- Startseite
- » Konto & Kredit
- » Service
- » Phishing
Der Begriff „Phishing“ bezeichnet eine Form des Datendiebstahls im Internet. Dabei versuchen Cyber-Kriminelle („Phisher“) meist über gefälschte Webseiten, sensible Daten von Bank- oder Kreditkartenkunden sowie Kunden von Zahlungsdienstleistern auszuspionieren. Dafür nutzen die Betrüger sogenannte Phishing-Mails – also E-Mails oder Instant-Messages, die mithilfe von E-Mail-Datenbanken oder zufällig generierten Adressen an eine große Zahl von Adressaten geschickt werden.
Einige der Phishing-Mails lassen sich leicht als Betrugsversuche identifizieren. Sie sind in schlechtem Deutsch verfasst und ergeben inhaltlich kaum einen Sinn. Leider machen es Internet-Betrüger ihren potenziellen Opfern immer schwerer, echte von gefälschten E-Mails zu unterscheiden. So erscheinen mittlerweile viele Phishing-Mails auf den ersten Blick äußerst vertrauenswürdig. Oftmals ist beispielsweise der Name der Hausbank als Absender angegeben. Auch Logo, Signatur und Betreff wirken seriös.
In den E-Mails versuchen die Absender, unter einem falschen Vorwand an sensible Kundendaten zu gelangen. Dies kann beispielsweise die SEPA-Umstellung, ein angeblich gehacktes Konto oder eine abgelaufene TAN-Liste sein. Häufig schieben die Cyber-Kriminellen auch Verbesserungen der Sicherheitsmechanismen beim Online-Banking oder eine Zugangsdatenbestätigung als Grund für ihre Anfrage vor.
Vor diesem Hintergrund werden die Adressaten aufgefordert, sensible Daten wie Kontonummer, Passwort, PIN oder TANs preiszugeben. Gleichzeitig drohen die Kriminellen mit Konsequenzen wie beispielsweise einer Konto- oder Kreditkartensperrung, wenn die Dateneingabe nicht unverzüglich erfolgt. Um der Aufforderung nachzukommen, wird der Kontoinhaber auf eine Verknüpfung wie „Hier klicken“ oder eine URL-, Bild- oder Textverknüpfung verwiesen. Diese führt ihn in der Regel zu einer gefälschten Webseite. Auch hier gehen die Betrüger zunehmend raffinierter vor: In einigen Fällen unterscheiden sich die gefälschten Seiten kaum noch vom Original. So wird beispielsweise die Homepage der Hausbank 1:1 kopiert. Einige Betrüger machen sich sogar die Mühe, die URL zu fälschen.
Im Normalfall loggt sich der Kunde auf einer sicheren Online-Banking-Seite ein. Nimmt er eine Überweisung oder eine Lastschrift vor, werden die Daten verschlüsselt an die Bank übertragen.
Im Falle eines Phishing-Angriffs glaubt der Kunde nur, seine Daten an die Bank zu übertragen. Stattdessen werden sie jedoch an den Phisher übermittelt, der mit den Informationen ungehemmt finanziellen Schaden anrichten kann.
Häufig schicken Phisher auch Dateianhänge mit ihren E-Mails mit. Dabei handelt es sich meist um Online-Formulare, in die verschiedene Daten direkt eingegeben werden sollen. Sobald der Kunde dieser Aufforderung nachkommt, können die Cyber-Kriminellen auf die Informationen zugreifen und sie für ihre eigenen Zwecke missbrauchen. In der Regel werden die Phishing-Seiten nur wenige Tage oder auch nur einige Stunden nach dem Angriff wieder vom Netz genommen. Aus diesem Grund ist es im Nachhinein äußerst schwer, die Betrüger für die entstandenen finanziellen Schäden zur Rechenschaft zu ziehen.
Gegebenenfalls muss der Kunde sogar selbst haften: Zwar gilt seit Herbst 2009, dass Bankkunden nur im Fall von grober Fahrlässigkeit oder Vorsatz auf ihrem Schaden sitzenbleiben. Verbraucher sind jedoch verpflichtet, beim Online-Banking ein Mindestmaß an Sorgfalt einzuhalten, um Schäden zu verhindern. Gibt der Kunde mehrere TAN-Nummern auf einer gefälschten Webseite preis, könnte die Bank dies als fahrlässig werten. Meist entfällt für Bankkunden jedoch die Haftungspflicht, sobald sie ihren Zugang zum Online-Banking gesperrt haben. Auch vor der Sperranzeige ist die Haftung bei vielen Instituten auf rund 150 Euro begrenzt.
