Der Internet-User wird zunehmend smarter (beziehungsweise vorsichtiger) und Anti-Phishing-Tools arbeiten immer akkurater. Dem Erfolg von Scammern, also Internetbetrügern, tut das bislang allerdings keinen Abbruch. Immer noch erschleichen sich (cyber)kriminelle Subjekte zehntausende Dollars mit leeren Versprechungen. Einmal lockt ein nicht unerhebliches Barvermögen, ein anderes Mal ist es die Angst vor finanziellem oder gar physischem Schaden, der Menschen dazu bewegt, auf die Taktiken der Scammer hereinzufallen. Trifft es nicht Einzelpersonen, sondern Unternehmen, kann der finanzielle Schaden in die Millionen gehen.
Dass der Internetbetrug immer noch derart florieren kann, liegt in erster Linie daran, dass kriminelle Hacker ihre Taktiken weiterentwickelt haben, um ihren Verfolgern (und Opfern) stets einen Schritt voraus zu sein. Ansonsten würden die Phishing-Versuche der Scammer ins Leere laufen. Mit unabsehbaren Folgen: der ein oder andere müsste sich dann nach einem echten Job umsehen.
Wir zeigen Ihnen 15 fiese Phishing-Taktiken, die selbst den smartesten User überlisten können - wenn der nicht weiß, wie man sich zur Wehr setzt.
Deaktivierungs-Angstmacherei
Diese Masche funktioniert vor allem deswegen, weil es (in "Netz-Dingen") kaum etwas gibt, was den Menschen mehr Angst einjagt, als eine Account-Deaktivierung. Wahrscheinlich haben auch Sie heute so eine E-Mail bekommen. Es vergeht kaum ein Tag ohne eine solche Fake-Benachrichtigung von vermeintlichen Unternehmen im Postfach. Der Message selbst ist in der Regel zu entnehmen, dass Ihr Konto deaktiviert wird, wenn Sie nicht auf einen bestimmten Link klicken, sich einloggen und möglichst schnell tätig werden. Zum Beispiel, indem Sie Ihre Kreditkarteninformationen nochmals bestätigen.
Es gab eine Zeit, da waren solche Phishing-Mails relativ einfach zu erkennen. Damit ist es längst vorbei. Heutzutage sehen die Nachrichten täuschend echt aus und beinhalten unter Umständen sogar Links zur offiziellen Seite des Unternehmens, in dessen Namen hier betrogen werden soll. Auch integrierte Warnungen vor Scammern und Internetbetrug sind keine Seltenheit mehr.
Wenn man gar kein Konto beim betreffenden Unternehmen besitzt, sind solche Betrugsversuche natürlich schnell entlarvt. Aber stellen Sie sich einfach vor, bei der nächsten Mail stimmt der Absender und Sie haben zufällig gerade eine neue Kreditkarte bekommen. Dann könnten auch Sie durchaus zu der Überzeugung gelangen, dass Sie besser schnell Ihre Daten aktualisieren um der Deaktivierung zu entgehen.
- Ignorieren Sie E-Mails, die zur Eingabe vertraulicher Daten auffordern!
<strong>Merkmal:</strong> Um eine möglichst hohe Öffnungsquote zu erreichen, wird oft versucht, Angst zu erzeugen in der Hoffnung, dass der Nutzer auf diese Weise seine übliche Vorsicht aufgibt. Besonders beliebt ist der Trick, eine Sperrung des Kontos (bei der Bank, bei PayPal oder bei Facebook) oder der Kreditkarte vorzutäuschen – verbunden mit der Aufforderung, sich auf eine von der E-Mail aus verlinkten Seite anzumelden, um die Sperrung aufzuheben. Meist versuchen die Betrüger auch, einen zeitlichen Druck aufzubauen, indem sie behaupten, die Eingabe der Daten müsse in den nächsten 24 Stunden erfolgen.<br /><br /> <strong>Tipp:</strong> Generell versenden Banken, aber auch Kreditkartenunternehmen und Online-Bezahldienste keinerlei E-Mails, die zu einer Seite verlinken, auf denen Sie Ihre Kontodaten eingeben sollen. Löschen Sie die E-Mail sofort und klicken Sie keinesfalls auf den Link! Schon der bloße Besuch der Seite kann zu einer Infektion mit einem Virus oder Trojaner führen (Drive-by-Download)! - Überprüfen Sie, ob die Website gesichert ist!
