In Deutschland wurden in den Jahren 2010 – 2015 30.752 Betrugsfälle durch Phishing polizeilich gemeldet. In dieser Zeitspanne wurden dadurch mehr als 123 Millionen Euro entwendet. Unverzichtbar ist demnach die Kenntnis solcher Tricks, um sich selber effektiv vor digitalem Identitätsdiebstahl zu schützen.
Im vergangenen Jahr sind mehr als 45.000 Fälle von Cyberkriminalität in Deutschland zur Anzeige gebracht worden. Insgesamt entstand durch sie ein Schaden von 40,5 Millionen Euro. Gegenüber dem Vorjahr ist die Schadenssumme um 2,8 Prozent gestiegen. Erschreckenderweise liegt laut dem Bundeskriminalamt die Aufklärungsrate lediglich bei 33 Prozent. Phishing stellt in diesem Bereich eines der größten Probleme dar. Zu 25 Prozent sind hier Banken betroffen, deren Kunden durch den digitalen Identitätsdiebstahl über geplünderte Konten berichten. Die Tricks der Betrüger sollten vom Online-Nutzer erkannt werden, damit es gar nicht erst zu einem Schaden kommt.
Was ist Phishing?
Der Begriff selbst stellt ein englisches Kunstwort dar. Es leitet sich von englischen „fishing“ ab und beschreibt das Angeln nach persönlichen Informationen mit einem „Köder“. Dabei haben es die Betrüger in der Regel auf Kreditkartennummern, Bankkonten und deren Passwörter abgesehen. Als „Köder“ wird dabei eine gefälschte Webseite genutzt, die dem Nutzer in einer Nachricht beispielsweise via E-Mail zugeschickt wird. In der Mitteilung selbst wird ein wenig Druck aufgebaut und so muss man eine Rechnung einsehen oder die Kundendaten überprüfen. Ein Link führt dann zur gefälschten Seite der Bank. Dort sollen die Login-Daten eingegeben werden, die der Betrüger abgreifen kann. Danach ist es für ihn möglich, das Bankkonto zu plündern.
Infografik: Wirksam vor Online Plishing schützen
Die folgende Infografik von Betrugstest.com veranschaulicht den Prozess und den entstehenden Schaden noch einmal recht gut.
Eine andere Variante des Phishings beinhaltet einen Anhang in der E-Mail. Des Öfteren wird auf eine Rechnung verwiesen, die dann als zip- oder rar-Datei mitgeschickt wird. In diesem Falle öffnet sich Schadsoftware (sogenannte trojanische Pferde), die auch die Kommunikation zwischen der Bank und dem Kunden aufnehmen können. Dadurch ist das indizierte TAN-Verfahren nicht mehr sicher und diese Konten können ebenfalls ausgeraubt werden, wenn man den Betrug nicht früh genug erkennt. Viele der Banken haben mittlerweile ein mobiles TAN-Verfahren eingeführt, das deutlich schwieriger abzuhören ist, da hier das Handy eine zusätzliche Sicherheitsinstanz darstellt.
Welche Schutzmaßnahmen gibt es gegen Phishing?
Am wichtigsten ist an dieser Stelle, dass man den Köder entlarvt. Sie sollten die E-Mail sofort als Spam aussortieren und gar nicht weiter auf den Link oder die angehangene Datei klicken. Wenn Sie die folgenden Tipps und Ratschläge befolgen, sollte es in dieser Hinsicht keine Probleme geben.
E-Mail aufmerksam lesen!
Sicherlich handelt es sich bei einer Phishing-Mail auf den ersten Blick um eine seriöse Nachricht. In der Zeile für den Absender steht eine E-Mail-Adresse der eigenen Bank und meist ist auch ein Logo in der Mitteilung selbst hinterlegt. Dennoch gibt es einige Zeichen, die Sie aufhorchen lassen sollten:
- Sind mehrere Personen als Empfänger gelistet oder handelt es sich um eine Verteilerliste?
- Findet sich im Betreff eine eindeutige Handlungsaufforderung, wie „dringend“ oder „unbedingt lesen“?
- Gibt es eine persönliche Anrede oder nur ein unpersönliches „Werter Kunde“?
