Warum Phishing funktioniert und wie man sich schützen kann

Bedrohungen Tipps

Phishing-Angriffe sind bei weitem die häufigsten Cyberverbrechen des 21. Jahrhunderts. In den Medien erscheinen laufend Firmen und Organisationen, deren Kunden zu Opfern von Phishing-Angriffen wurden. Täglich gibt es mehr und immer besser ausgearbeitete Phishing-Betrügereien. Sind Spam-Mails nur eine nervende Ablenkung, so führt Phishing regelmäßig zu finanziellen Verlusten. Doch wenn die Gefahr so real ist, warum lernen die Menschen dann nicht, sich davor zu schützen?

1

Warum Phishing funktioniert

Es gibt zahlreiche Möglichkeiten, das Vertrauen der Anwender auszunutzen

Phishing funktioniert aus mehreren Gründen. Das beginnt bei der Fähigkeit der Betrüger, die Opfer auszutricksen, und sie mit ihren Tricks in die Falle zu locken. Zum Beispiel mit einem einladenden Angebot kostenloser Dinge. Man muss nicht extra erwähnen, dass das eine recht effiziente Möglichkeit ist, denn kaum jemand schlägt etwas Kostenloses aus.

Die Betrüger können aber auch den Rummel um bestimmte Themen oder Veranstaltungen ausnutzen. Ein gutes Beispiel dafür sind die Betrügereien rund um die Fußballweltmeisterschaft. In diesem Sommer imitierte zum Beispiel eine Phishing-Seite die offizielle FIFA-Webseite, und forderte zur Unterzeichnung einer Petition für Luis Albert Suarez, den urugayischen Stürmer, auf. Dafür mussten die Unterzeichner ein Online-Formular ausfüllen, das Name, Land, Handynummer und E-Mail-Adresse abfragte.

Mit etwas Kostenlosem kann man am besten Opfer finden.

Eine andere Betrugsseite bot eine angebliche Möglichkeit, E-Tickets für die Weltmeisterschaft zu kaufen, doch wenn man auf den Link klickte, landete ein Trojaner auf dem Computer, der vertrauliche persönliche Daten und Finanzinformationen sammelte

Um all jene, die als Kind schon gelernt haben, nicht allen Versprechungen von Fremden zu vertrauen, zu erreichen, verwenden Phisher eine andere, effiziente Taktik mit ziemlicher Reichweite, die von den Profilen von Freunden des Opfers bei Sozialen Netzwerken kommt.

Laut Kaspersky Lab kamen über 35 Prozent der Anti-Phishing-Alarme im Jahr 2013 durch Phishing-Seiten zustande, die Seiten von Sozialen Netzwerken fälschten. Von den über 600 Millionen Versuchen der Anwender, eine Phishing-Seite aufzurufen (die wir natürlich blockierten), hatten 22 Prozent mit gefälschten Facebook-Seiten zu tun.

Eine andere sehr fruchtbare Methode, Anwender dazu zu bringen, auf Phishing-Links zu klicken, sind das Vortäuschen von Dringlichkeit und Erzeugen von Panik. So drohen manche Betrüger dem Opfer damit, sein Nutzerprofil oder sogar sein Bankkonto zu sperren. Um den Angriff noch zu verstärken nutzen manche Verbrecher das so genannte „Vishing“ („Voice Phishing“, bei dem das Opfer angerufen wird). Nicht jeder ist in so einer „kritischen“ Situation so gefasst und lehnt die Anfrage eines ganz besonders bestimmt wirkenden „Sicherheitsmitarbeiters“ ab und gibt ihm nicht seine Kreditkartendaten, um der angedrohten Sperrung zu entgehen.

Phishing entwickelt sich laufend weiter

Einer der Hauptgründe dafür, dass Phishing so erfolgreich ist, ist die laufende technische Weiterentwicklung der Phishing-Instrumente, die immer ausgefeilter und anspruchsvoller werden.

