Phishing ist eine der ältesten und verbreitetsten Formen von Cyberbetrug. Diese Art der Täuschung ist besonders hinterhältig und kann äusserst gefährlich sein. Hier erfährst du, wie du Phishing zuverlässig erkennen und dich schützen kannst.
Durchschnittliche Lesezeit ca. 8 Minuten
Du bekommst eine E-Mail von einem Dienst, den du regelmässig nutzt, in der behauptet wird, dass dein Konto bald geschlossen werde. Es wird empfohlen, den Link sofort zu öffnen, um mögliche Probleme zu verhindern. Doch hinter dieser vermeintlich legitimen Situation könnte sich Phishing verbergen, eine der ältesten und verbreitetsten Arten von Cyberbetrug.
Phishing enttarnt – so erkennst du die Cyberbetrugsmasche
Phishing ist eine hinterlistige Form des Betrugs mit dem Ziel, an deine Informationen zu gelangen oder schädliche Software wie Spyware oder Ransomware auf deinen Computer zu schleusen. Dabei wird eine E-Mail oder bösartige Website als Köder verwendet, um deine Onlinesicherheit zu untergraben. Das Hauptziel eines Phishing-Angriffs besteht darin, dich glauben zu lassen, dass die E-Mail von jemandem oder einer Institution stammt, den oder die du möglicherweise kennst und vertraust. Diese betrügerische Taktik versucht, dich dazu zu verleiten, persönliche Informationen preiszugeben oder überstürzte Massnahmen zu ergreifen, wie das Klicken auf einen Link oder das Herunterladen eines schädlichen Anhangs.
Phishing hatte ursprünglich America Online (AOL) in den 1990er-Jahren im Visier. Seitdem hat es sich weiterentwickelt. Phishing-E-Mails installieren heutzutage oft auf Klick Viren oder bösartige Software. Beispiele für solche Cyberangriffe sind die Colonial-Pipeline-Attacke von 2021, bei der ein kompromittiertes Passwort eines Mitarbeitenden zu einem Notstand in 17 US-Bundesstaaten und Washington, D. C. führte. Ebenso der Sony-Pictures-Angriff von 2014, bei dem unbekannte Täter oder Täterinnen grosse Mengen vertraulicher Daten stahlen und online veröffentlichten. Dies verursachte erhebliche Störungen, finanzielle Verluste und Enthüllungen über interne Angelegenheiten von Sony Pictures.
Die Bandbreite des Phishings – die Arten im Überblick
In welchen Formen tritt Phishing auf? Mit der E-Mail-Adresse allein können Hackerinnen und Hacker bereits erheblichen Schaden anrichten, weshalb E-Mail-Phishing wohl an oberster Stelle steht. Doch es gibt auch andere Tricks, die finstere Gestalten nutzen, um uns anzugreifen. Mit einem Bewusstsein für diese verschiedenen Taktiken können wir uns besser vor ihnen schützen.
E-Mail-Phishing
Mehr als 90 Prozent aller Cyberangriffe starten mit einer Phishing-E-Mail. Drei entscheidende Elemente werden verwendet, um dich zu täuschen:
Falscher Absender: Um den Anschein zu erwecken, dass die E-Mail legitim ist, geben Angreifende vor, sie komme von einer vertrauenswürdigen Quelle wie einer Kreditkartengesellschaft, staatlichen Institution oder einem bekannten Einzelhändler wie Amazon. Diese Praxis wird als Spoofing bezeichnet.
Auffällige Betreffzeile: Betrügerinnen und Betrüger erstellen Betreffzeilen, die dazu verleiten sollen, die Nachricht zu öffnen.
Überzeugende Nachricht: Der Inhalt der Phishing-E-Mail zielt darauf ab, dich dazu zu bringen, einen Anhang herunterzuladen (beispielsweise eine Microsoft-Word-Datei mit bösartigem Code in den Makros) oder auf einen Link zu klicken, der zu einer schädlichen Website führt. Dort könntest du unwissentlich bösartige Software wie Adware, Spyware, Ransomware oder einen Virus herunterladen.