<strong>Merkmal:</strong> Webseiten, auf denen wichtige Daten eingegeben werden sollen, sind in der Regel durch eine sichere Verbindung geschützt. Dies lässt sich daran erkennen, dass die Web-Adresse (URL) mit https:// statt mit http:// beginnt. Verweist eine E-Mail, die zur Eingabe vertraulicher Daten auffordert, auf eine ungesicherte Website, ist diese mit hoher Wahrscheinlichkeit gefälscht. Oftmals verbergen die Phisher die tatsächliche Ziel-URL jedoch hinter einer angeblich gesicherten Scheinadresse.<br /><br /> <strong>Tipp:</strong> Überprüfen Sie, wohin der Link tatsächlich führt: mittels Rechtsklick auf den Link und Auswahl von „Eigenschaften“ oder, wenn Sie den Link bereits angeklickt haben, durch Überprüfung der Adresse in der Adresszeile. Auch hier gilt: Im Zweifel den Link nicht anklicken und die E-Mail löschen! - Achten Sie auf die genaue Schreibweise der URL!
<strong>Merkmal:</strong> Um an ihr Ziel zu kommen, müssen die Phisher den Anschein erwecken, die E-Mail sowie die Seite, auf welcher der Nutzer seine Daten eingeben soll, wären echt und gehörten dem angeblichen Absender. Daher wählen sie Adressen, die auf den ersten Blick wie eine echte Adresse, beispielsweise der Bank, aussehen. Dabei werden von der Bank nicht benutzte, aber plausibel erscheinende Adressen verwendet (z. B. www.sparkasseonline. de) oder unauffällige Schreibfehler eingebaut ("postank" statt "postbank").<br /><br /> <strong>Tipp:</strong> Achten Sie immer auf die Schreibweise der URL (auch schon im E-Mail-Absender!) und überprüfen Sie diese auf Schreibfehler! Überprüfen Sie auch, welche URL das Unternehmen normalerweise hat (durch Vergleich mit der Website oder mit echten E-Mails)! - Achten Sie genau darauf, welche Daten Sie eingeben sollen!
<strong>Merkmal:</strong> Zugänge zu Online-Konten, aber auch der Einsatz von Kreditkarten benötigen meist ein mehrstufiges Authentifizierungsverfahren. Bei Online-Konten sind das beispielsweise Kontonummer und TAN, bei Kreditkarten Kartennummer, Ablaufdatum und die dreistellige Prüfnummer. Als sichere Alternative gibt es seit einiger Zeit auch die Verifizierung über das so genannte 3D-Secure-Verfahren (z.B. „Verified by Visa“).<br /><br /> <strong>Tipp:</strong> Werden Sie aufgefordert, mehr als eine TAN oder sowohl ihre Prüfnummer als auch die 3D-Secure-ID einzugeben, handelt es sich um Phishing. Seriöse Websites verlangen nie beide Daten gleichzeitig. - Nicht nur Konto- und Kreditkarten-Phishing ist gefährlich!
<strong>Merkmal:</strong> Schon längst beschränkt sich das Interesse der Phisher nicht mehr nur auf Bank- oder Kreditkartendaten. Generell ist jeder Zugang zu Online-Diensten interessant, sei es das Webmail-Konto, der Zugang zu sozialen Netzwerken, selbst Business-Dienste wie Google AdWords. Dabei nutzen beispielsweise Spammer die erbeuteten Daten, um Kampagnen für eigene Seiten zu schalten – auf Kosten der betrogenen Nutzer.<br /><br /> <strong>Tipp:</strong> Behandeln sie alle Zugangsdaten zu Internetdiensten vertraulich, auch wenn sie Ihnen nicht wichtig erscheinen! Angebliche E-Mails von Facebook oder Hotmail können genauso gefährlich sein wie solche von Ihrer Bank.
Die Lösung: Sehen Sie sich die URL des Links in einer E-Mail ganz genau an. Würden Sie diese genauso eintippen? Noch besser wäre es, Sie gewöhnen sich einfach an, gar keine Links in E-Mails mehr anzuklicken. Stattdessen schließen Sie die Mail und geben händisch die URL des Anbieters an, der Ihnen mit Deaktivierung droht.
