Was ist Phishing und wie kann man sich davor schützen?

Veröffentlicht am von Redaktion Lesedauer: 4 Minuten

Der Begriff Phishing tritt häufig im Zusammenhang mit Online-Betrugsmaschen auf. Dabei handelt es sich um betrügerische E-Mails, Websites oder Anrufe, die allesamt auf eines abzielen: Ihre vertraulichen Informationen wie Bankdaten oder Passwörter abzugreifen.

Inhalte

Haben Sie eine E-Mail erhalten, die so aussieht, als käme sie von united-domains, und sind unsicher über ihre Echtheit? Wir helfen Ihnen, echte E-Mails von Phishing-Mails zu unterscheiden.

Sind Sie sich unsicher, welche Domain in einer URL steckt und ob das Linkziel vertrauenswürdig ist? Probieren Sie unseren Phishing-Checker aus – er zeigt Ihnen die Domain klar und deutlich an. Ist die URL von united-domains, steht im Ergebnis des Phshing-Checks die Domain »united-domains.de«.

Definition: Woher kommt der Begriff Phishing?

Das Wort »Phishing« ist ein Kunstwort, das aus den Begriffen »password« und »fishing« entstanden ist. Es bedeutet also sinngemäß »nach Passwörtern angeln oder fischen. « Ziel ist es, sich über massenhaft versandte E-Mails und/oder gefälschte Webseiten, Whatsapp-Nachrichten oder SMS als vertrauenswürdiger Partner in der Online-Kommunikation auszugeben.

Phishing: Diese Arten sollten Sie kennen

Als typisches Beispiel für Phishing gelten gefälschte E-Mails von Finanzdienstleistern wie Banken und Versicherungen, die zur Dringlichkeit mahnen. Aber auch Online-Shops oder Handelsplattformen wie Amazon und eBay sind betroffen. Früher waren diese E-Mails häufig sprachlich schlicht gehalten und mit Rechtschreibfehlern gespickt. Inzwischen sind sie aber deutlich raffinierter formuliert. Als Absender der Phishing Mails werden zum Beispiel die Support-Abteilungen eines Unternehmens genannt, die das (Kunden-)Konto zur Kontrolle ausgewählt haben, um Kontoinformationen zu prüfen.

  • Täuschend echte Websites: Die Phishing-Seite kann so gestaltet sein, dass sie genau wie eine legitime Website aussieht – beispielsweise die Login-Seite einer Bank, eines E-Mail-Dienstes oder eines sozialen Netzwerks. Das Ziel ist es, den Nutzer dazu zu bringen, seine Anmeldedaten oder andere persönliche Informationen einzugeben.
  • Umleitung: Nachdem der Nutzer seine Daten eingegeben hat, kann er zu der echten Website weitergeleitet werden, um nicht sofort Verdacht zu schöpfen. In einigen Fällen sieht es dann so aus, als ob er sich „ausgeloggt“ hätte oder ein technisches Problem aufgetreten wäre, um ihn nicht misstrauisch zu machen.
  • Malware-Download: Auch durch das Anklicken von Links können Sie schnell Opfer einer Phishing-Methode werden. Einige Phishing-Seiten versuchen auch, Malware, Spyware oder Viren auf den Computer oder das Gerät des Nutzers herunterzuladen und zu installieren. Dies kann dazu führen, dass der Angreifer Zugriff auf den Computer erhält oder dass der Computer Teil eines Botnets wird. Häufig führen die Links zu Webseiten, die auf den ersten Blick vertrauenswürdig erscheinen. Der Domain-Name, das bekannte Corporate Design sowie das Logo und die Schriftarten wirken dabei täuschend echt.
  • Datenspeicherung für zukünftige Angriffe: Selbst wenn die Angreifer die Daten nicht sofort ausnutzen, können sie diese für zukünftige Angriffe speichern, sie an Dritte verkaufen oder sie verwenden, um weiterführende Angriffe zu starten, z.B. gezielte Angriffe oder Identitätsdiebstahl.
Spear-Phishing: Wenn Phishing persönlich wird

Spear-Phishing ist eine gezielte Form des Phishing, bei der sich Cyberkriminelle auf ein bestimmtes Individuum, eine Organisation oder ein Unternehmen konzentrieren. Im Gegensatz zu breit angelegten Phishing-Kampagnen, die eine große Anzahl von Menschen ansprechen, verwenden Angreifer beim Spear-Phishing spezifische Informationen über ihr Ziel, um die Glaubwürdigkeit ihrer Täuschungsversuche zu erhöhen.

