Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Was ist Phishing?

Sie haben von der Gefahr durch Phishing gehört und möchten gern wissen, was das ist? Wir erklären es Ihnen.

In Pocket speichern vorlesen Druckansicht

(Bild: Creativa Images/Shutterstock.com)

Lesezeit: 7 Min.
tipps+tricks
Von
Inhaltsverzeichnis

Phishing ist eine Betrugsmasche, mit der Daten im Internet gestohlen werden. Meist werden dafür Phishing-E-Mails genutzt, die Links zu gefälschten Webseiten enthalten. Mail und Webseite sehen täuschend echt aus und bringen Nutzer oft dazu, persönliche Daten einzugeben. In diesem Artikel erfahren Sie, was genau Phishing ist, wie Sie es erkennen und was Sie dann tun sollten.

Das Wort "Phishing" besteht aus zwei englischen Wörtern, "password" und "fishing". Es heißt also so viel wie "Passwörter angeln". Und genau das tun Phishing-Betrüger: Sie bringen ihre Opfer dazu, sensible Daten wie zum Beispiel E-Mail-Adressen oder eben Passwörter im Internet einzugeben. Diese Informationen greifen sie dann ab und missbrauchen sie. Über erbeutete E-Mail-Adressen verbreiten sie noch mehr Spam und Phishing-Mails; mithilfe fremder Zugangsdaten manipulieren sie Benutzerkonten oder erbeuten sogar Geld.

Die Masche beim Phishing: Sie bekommen eine E-Mail, die offiziell, echt und vertrauenswürdig aussieht. Zum Beispiel scheint die Mail von Ihrer Bank, vom sozialen Netzwerk Facebook oder vom Zahlungsdienst PayPal zu kommen. In dieser Mail werden Sie aufgefordert, auf einen Link zu klicken – zum Beispiel, um dort Ihre persönlichen Daten zu aktualisieren, Ihre Kreditkartennummer anzugeben oder Ihr Passwort zu erneuern. Beliebte Begründung: Ihre Daten seien verloren gegangen oder Ihr Konto sei gesperrt worden.

Der Link führt Sie dann zu einer Webseite, die ebenfalls täuschend echt aussieht. Wenn Sie sich dort mit Ihren Daten einloggen oder diese angeben, fischen die Betrüger die Informationen ab. Denn E-Mail und Webseite sind gefälscht. Die Phishing-Betrüger versenden ihre Fake-Mails an etliche Adressen gleichzeitig – damit steigt die Wahrscheinlichkeit, dass jemand darauf hineinfällt und seine Daten preisgibt.

Was ist Spear-Phishing?

Eine erweiterte Form des Phishings ist das sogenannte Spear-Phishing. Hier werden die Betrugs-Mails nicht wahllos an unzählige Mailadressen verschickt, sondern sehr gezielt an wenige Empfänger. Opfer sind etwa einzelne Personen oder Unternehmen. Durch das genaue Ziel können sich die Betrüger im Vorfeld genau über ihr Opfer informieren und die Phishing-Mail und Phishing-Website so gestalten, dass das Opfer sehr wahrscheinlich darauf hereinfällt. Das Ziel dieser Attacke ist in der Regel, bestimmte Daten zu stehlen, etwa Geschäftsgeheimnisse.

So erkennen Sie Phishing-Mails

Früher waren Phishing-E-Mails leicht zu erkennen. Oft waren sie in gebrochenem Deutsch oder gleich in einer anderen Sprache verfasst, strotzten nur so vor Fehlern und fielen sofort durch ein seltsames Layout auf. Das kommt zwar immer noch vor, aber meist sind die Mails auf den ersten Blick nicht als Phishing-Angriff zu erkennen. Trotzdem gibt es einige Anhaltspunkte dafür:

Inhalt der Mail

  • Sie werden zur Eingabe vertraulicher Daten aufgefordert (Zugangsdaten, Nutzername, Kreditkartennummer, PIN, ...). Seriöse Institute wie etwa Banken oder Mobilfunkanbieter tun so etwas nicht.
  • Sie werden mit einer knappen Frist unter Druck gesetzt. Auch das ist bei seriösen Firmen nicht üblich.
  • Ihnen wird gedroht - etwa mit der Auflösung Ihres Kontos oder Ihres Mobilfunkvertrages. Seriöse Unternehmen würden das nicht tun.
  • Unpersönliche Anrede ("Sehr geehrte Damen und Herren"): Firmen, deren Kunde Sie sind, kennen auch Ihren Namen. Aber Achtung: Es kann auch bei Phishing-Mails passieren, dass Ihr Name genutzt wird!
  • Aufforderung, einen Link oder einen Dateianhang zu öffnen: Sind Sie bei Mail und Absender skeptisch, öffnen Sie auf keinen Fall den Anhang. Er kann Viren oder Trojaner enthalten.
  • Falsches Gewinnspiel: Angeblich haben Sie bei einem Gewinnspiel gewonnen – aber haben Sie überhaupt an einem teilgenommen?