Gefälschte Webseiten können visuell kaum von legitimen Seiten unterschieden werden; zudem haben viele davon recht überzeugende Domain-Namen und nutzen teilweise sogar eine sichere HTTPS-Verbindung mit echten Zertifikaten. Mobiles Phishing wird auch immer beliebter: Durch die technischen Eigenheiten von Smartphones und Tablets (etwa der kleinere Bildschirm), ist es hier noch schwerer, eine Phishing-Seite von einer echten zu unterscheiden.

Man sollte im Blick behalten, dass ein Cyberkrimineller für die Durchführung einer Phishing-Attacke nicht unbedingt in den Computer einbrechen muss. Das ist der Grund, warum keine existierende Plattform es schafft, Sie komplett vor Phishing zu schützen. Phishing ist eine wirklich universelle Gefahr.

Phishing ist für Cyberkriminelle extrem gewinnbringend

Phishing wird noch lange sehr beliebt bei Cyberkriminellen sein, da es höchst profitabel für die Gangster ist. Zudem sind Phishing-Tools ganz einfach zu bekommen und haben eine enorme Reichweite, dank der beliebten Sozialen Netzwerke (600 Millionen Aufrufe, erinnern Sie sich?). Auch muss ein Krimineller keinen großen Aufwand betreiben, da der Großteil der Phishing-Aktionen automatisiert abläuft. Damit kann ein Cyberkrimineller einen ganz schönen Gehaltsscheck bekommen. Da Phisher in den meisten Fällen auf Finanzdaten aus sind, brauchen sie auch keine ausgearbeiteten Maschen, um ihre Beute zu Geld zu machen.

Zudem wird Phishing oft zusammen mit anderen kriminellen Methoden eingesetzt, so dass für die Gauner recht wirkungsvolle Synergien entstehen. Sie bekommen zum Beispiel eine Phishing-Mail per Spam, und sobald der Kriminelle in Besitz all Ihrer E-Mail-Kontakte ist, wird die Phishing-Mail auch an diese weitergeleitet. Wenn Sie dadurch eine umfassende Datenbank aktiver Kontakte aufbauen, können Hacker massenweise Schadprogramme versenden und das damit aufgebaute Botnetz für ihre eigenen Zwecke einsetzen.

Phishing wird oft zusammen mit anderen kriminellen Methoden eingesetzt so dass für die Gauner recht wirkungsvolle Synergien entstehen.
Seien Sie also nicht so sicher, dass Betrüger immer nur auf Ihre Kreditkarte und den Zugang zum Online-Banking aus sind. Viele Phisher freuen sich, wenn Sie die Zugangsdaten zu Ihrem E-Mail-Dienst oder den von Ihnen genutzten Sozialen Netzwerken bekommen.

Wie kann man sich schützen?

Welche Tipps gibt es für den Schutz vor Phishing? Der wichtigste ist, den gesunden Menschenverstand zu benutzen. Bleiben Sie ruhig und fallen Sie nicht auf die Provokationen der Phisher herein, die sowohl bei Online-Betrügereien als auch beim Vishing verwendet werden.

Prüfen Sie Links und die Webseiten, auf die sie führen, ganz genau. Wenn Sie von einem Freund oder Kollegen einen verdächtigen Link erhalten, sollten Sie sicherstellen, dass dieser wirklich von ihm kommt, bevor Sie darauf klicken. Und wenn Sie vor einem Vishing-Angriff stehen, sollten Sie auf jeden Fall daran denken, dass ein echter Bankangestellter niemals Ihre Kreditkartendaten herausfinden will.

Am besten ist, Sie gehen niemals über Links auf Webseiten, sondern geben die Adresse manuell im Browser ein. Und eigentlich sollte es nicht erwähnt werden müssen, aber nutzen Sie für den Zugriff auf das Internet nur geschützte Geräte und Netzwerke. Vergessen Sie nicht, das Antivirus-Programm regelmäßig zu aktualisieren, vor allem, wenn es Anti-Phishing-Funktionen bietet. So enthält zum Beispiel Kaspersky Internet Security ein Anti-Phishing-Modul, das Webseiten mit einer Liste bekannter Betrugsseiten abgleicht und auch potenziell gefährliche Seiten anhand von über 200 Kriterien erkennen kann.