- Gibt es Unstimmigkeiten bei der Rechtschreibung? Werden vielleicht Sonderzeichen oder Umlaute nicht korrekt wiedergegeben? Gibt es grammatikalische Fehler?
- Verweist der Link der Nachricht auf eine unbekannte Webadresse? Ist eine komprimierte Datei als .rar oder .zip angehangen?
- Wird in dem Text der Nachricht durch Fristen, Bearbeitungsgebühren oder unbeglichene Rechnungen Druck aufgebaut?
- Wurden zum Abschluss untypische Grußformeln wie „Respektvoll“, „Ciao“ oder „mfg“ genutzt?
Falls sich mehrere dieser Fragen mit „Ja“ beantworten lassen, handelt es sich hier eindeutig um eine Phishing-Mail. Diese sollten Sie in einem solchen Fall sofort löschen.
Den Link der Webseite genau anschauen!
Falls Sie sich nicht sicher sind, ob es sich um eine vertrauensvolle Nachricht handelt, sollte spätestens die Adresse der Webseite Aufschluss darüber geben. Manchmal wird beim Klicken auf den Link bereits ein Phishing-Filter aktiviert. Die Browser Mozilla Firefox und Google Chrome haben eine solche Schutzfunktion. Dabei wird die Adresse mit einer Liste von Domains verglichen, die als betrügerisch eingestuft wurden. Diese Liste wird stündlich aktualisiert und regelmäßig vom Browser abgefragt. Die Webseite der Sparkasse https://www.sparkasse.de/ sollte in Deutschland bekannt sein. Wenn Sie aber auf eine andere Seite http://www.sparkasse-sicher-einloggen.de/ weitergeitet werden, sollte Ihnen der Betrug schon bei der URL auffallen. Ein Abgleich mit der URL in Ihrer Favoritenliste oder den Lesezeichen kann an dieser Stelle sehr hilfreich sein.
Wenn Sie Ihren Blick zudem auf den ersten Teil der Internetadresse lenken, wird Ihnen das „https“ auffallen. Es handelt sich dabei um die gängigste Form der Verschlüsselung im World Wide Web. Mittlerweile werden fast alle Daten über SSL-Verbindungen verschickt. Diese abhörsicheren Verbindungen sind heutzutage der Standard beim E-Banking und E-Commerce. Wenn es sich bei der aufgerufenen Webseite nur um eine http-Verbindung handelt und dennoch die Login-Daten gefordert werden, handelt es sich eindeutig um eine Fake-Homepage. Genauere Informationen zum Thema Datensicherheit durch Verschlüsselungen können Sie im folgenden Beitrag erhalten.
Login-Daten eingegeben – kann ich doch noch etwas tun?
Falls Sie wirklich die Daten Ihrer Kredit- oder Debitkarte auf einer Phishing-Seite eingegeben haben, sollten Sie sofort den Sperrnotruf 116 116 bemühen. Dort werden Sie sofort zur Kundenhotline Ihrer Bank weitergeleitet. Falls Sie die entsprechenden Phone-Banking Codes nicht zur Hand haben, genügt in der Regel die Kontonummer, Bankleitzahl und Filialnummer. Durch weitere Fragen zur Person wird dann Ihre Identität überprüft und Sie können die Karte innerhalb weniger Minuten sperren. Falls schon ein Schaden entstanden ist, sollten Sie unbedingt einen Anwalt aufsuchen, der sich auf Internetkriminalität spezialisiert hat. Außerdem sollten Sie der Bank die Phishing-Mail weiterleiten, damit andere Kunden zuverlässig gewarnt werden können und kein weiterer Schaden entsteht.
Phishing ist derzeit ein großes Problem. Diesem Betrug kann jedoch zuverlässig vorgebeugt werden, indem die Nachrichten aufmerksam gelesen und vor allem keine Anhänge oder Links zu fremden Seiten geöffnet werden. Wenn Sie die Tricks der „Phisher“ erkennen und beim Lesen der Mitteilung Ruhe bewahren, beziehungsweise sich nicht unter Druck setzen lassen, sollte es gar nicht erst zu einem Schaden, oder der Plünderung des Kontos kommen. Online-Banking hat noch viel Potenzial in Deutschland, wenn die Nutzer die Gefahren kennen, wird es weniger Schwierigkeiten und zufriedenere Kunden geben.