Ratgeber

Dauerbrenner Phishing

Ein Artikel von , veröffentlicht am 04.09.2015, bearbeitet am26.02.2024

Phishing ist eine altbekannte Methode, die immer wieder in neuem Gewand auftaucht. Dabei werden Nutzer*innen durch gefälschte Nachrichten animiert, Zugangsdaten preiszugeben oder Schadprogramme zu installieren. Welche Maschen es gibt und wie du sie erkennst, erklären wir hier.

Das ist Phishing

Beim Phishing durchforsten Cyberkriminelle das Internet nach Mobilnummern und E-Mail-Adressen, zum Beispiel von Verkaufsplattformen, Kleinanzeigen, Jobbörsen, Dating-Portalen oder verwenden gestohlene Datensätze, die im Darknet verkauft werden. An diese Nummern und Adressen verschicken sie dann Nachrichten, die einen Link zu einer Webseite enthalten.

Oft geben sie sich als Nachrichten von deiner Bank, von Paketdiensten wie DHL oder vom Internet-Provider aus. Wer auf den Link klickt, landet auf einer Webseite des Angreifers. Diese Seite kann so aussehen, wie die Login-Seite deiner Bank oder der DHL und fordert dich unter irgendeinem Vorwand dazu auf, deine Zugangsdaten einzugeben. Folgt man der Aufforderung, haben Kriminelle Zugang zum betreffenden Konto.

Alternativ wirst du dazu aufgefordert, eine App herunterzuladen und zu installieren. Diese Apps können sich zum Beispiel als App der DHL zum Verfolgen deiner Lieferung, als Update deiner Facebook-App oder als Sicherheitszertifikat deiner Bank ausgeben. Folgst du der Aufforderung, hast du dir selbst ein Schadprogramm installiert.

Oft ist Phishing der erste Schritt eines mehrstufigen Angriffs. So kann das Schadprogramm im ersten Schritt nur das Kontaktverzeichnis des Opfers durchgehen und dann eine gezielte Phising-Kampagne von diesem Gerät aus auf Nummern aus dem Adressbuch starten. Weil diese Nachrichten dann von einer bekannten Person stammen, ist die Erfolgsrate viel höher.

Was Schadprogramme sind und wie sie auf Mobilgeräte gelangen, erklären wir im Text Schadprogramme auf dem Handy.

Wer, wo, wann?

Phishing ist weit verbreitet und wird per SMS, aber auch per E-Mail, Messenger, Instagram, Facebook und sogar über Kalendereinträge praktiziert. Besonders oft werden Nachrichten von Amazon, PayPal und DHL gefälscht. Auch angebliche Nachrichten von WhatsApp, zum Beispiel mit "Ihr Konto wird Kostenpflichtig", vermeintliche Gutscheine oder Nachrichten, die angeblich von der Polizei stammen, sind häufig.

Beliebt ist beim Phishing auch das Spiel mit der Angst: So kann ein Link dich auf eine bösartige Webseite führen, auf der du vor einem angeblichen Virenbefall gewarnt wirst. Mit Nachrichten wie: "Dein Gerät ist infiziert und wird schwer beschädigt - lade sofort einen Virenscanner herunter" wird dir ein Link zu einem Virenscanner präsentiert, der dann die eigentliche Schadsoftware enthält. Ähnlich funktionierten Phishing-Nachrichten von angeblichen Hackern, die behaupten, Zugriff auf dein Gerät zu haben oder dich beim Pornokonsum gefilmt zu haben.

Das kannst du tun

Klicke niemals auf Links von unaufgefordert zugeschickten Nachrichten per Mail, SMS, Messenger oder aus sozialen Netzwerken. Lade niemals etwas herunter, das dir auf Seiten angeboten wird, die du über solche Links erreicht hast.

Achte auf die Absenderadresse. Enthält sie kryptische Namen und Zeichenfolgen wie zum Beispiel "adebolajibolaji@xxx" oder "xxx@infymailz.info"? Dann solltest du misstrauisch werden.

Wenn du über einen solchen Link auf einer Seite landest, die angeblich der Firma xy gehört, dann kannst du eine Fälschung an der Internetadresse erkennen. Achte dabei auf Tippfehler, Bindestriche, oder ungewöhnliche Endungen wie zum Beispiel .to oder .tz. Im Zweifel tippst du den Firmennamen in eine Suchmaschine, und rufst die Seite dann aus den Suchergebnissen auf.

Greif zum Telefonhörer: Wenn du seltsame Nachrichten von Bekannten bekommst, dann ruf doch einfach mal an. Vor allem, wenn Bekannte behaupten, sie hätten eine neue Telefonnummer oder brauchen dringend einen Code, den du eben per SMS bekommen hast. Genauso bei seltsamen Aufforderungen deiner Bank oder Krankenkasse.

Sonderfall homographisches Phishing

Achtung: Beim sogenannten homographischen Phishing sind die gefälschten Webadressen mit bloßem Auge nicht zu erkennen. Dabei werden sogenannte Unicode-Zeichen verwendet, die für das Auge genauso aussehen, wie ein bestimmter Buchstabe, vom Computer aber als etwas anderes gelesen werden. So kann es passieren, dass Sie zum Beispiel die Adresse www.apple.com lesen, diese aber trotzdem nicht Apple gehört.

Wie Internetadressen aufgebaut sind, und wie du Fälschungen erkennst, erklärt die TU Darmstadt auf der Projektseite NoPhish in acht einfachen Schritten. Zu dem Projekt gehört auch eine App, mit der du trainieren kannst, Phishing-Adressen zu erkennen.

 

Danke für deinen Besuch. Bevor du uns verlässt…

Folg uns doch auf Mastodon oder auf Instagram! Jede Woche Updates zu Smartphones und Umwelt aus der mobilsicher-Redaktion.

Kennst du schon unseren Newsletter? Einmal im Monat schicken wir dir aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Schritt für Schritt: Bluetooth ausschalten

Ein ausgeschaltetes Bluetooth-Gerät kann niemand angreifen oder sich heimlich damit verbinden. Daher sollte die Funktion bei Smartphone oder Tablet nur an sein, wenn sie auch genutzt wird. Doch Vorsicht: Aus ist nicht gleich aus.

Mehr
Ratgeber 

SMS verschlüsseln

Will man ohne Internetverbindung Textnachrichten verschicken, sind SMS das Mittel der Wahl. Der Dienst ist im Regelfall allerdings nicht verschlüsselt. Wie man trotzdem sicher kommunizieren kann, erklären wir hier.

Mehr
YouTube-Video 

E-Mails auf dem Handy: Diese Apps sind sicher (Android)

Mail-Apps helfen, E-Mails auf dem Handy zu verwalten. Doch nicht alle Android-Apps sind sicher - manche lesen sogar Passwörter und E-Mail-Inhalte aus. Welche Apps falsche Freunde sind und welchen Sie vertrauen können, erfahren Sie im Video.

Ansehen
Ratgeber 

Unsicheres Add-on WOT aus Firefox entfernen – so geht’s

Eine aktuelle Recherche von NDR und mobilsicher.de zeigt, wie Nutzerdaten von Computer und Smartphone erfasst und verkauft werden. Eine große Rolle dabei spielt das Firefox-Add-On der Firma Web of Trust (WOT). Wie Sie es loswerden, zeigen wir hier.

Mehr