Spear Phishing
Bei Spear Phishing handelt es sich um gezielte Angriffe gegen eine bestimmte Person oder Position innerhalb eines Unternehmens oder einer Organisation. Im Gegensatz zur Massenversendung derselben Art von E-Mails an eine Vielzahl von Empfängerinnen im Netzwerk des Unternehmens, mit der Hoffnung, einige zu erwischen, konzentriert sich Spear Phishing auf eine spezifische Zielperson oder Abteilung.
Oftmals wird eine Spear-Phishing-E-Mail die Finanzabteilung ins Visier nehmen und vortäuschen, von einer übergeordneten Stelle zu stammen, die dringend eine beträchtliche Banküberweisung verlangt. Eine weitere Variante, bekannt als CEO-Betrug oder Whaling, zielt direkt auf einen CEO einer Organisation ab. Hierbei versucht der Angreifer, die oberste Führungskraft des Unternehmens dazu zu verleiten, erhebliche Geldsummen an ihn zu überweisen.
[Weiterlesen: Spear Phishing, die unterschätzte Bedrohung]
Smishing
Smishing, eine Kombination aus «SMS» und «Phishing», bezeichnet Angriffe, bei denen Betrüger SMS-Nachrichten an Mobiltelefone senden. Diese Form von Phishing gilt derzeit als besonders gefährlich. Obwohl viele Menschen aufgrund von E-Mail-Betrügereien, wie der berühmten «nigerianischen Prinzen»-Masche, sensibilisiert sind, könnten sie bei betrügerischen Textnachrichten (wie dem Jobbetrug auf WhatsApp) möglicherweise weniger wachsam sein.
[Weiterlesen: Jobbetrug auf WhatsApp – Erkenne die Gefahren und schütze dich jetzt]
[Weiterlesen: Serie Bedrohungen im Internet, Teil 4: Betrügerische Messenger-Nachrichten]
Vishing
Die meisten von uns sind mit Robocalls vertraut – wir haben mittlerweile genug von ihnen bekommen. Doch schlimmer als die Telemarketer sind die Schurken, die Voicemail oder einen Telefonanruf als Phishing-Angriff nutzen. Im Rahmen eines Verfahrens namens Vishing fordert dich ein aufgezeichneter Telefonanruf dazu auf, eine Zahl auf deiner Tastatur zu drücken, oder ein Anrufender versucht, an deine persönlichen Informationen zu gelangen, indem er sich möglicherweise als Microsoft-Support, deine Bank oder Lehrperson der Schule deines Kindes ausgibt. Künstliche Intelligenz und Deepfakes heben diese Form des Betrugs auf ein neues, beängstigendes Level.
[Weiterlesen: Könnte dich dieser KI-Betrugsanruf hereinlegen? So erkennst du ihn.]
Link-Manipulation
In den Tiefen der Phishing-Meere gleicht die Link-Manipulation dem geschickten Einsatz eines verlockenden Köders, in diesem Szenario ist der Köder ein vermeintlich legitimer Link, der jedoch heimlich zu einer gefährlichen Website führt.
Um nicht blindlings auf einen manipulierten Link hereinzufallen, kannst du diesen Trick nutzen: Bewege die Maus über den Link, ohne darauf zu klicken, und warte einen Moment, bis die tatsächliche URL erscheint, zu der du geleitet werden sollst. Wenn etwas verdächtig erscheint – etwa, wenn der verlinkte Text «aktualisieren Sie Ihr iCloud-Passwort» lautet, die URL jedoch http://www.icloudpasswort-update.com ist – handelt es sich höchstwahrscheinlich um Link-Manipulation.
Clone Phishing
Angenommen, du hast vor Kurzem eine E-Mail von deiner Bank mit einem Anhang oder einem Link erhalten. Wochen später erhältst du eine ähnliche E-Mail. Bei dieser E-Mail handelt es sich um einen betrügerischen Klon.
Beim Clone Phishing erstellen Cyberkriminelle identische Kopien legitimer E-Mails. Alle Details bleiben gleich, doch sie tauschen die Links oder Anhänge gegen betrügerische Inhalte aus. Sie setzen darauf, dass die meisten Menschen die E-Mail wiedererkennen und die Änderungen nicht im Detail überprüfen. Und oft haben sie damit leider recht.