Wer den Verdacht hat, Opfer eines Phishing-Angriffs geworden zu sein, sollte schnellstmöglich versuchen den Schaden zu begrenzen. Erfolgt nach der Eingabe von Daten beispielsweise eine Fehlermeldung, sollte sich der Kontoinhaber umgehend aus seinem Konto ausloggen. Durch das Anklicken eines Links oder dem Öffnen eines Dateianhangs wurden möglicherweise Viren oder eine Spionagesoftware (Trojaner) auf dem Computer installiert. Aus diesem Grund ist es wichtig, das Anti-Viren-Programm zu aktualisieren und den Computer auf Schadsoftware zu überprüfen.
Während der Überprüfung sollte die Netzwerkverbindung zur Sicherheit getrennt werden. Wird Schadsoftware gefunden, sollte ein Fachmann kontaktiert werden – möglicherweise ist eine Neuformatierung des Computers erforderlich. Achtung! Nicht immer erkennt das Anti-Viren-Programm zuverlässig jede Schadsoftware.
Zur Sicherheit sollten die Zugangsdaten des betroffenen Dienstes über einen anderen Computer geändert werden. Ist beispielsweise eine Anmeldung beim Onlinebanking nicht mehr möglich, sollte unverzüglich die Bank kontaktiert werden. Diese kann das Onlinebanking-Konto sperren, sodass auch den Phishern der Zugriff verwehrt bleibt. Der Kontoinhaber sollte in den nächsten Tagen und Wochen alle Kontoverläufe genau beobachten. Unregelmäßigkeiten müssen umgehend der Bank und tatsächlich entstandener Schaden der Polizei gemeldet werden.
Generell versenden Banken nur in seltenen Fällen E-Mails. Hin- und wieder kommt es jedoch vor, dass die Institute ihre Kunden auf diesem Weg über anstehende Änderungen informieren. Treffen einer oder mehrere der folgenden Punkte zu, handelt es sich jedoch mit hoher Wahrscheinlichkeit um eine Phishing-Mail.
Die Texte werden oftmals von Übersetzungsmaschinen aus einer anderen Sprache generiert. Typische Fehler in Phishing-Mails sind beispielsweise Zeichensatzfehler, wie etwa kyrillische Buchstaben, oder auch fehlende Umlaute. In diesem Fall sind Phishing-Versuche besonders leicht zu durchschauen, denn die Banken versenden selbstverständlich ausschließlich grammatikalisch und orthografisch korrekte E-Mails.
Bei E-Mails in englischer oder französischer Sprache handelt es sich mit hoher Wahrscheinlichkeit um Phishing-Versuche. Bankkunden aus Deutschland erhalten E-Mails von ihren Instituten ausschließlich in deutscher Sprache. Selbst wenn es sich um eine ausländische Direktbank handelt, sollte zur Sicherheit die Bank kontaktiert werden.
Banken sprechen ihre Kunden grundsätzlich mit Namen und nicht mit „Sehr geehrter Kunde“ oder „Sehr geehrter Nutzer“ an. Eine persönliche Anrede ist jedoch kein verlässlicher Indikator für die Echtheit einer E-Mail, denn besonders raffinierte Online-Kriminelle haben die Namen ihrer potenziellen Opfer bereits im Vorfeld herausgefunden.
In Phishing-Mails werden Bankkunden meist unter Druck gesetzt. So drohen die Absender häufig mit Konsequenzen wie beispielsweise Konto- oder Kreditkartensperrungen, wenn der Kunde nicht innerhalb einer kurzen Frist einen Link bestätigt oder sensible Daten preisgibt.
In Phishing-Mails werden Bankkunden häufig aufgefordert, persönliche Daten wie Passwort, PIN oder TAN einzugeben. In solchen Fällen können Verbraucher von einem Betrugsversuch ausgehen, denn Banken würden ihre Kunden niemals per E-Mail oder Telefon bitten, sensible Informationen herauszugeben.
In Phishing-Mails finden sich häufig Links oder Dateianhänge (wie beispielsweise Formulare), über die eine Eingabe gemacht werden muss. E-Mails von Banken enthalten jedoch keinesfalls Dateianhänge und nur in Ausnahmefällen einen Link. Im Zweifelsfall sollten Bankkunden die Internetseite selbst aufrufen, indem sie diese von Hand in das Adressfeld des Browsers eintippen.
Auch Absenderangaben von E-Mails können gefälscht werden. Hundertprozentig fälschungssicher ist nur die IP-Adresse, die im Mail-Header angegeben ist. Über diese Ziffernfolge lässt sich der tatsächliche Absender der E-Mail eindeutig identifizieren.