Dies kann beinhalten, dass sie sich als vertrauenswürdige Kollegen, Vorgesetzte oder andere bekannte Kontakte ausgeben. Das Hauptziel ist es, den Empfänger dazu zu bringen, auf einen schädlichen Link zu klicken, eine infizierte Datei herunterzuladen oder sensible Informationen preiszugeben. Aufgrund des gezielten und oft hochgradig personalisierten Ansatzes sind Spear-Phishing-Angriffe oft schwieriger zu erkennen und können erheblichen Schaden anrichten.

Risiken für Ihre Marke rechtzeitig erkennen

Sie wollen den Internetauftritt Ihres Unternehmens vor Markenmissbrauch durch Dritte schützen? Machen Sie den ersten Schritt: Unser Automated Domain Monitoring informiert Sie über bestehende und neue Domainregistrierungen mit dem Begriff Ihrer Marke sowie relevanten Abweichungen. So können Sie schnellstmöglich gegen mögliche Markenrechtsverletzung vorgehen.

Zum Monitoring

Warum ist Phishing so gefährlich?

Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden die volkswirtschaftlichen Schäden von Cyber-Delikten, die mit gezielten Phishing-Attacken beginnen, allein in Deutschland pro Jahr mindestens auf einen zweistelligen Millionenbetrag geschätzt. Beinahe täglich beobachtet das Amt neue Varianten mit fantasievoll erfundenen Geschichten. Die Anzahl der Marken und Unternehmen, die von Phishing betroffen sind, steigt nach Recherchen von Statista deshalb seit 2018 drastisch an: Waren es 2018 insgesamt 293 betroffene Marken, waren es 2021 schon 624, also mehr als das Doppelte. Allein im Online-Banking geht die Zahl der polizeilich registrierten Fälle in die Zehntausende.

Phishing ist für Cyberkriminelle so attraktiv, weil der Aufwand gering, aber die mögliche Beute hoch ist. Zum Beispiel dann, wenn es gelingt, mit den gephishten Daten ein Konto abzuräumen. Inzwischen gibt es sogar vorgefertigte Bausätze („Phishing-Kits“) zum täuschend echten Nachbau von Unternehmensangeboten bis hin zu „Phishing-as-a-Service“-Angeboten, die lediglich übernommen und angepasst werden müssen, ohne dass der Angreifer selbst über vertiefte technische Kenntnisse verfügen muss. In Kombination mit einer rasch registrierten, ebenfalls täuschend echten Domain ist die Falle so leicht gestellt.

Für Unternehmen: Phishing-Seiten entfernen lassen

  • Website Takedown: Die Aufforderung an den Provider oder eine Suchmaschine, den Zugang zu problematischen Website-Inhalten und/oder Mail-Servern zu entfernen.
  • Cease & Desist (Unterlassungserklärungen): Ziel ist es, eine freiwillige Abschaltung zu erwirken.
  • Alternative Streitbeilegungsverfahren für Domains: Diese standardisierten Verfahren bestehen im Wesentlichen aus UDRP (Uniform Domain-Name Dispute-Resolution Policy) und URS (Uniform Rapid Suspension System). So kann der Beschwerdeführer im Erfolgsfall eine Domain auf sich übertragen oder diese suspendieren lassen.

Unser Partner MSA verfügt über umfangreiche Erfahrung in all diesen Maßnahmen. Die Experten von MSA stehen unseren Unternehmenskunden zur Seite und sorgen dafür, dass die Durchführung der Maßnahmen möglichst einfach und erfolgreich abläuft.

Jetzt informieren

Phishing betrifft fast alle Wirtschaftszweige

Es gibt praktisch keinen Wirtschaftsbereich, den es nicht bereits erwischt hat oder den es nicht erwischen kann. Viele Fälle werden nicht öffentlich gemacht, sei es aus Scham oder weil man erheblichen Schaden für die Reputation des eigenen Unternehmens oder die eigene Marke befürchtet.

