Phishing: Das steckt dahinter, so können Sie sich schützen
Die kriminelle Masche mit gestohlenen Daten boomt
Lesedauer: 7 Minuten
In der Zeit vor dem Jahreswechsel haben auch Kriminelle Hochsaison. Die Menschen sind in Eile, es werden viele Bestellungen online getätigt und man möchte auch, dass die Daten im Internet korrekt sind. Das sind die idealen Voraussetzungen für Phishing-Attacken. Diese Attacken sind aber nur die sichtbare Spitze des Eisberges. Kriminelle Banden wollen in Wahrheit nicht Ihre Daten, sondern etwas viel Besseres: Ihr Geld! Nur das Wissen, wie diese Attacken funktionieren, wie man sie erkennen kann und wie man sich schützt, kann Sie vor einem Vermögensverlust bewahren.
Wie sieht das Geschäftsmodell der Betrüger aus?
Die Datenbeschaffung mittels Phishing ist Teil eines mehrstufigen Prozesses, der Elemente des sogenannten „Crime-as-a-Service“ beinhaltet. In der Regel stehen hochspezialisierte Banden hinter diesen Angriffen, die arbeitsteilig vorgehen.
Bei Phishing-Angriffen erfolgt die erste Kontaktaufnahme mittels betrügerischen E-Mails, SMS, Telefonanrufen oder über einen gefälschten QR-Code. Es sind auch Fälle bekannt, bei denen Briefe verschickt wurden.
In weiterer Folge wird über gefälschte Internetseiten von Banken, Behörden oder Institutionen versucht, an sensible Informationen wie Bankverbindungen, Zugangsdaten oder persönliche Informationen zu gelangen. Manchmal wird ein Schadprogramm im Anhang einer Mail versendet, das zur Ausspähung dieser Daten dient.
Im Anschluss an die Phishing-Kampagne werden die erbeuteten Daten verarbeitet, bereinigt und zur weiteren Verwendung aufbereitet (Sortierung nach Datentyp und Qualität). Oftmals werden Daten aus verschiedenen Angriffen und Quellen miteinander abgeglichen, um die Qualität und somit auch den monetären Wert, der mit dem Verkauf der Daten zB. im Darknet erzielt werden kann, zu erhöhen.
Um die in Datenbanken aufbereiteten Daten zu Geld zu machen, werden diese weiterverkauft oder selbst genutzt. Wie und auf welche Weise die Daten für kriminelle Zwecke verwertet werden, ist breit gefächert. Je nach Art der Daten kann es beispielweise Kriminellen ermöglichen, Identitäten zu stehlen oder missbräuchlich zu verwenden oder Zugriff auf Konten zu erlangen.
Auf Basis sensibler ausgespähter Daten kann auch eine Erpressung oder sogenanntes Vishing (Voice phishing) initiiert werden. Vishing wird in der Regel von psychologisch gut geschulten Betrügern angewandt und ist daher sehr wirksam. Dabei werden Daten, die aus Phishing-Kampagnen stammen, verwendet, um via Telefonanruf persönlichen Kontakt mit Betroffenen aufzunehmen und mittels Manipulation und dem Aufbau von Vertrauen zu weiteren sensiblen Daten zu kommen oder Betroffene zu weiteren Handlungen zu bewegen.
Warum sind Phishing Attacken so wirksam?
Phishing Attacken zielen, wie alle Angriffe im Internet, auf menschliche Emotionen ab. Das können positive oder negative Gefühle sein, die Sie beim Lesen einer Nachricht empfinden, wie zB:
- Freude: „Bei Ihrem Beitragskonto wurde ein Guthaben ermittelt“
- Vertrauen in Institutionen, Vorgesetze, Behörden: „erforderliche Prüfung amtlicher Unterlagen...“.
