Was ist Phishing und wie kann man sich davor schützen?

Der Begriff Phishing tritt häufig auf im Zusammenhang mit der Thematik Online-Betrugsmaschen. Was Phishing im Internet eigentlich heißt, die verschiedenen Formen davon bedeuten und was bei dieser Art von Betrug passiert ist, soll hier einfach erklärt werden.

Das Wort »Phishing« ist ein Kunstwort, das aus den Begriffen »password« und »fishing« entstanden ist, also nach Passwörtern angeln oder fischen. Ziel ist es, sich über massenhaft versandte E-Mails und/oder gefälschte Webseiten, Whatsapp-Nachrichten oder SMS als vertrauenswürdiger Partner in der Online-Kommunikation auszugeben, um

  • An persönliche und vertrauliche Daten des Empfängers wie Name, Adresse, Geburtsdatum, Kontonummer und PIN/TAN zu gelangen.
  • Den Kunden zu schädlichen Aktionen wie die Installation von Schadsoftware (z. B. Trojaner) zu verleiten.

Als typisches Beispiel für Phishing gelten gefälschte E-Mails von Finanzdienstleistern wie Banken und Versicherungen, die zur Dringlichkeit mahnen. Aber auch Online-Shops oder Handelsplattformen wie Amazon und eBay sind betroffen. Früher waren diese E-Mails häufig sprachlich schlicht gehalten und mit Rechtschreibfehlern in Text und Anrede gespickt. Inzwischen sind sie aber deutlich raffinierter formuliert. Als Absender werden zum Beispiel die Support-Abteilung eines Unternehmens genannt, die das (Kunden-)Konto zur Kontrolle ausgewählt haben, um Kontoinformationen zu prüfen.

  • Im Anhang der E-Mail findet sich eine Datei mit einem Formular, über das der Kunde dann persönliche Daten wie Anmelde- oder Teilnahmenummern, PIN und TAN eingeben soll, um alle Details seines Kontos zu überprüfen. Folgt der Kunde dieser Aufforderung schnappt die Falle zu – der Phisher hat sich die gewünschten Daten geangelt.
  • Auch durch das Anklicken von Links, die zu Webseiten führen, die durch Verwendung täuschend echter Domain-Namen und die Übernahme des Corporate Designs eines Unternehmens inklusive Logo, Farbgebung und Schriftarten perfekt die Unternehmenswebsite imitieren oder gar geklonte Websites sind, wird der Kunde Opfer von Phishing-Methoden.

Die aggressivste Form des Phishings ist Spear-Phishing, wobei nicht wahllos irgendein Kunde, sondern eine gezielte Person über Wochen ausspioniert wird, um ihre Präferenzen zu erforschen und so leichter an ihre persönlichen Daten zu gelangen.

Warum ist Phishing so gefährlich?

Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden die volkswirtschaftlichen Schäden von Cyber-Delikten, die mit gezielten Phishing-Attacken beginnen, allein in Deutschland pro Jahr mindestens auf einen zweistelligen Millionenbetrag geschätzt. Beinahe täglich beobachtet das Amt neue Varianten mit fantasievoll erfundenen Geschichten. Die Anzahl der von Phishing betroffenen Marken steigt nach Recherchen von Statista deshalb seit 2018 drastisch an: waren es 2018 insgesamt 293 betroffene Marken, waren es 2021 schon 624, also mehr als das doppelte. Allein im Online-Banking geht die Zahl der polizeilich registrierten Fälle in die zehntausende.

Phishing ist für Cyberkriminelle so attraktiv, weil der Aufwand gering, aber die mögliche Beute hoch ist, wenn es zum Beispiel gelingt, mit den gephishten Daten ein Konto abzuräumen. Inzwischen gibt es sogar vorgefertigte Bausätze („Phishing-Kits“) zum täuschend echten Nachbau von Unternehmensangeboten bis hin zu „Phishing-as-a-Service“-Angeboten, die lediglich übernommen und angepasst werden müssen, ohne dass der Angreifer selbst über vertiefte technische Kenntnisse verfügen muss. In Kombination mit einer rasch registrierten, ebenfalls täuschend echten Domain ist die böse Falle so rasch gestellt.

Welche prominenten Phishing-Fälle gibt es?

Wer glaubt, dass er auf fingierte Phishing-Mails nicht hereinfallen würde, überschätzt sich. Es gibt praktisch keinen Wirtschaftsbereich, den es nicht bereits erwischt hat oder den es nicht erwischen kann.

