Was ist Phishing?

Phishing ist eine Form des Angriffs mit dem Ziel, persönliche Daten wie zum Beispiel Anmeldeinformationen oder Kreditkartennummern in der Regel für verschiedene Arten von Finanzbetrug zu stehlen. Der Angreifer ahmt eine vertrauenswürdige Rechtspersönlichkeit nach, wie zum Beispiel eine Bank, Behörde, einen ISP (Internetdienstanbieter) oder eine große Website, und versucht Benutzer dazu zu bringen, persönliche Daten preiszugeben. Solche Angriffe werden oft als "dringende" E-Mails getarnt, in denen der Empfänger aufgefordert wird, sofort zu reagieren, um etwas Schlimmes zu verhindern. Es werden zum Beispiel folgende Themen verwendet:

• "Unsere Bank hat ein neues Sicherheitssystem. Aktualisieren Sie Ihre Informationen jetzt, da Sie andernfalls nicht auf Ihr Konto zugreifen können."

• "Wir konnten Ihre Informationen nicht überprüfen; klicken Sie hier, um Ihr Konto zu aktualisieren."

• In manchen Fällen wird in der E-Mail behauptet, dass dem Absender (oder einem Dritten) etwas Schlimmes passieren wird, zum Beispiel: "Die Summe von 30.000.000 Euro wird an die Regierung überwiesen, es sei denn, Sie helfen mir, diesen Betrag auf Ihr Bankkonto zu übertragen."

Wer auf die Links in diesen E-Mails klickt, wird möglicherweise auf eine Phishing-Site weitergeleitet - eine Webseite, die wie eine seriöse Site aussieht, welche der Benutzer zuvor einmal besucht hat, die aber in Wirklichkeit von einem Angreifer gesteuert wird. Da die Seite den Benutzern bekannt vorkommt, geben sie oft ihren Benutzernamen, ihr Kennwort oder andere persönliche Daten auf der Site ein. Ohne es zu wissen, haben sie in diesem Fall einem Dritten alle Informationen gegeben, die dieser benötigt, um in das Konto des Benutzers einzudringen, Geld zu stehlen oder neue Kreditlinien auf den Namen des Benutzers zu eröffnen. Die Benutzer sind also Opfer eines Phishing-Angriffs geworden.

Die Strategie eines solchen Angriffs ist simpel: Jemand gibt sich als eine andere Person aus, um die Opfer durch Täuschung dazu zu bringen, persönliche oder andere sensible Daten preiszugeben. "Phisher" geben sich als alles mögliche aus: Banken, E-Mail- und Anwendungsanbieter, Online-Firmen, Online-Zahlungsdienste und sogar Behörden. Während manche dieser Angriffe plump und leicht zu erkennen sind, sind viele sehr raffiniert und heimtückisch. Die E-Mail-Attrappe von "Ihrer Bank" kann sehr echt aussehen; die gefälschte "Anmeldeseite", zu der Sie weitergeleitet werden, kann absolut seriös aussehen.

So können Sie Phishing-Angriffe vermeiden

Zum Glück gibt es Maßnahmen, mit denen man sich vor Phishing-Angriffen und Phising-Sites schützen kann:

• Seien Sie extrem vorsichtig mit dem Beantworten von E-Mails, in denen Sie nach sensiblen Informationen gefragt werden. Hüten Sie sich davor, auf Links in E-Mails zu klicken oder auf E-Mails zu antworten, in denen Sie nach Dingen wie Kontonummern, Benutzernamen und Kennwörtern oder anderen persönlichen Daten wie zum Beispiel Sozialversicherungsnummern gefragt werden. Die meisten seriösen Unternehmen erfragen solche Informationen niemals per E-Mail. Google tut dies nicht.

• Gehen Sie selbst zu der Site, anstatt auf Links in verdächtigen E-Mails zu klicken. Wenn Sie eine Nachricht erhalten, in der Sie nach sensiblen Informationen gefragt werden, die Nachricht aber verdächtig aussieht, öffnen Sie ein neues Browser-Fenster und gehen Sie so zur Website des Unternehmens, wie Sie das normalerweise tun (zum Beispiel über ein Lesezeichen oder indem Sie die Adresse der Unternehmenswebsite eingeben). Dadurch ist die Wahrscheinlichkeit größer, dass Sie es mit der Website des Unternehmens anstatt einer Phisher-Website zu tun haben. Und wenn Sie etwas tun müssen, werden Sie normalerweise auf der Site dazu aufgefordert. Wenn Sie sich nicht sicher sind bei einer Aufforderung, die Sie erhalten haben, können Sie außerdem direkt bei dem Unternehmen nachfragen. Sie brauchen nur ein paar Minuten, um auf die Website des Unternehmens zu gehen, eine E-Mail-Adresse oder Telefonnummer für Kundenservice herauszufinden und abzuklären, ob die Aufforderung seriös ist.

• Wenn Sie sich auf einer Site befinden, auf der Sie zur Eingabe sensibler Daten aufgefordert werden, achten Sie auf verdächtige Anzeichen. Wenn Sie sich auf einer Site befinden, auf der Sie nach sensiblen Daten gefragt werden - egal, wie Sie auf diese Site gelangt sind -, prüfen Sie die Site daraufhin, ob sie wirklich die offizielle Website des Unternehmens ist. Versuchen Sie zum Beispiel an der URL zu erkennen, ob die Seite tatsächlich zur Website des Unternehmens gehört und nicht eine betrügerische Seite auf einer anderen Domäne (etwa mybankk.com oder g00gle.com) ist. Wenn Sie auf einer Seite sind, die gesichert sein müsste (etwa eine Seite, auf der Sie zur Eingabe Ihrer Kreditkarteninformationen aufgefordert werden), suchen Sie nach "https" am Anfang der URL oder dem Vorhängeschloss-Symbol im Browser. (In Firefox und Internet Explorer 6 wird das Vorhängeschloss-Symbol unten rechts angezeigt, in Internet Explorer 7 rechts auf der Adressleiste.) Diese Zeichen sind nicht unfehlbar, aber immerhin ein erster Schritt.

• Seien Sie vor "Superangeboten" und "Tiefstpreisen" auf der Hut, die Sie oft im Internet sehen. Oft ist es zu schön, um wahr zu sein - und in Wirklichkeit könnte ein Phisher dahinterstecken, der versucht, Ihre Daten zu stehlen. Wann immer Sie auf ein Online-Angebot stoßen, bei dem Sie persönliche oder andere sensible Informationen angeben müssen, stellen Sie auf jeden Fall viele Fragen und prüfen Sie die Site auf verdächtige Merkmale.

• Verwenden Sie einen Browser, der über einen Phishing-Filter verfügt. Die neuesten Versionen der meisten Browser enthalten Phishing-Filter, mit denen Sie potenzielle Phishing-Angriffe leichter erkennen können.