Im Internet gibt es viele Formen des Betrugs. Von verdächtigen „Sonderangeboten“ bis hin zu Lizenzgebühren dubioser Herkunft – Betrügereien sind für Online-Nutzer so alltäglich, dass sich regelrecht in die Kultur des World Wide Webs eingebrannt haben.
Cyberangreifer sind im Internet allgegenwärtig. Sie trachten, danach das Vertrauen, die Angst oder einfach nur die Unwissenheit argloser User auszunutzen. Oft sind diese Akteure nicht deshalb erfolgreich, weil sie direkt die Systemsicherheit attackieren, sondern vielmehr weil sie Angst als Druckmittel einsetzen. Das sog. „Phishing“ ist eine ernsthafte Bedrohung im Bereich der Cybersicherheit.
Phishing – was ist das?
Kurz gesagt: Phishing ist eine Form des digitalen Betrugs, bei der ein Cyberangreifer versucht, jemanden zur Preisgabe vertraulicher Informationen zu verleiten. Die Informationen, an die die Cyberangreifer gelangen wollen, variieren. Meist handelt es sich um Anmeldedaten oder Finanzinformationen.
Phishing erfolgt gewöhnlich über eine E-Mail oder eine andere Nachricht (z.B. von einem Bankangestellten, einem Webtechniker oder einem wichtigen Kunden), die vorgibt, wichtig zu sein. Diese Nachricht ist der „Köder“, der die Zielpersonen an einen digitalen Haken lockt. Über diesen digitalen Hacken geraten die ahnungslosen Nutzer in die Fänge des Angreifers
Die Folgen von Phishing sind verheerend und können die Opfer den Zugriff auf Systeme, vertrauliche Daten oder ganze Finanzkonten kosten. Daher überrascht es nicht, dass die erfolgreichsten Cyberkriminellen der Vergangenheit in der Regel auf Phishing zurückgriffen, wie etwa die von Russland gesponserten Gruppierungen Cozy Bear oder Fancy Bear.
Zu unterscheiden sind grundsätzlich die folgenden Formen von Cyberattacken:
- Beim Spear-Phishing zielt ein Angreifer auf eine spezielle Person (oft eine Person mit hoher Sicherheitsfreigabe für ein Online-System), ähnlich einem Jäger, der eine bestimmte Beute fängt.
- Vishing, zusammengesetzt aus „Voice“ und „Phishing“, bezeichnet einen Telefonanruf, bei dem sich der Anrufer fälschlicherweise als legitimes Unternehmen ausgibt.
- Smishing, eine Wortschöpfung aus „SMS“ und „Phishing“, bezeichnet Textnachrichten, die sich als von offiziellen Quellen stammend ausgeben.
Entlarvung – wie den Betrugsversuch erkennen?
Wie genau können Sie sich also gegen diese Art von Betrug schützen?
Unglücklicherweise kann keine noch so gute Technik alle „-ishing“-Formen abwehren. Das liegt daran, dass all diese Angriffe über den Kommunikationsweg erfolgen – und nicht direkt auf das System. Mit anderen Worten: Da diese Betrüger quasi an Ihre Tür klopfen, ist die einzige Möglichkeit, den Zugang aller Besucher zu beschränken.
Folglich ist der beste Weg, diese Betrüger zu entlarven, sie frühzeitig zu erkennen. Glücklicherweise genügen oft schon wenige Erkennungsmerkmale, um gefälschten Nachrichten auf die Schliche zu kommen.
1. Vorsicht bei angeblicher Dringlichkeit
Obwohl einige Phisher äußerst hartnäckig sind, neigen sie meist zur Ungeduld. Oft drängen sie in einem dringenden, fordernden Ton nach Informationen.
Diese Dringlichkeit verrät die Betrüger. Bedenken Sie stets: Ein seriöser IT-Experte oder Finanzberater würde Sie niemals dazu drängen, sensible Informationen preiszugeben. Schon gar nicht über digitale Kanäle.
Wenn Sie in einer Nachricht aufgefordert werden, Ihre sensiblen Daten unverzüglich preiszugeben, ist Vorsicht geboten. Die Chancen stehen gut, dass es sich um Betrüger handelt, die auf das schnelle Geld aus sind.
2. Wenn es zu gut klingt, um wahr zu sein…
Ein überraschendes Bargeldangebot? Ein toller Preis für ein Gewinnspiel, an dem Sie nie teilgenommen haben? Sofort die Hälfte Ihrer Stromrechnung sparen? Vermeintliche „Sonderangebote“ wie diese tauchen immer wieder auf Handys und in E-Mail-Postfächern auf.
Bekanntlich sind solche Offerten so gut wie immer Unfug. Denn Angebote, die zu gut klingen, um wahr zu sein, sind es meist auch nicht. Wenn Ihnen also per Anruf, eine SMS oder eine E-Mail eine vermeintlich einmalige Gelegenheit in den Schoß fällt, sollten Sie gewarnt sein: Sehr wahrscheinlich ist ein Betrüger am Werk.
3. Bizarre Identitäten
Einige Phisher sind sehr geschickt darin, ihre Nachrichten authentisch wirken zu lassen, samt Logo und E-Mail-Adresse. Bei näherer Betrachtung entpuppen sich diese Fassaden jedoch meist als bröckelig.
