Dieses Projekt wurde am 31.12.2024 beendet. Der Beitrag ist auf dem Stand des letzten Update-Datums und wird nicht mehr aktualisiert oder überprüft.
Ratgeber

Dauerbrenner Phishing

Ein Artikel von Miriam Ruhenstroth, veröffentlicht am 04.09.2015, bearbeitet am26.02.2024

Phishing ist eine altbekannte Methode, die immer wieder in neuem Gewand auftaucht. Dabei werden Nutzer*innen durch gefälschte Nachrichten animiert, Zugangsdaten preiszugeben oder Schadprogramme zu installieren. Welche Maschen es gibt und wie du sie erkennst, erklären wir hier.

Das ist Phishing

Beim Phishing durchforsten Cyberkriminelle das Internet nach Mobilnummern und E-Mail-Adressen, zum Beispiel von Verkaufsplattformen, Kleinanzeigen, Jobbörsen, Dating-Portalen oder verwenden gestohlene Datensätze, die im Darknet verkauft werden. An diese Nummern und Adressen verschicken sie dann Nachrichten, die einen Link zu einer Webseite enthalten.

Oft geben sie sich als Nachrichten von deiner Bank, von Paketdiensten wie DHL oder vom Internet-Provider aus. Wer auf den Link klickt, landet auf einer Webseite des Angreifers. Diese Seite kann so aussehen, wie die Login-Seite deiner Bank oder der DHL und fordert dich unter irgendeinem Vorwand dazu auf, deine Zugangsdaten einzugeben. Folgt man der Aufforderung, haben Kriminelle Zugang zum betreffenden Konto.

Alternativ wirst du dazu aufgefordert, eine App herunterzuladen und zu installieren. Diese Apps können sich zum Beispiel als App der DHL zum Verfolgen deiner Lieferung, als Update deiner Facebook-App oder als Sicherheitszertifikat deiner Bank ausgeben. Folgst du der Aufforderung, hast du dir selbst ein Schadprogramm installiert.

Oft ist Phishing der erste Schritt eines mehrstufigen Angriffs. So kann das Schadprogramm im ersten Schritt nur das Kontaktverzeichnis des Opfers durchgehen und dann eine gezielte Phising-Kampagne von diesem Gerät aus auf Nummern aus dem Adressbuch starten. Weil diese Nachrichten dann von einer bekannten Person stammen, ist die Erfolgsrate viel höher.

Was Schadprogramme sind und wie sie auf Mobilgeräte gelangen, erklären wir im Text Schadprogramme auf dem Handy.

Wer, wo, wann?

Phishing ist weit verbreitet und wird per SMS, aber auch per E-Mail, Messenger, Instagram, Facebook und sogar über Kalendereinträge praktiziert. Besonders oft werden Nachrichten von Amazon, PayPal und DHL gefälscht. Auch angebliche Nachrichten von WhatsApp, zum Beispiel mit "Ihr Konto wird Kostenpflichtig", vermeintliche Gutscheine oder Nachrichten, die angeblich von der Polizei stammen, sind häufig.

Beliebt ist beim Phishing auch das Spiel mit der Angst: So kann ein Link dich auf eine bösartige Webseite führen, auf der du vor einem angeblichen Virenbefall gewarnt wirst. Mit Nachrichten wie: "Dein Gerät ist infiziert und wird schwer beschädigt - lade sofort einen Virenscanner herunter" wird dir ein Link zu einem Virenscanner präsentiert, der dann die eigentliche Schadsoftware enthält. Ähnlich funktionierten Phishing-Nachrichten von angeblichen Hackern, die behaupten, Zugriff auf dein Gerät zu haben oder dich beim Pornokonsum gefilmt zu haben.

Das kannst du tun

Klicke niemals auf Links von unaufgefordert zugeschickten Nachrichten per Mail, SMS, Messenger oder aus sozialen Netzwerken. Lade niemals etwas herunter, das dir auf Seiten angeboten wird, die du über solche Links erreicht hast.

Achte auf die Absenderadresse. Enthält sie kryptische Namen und Zeichenfolgen wie zum Beispiel "adebolajibolaji@xxx" oder "xxx@infymailz.info"? Dann solltest du misstrauisch werden.

Wenn du über einen solchen Link auf einer Seite landest, die angeblich der Firma xy gehört, dann kannst du eine Fälschung an der Internetadresse erkennen. Achte dabei auf Tippfehler, Bindestriche, oder ungewöhnliche Endungen wie zum Beispiel .to oder .tz. Im Zweifel tippst du den Firmennamen in eine Suchmaschine, und rufst die Seite dann aus den Suchergebnissen auf.

Greif zum Telefonhörer: Wenn du seltsame Nachrichten von Bekannten bekommst, dann ruf doch einfach mal an. Vor allem, wenn Bekannte behaupten, sie hätten eine neue Telefonnummer oder brauchen dringend einen Code, den du eben per SMS bekommen hast. Genauso bei seltsamen Aufforderungen deiner Bank oder Krankenkasse.

Sonderfall homographisches Phishing

Achtung: Beim sogenannten homographischen Phishing sind die gefälschten Webadressen mit bloßem Auge nicht zu erkennen. Dabei werden sogenannte Unicode-Zeichen verwendet, die für das Auge genauso aussehen, wie ein bestimmter Buchstabe, vom Computer aber als etwas anderes gelesen werden. So kann es passieren, dass Sie zum Beispiel die Adresse www.apple.com lesen, diese aber trotzdem nicht Apple gehört.

Wie Internetadressen aufgebaut sind, und wie du Fälschungen erkennst, erklärt die TU Darmstadt auf der Projektseite NoPhish in acht einfachen Schritten. Zu dem Projekt gehört auch eine App, mit der du trainieren kannst, Phishing-Adressen zu erkennen.

 

Weitere Artikel

Ratgeber 

Mail-App FairEmail kurz vorgestellt (Android)

FairEmail ist ein datenschutzfreundlicher E-Mail-Client für Android. Die App zur Verwaltung von Mails auf dem Smartphone ist werbefrei und analysiert die Nutzung nicht. Anbieter ist der niederländische Entwickler Marcel Bokhorst.

Mehr
Ratgeber 

Mobilsicher 2017: Unsere Top 10

Mehr als 200 Mobilsicher-Artikel sind in diesem Jahr erschienen: Hintergrundtexte, App-Tests, Anleitungen, Erklärvideos und aktuelle Meldungen zu Sicherheitslücken, Betrugsmaschen und vielem anderen. Diese zehn Texte haben unsere Leser und Leserinnen 2017 am meisten interessiert.

Mehr
Kommentar 

Die knallharte Handy-Vorschrift, von der niemand gehört hat

Wechselakkus wären ein Öko-Plus, Displays für Laien wechselbar zu machen, noch eins obendrauf. Wir sind verblüfft, aber genau das steht im Gesetz.

Mehr
Ratgeber 

F-Droid: Das kann der alternative App-Store

Er setzt auf Transparenz und Datenschutz, Ehrenamtliche wählen Apps nach strengen Kriterien aus: F-Droid verfolgt einen anderen Ansatz als der Google Play-Store. Die App-Auswahl ist kleiner, dafür sind Nutzer*innen vor Tracking sicher.

Mehr