zugangsdaten auf einer zweifelhaften Web-Seite die Sorge, dann handeln Sie sofort: Gehen Sie direkt auf die Webseite ihrer Online-Bank, ihres präferierten Web-Shops oder des von Ihnen genutzten Cloud-Dienstes und ändern sie dort umgehend Ihr Passwort. Sonst erledigt das der Phisher - und Sie sind draußen.
(Quelle: Wirtschaftswoche)