Absender und Empfänger

  • Unbekannte Firma: Sind Sie überhaupt Kunde bei dieser Firma? Falls nicht, handelt es sich um Phishing.
  • Kryptischer Absender: Die Absender-Mailadresse sieht auf den ersten Blick meist echt aus. Auf den zweiten Blick fallen aber Buchstabendreher oder kryptische Zahlen auf.
  • Andere Empfänger: Stehen im CC der E-Mail viele weitere Empfänger-Mailadressen, von denen Ihnen die allermeisten unbekannt sind? Das weist darauf hin, dass Ihre Mailadresse gemeinsam mit anderen erbeutet wurde und nun für eine Phishing-Attacke genutzt wird.
  • Falsche E-Mail-Adresse - zum Beispiel: Sie sind bei Facebook mit Ihrer web.de-Mailadresse registriert. Wenn Sie nun Nachrichten von Facebook auf Ihre gmx-Mailadresse bekommen, sollten Sie misstrauisch werden.

Aussehen der Mail

  • Selten geworden, aber immer noch ein klarer Hinweis auf Betrug: fremde Sprache, Rechtschreibfehler, schräge Formulierungen, seltsames Layout.
  • Kryptischer Link: Klicken Sie den Link nicht an, sondern fahren Sie mit der Maus darüber. Am unteren Bildschirmrand erscheint nun die URL der Webseite, auf die der Link führt. Wenn es nicht die Webseite einer vertrauenswürdigen Firma ist, lassen Sie die Finger davon. Geben Sie lieber selbst die echte URL der Firmen-Webseite im Browser ein, um die Seite zu besuchen.
  • Dasselbe gilt für die Absenderadresse. Selbst wenn diese normal aussieht, fahren Sie mit der Maus darüber und prüfen Sie die Mailadresse, die dann am unteren Bildschirmrand angezeigt wird.

So schützen Sie sich vor Phishing-Angriffen

Um gar nicht erst Opfer von Phishing-Betrügern zu werden, sollten Sie sorgsam mit Ihren Daten umgehen. Geben Sie Ihre E-Mail-Adresse nicht leichtfertig preis und schützen Sie alle Ihre Accounts mit sicheren Passwörtern. Nutzen Sie außerdem für jeden Dienst ein eigenes – sonst haben Betrüger Zugriff auf alle Dienste, wenn sie Ihr Passwort erbeuten. Wie Sie ein sicheres Passwort finden, erklären wir Ihnen hier. Um sich auch vor Angriffen auf Ihren Computer zu schützen, sollten Sie stets Browser, Betriebssystem und Ihre Antiviren-Software aktuell halten.

Wenn Sie einen Phishing-Versuch erkannt haben, sollten Sie diese einerseits der Verbraucherzentrale melden und andererseits der betroffenen Firma. Beide können dann gegen den Betrug vorgehen und die Verbraucher und ihre Kunden warnen. Anschließend sollten Sie den Absender der Mail auf die Spam-Liste Ihres Mailprogramms setzen.

Sind Sie sich nicht ganz sicher, ob die Mail nicht doch echt ist, fragen Sie einfach bei der betroffenen Firma nach. Wichtig: Nutzen Sie dafür nicht die Links und Kontaktdaten aus der fragwürdigen E-Mail! Rufen Sie die Webseite des Unternehmens selbst auf, indem Sie die Adresse im Browser eintippen, und nutzen Sie die dort angegebenen Kontaktmöglichkeiten.

Was tun als Phishing-Opfer?

Sind Sie auf eine Phishing-Mail hereingefallen und haben Daten preisgegeben, müssen Sie schnell handeln. Geht es um Anmeldedaten, werden die Betrüger diese sehr schnell ändern, damit Sie nicht mehr auf Ihr Konto zugreifen können. Versuchen Sie also, ihnen zuvorzukommen und ändern Sie Ihr Passwort. Haben Sie Bankdaten angegeben, kontaktieren Sie umgehend Ihre Bank und lassen Sie Ihr Konto sperren. Behalten Sie außerdem Ihre Überweisungen im Auge.

Weitere Informationen zum Thema Phishing finden Sie beim Bundesamt für Sicherheit in der Informationstechnik.

Mehr Infos

(gref)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten