Phishing: Gefährliche Umleitung für Ihre Passwörter

 - 

Das Bundesamt für Sicherheit in der Informationstechnik gibt Tipps, wie Sie sich vor Computer-Kriminellen schützen können.

Schlimm genug, dass Spammer Ihre Mailbox zumüllen, andere auf Ihrem PC herumschnüffeln wollen oder Computerschädlinge einem die Lust am Internet verderben. Seit einiger Zeit gibt es eine weitere Plage: Phishing.

Das klingt nach fischen gehen - und genau so ist es auch. Das Wort setzt sich aus "Password" und "fishing" zusammen, zu Deutsch "nach Passwörtern angeln", erklärt das "Bundesamt für Sicherheit in der Informationstechnik" (BSI) auf seiner Homepage.

Immer öfter fälschen Phishing-Betrüger E-Mails und Internetseiten und haben damit einen neuen Weg gefunden, um an vertrauliche Daten wie Passwörter, Zugangsdaten oder Kreditkartennummern heran zu kommen - die Nutzer geben ihre Daten einfach freiwillig preis.

Als seriöse Bank oder andere Firma getarnt fordern die Betrüger den Empfänger in der E-Mail auf, seine Daten zu aktualisieren. Entweder weil zum Beispiel die Kreditkarte ablaufe, das Passwort erneuert werden müsse, die Zugangsdaten verloren gegangen seien oder aus Sicherheitsgründen Kontoinformationen bestätigt werden müssten.

Angreifer spekulieren dabei darauf, dass der Empfänger der massenweise verschickten Nachrichten auch tatsächlich Kunde der vorgegebenen Firmen ist. Der Inhalt der sogenannten Phishing-Mails wirkt dabei täuschend echt. Diese E-Mails im HTML-Format zeigen dann einen "offiziellen" Link an, hinter dem sich jedoch tatsächlich ein ganz anderer Link verbirgt.

Um diesen Link zu entdecken, muss man den Quelltext der HTML-Mail lesen. Das funktioniert über einen Klick mit der rechten Maus-Taste im Nachrichtenfeld und der Auswahl des Menüpunktes "Quelltext anzeigen".

Trügerische Links und Webseiten

Der Empfänger wird für die Dateneingabe über einen Link auf eine Internetseite geführt, die zum Beispiel der Banken-Homepage ähnlich sieht. Auf den ersten Blick scheint alles ganz normal, selbst die Eingabeformulare sehen gleich aus.

Die Phishing-Betrüger nutzen darüber hinaus entweder Internetadressen, die sich nur geringfügig von denen der renommierten Firmen unterscheiden. Oder aber sie fälschen die Adressleiste des Browsers mit einem JavaScript. Man glaubt also, man sei auf einer seriösen Seite, ist es aber nicht. Wer einer solchen Seite seine EC-Geheimnummer, Passwörter oder andere Daten anvertraut, der beschert dem Angler fette Beute und kann sich selbst jede Menge Ärger einhandeln.

Formal gesehen passiert ein solcher Phishing-Angriff also in zwei Etappen, die manchmal auch einzeln auftreten:

  • Da ist zum einen die E-Mail, die ein Vertrauensverhältnis ausnutzt und entweder auf eine bösartige Internetseite lockt oder Computerschädlinge im Schlepptau hat. Diese Mails sind heute übrigens oft perfekt formuliert, während sie zu Beginn der Phishing-Angriffe zumeist in sehr schlechtem Deutsch verfasst waren. Das lag daran, dass sie oft aus dem fremdsprachigen Ausland stammten und mit automatischen Übersetzungsprogrammen oder von Laien ins Deutsche übertragen wurden.

  • Zum anderen gibt es die Nachahmung von Teilen oder einer gesamten vertrauten Webseite, auch "Spoofing" ("Verschleierung") genannt. Hier geschieht der eigentliche Betrug, indem die Angreifer einen getäuschten Nutzer zur Preisgabe vertraulicher Daten verleiten, die dann missbraucht werden.

Maßnahmen gegen Phishing

Ärger haben auch die Unternehmen, in deren Namen die Betrüger auftreten. Denn sie erleiden oft einen Image-Schaden. Phishing zu bekämpfen ist schwer, da sich die gefälschten von den echten Seiten kaum unterscheiden und somit viele Nutzer sich täuschen lassen.

In einigen Ländern haben sich viele Firmen bereits zur Anti-Phishing Working Group zusammengetan. Auf ihrer Internetseite kann man Phishing-Mails melden und nachlesen, welche schon bekannt sind.

In Deutschland hat sich eine neue interdisziplinäre Vereinigung aus Wissenschaftlern der Ruhr-Universität Bochum des Phishing-Problems angenommen. Die "Arbeitsgruppe Identitätsmissbrauch im Internet" (A-I3) stellt auf ihrem Online-Portal nicht nur aktuelle Informationen zu Themen der IT-Sicherheit bereit, sondern auch konkrete Hilfestellungen und Tools.

Für Sie als Internetnutzer aber heißt es wieder einmal: Aufpassen! Schauen Sie bei den angeklickten Internet-Adressen besser zweimal hin und überlegen Sie genau, wem Sie welche Daten anvertrauen.

Übrigens: Phishing ist nicht nur auf das Internet beschränkt - Datendiebe machen auch Jagd auf die Nutzer über das Telefon unter Verwendung von Internettelefonen (VoIP). Eine eigene Bezeichnung für diese neue Technik gibt es auch schon: "Vishing" ("Voice Phishing").

Bringen Sie Ihre Software immer auf den aktuellen Stand

Sicherheitslücken in Programmen, insbesondere in Browsern, können von Datenfischern ausgenutzt werden. Die meisten Hersteller steuern dagegen, in dem sie ihre Software laufend aktualisieren und bekannt gewordene Lücken schließen. Sie sollten diese Aktualisierungen ("Patches") unbedingt so rasch wie möglich von den Webseiten der Hersteller herunter laden und installieren. Über neue Patches informieren viele Hersteller über automatische Update- und Warndienste, wichtige Neuerungen erfahren Sie auch im Newsletter "Sicher Informiert" , den das BÜRGER-CERT des BSI alle zwei Wochen veröffentlicht.

Überprüfen Sie den Sicherheitsstatus von Webseiten, auf denen Sie persönliche Informationen eingeben

Dabei sollten Sie besonders auf zwei Punkte achten:

  • Auf gesicherten Seiten erscheint in der Statuszeile des Browsers ein Schlosssymbol. Dieses Symbol zeigt an, dass bei der Übertragung von Informationen das Verschlüsselungsverfahren SSL zum Einsatz kommt (nähere Informationen zu SSL im Bereich "Browser"). Wenn Sie auf das Schlosssymbol klicken, öffnet sich ein Fenster ("Zertifikat") mit Informationen über den Betreiber der Webseite. Der dort angegebene Namen der Webseite muss mit jenem in der Statuszeile übereinstimmen. Außerdem muss das Zertifikat von einer anerkannten Stelle ausgestellt worden sein. Es existiert mittlerweile eine große Zahl an privaten wie öffentlichen Anbietern von Zertifikaten. Die Bundesnetzagentur ist als Behörde zuständig und veröffentlicht auf ihrer Webseite die Namen jener Anbieter, die von ihr geprüft wurden. Ihr Browser zeigt eine Warnmeldung an, wenn ein Zertifikat abgelaufen ist oder eine unsichere Herkunft hat.

  • Achten Sie darauf, dass der in der Adresszeile angegebene URL mit "https" und nicht wie sonst üblich mit "http" beginnt - das ist ein starkes Indiz dafür, dass eine durch SSL gesicherte Verbindung aufgebaut wurde. Leider können Betrüger auch das "https" in der URL fälschen. Als Sicherheitscheck hilft es hier, nach einem Klick mit der rechten Maustaste den Bereich "Seiteninformationen" aufzurufen und die Quelle dort nachzuschlagen.

Banken oder seriöse Firmen fordern ihre Kunden niemals per E-Mail oder per Telefon zur Eingabe von vertraulichen Informationen auf

Geldinstitute, Online-Auktionshäuser wie eBay, aber auch sonstige seriöse Wirtschaftsunternehmen wissen, dass E-Mails von Betrügern leicht gefälscht werden können. Daher werden sie ihre Kunden niemals per E-Mail dazu auffordern, darin angeführte Links anzuklicken und dort vertrauliche Daten einzugeben.

Wenn Sie eine derartige E-Mail erhalten, dann können Sie davon ausgehen, dass es sich um einen Phishing-Angriff handelt. Wenn Sie unsicher sind, dann setzen Sie sich telefonisch oder brieflich mit Ihrem Geschäftspartner oder Ihrer Bank in Verbindung, aber verfolgen Sie keinesfalls die in der Nachricht angegebenen Internetlinks. Das Gleiche gilt für dubiose Telefonate: Seriöse Geschäftspartner oder Banken werden sich niemals von sich aus telefonisch bei Ihnen melden und Sie zur Eingabe von Passwörtern, PIN oder TAN über die Tastatur oder per Sprachcomputer auffordern.

Beachten Sie die generellen Sicherheitsregeln, die für das Internetsurfen und den E-Mail-Verkehr gelten

  • Klicken Sie generell niemals auf in E-Mails enthaltene Links, sondern tippen Sie die Internetadressen gewünschter Seiten immer manuell ein.

  • Reagieren Sie nicht auf vermeintliche Anrufe Ihrer Bank, in denen Sie zur Eingabe von PIN oder TAN aufgefordert werden - etwa mit der Behauptung, Ihre Kreditkarte sei verloren gegangen.

  • Schalten Sie die Funktion "Aktive Inhalte ausführen" generell aus. Wenn Sie darauf nicht verzichten wollen, so stellen Sie über die entsprechenden Funktion in den Sicherheitseinstellungen zumindest sicher, dass Ihr Browser in jedem Einzelfall bei Ihnen anfragt, ob Aktive Inhalte ausgeführt werden dürfen. Nähere Informationen dazu erhalten Sie im Bereich "Browser".

  • Öffnen Sie E-Mails und darin enthaltene Anhänge nur dann, wenn Sie aus vertrauenswürdiger Quelle stammen.

  • Setzen Sie eine Firewall und Virenschutzsoftware ein und bringen Sie diese regelmäßig auf den aktuellen Stand.

  • Achten Sie darauf, dass Sie auch die Softwareaktualisierungen für Ihr Betriebssystem und andere von Ihnen eingesetzte Programme laufend installieren oder nutzen Sie automatische Update-Dienste. Kontaktieren Sie Ihre Bank oder Ihren Geschäftspartner, wenn Sie befürchten, dass Sie einem Phishing-Angriff zum Opfer gefallen sind! Die für Sicherheitsfragen zuständigen Mitarbeiter können den Vorfall verfolgen und prüfen, ob Schaden entstanden ist.

  • Falls tatsächlich bereits Summen unberechtigt überwiesen worden sind, so wenden Sie sich bitte umgehend an die Polizei.

Weitere News zum Thema

  • Für viele Kunden wird das Girokonto leider teurer

    [] Das Geld zur Bank zu bringen, wird immer teurer, so auch bei der Postbank. Das Kreditinstitut hat nämlich das kostenlose Girokonto abgeschafft. Ab einem regelmäßigen Geldeingang von 1.000 Euro im Monat mussten die Nutzer bisher nichts für die Kontoführung zahlen. Seit November 2016 fallen dafür monatlich 3,90 Euro an. Ein Grund für den Trend zu steigenden Kontoführungsgebühren ist die Europäische Zentralbank (EZB) mit ihrer anhaltenden Niedrigzinspolitik. mehr

  • Banknote zerrissen! Was tun?

    [] Wer kennt das nicht? Man vergisst den Zwanziger in der Jeans und ab damit in die Waschmaschine. Die ganz private Geldwäsche. Oder: Ratsch – der Reißverschluss des Portmonees reißt ein Stück der Banknote ab, die man gerade herausholen will. Was tun mit geschredderten oder verwaschenen Geldscheinen? mehr

  • Mehr Sicherheit beim Onlinebanking

    [] Immer wieder gibt es Berichte in den Medien, dass Cyberkriminelle Bankkonten ihrer Opfer geplündert haben. Wer selbst Onlinebanking nutzt, sollte daher unbedingt die Sicherheitstipps des Bundesverbands deutscher Banken e.V. beherzigen, denn so lässt sich das Risiko, Opfer eines Cyberbetrugs zu werden, minimieren. mehr

  • Nach dem Urlaub: Kontoauszüge und Kreditkartenabrechnungen überprüfen

    [] Inzwischen kann man sich nahezu überall auf der Welt an Geldautomaten mit Bargeld versorgen oder man zahlt im Reiseland direkt bargeldlos. Das geht bequem und schnell. Wichtig ist es aber, während des Urlaubs die Abrechnungen zu sammeln, damit es zu Hause keine bösen Überraschungen gibt. mehr

Weitere News zum Thema

schließen

Link empfehlen

Mit der Inanspruchnahme des Services willigen Sie in folgende Vorgehensweise ein:

Ihre eigene E-Mail-Adresse und die des Empfängers werden nur zu Übertragungszwecken verwendet - um den Adressaten über den Absender zu informieren, bzw. bei einem Übertragungsfehler eine Benachrichtigung zu übermitteln. Um einen Missbrauch dieses Services zu vermeiden, wird Geldtipps.de die Identifikationsdaten (IP-Adresse) jedes Nutzers der versandten E-Mail in Form eines E-Mail-Header-Record (X-Sent-by-IP) beifügen und für einen Zeitraum von zwei Monaten speichern. Sofern Dritte glaubhaft machen, dass sie durch die Versendung eines Artikels im Rahmen dieses Services in ihren Rechten verletzt wurden, wird Geldtipps.de die Identifikationsdaten zur Rechtsverfolgung herausgeben.