- Angst: „Pfändung des Hausrats durch den Gerichtsvollzieher!“
- Sorge: „Hallo Mama/Hallo Papa, das ist meine neue Nummer!“
- Pflichtbewusstsein: „Aktualisierung der Unternehmensdaten“ bzw. „ausstehende Mitgliedsbeiträge“
Ein weiteres Element von Phishing Attacken ist das Erzeugen von Zeitdruck. Damit wollen die Betrüger verhindern, dass man die Nachricht sorgfältig liest, mit Freunden oder Kolleg;innen darüber spricht und sich seine Reaktion genau überlegt.
Woran erkennt man Phishing?
- Ungewöhnliche E-Mailadresse des Absenders: Der Name des Absenders ist frei wählbar, daher ist es wichtig, sich die E-Mail-Adresse genau anzusehen. Diese ist bei einem betrügerischen E-Mail vollkommen unplausibel. Manchmal kommt der Name des Unternehmens in der E-Mail-Adresse vor (zB Absender: WKO, E-Mail-Adresse WKO-E-Mail-Nachricht@chello.at) oder es handelt sich um E-Mail Spoofing. Vergleichen Sie die E-Mail-Adresse mit der offiziellen Adresse des Unternehmens
- Fehlende persönliche Anrede – „Sehr geehrter Benutzer“, „Sehr geehrte KundIn“, „Sehr geehrte Damen und Herren“
- Dringlichkeit und/oder Drohungen – Ausnutzen von Emotionen oder Zeitdruck „Wir ersuchen Sie höflich, die Überprüfung bis spätestens XX.XX.XXXX vorzunehmen.“, „Eine nicht zeitgerechte Aktualisierung kann Auswirkungen auf die Gültigkeit Ihrer Firmenbuchnummer und Ihrer UID-Nummer haben.“
- Aufforderung zur Eingabe von Benutzerdaten, Bankdaten oder sonstigen sensiblen Daten
- Rechtschreib- und Grammatikfehler (zB keine Umlaute: „alle notwendigen Angaben zur Ueberweisung“)
- Unplausibler Inhalt
- Unter Spoofing versteht man das Vortäuschen einer fremden Mail-Adresse oder Telefonnummer, um eine falsche Identität vorzutäuschen. Somit wird der Absender oder Anrufer als vertrauenswürdig eingeschätzt und die Echtheit einer E-Mail nicht hinterfragt. Insbesondere E-Mails von Unternehmen, Geschäftspartnern, Institutionen oder Behörden werden somit fälschlicherweise voreilig als seriös eingestuft, da der Empfänger die Absenderadresse nicht hinterfragt.
- Grundsätzlich können diverse technische Sicherheitsvorkehrungen dazu beitragen, dass Spoofing E-Mails erkannt und herausgefiltert werden, jedoch ist es unerlässlich, dass Absender auch manuell überprüft werden, um festzustellen, ob eine Absenderadresse gefälscht ist – auch bei bereits bekannten Absendern.
- E-Mail Spoofing kann daran erkannt werden, dass zwar der Anzeigename des Absenders normal wirkt oder bekannt ist, die E-Mail-Adresse jedoch nicht dem Namen des Absenders entspricht. Um die tatsächliche Versender-E-Mail-Adresse zu prüfen, ist es hilfreich, den Mauszeiger über der E-Mail-Adresse des Absenders zur positionieren und im erscheinenden „Tooltip“ die tatsächliche Absenderadresse zu prüfen. Achtung: bei Smartphone Apps, ist dies oft schwer oder nicht möglich.
So reagieren Sie richtig auf verdächtige Mails
- Informieren Sie sich über aktuelle betrügerische Phishing-Kampagnen und sonstige Gefährdungen auf der Webseite der Watchlist Internet bzw. auf der Warnseite der WKO.
- Lassen Sie sich nicht unter Druck setzen.