Am bekanntesten sind wohl die Phishing-Attacken auf Banken wie die Postbank und die Sparkassen. Zahlreiche E-Mails, die angeblich von diesen Banken stammen, forderten Bankkunden auf, eine vermeintlich sichere Aktivierung ihres Kontos und ihrer Kreditkarte durchzuführen, um sie abzusichern. Die Betrüger wollen so über einen Link Zugangsdaten zum Online-Banking, Kreditkartendaten und TANs erbeuten.

Im Jahr 2016 wurde ein österreichischer Luftfahrtzulieferer angegriffen. Eine E-Mail, die vermeintlich vom Vorstandschef stammte, wies einen Mitarbeiter aus der Finanzbuchhaltung an, für eine angeblich geplante Firmenübernahme im Ausland 50 Millionen Euro zu überweisen. Diese spezielle Betrugsmasche ist mittlerweile weltweit verbreitet und unter dem Namen »CEO Fraud« bekannt, zu Deutsch: »Geschäftsführer-Betrug«.

Was ist Smishing?

Eine weitere Methode des Phishings ist »Smishing«, das sich aus Phishing und SMS zusammensetzt. Hierbei wird versucht, über Textnachrichten den Kunden auf eine gefälschte Website zu locken. Die SMS enthält einen Link oder eine Telefonnummer, die angerufen werden soll. So soll das eigene Konto angeblich »geprüft«, »aktualisiert« oder »reaktiviert« werden. Der Link dieser Phishing-SMS führt den Kunden auf die gefälschte Webseite oder mittels Telefon zu einem Betrüger, der sich als Angestellter eines tatsächlich existierenden Unternehmens ausgibt. Die Betrugsmasche ist oft erfolgreich, denn viele Kunden öffnen eher fremde SMS als E-Mails, weshalb Smishing oft zum Erfolg führt.

Die homographische Attacke

Die Einführung internationalisierter Domain-Namen (IDNs) und die damit verbundene Möglichkeit, Domains auch in nicht-lateinischen Zeichen registrieren zu können, zählt zu den wesentlichen Evolutionsstufen des Domain Name Systems. So wird der Kreis der Nutzer, die Domains in ihrer Muttersprache registrieren können, wesentlich erweitert. Schon kurz nach dem Jahrtausendwechsel warnte das US-Unternehmen AT&T jedoch auch vor neuen Gefahren. Bekannt geworden ist das Risiko unter der Bezeichnung »homographische Attacke«.

Was versteht man unter einer homographischen Attacke?

In dieser Phishing-Methode werden Zeichen missbraucht, die auf den ersten Blick identisch erscheinen, wie etwa die Zahl »0« und der Buchstabe »O«. Trotz ihrer visuellen Ähnlichkeit in Domains wie postbank.com können sie auf unterschiedliche Webangebote verweisen.

Kommen internationalisierte Zeichensätze ins Spiel und wird beispielsweise in einem Domain-Namen das »m« des lateinischen Zeichensatzes durch jenen des Griechischen ersetzt, wird ein homographischer Angriff noch besser verschleiert.

Auf diese Weise nutzen Kriminelle »Look-alike«-Domains zum Beispiel, um Daten zu phishen. Das musste auch der Lebensmittelkonzern Lidl erfahren, der im Juli 2018 erfolgreich in einem ADR-Verfahren gegen die Domain lìdl.eu (xn--ldl-nma.eu) vorging (WIPO Case No. DEU2018-0011).

Abwehrstrategien gegen DNS-Abuse

Bereits im März 2005 zeigte sich die Internet-Verwaltung ICANN besorgt über den Missbrauch des Domain Name Systems (»DNS abuse«) durch Domain-Phishing, Domain-Spoofing oder homographische Attacken. Über die Jahre gab es verschiedenste Maßnahmen, um einen solchen Missbrauch auszuschließen. So ist es zum Beispiel untersagt, Zeichen aus verschiedenen Zeichensätzen zu verwenden. Allerdings sind nach wie vor Lücken geblieben, die Cyberkriminelle nutzen.