Malvertising
Mit einem Namen, der sich von den Wörtern «bösartig» (malicious) und «Werbung» (advertising) ableitet, kombiniert Malvertising zwei deiner am wenigsten bevorzugten Dinge: bösartige Websites und Anzeigen. In dieser Art von Phishing-Angriff schicken dir Cyberkriminelle eine gefälschte Anzeige per E-Mail, die echt aussieht, aber Links zu Websites enthält, die Malware verbreiten.
Phishing über Suchmaschinen
In dieser heimtückischen Form von Phishing-Angriff wirst du ins Visier genommen, während du suchst. Stell dir vor: Du erhältst eine verdächtige Anfrage auf PayPal. Überzeugt, dass es sich um Betrug handelt, suchst du nach den Kontaktdaten von PayPal. Du klickst auf einen Link und landest unwissentlich auf einer gefälschten PayPal-Website, die dich direkt in die Hände von Cyberkriminellen führt, die nach all deinen persönlichen Informationen fragen.
Das ist nur ein Beispiel für die Bedrohung namens Suchmaschinen-Phishing. Mit SEO-Techniken und sogar bezahlten Anzeigen sorgen Betrüger und Betrügerinnen dafür, dass ihre Phishing-Website auf der ersten Seite von Google erscheint. Von dort aus können sie allerlei Schaden anrichten: dich dazu bringen, auf bösartige Links zu klicken, Malware herunterzuladen oder persönliche Informationen preiszugeben. Achte also immer darauf, dass die Websites, die du besuchst, legitim sind.
Pharming
Diese Form des Cyberangriffs leitet den Verkehr von einer echt aussehenden Website zu einer gefälschten um. Obwohl die Website täuschend ähnlich wirken mag, verbirgt sie hinter ihrer Fassade bösartige Elemente, die darauf abzielen, deine persönlichen Daten zu entwenden. Während Datenmakler möglicherweise (erlaubterweise) Cookies und andere Tools nutzen, um persönliche Informationen zu sammeln und an Werbetreibende oder andere Interessengruppen zu verkaufen, hat Pharming eine deutlich gefährlichere Absicht: Hacker wollen durch diese Methode an deine privaten Daten gelangen, um im schlimmsten Fall deine Identität zu stehlen.
Angler Phishing
Angler Phishing ist eng mit Social Engineering verbunden, bei dem durch psychologische Tricks versucht wird, Opfer zur Preisgabe sensibler Informationen oder zur Durchführung bestimmter Aktionen zu bewegen. Bei Angler Phishing setzen die Schurken subtile Köder ein, indem sie soziale Medien, persönliche Websites oder berufliche Netzwerke imitieren, um gezielt persönliche Informationen zu sammeln. Es ist eine raffinierte Kunst des sozialen Täuschungsmanövers, die darauf abzielt, die Aufmerksamkeit der Opfer zu erregen und sie zur Offenlegung vertraulicher Daten zu verleiten.
Quishing
Quishing ist eine neue Form des Phishings, die darauf abzielt, herkömmliche Spamfilter zu umgehen. Anstatt Text im E-Mail-Body zu verwenden, setzen Cyberkriminelle QR-Codes ein, um ihre Opfer zu täuschen. Das Muster ähnelt dem herkömmlichen Phishing, bei dem Empfängerinnen und Empfänger dazu verleitet werden sollen, auf gefälschte Log-in-Seiten zuzugreifen. Anstatt herkömmlicher Links oder Anhänge fordert die Quishing-E-Mail jedoch dazu auf, einen QR-Code zu scannen, beispielsweise um ein Dokument herunterzuladen. Da diese Betrugsform noch neu ist, gibt es bisher keine konkreten Daten über die Anzahl der Opfer, jedoch besteht das Potenzial für eine Zunahme der Angriffe, da diese Methode bisher erfolgreich ist und die Sicherheitsvorkehrungen noch nicht angepasst wurden.