- Prüfen Sie E-Mails und deren Anhänge und Links genau. Sind Sie unsicher, nutzen Sie einen alternativen Kontaktweg (zB Telefonnummer von einer offiziellen Webseite niemals direkt aus dem betroffenen E-Mail. Antworten Sie zu diesem Zweck auch nicht auf diese E-Mail, sondern nutzen Sie ebenfalls eine Kontakt-E-Mail einer offiziellen Webseite) um beim Absender nach der Echtheit der E-Mail und deren Inhalt zu fragen.
- Bewerten Sie den E-Mail-Inhalt. Insbesondere Nachrichten, die aggressiv, dringlich, beängstigend oder drohend wirken oder ein unangenehmes Gefühl hervorrufen sind meist gefälscht. Prüfen Sie auch, ob Rechtschreibfehler, unklare Formulierungen oder eine unpersönliche Anrede beinhaltet sind. Ebenso können Kleinigkeiten, wie zB. eine falsche Telefonnummer oder Adresse in der Signatur darauf hinweisen, dass eine E-Mail gefälscht ist.
- Bei Anrufen: Lassen Sie sich den Namen des Anrufers geben, erbitten Sie sich Bedenkzeit, legen Sie auf und wählen Sie eine Telefonnummer (zB von der offiziellen Webseite), um sich mit der Person, mit der Sie zuvor telefoniert haben, verbinden zu lassen.
- Nutzen Sie, falls Ihr Geschäftspartner dies anbietet, die 2-Faktor-Authentifizierung.
- Loggen Sie sich nicht über den Link in einer E-Mail ein, sondern besuchen Sie die dafür vorgesehenen Apps oder Portale. Geben Sie dazu die Adresse der Website manuell ein.
- Verschieben Sie betrügerische E-Mail in Ihren Spam- oder Junk-Ordner. Dadurch lernt Ihr E-Mail-Programm, Phishing-Mails besser zu erkennen.
Das sollten Sie tun, wenn Sie in eine Phishing-Falle getappt sind
Bei der Eingabe von Bank- und Kreditkartendaten
- Kontaktieren Sie umgehend Ihre Bank bzw. Ihr Kreditkarteninstitut und schildern Sie den Vorfall. Die Mitarbeiter:innen werden am besten wissen, wie Sie Ihr Konto schützen.
- Möglicherweise müssen Zugänge und Karten gesperrt werden.
- Achten Sie auf ungerechtfertigte Abbuchungen.
Bei der Eingabe von Login-Daten von Sozialen Netzwerken, Online-Portalen oder E-Mail-Programmen
- Ändern Sie umgehend Ihr Passwort.
- Sollte das nicht mehr möglich sein, können Sie bei den meisten Plattformen Ihr Konto als „gehackt“ melden. Falls Sie Unterstützung benötigen, können Sie sich kostenlos bei der Internet Ombudsstelle beraten lassen.
- Überprüfen Sie, ob jemand auf Ihrem Profil etwas gepostet bzw. bestellt hat.
- Achten Sie auf ungerechtfertigte Abbuchungen, falls Sie Zahlungsdaten hinterlegt haben.
Bei der Eingabe von persönlichen Daten wie Name, Geburtsdatum, Telefonnummer
Seien Sie besonders aufmerksam bei jeder Kontaktaufnahme im Zusammenhang mit diesem Phishing Versuch. Den Betrügern geht es jetzt darum, mit Hilfe der erbeuteten Daten Ihr Vertrauen zu gewinnen und Sie zu unüberlegten Handlungen zu verleiten.
- Erstatten Sie Anzeige bei der Polizei.
- Bei Betrugsverdacht können Sie sich an die Cybercrime-Meldestelle des Bundeskriminalamtes unter against-cybercrime@bmi.gv.at wenden (diese Meldung ersetzt nicht die Anzeige).
- Wenn Ihr Unternehmen von einem Cyberangriff, Ransomware oder Verschlüsselungstrojanern betroffen ist, wenden Sie sich an die Cybersecurity-Hotline der Wirtschaftskammern Österreichs unter 0800 888 133.
- Melden Sie Betrugsversuche – erfolgreich oder nicht – bei der Watchlist Internet