Aus diesem Grund sind viele Unternehmen und Organisationen, aber auch Privatpersonen dazu übergegangen, potenziell gefährliche Domain-Namen vorbeugend oder defensiv zu registrieren, ohne sie selbst aktiv zu nutzen. Damit sind sie dem Markt entzogen, können also von Cyberkriminellen nicht registriert werden. Zugleich eröffnet man sich die Möglichkeit, diese Domains zu einem späteren, beliebigen Zeitpunkt zu reaktivieren und für neue Angebote zu nutzen.

Inhaber von Kennzeichenrechten nehmen defensive Domain-Registrationen zumeist vor, um ihre Rechte vor Verletzungen zum Beispiel durch Domain-Grabber zu schützen; überdies sind mit einer »defensiven« Domain-Registrierung in der Regel weit geringere Kosten verbunden, als sie im Streitfall vor Gerichten anfallen würden.

Eine besonders wichtige Maßnahme, um Phishing vorzubeugen, ist die Schulung von Mitarbeitern. Diese warnt idealerweise vor der Betrugsmasche und gibt eine grundlegende Checkliste für verdächtige Nachrichten an die Hand:

  • Aufmerksam sein: Passt der angezeigte Absender in der E-Mail bzw. Nachricht zur verwendeten Absenderadresse?
  • Prüfen Sie die Links: Handelt es sich um einen Textlink, doch die hinterlegte URL deutet auf ein völlig anderes Ziel hin? Oder wurde die eingefügte URL mit einem Dienst wie bit.ly verkürzt?
  • Hinterfragen: Werden Sie als Empfänger aufgefordert, vertrauliche Daten preiszugeben? Braucht der Absender diese Daten wirklich?
  • Genau hinsehen: Werden Sie mit Formulierungen wie »umgehend« oder »letzte Warnung« unter Druck gesetzt, zu handeln?

Häufig gestellte Fragen zum Phishing

Phishing – wie kommen Betrüger an die E-Mail-Adressen?

Wer zu freizügig im Internet seine Daten preisgibt, gerät in Gefahr, Opfer einer Phishing-Attacke zu werden. Dies geschieht leicht, wenn Sie:

  • an Gewinnspielen teilnehmen
  • sich auf zwielichtigen Seiten registrieren
  • jeder Aufforderung zur Datenangabe nachkommen

Was soll ich tun, wenn ich Daten in einer Phishing-E-Mail eingegeben habe?

  • Haben Sie sensible Daten zu Konten oder Bankkarten weitergegeben, kontaktieren Sie Ihr Kreditinstitut und lassen Sie diese umgehend sperren. Kontrollieren Sie anschließend besonders gründlich und regelmäßig Ihre Kontoauszüge.
  • Haben Sie Ihre Adresse und Telefonnummer weitergegeben, sollten Sie besondere Vorsicht bei eintreffender Post oder Anrufen walten lassen.
  • Ändern Sie auch die Passwörter Ihrer betroffenen E-Mail-Accounts und sonstiger wichtiger Accounts.
  • Kontaktieren Sie die Polizei.
Lesen Sie als Nächstes

Domain-Sicherheit: Sind Ihre Domains bestmöglich geschützt?

Unternehmen müssen sich Jahr für Jahr gegen eine steigende Anzahl von Cyberangriffen behaupten. Entsprechend wichtig ist das Thema Cyber Security. ...

Achtung, Betrugsversuch per Mail! LKA warnt vor gefälschten Domain-Rechnungen

Mit Fake-Rechnungen versuchen Kriminelle aktuell, Domaininhaber aufs Glatteis zu führen. Woran Sie den Betrugsversuch erkennen, erfahren Sie hier.
Sicherheit

Phishing-Mails: Der Marshmallow-Test für Erwachsene

In unserem Blogbeitrag zum Phishing zeigen wir, wie Sie Phishing-Mails erkennen und erklären, wie Links manipuliert werden, damit sie wie ...

Betrug durch geklonte Websites

Sogenannte geklonte Websites kopieren Ihre Webinhalte und Design eins zu eins und fangen wichtige Kunden ab. Deshalb ist es wichtig, ...
Markenverlängerung

Betrug bei der Markenverlängerung

Markeninhaber sind häufig Ziel von dubiosen Anbietern. Sie erhalten per Brief das Angebot ihre Marke verlängern zu lassen. Wir zeigen, ...