Am bekanntesten sind wohl die Phishing-Attacken auf Banken wie Postbank und Sparkassen. Zahlreiche E-Mails, die angeblich von diesen Banken stammen, forderten Bankkunden auf, eine vermeintlich sichere Aktivierung zur angeblichen Absicherung ihres Kontos und Kreditkarte durchzuführen. Die Betrüger wollen so über einen Link Zugangsdaten zum Online-Banking, Kreditkartendaten und TANs erbeuten.

Im Jahr 2016 wurde ein österreichischer Luftfahrtzulieferer angegriffen. Eine E-Mail, die vermeintlich vom Vorstandschef stammte, wies einen Mitarbeiter aus der Finanzbuchhaltung an, für eine angeblich geplante Firmenübernahme im Ausland 50 Millionen Euro zu überweisen. Dieses spezielle Betrugsmasche ist mittlerweile weltweit verbreitet und unter dem Namen »CEO Fraud« bekannt, zu Deutsch: »Geschäftsführer-Betrug«.

Das Schadprogramm Wannacry befällt seit 2017 Windows-Betriebssysteme; betroffen waren unter anderem bereits der spanische Telekommunikationskonzern Telefónica, das US-Logistikunternehmen FedEx, der französische Automobilkonzern Renault, der japanische Automobilhersteller Nissan und die Deutsche Bahn mit ihrer Logistiktochter Schenker.

Viele Fälle werden aber auch gar nicht öffentlich, sei es aus Scham oder weil man erheblichen Schaden für die Reputation des eigenen Unternehmens oder die eigene Marke befürchtet.

Was ist Smishing?

Eine weitere Methode des Phishings ist »Smishing«, dass sich aus Phishing und SMS zusammensetzt. Hierbei wird versucht über Textnachrichten den Kunden auf eine gefälschte Website zu locken. Die SMS enthält einen Link oder eine Telefonnummer, die angerufen werden soll. So soll das eigene Konto angeblich »geprüft«, »aktualisiert« oder »reaktiviert« werden. Der Link dieser Phishing Mail führt den Kunden auf die gefälschte Webseite oder mittels Telefon zu einem Betrüger, der sich als Angestellter eines tatsächlich existierenden Unternehmens ausgibt. Die Betrugsmasche ist oft erfolgreich, denn viele Kunden öffnen eher fremde SMS als E-Mails, weshalb Smishing oft zum Erfolg führt.

Was ist eine homographische Attacke?

Die Einführung internationalisierter Domain-Namen (IDNs) und die damit verbundene Möglichkeit, Domains auch in nicht-lateinischen Zeichen registrieren zu können, zählt zu den wesentlichen Evolutionsstufen des Domain Name Systems, da so der Kreis der Nutzer, die Domains in Muttersprache registrieren können, wesentlich erweitert wird. Schon kurz nach dem Jahrtausendwechsel warnte das US-Unternehmen AT&T jedoch auch vor neuen Gefahren. Bekannt geworden ist das Risiko unter der Bezeichnung »homographische Attacke«.

Dabei werden Zeichen wie beispielsweise die Zahl »0« und der Buchstabe »O«, die bei einer Verwendung in Domains wie postbank.com auf den ersten Blick identisch erscheinen, technisch jedoch zu unterschiedlichen Webangeboten verweisen können, zum Beispiel in Phishing-Mails missbraucht.

Kommen internationalisierte Zeichensätze ins Spiel und wird beispielsweise in einem Domain-Namen das »m« des lateinischen Zeichensatzes durch jenen des griechischen ersetzt, wird ein homographischer Angriff noch besser verschleiert.

Auf diese Weise nutzen Kriminelle »look-alike«-Domains zum Beispiel um Daten zu »phishen«. Das musste auch der Lebensmittelkonzern Lidl erfahren, der im Juli 2018 erfolgreich in einem ADR-Verfahren gegen die Domain lìdl.eu (xn--ldl-nma.eu) vorging (WIPO Case No. DEU2018-0011).

Wie kann ich mich schützen?

Bereits im März 2005 zeigte sich die Internet-Verwaltung ICANN besorgt über den Missbrauch des Domain Name Systems (»DNS abuse«) durch Phishing, Domain-Spoofing oder homographische Attacken. Über die Jahre gab es verschiedenste Maßnahmen, um einen solchen Missbrauch auszuschließen. So ist es zum Beispiel untersagt, im Rahmen der Domain-Registrierung Zeichen aus verschiedenen Zeichensätzen zu verwenden. Allerdings sind nach wie vor Lücken geblieben, die clevere Cyberkriminelle nutzen.

Aus diesem Grund sind viele Unternehmen und Organisationen, aber auch Privatpersonen dazu übergegangen, potenziell gefährliche Domain-Namen vorbeugend oder defensiv zu registrieren, ohne sie selbst aktiv zu nutzen. Damit sind sie dem Markt entzogen, können also von Cyberkriminellen nicht registriert werden. Zugleich eröffnet man sich die Möglichkeit, diese Domains zu einem späteren, beliebigen Zeitpunkt zu reaktivieren und für neue Angebote zu nutzen.

