Ratgeber

Dauerbrenner Phishing

Ein Artikel von , veröffentlicht am 04.09.2015, bearbeitet am26.02.2024

Phishing ist eine altbekannte Methode, die immer wieder in neuem Gewand auftaucht. Dabei werden Nutzer*innen durch gefälschte Nachrichten animiert, Zugangsdaten preiszugeben oder Schadprogramme zu installieren. Welche Maschen es gibt und wie du sie erkennst, erklären wir hier.

Das ist Phishing

Beim Phishing durchforsten Cyberkriminelle das Internet nach Mobilnummern und E-Mail-Adressen, zum Beispiel von Verkaufsplattformen, Kleinanzeigen, Jobbörsen, Dating-Portalen oder verwenden gestohlene Datensätze, die im Darknet verkauft werden. An diese Nummern und Adressen verschicken sie dann Nachrichten, die einen Link zu einer Webseite enthalten.

Oft geben sie sich als Nachrichten von deiner Bank, von Paketdiensten wie DHL oder vom Internet-Provider aus. Wer auf den Link klickt, landet auf einer Webseite des Angreifers. Diese Seite kann so aussehen, wie die Login-Seite deiner Bank oder der DHL und fordert dich unter irgendeinem Vorwand dazu auf, deine Zugangsdaten einzugeben. Folgt man der Aufforderung, haben Kriminelle Zugang zum betreffenden Konto.

Alternativ wirst du dazu aufgefordert, eine App herunterzuladen und zu installieren. Diese Apps können sich zum Beispiel als App der DHL zum Verfolgen deiner Lieferung, als Update deiner Facebook-App oder als Sicherheitszertifikat deiner Bank ausgeben. Folgst du der Aufforderung, hast du dir selbst ein Schadprogramm installiert.

Oft ist Phishing der erste Schritt eines mehrstufigen Angriffs. So kann das Schadprogramm im ersten Schritt nur das Kontaktverzeichnis des Opfers durchgehen und dann eine gezielte Phising-Kampagne von diesem Gerät aus auf Nummern aus dem Adressbuch starten. Weil diese Nachrichten dann von einer bekannten Person stammen, ist die Erfolgsrate viel höher.

Was Schadprogramme sind und wie sie auf Mobilgeräte gelangen, erklären wir im Text Schadprogramme auf dem Handy.

Wer, wo, wann?

Phishing ist weit verbreitet und wird per SMS, aber auch per E-Mail, Messenger, Instagram, Facebook und sogar über Kalendereinträge praktiziert. Besonders oft werden Nachrichten von Amazon, PayPal und DHL gefälscht. Auch angebliche Nachrichten von WhatsApp, zum Beispiel mit "Ihr Konto wird Kostenpflichtig", vermeintliche Gutscheine oder Nachrichten, die angeblich von der Polizei stammen, sind häufig.

Beliebt ist beim Phishing auch das Spiel mit der Angst: So kann ein Link dich auf eine bösartige Webseite führen, auf der du vor einem angeblichen Virenbefall gewarnt wirst. Mit Nachrichten wie: "Dein Gerät ist infiziert und wird schwer beschädigt - lade sofort einen Virenscanner herunter" wird dir ein Link zu einem Virenscanner präsentiert, der dann die eigentliche Schadsoftware enthält. Ähnlich funktionierten Phishing-Nachrichten von angeblichen Hackern, die behaupten, Zugriff auf dein Gerät zu haben oder dich beim Pornokonsum gefilmt zu haben.

Das kannst du tun

Klicke niemals auf Links von unaufgefordert zugeschickten Nachrichten per Mail, SMS, Messenger oder aus sozialen Netzwerken. Lade niemals etwas herunter, das dir auf Seiten angeboten wird, die du über solche Links erreicht hast.

Achte auf die Absenderadresse. Enthält sie kryptische Namen und Zeichenfolgen wie zum Beispiel "adebolajibolaji@xxx" oder "xxx@infymailz.info"? Dann solltest du misstrauisch werden.

Wenn du über einen solchen Link auf einer Seite landest, die angeblich der Firma xy gehört, dann kannst du eine Fälschung an der Internetadresse erkennen. Achte dabei auf Tippfehler, Bindestriche, oder ungewöhnliche Endungen wie zum Beispiel .to oder .tz. Im Zweifel tippst du den Firmennamen in eine Suchmaschine, und rufst die Seite dann aus den Suchergebnissen auf.

Greif zum Telefonhörer: Wenn du seltsame Nachrichten von Bekannten bekommst, dann ruf doch einfach mal an. Vor allem, wenn Bekannte behaupten, sie hätten eine neue Telefonnummer oder brauchen dringend einen Code, den du eben per SMS bekommen hast. Genauso bei seltsamen Aufforderungen deiner Bank oder Krankenkasse.

Sonderfall homographisches Phishing

Achtung: Beim sogenannten homographischen Phishing sind die gefälschten Webadressen mit bloßem Auge nicht zu erkennen. Dabei werden sogenannte Unicode-Zeichen verwendet, die für das Auge genauso aussehen, wie ein bestimmter Buchstabe, vom Computer aber als etwas anderes gelesen werden. So kann es passieren, dass Sie zum Beispiel die Adresse www.apple.com lesen, diese aber trotzdem nicht Apple gehört.

Wie Internetadressen aufgebaut sind, und wie du Fälschungen erkennst, erklärt die TU Darmstadt auf der Projektseite NoPhish in acht einfachen Schritten. Zu dem Projekt gehört auch eine App, mit der du trainieren kannst, Phishing-Adressen zu erkennen.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Amazons Appstore kurz vorgestellt

Mit über 400.000 Apps bietet Amazon eine recht große App-Auswahl. Auf Amazons Kindle-Geräten ist der Store vorinstalliert. In Sachen Datenschutz bringt er keine Vorteile - wer ihn nutzt, muss ein Konto bei Amazon anlegen und stimmt Amazons Datenschutzerklärung zu. Daten aus der Nutzung anderer Amazon-Dienste werden verknüpft.

Mehr
Ratgeber 

App Briar: Der Messenger „ohne“ Internet

Die Sicherheitsvorkehrungen des Messengers Briar machen seine Nutzung im Alltag eher unbequem. In Sachen Anonymität schlägt er dafür alle anderen.

Mehr
Ratgeber 

Zugriffsrechte: Was darf meine App?

Wer eine neue App auf seinem Smartphone einrichtet, wird meist aufgefordert, Zugriffe zu erlauben - zum Beispiel auf den Speicher, die Kamera oder die Anruf-Funktion. Wann Berechtigungen sinnvoll sind und wann Vorsicht ratsam ist, erklären wir hier.

Mehr
YouTube-Video 

Handy-Privacy: 10 Fragen und Antworten | Vol. 4

Warum kostenlose VPN-Dienste eine schlechte Wahl sind, welche Adblocker Sie nutzen können und weshalb Kindersicherungs-Apps besser nicht aus der Ferne gesteuert werden sollten – darüber reden wir in unserem neuen Video. Weitere Themen: Play-Guthaben, PayPal, Clouds, F-Droid und IMEI.

Ansehen