Phishing

Phishing ist ein Kunstwort aus Passwort und Fishing. Es bezeichnet ein Verfahren von Kriminellen, die sich mittels gefälschter E-Mails oder Webseiten als andere Personen oder Unternehmen ausgeben und vom Nutzer persönliche Daten wie Zugangsdaten zu Konten, Kennwörter oder Kreditkartendaten abfragen oder unbemerkt ausspionieren.

Phishing per E-Mail

• E-Mail fordert Empfänger auf, die eigenen Zahlungsinformationen zu aktualisieren oder weist darauf hin, dass die Zugangsdaten zum Online-Banking in Kürze verfallen oder die Täter nutzen eine angebliche "Sicherheitsaktualisierung" der Bank
• Der Link in der E-Mail führt zur Internetseite der Abzocker, die den vermeintlichen Absender-Webseiten sehr ähnlich sehen.
• Dort sollen vertrauliche Angaben wie Name, Passwort, Kreditkartennummer oder PIN und TAN eingegeben werden.
• Browser-Adresszeile: Vorsicht, diese kann auch gefälscht sein obwohl die Seite vom Server des Hackers kommt

Phishing per E-Mail Anhang

• E-Mail wird statt eines Links mit einem Anhang versendet, einer HTML-Datei, die der echten Webseite täuschend ähnlich sieht.
• Zum Öffnen des HTML-Anhangs wird auch der Browser verwendet, dennoch greift der Phishing-Schutz des Browsers nicht, da die HTML-Datei lokal auf dem eigenen Rechner gespeichert ist.

Spear-Phishing

• Herkömmliches Phishing funktioniert wie ein "Schleppnetz" von Fischern - es werden unpersonalisierte Massen-E-Mails versendet.
• Beim Spear-Phishing wird punktgenau mit dem "Speer" gefischt. Als "Speer" fungieren personenbezogene Daten der E-Mail-Adressaten, die sich die Kriminellen aus anderen Webseiten, meist aus sozialen Netzwerken (z.B. Facebook) besorgen.

Phishing per Post

• Mittels postalischem Anschreiben werden Sie aufgefordert, Ihre Kreditkarten- und Bankdaten auf einer Webseite einzugeben, um die Karte weiter nutzen zu können.
• Der Brief ähnelt stark einem offiziellen Anschreiben der Hausbank oder Sparkasse, ebenso professionell ist die Webseite aufbereitet.
• Beides ist gefälscht und dient den Kriminellen dazu, Daten abzugreifen.

Phishing per QR-Codes

• Betreiber von Phishing-Seiten überkleben Plakate mit QR-Codes mit eigenen Code-Stickern. Wer diese einscannt, landet auf Phishing-Seiten.

Vishing (eine Kombination der Worte Stimme [voice] und Phishing)

• Abgreifen von Daten mittels fingierter Anrufe
• Betrüger versuchen personen- und finanzbezogene oder sicherheitsrelevante Daten zu erhalten oder das Geld an sie überwiesen wird.

Smishing (eine Kombination der Begriffe SMS und Phishing)

• Abgreifen von Daten mittels fingierter SMS
• Die SMS fordert Sie auf, einen Link anzuklicken oder eine Telefonnummer zur Überprüfung, Aktualisierung oder Reaktivierung Ihres Kontos anzurufen. Der Link führt dann zu einer fingierten Webseite und die Telefonnummer zu einem Betrüger, der sich als Vertreter eines legitimen Unternehmens ausgibt.

 

Schutz vor Phishing

• Wichtig: Banken fragen niemals nach persönlichen Informationen (Bsp. TANs, PINs der Kredit- oder Debitkarte) oder anderen Sicherheitsmerkmalen, weder per SMS noch per Telefon oder E-Mail. Genauso wird Ihre Bank Sie nie dazu auffordern, Geld auf ein anderes Konto zu überweisen.
• Prüfung des Absenders der E-Mail
  Versichern Sie sich, dass es tatsächlich die Webseite Ihrer Bank oder Sparkasse ist, bevor Sie geheime Daten preisgeben. Die Internet-Adresse bei Seiten mit sensiblen Daten beginnt immer mit "https://".
• PINs und TANs...
  ...dürfen niemals bei einer Aufforderung per E-Mail auf einer Internetseite oder am Telefon preisgegeben werden, es sei denn Sie sind auf Ihrer gesicherten Online-Banking Seite.
• Öffnen Sie keine E-Mails mit unbekanntem oder fragwürdigem Anhang
• Die Einrichtung einer privaten Firewallsoftware...
  ...schützt den Computer vor zahlreichen Gefahren aus dem Netz, bedarf aber einer ständigen Aktualisierung.
• Der Einsatz eines Virenscanners...
  ...durchsucht das System nach Malware wie Viren, Trojanern usw.
• Regelmäßige Updates des Betriebssystems und des Internetbrowsers durchführen
• Regelmäßige Überprüfung der Kontostände

 

Nützliche Links

• BSI-Empfehlungen zur Internet-Sicherheit
• Phishing-Radar: Verbraucher können andere Verbraucher vor aktuellen Phishing-Mails und -Angriffen warnen.
• Meldung von erhaltenen Phishing-E-Mails bei Mastercard, Visa und American Express zur Prüfung der Mails, die mit ihrem Namen versandt wurden.
  Visa: phishing@visa.com
  Mastercard: stopIT@mastercard.com
  American Express: spoof@americanexpress.de
• Weitere Informationen finden Sie bei der Anti-Phishing Working Group: www.antiphishing.org