Inhaber von Kennzeichenrechten nehmen defensive Domain-Registrationen zumeist vor, um ihre Rechte vor Verletzungen zum Beispiel durch Domain-Grabber zu schützen; überdies sind mit einer »defensiven« Domain-Registrierung in der Regel weit geringere Kosten verbunden als sie im Streitfall vor Gerichten anfallen würden.

Eine besonders wichtige Maßnahme, um Phishing vorzubeugen, ist die Schulung von Mitarbeitern. Diese warnt idealerweise vor der Betrugsmasche und gibt eine grundlegende Checkliste für verdächtige Nachrichten an die Hand:

  • Aufmerksam sein: Passt der angezeigte Absender in der E-Mail/Nachricht zur verwendeten Absenderadresse?
  • Kritisches Prüfen von Links: Handelt es sich um einen Textlink, doch die hinterlegte URL deutet auf ein völlig anderes Ziel hin? Oder wurde die eingefügte URL mit einem Dienst wie bit.ly verkürzt?
  • Hinterfragen: Wird der Empfänger aufgefordert, vertrauliche Daten preiszugeben? Braucht der Absender diese Daten wirklich?
  • Genau hinsehen: Wird der Empfänger mit Formulierungen wie »umgehend« oder »letzte Warnung« unter Druck gesetzt, zu handeln?

Besser geschützt mit united-domains

Domain-Sicherheit wird häufig vernachlässigt. Machen Sie jetzt den ersten Schritt hin zu einem besseren Schutz Ihres Portfolios: Informieren Sie sich über unser durchdachtes Sicherheitskonzept, das Ihre Domain auf drei verschiedenen Ebenen absichert.

Mehr erfahren

Häufig gestellte Fragen zum Phishing

Phishing – wie kommen Betrüger an die E-Mail-Adressen?

Wer zu freizügig im Internet seine Daten preisgibt, gerät in Gefahr, Opfer einer Phishing-Attacke zu werden. Dies geschieht leicht, wenn Sie …

  • an Gewinnspielen teilnehmen
  • sich auf zwielichtigen Seiten registrieren
  • jeder Aufforderung zur Datenangabe nachgehen

Was soll ich tun, wenn ich Daten in einer Phishing-E-Mail eingegeben habe?

  • Haben Sie sensible Daten zu Konten oder Bankkarten weitergegeben, kontaktieren Sie Ihr Kreditinstitut und lassen Sie diese umgehend sperren. Kontrollieren Sie anschließend besonders gründlich und regelmäßig Ihre Kontoauszüge.
  • Haben Sie Ihre Adresse und Telefonnummer weitergegeben, sollten Sie besondere Vorsicht bei eintreffender Post oder Anrufen walten lassen.
  • Ändern Sie auch die Passwörter Ihrer betroffenen E-Mail-Accounts und sonstiger wichtiger weiterer Accounts.
  • Kontaktieren Sie die Polizei.

Ich habe auf den Link in einer Phishing-E-Mail geklickt. Was soll ich jetzt tun?

  • Aktualisieren Sie Ihr Virenschutzprogramm und lassen Sie es den gesamten Computer abscannen.
  • Prüfen Sie, ob Ihr Computer wichtige automatische Updates von Browser, Virenschutzprogramm und Betriebssystem auch ausführt.
  • Im Notfall können Sie einen Computerspezialisten hinzuziehen, der sich mit der Entfernung von Schadsoftware auskennt.
Lesen Sie als Nächstes

Domain-Sicherheit: Sind Ihre Domains bestmöglich geschützt?

Unternehmen müssen sich Jahr für Jahr gegen eine steigende Anzahl von Cyberangriffen behaupten. Entsprechend wichtig ist das Thema Cyber Security. ...

Achtung, Betrugsversuch per Mail! LKA warnt vor gefälschten Domain-Rechnungen

Mit Fake-Rechnungen versuchen Kriminelle aktuell, Domaininhaber aufs Glatteis zu führen. Woran Sie den Betrugsversuch erkennen, erfahren Sie hier.

Betrug durch geklonte Websites

Sogenannte geklonte Websites kopieren Ihre Webinhalte und Design eins zu eins und fangen wichtige Kunden ab. Deshalb ist es wichtig, ...
Markenverlängerung

Betrug bei der Markenverlängerung

Markeninhaber sind häufig Ziel von dubiosen Anbietern. Sie erhalten per Brief das Angebot ihre Marke verlängern zu lassen. Wir zeigen, ...