[Weiterlesen: Quishing – dieser neue Betrugsversuch umgeht deinen Spamfilter]
So erkennst du Phishing-E-Mails
Hier sind einige Merkmale mit Beispielen, auf die du achten solltest, um Phishing-E-Mails zu erkennen:
Grammatik- und Rechtschreibfehler: Eine E-Mail von deiner Bank enthält Rechtschreibfehler in der Nachricht und wirkt unprofessionell.
Falsche Firmenlogos: Das Logo in der E-Mail sieht anders aus als das offizielle Logo der angeblichen Organisation.
Bösartige Links: Der Link in der E-Mail führt nicht zur erwarteten Website, sondern zu einer gefälschten Seite. (Bewege die Maus über den Link, ohne darauf zu klicken, und warte einen Moment, bis die tatsächliche URL erscheint.)
Vertrauter Absender mit reisserischer Betreffzeile: Ein Freund sendet einen Link mit dem Betreff «Unglaubliches Angebot – Schau, was ich gefunden habe!».
Beängstigende Betreffzeile: Die Betreffzeile lautet «Dringend: Ihr Konto wurde gesperrt – handeln Sie jetzt!».
Kostenlose Angebote: Die E-Mail verspricht kostenlose Geschenke oder Gutscheine, wenn du auf einen Link klickst.
Emotionale Reaktionen oder Dringlichkeit: Die Nachricht erzeugt Angst, indem sie behauptet, dein Onlinekonto sei kompromittiert.
Verdächtige Dateianhänge: Die E-Mail enthält einen unerwarteten Dateianhang, den du nicht erwartet hast.
Dateifreigabe-Links: Du wirst aufgefordert, auf einen Link zu klicken und dort dein Passwort einzugeben, um eine Datei zu öffnen.
Angeblicher technischer Support: Die E-Mail gibt vor, vom technischen Support zu stammen, und bittet um deine Anmeldedaten.
Sei wachsam und prüfe E-Mails sorgfältig, um dich vor Phishing-Angriffen zu schützen.
Ein weiterer Hinweis darauf, dass die E-Mail, die du gerade erhalten hast, ein Phishing-Angriff ist? Sie stammt von einer Regierungsorganisation oder einer Behörde. Diese Nachrichten kommen normalerweise per Post – kaum je per E-Mail.
Opfer des Phishing-Angriffs: Wer kann betroffen sein?
Phishing kennt keine Grenzen und kann jeden treffen, unabhängig von der Position oder Bekanntheit. Egal, ob du Onlinebanking nutzt, soziale Netzwerke verwendest oder einfach im Internet surfst – Phishing hat das Potenzial, jeden von uns zu täuschen.
Wie schütze ich mich vor Phishing-E-Mails?
Phishing-E-Mails sind wie eine ständige Bedrohung, aber du kannst dich wappnen. Hier sind einige entscheidende Massnahmen, um sicher zu bleiben:
Misstraue verdächtigen Links und Anhängen: Klicke nicht blind auf Links, und öffne keine zweifelhaften Anhänge. Ein Moment der Skepsis kann viel Ärger verhindern.
Nutze sichere Passwörter: Verwende starke, einzigartige Passwörter, und setze sie nicht auf verschiedenen Plattformen ein.
Aktiviere Zwei-Faktor-Authentifizierung: Erhöhe die Sicherheit deiner Konten durch die Aktivierung der Zwei-Faktor-Authentifizierung.
Setze auf Spamfilter: Spamfilter helfen dabei, unerwünschte und potenziell gefährliche E-Mails herauszufiltern.
Gib keine oder nur wenige persönliche Informationen von dir preis: Vermeide das Teilen sensibler Daten in sozialen Medien, um deine Privatsphäre zu schützen.
[Weiterlesen: Serie Bedrohungen im Internet, Teil 1: Social Engineering]
Nutze Sicherheits-Tools: Lade Browsererweiterungen oder Sicherheits-Apps herunter, die vor Phishing-Angriffen warnen und schützen.
Denk daran, ein Moment des Nachdenkens, bevor du klickst, kann den entscheidenden Unterschied machen.
powered by Borlabs Cookie