Selbst wenn Betrüger in E-Mails ein offizielles Logo oder einen offiziellen Firmennamen verwenden, hinterlassen sie in der Regel verräterische Spuren ihrer betrügerischen Absichten. Ein Phisher könnte etwa eine Adresse wie „home.spotify.xyz“ verwenden, während eine tatsächliche E-Mail von Spotify die korrekte Domäne „spotify.com“ verwenden würde.
Die „Federal Trade Commission“ (FTC) präsentierte etwa dieses Beispiel für einen tatsächlichen Betrugsversuch:
Auf den ersten Blick mag das zwar authentisch wirken, aber sehen Sie sich die erste Zeile genauer an: „Hi Dear“? Eine recht merkwürdige Art, eine E-Mail zum Zurücksetzen eines Kontos zu beginnen. Zumal Netflix normalerweise den Namen des Nutzers verwendet. Solche Ungereimtheiten, so klein sie auch erscheinen mögen, sind wichtig, um echte Mitteilungen von Betrügereien zu unterscheiden.
Bei Anrufen ist darauf zu achten, wie der Anrufen sich ausweisen kann. Gut möglich, dass der Anrufer in einer aufgezeichneten Nachricht behauptet, im Namen einer staatlichen Behörde zu sprechen, oder aber, eine nicht näher bezeichnete Finanzorganisation zu vertreten. Wenn solche Anrufe aus heiterem Himmel kommen, ist es im Allgemeinen am besten, entweder aufzulegen oder den verdächtigen Mitarbeiter um eine Bestätigung zu bitten.
4. Verräterische Rechtschreibfehler
Selbst in unserem Zeitalter der Autokorrektur sind Tippfehler an der Tagesordnung. Eine Ausnahme bilden jedoch offizielle Mitteilungen seitens eines Unternehmens, da eine solche nachlässig verfasste Nachricht die Reputation einer Organisation beeinträchtigen kann.
Wenn Sie also eine SMS oder E-Mail erhalten, die angeblich von einem großen, bekannten Unternehmen stammt und unerklärlicherweise voller Rechtschreibfehler und offensichtlicher grammatikalischer Mängel ist, gibt es Grund, an der Echtheit zu zweifeln.
So trivial es auch klingen mag: Achten Sie auf Schreibfehler oder sonstige Anzeichen für niedrige Qualitätsstandards, wenn Sie völlig unerwartet eine seltsam dringende Nachricht erhalten. Das ist in der Regel ein Zeichen dafür, dass der Absender keine Reputation zu verteidigen hat.
5. Den Panikknopf vermeiden
Ein üblicherweise eingesetztes Erfolgsrezept dieser Betrügereien ist es, den Opfern Angst zu machen. Der Grund dafür ist wenig überraschend: Menschen, die in Panik geraten, tun fast alles, um ihre persönliche Sicherheit zu gewährleisten (und geben sogar ihre Kontodaten an zwielichtige Personen weiter).
In der Praxis bedeutet das: Ist eine E-Mail, eine Textnachricht oder ein Anruf darauf aus, Sie in Angst und Schrecken zu versetzen, dient dies wahrscheinlich nicht Ihren Interessen.
Natürlich lässt eine Warnung, dass Ihr Konto womöglich kompromittiert wurde, alle Alarmglocken schrillen. Achten Sie aber auf die Formulierung der Benachrichtigung: Wirkt sie übertrieben formuliert? Ist sie besonders aggressiv? Werden Ihnen Konsequenzen angedroht, wenn Sie seinen Forderungen nicht nachkommen?
Jede dieser Eigenschaften deutet im Allgemeinen darauf hin, dass die Nachricht nicht den Zweck hat, Sie zu informieren, sondern Sie in einen Zustand emotionaler Verwundbarkeit zu versetzen – und das wiederum deutet darauf hin, dass die Nachricht wahrscheinlich eine Täuschung ist.
Vorsorge ist die beste Verteidigung
Zwar hängt der Schutz vor Phishing weitgehend vom individuellen Benutzer ab, doch haben Sie bereits ein wichtiges Etappenziel erreicht, wenn Sie sich dieser Betrügereien bewusst werden. Sie müssen wissen, dass nicht jeder Absender derjenige ist, der er vorgibt zu sein. Dann sind Sie den Plänen eines Bedrohungsakteurs bereits einen Schritt voraus.
Die oben genannten Tipps zur Erkennung von Phishing-Fällen können helfen, bedenken Sie aber auch, dass sich die Besonderheiten eines jeden Betrugs ständig ändern. Betrüger entwickeln regelmäßig neue Strategien, um ahnungslose Menschen zu täuschen. Daher sollten Sie immer ein wachsames Auge auf neue Maschen haben, die diese Betrüger anwenden.
All dies ist gerade jetzt besonders kritisch, da Cyberattacken – insbesondere solche mit Ressourcen, die von der russischen Regierung bereitgestellt werden — stetig zunehmen. Nie war es für Sie und für die Welt wichtiger, aufmerksam zu sein und Ihre eigenen Systeme zu schützen.
Wenn Sie weitere Tipps zum Thema Cybersecurityt und Technik erhalten möchten, abonnieren Sie unser kostenloses Magazin!