Phishing-Betrugsmails besser erkennen

08.10.2019 | 02:10 Uhr

Sie geben sich als Bank oder Onlinehändler aus und versuchen mit gefälschten Mails, Passwörter und Zugangsdaten zu angeln. "Phishing" ist seit Jahren ein Problem, und die Betrüger werden immer besser.

Jeder vierte Deutsche wurde bereits Opfer von Kriminellen im Internet. Das zeigen aktuelle Zahlen des Bundesamts für Sicherheit in der Informationstechnik (BSI). In jedem dritten Fall ging es um Phishing, also das Erbeuten von privaten Passwörtern oder Banking-Daten über E-Mails oder Nachrichten in sozialen Netzwerken. Die Betrugsmasche ist sehr erfolgreich, obwohl BSI, Verbraucherschützer und Sicherheitsexperten schon seit vielen Jahren regelmäßig davor warnen.

Phishing funktioniert auch, weil viele Internetnutzer immer noch nichts davon wissen. Nach aktuellen Studien sind es 45 Prozent der Nutzer.

Jörg Geier vom Technikmagazin CHIP

Zudem nutzten die Kriminellen aus, dass Onlinenutzer inzwischen täglich sehr viele Nachrichten bekommen: von der Bank, von vielen Onlineshops, von Freunden, von den Kollegen, der Familie – und gleichzeitig über viele verschiedene Wege wie E-Mails, Messengerdienste, soziale Netzwerke. "Da klickt man dann vielleicht einen Tick schneller auf irgendwelche Links. Und viele Nachrichten bekommen wir übers Smartphone. Das ist nicht so übersichtlich wie der Computerbildschirm", sagt der CHIP-Experte.

Betrugsmasche immer wieder angepasst

Die Betrüger sind auch deshalb so erfolgreich, weil sie ihre Phishing-Attacken über die Jahre stark verfeinert haben. Bei frühen Versuchen konnten Computernutzer noch stutzig werden, weil die Phishing-Mail selbst vor Fehlern strotzte. Oder weil sie auf eine Banking-Seite oder einen Online-Shop weiterleitete, die etwas anders aussah als gewohnt. "Wir verzeichnen da eine deutliche Steigerung der Qualität der Angriffe. Häufiger als früher ist die Anrede korrekt, ebenso Telefonnummer und Adresse", schreibt Josephine Steffen vom BSI auf MDR-Anfrage.

Wenn man auf eine gefälschte Banking-Seite weitergeleitet wird, ist das inzwischen oft auch eine exakte Kopie der Bankseite. Die hat dann auch das Schloss-Symbol, auf das man im Browser vielleicht achtet.

t Jörg Geier vom Technikmagazin CHIP

Misstrauen mit Psychotricks ausschalten

Die Betrüger haben zudem Wege gefunden, Computernutzer leichter zu überrumpeln.

Da kommt eine vermeintliche Mail vom Chef oder von einem sehr guten Freund und man vermutet nicht gleich Betrug", sagt der Experte. Phishing-Betrüger nutzen aus, dass inzwischen viele seriöse Online-Shops mit Feedback-Mails arbeiten und sich Nutzer daran gewöhnt haben. Da kommt dann eine E-Mail mit der Frage: Wie fanden Sie das Angebot und hier kriegen Sie noch um 5-Prozent-Gutschein, wenn sie sich drei Minuten Zeit nehmen und so weiter.

Jörg Geier vom Technikmagazin CHIP

Immer häufiger handelt es sich dabei um Phishing-Nachrichten. Deren Absender setzt darauf, dass wenigstens ein paar Empfänger vorher in einem bestimmten Onlineshop einkaufen waren und daher von einer normalen Feedback-Bitte ausgehen. Dafür werden die Mails an sehr viele Adressen verschickt. Die E-Mail-Adressen wurden beispielsweise bei einem Datendiebstahl erbeutet. Solche "Leaks" gab es in den letzten Jahren auch bei bekannten Anbietern wie eBay oder Dropbox oder beim Marriot-Hotel.

Druck machen, Daten stehlen

In einem Punkt ähneln sich Phishing-Nachrichten. Sie vermitteln dem Empfänger, der müsse dringend etwas erledigen: Er soll sich etwa über einen Link in der Mail bei seiner Bank einloggen, weil das Konto angeblich leergeräumt wurde. Oder er soll einen Anhang der Mail öffnen, um ein Sicherheitsprogramm auf den angeblich infizierten Rechner zu laden. Das ist dann vielleicht ein Trojaner, der Zugangsdaten ausliest.

Die Betrüger haben immer ein Ziel: So viele Daten wie möglich erbeuten. Das können die Zugangsdaten für einen Bezahldienst sein, Kreditkartendaten aber auch das Passwort für Netflix.

Jörg Geier vom Technikmagazin CHIP
Die Kreditkartennummer einer Visa-Kreditkarte.
Bildrechte: dpa

Viele Menschen würden ihr Netflix-Profil mit dem gleichen Passwort schützen wie den Zugang zur Bank, zum Mail-Programm oder zum Bezahldienst.

Am besten immer so wie gewohnt einloggen

Weil viele "Phisher" inzwischen sehr professionell arbeiten, können Nutzer gefälschte Mails selbst auf den zweiten Blick nur schwer erkennen. Das BSI rät daher, den Quelltext der Nachricht im E-Mail-Programm anzeigen zu lassen. Darüber könnten Nutzer den Weg der Nachricht verfolgen. Aus Sicht von Jörg Geiger ist das aber eine sehr aufwendige Methode, die Computerlaien vielleicht auch überfordert.

Ich würde mir eher eine generelle Strategie für E-Mails aneignen, die angeblich dringend sind oder mir was androhen. Also immer cool bleiben und erstmal aus der Mail selbst rausgehen.

Jörg Geier vom Technikmagazin CHIP

Danach sollte man sich bei der Bank, beim Bezahldienst, beim Streaming-Anbieter od"er Onlineshop genauso einloggen wie gewohnt: Über die App der Bank oder des Händlers oder über deren Webseite, die man unter Favoriten gespeichert hat. "Wichtig ist auch, dass ich verschiedene Dienste oder Shops auch verschiedene Passwörter habe. Wenn ich mir die nicht merken kann, gibt’s dafür Passwortmanager", sagt Jörg Geiger.  

Elektronische Helfer filtern nicht alle Versuche heraus

Symbolbild - Phishing Mail
Bildrechte: IMAGO

E-Mail-Dienste und die im Betriebssystem integrierten Virenscanner filtern inzwischen schon einen großen Teil der Phishing-Nachrichten heraus. Zusätzliches Geld für einen Virenscanner mit Phishing-Schutz von einem dritten Anbieter müssten Nutzer also nicht ausgeben. Trotzdem kommen immer wieder Mails der Betrüger durch. Zumindest beim Onlinebanking und beim Bezahlen im Onlineshop könnte aber die Zwei-Faktor-Authentifizierung Verbraucher besser schützen. Dabei wird zum Beispiel beim Onlinebanking nicht nur das Passwort des Nutzers überprüft sondern auch, ob der sich von seinem Handy aus einloggt. Beim Zahlen mit Kreditkarte im Internet bekommen Onlineshopper zusätzlich noch eine Nachricht auf eine App auf ihrem Handy und müsse diese bestätigen. Erst dann wird die Zahlung freigegeben. Das Ganze ist seit Mitte September Pflicht. "Selbst wenn jemand ein Passwort erbeutet, ist das erstmal wertlos – bis der auch den zweiten Faktor fürs Login erbeutet hat", schreibt Josefine Steffen vom BSI.

Fazit

Phishing-Attacken werden immer professioneller und ausgefeilter. Virenschutzprogramme oder E-Mail-Dienste können die Betrugs-Nachrichten nicht zu hundert Prozent herausfiltern. Nutzer sollten misstrauisch bleiben und nie Links in E-Mails oder anderen Nachrichten anklicken. Selbst wenn die Betrüger mit Druck und Drohungen arbeiten: Wer sich immer nur auf dem gewohnten Weg bei Bank oder Onlineshop einloggt und auf unterschiedliche Passwörter setzt, ist vergleichsweise sicher.

Dieses Thema im Programm MDR JUMP bei der Arbeit | 08. Oktober 2019 | 10:45 Uhr

Zuletzt aktualisiert: 08. Oktober 2019, 02:10 Uhr

Aktuelle Themen von MDR JUMP