Gefälschte Websites
Wenn Sie doch auf den Link in einer Phishing-Mail geklickt haben, gelangen Sie in der Regel auf eine Fake-Website, die der echten zum Verwechseln ähnlich sieht. Diese Fakes sind inzwischen oft 1:1-Kopien der Originale und nutzen auch die echte URL als Teil ihrer eigenen. Nur wer ganz genau hinsieht, kommt dem Betrug auf die Schliche. Allerdings achten darauf nur noch wenige User, wenn die Seite selbst bereits den Eindruck von Authentizität vermittelt.
Wie gut Phishing-Webseiten heute gemacht sind, musste der Hack-gebeutelte US-Finanzdienstleister Equifax am eigenen Leib erfahren. Nach dem bekannt geworden war, dass die Datensätze von 143 Millionen Kunden kompromittiert worden waren, hatte das Unternehmen eine eigene Website für Betroffene eingerichtet. Die wurde von einem findigen Researcher nachgebaut. Und zwar so gut, dass Equifax selbst mehrfach auf die Phishing-Seite verlinkte.
Die Lösung: Inspizieren Sie Links - beziehungsweise URLs - in E-Mails äußerst genau, um sicherzustellen, dass Sie keinem Scam zum Opfer fallen. Gar nicht mehr auf Links in Mails zu klicken ist auch hier die beste Methode.
"Nigeria"-Scams
Diese Phishing-Methode gibt es schon seit etlichen Jahren. Dabei scheinen nigerianische Scammer mit besonders viel Eifer am Werk zu sein - daher auch der Name. Und auch wenn Sie sich über die schlechte Grammatik und die haarsträubenden Stories, die in diesen Phishing-Mails aufgetischt werden, schlapp lachen: Diese Elemente sind absichtlich eingebaute Filter.
Der durchschnittliche Nigeria-Scammer versendet jeden Tag Millionen betrügerischer E-Mails. Und die meisten werden von E-Mail-Nutzern (oder deren Antimalware-Lösung) als Spam aussortiert. Diese User sind aber auch gar nicht das Ziel. Stattdessen nehmen solche Mails gezielt einfach beeinflussbare oder manipulierbare Persönlichkeiten ins Visier. Manche Menschen empfinden die Fehler und merkwürdigen Geschichten auch gar nicht als abschreckend. Und genau die sind für die Phishing-Betrüger das ultimative Ziel.
Im Übrigen hat es nichts mit (mangelnder) Intelligenz zu tun, wenn man auf eine solche betrügerische E-Mail hereinfällt. Das ist schon Nobelpreis-Gewinnern, Finanz-Managern und Doktoren passiert.
Die Lösung: Wenn etwas zu gut klingt, um wahr zu sein (so wie unerwartet ein kleines Vermögen geschenkt zu bekommen), dann handelt es sich in aller Regel um einen Fake.
Sie gehen direkt ins Gefängnis
Hacker und Scammer wissen, dass Sie ein schlechtes Gewissen haben und nutzen das aus. Sogar wenn die Sache, wegen der Sie ein schlechtes Gewissen haben nicht illegal ist, könnten Sie trotzdem leicht dazu gebracht werden, sich Sorgen zu machen. Und die Androhung von Knast oder Geldstrafe per Mail ist wohl das beste Mittel, um direkte und ziemlich offenherzige Antworten zu provozieren. In Deutschland gab es solche Scams bereits im Namen von GEMA und GVU, ansonsten wird auch das FBI gerne für Fake-Mahnmails missbraucht. Inzwischen werden solche Kampagnen auch per Telefon gefahren, um die Dringlichkeit der Angelegenheit zu verdeutlichen.
Manche Menschen haben unter Umständen weder illegal Musik oder Filme heruntergeladen, noch Steuern hinterzogen und gehen trotzdem auf monetäre Forderungen von Betrügern ein - nur um die Warnung, Mahnung oder Bedrohung los zu werden. Oder sie verdächtigen ein anderes Mitglied des Haushalts, Urheber digitaler Missetaten zu sein. Was unter Umständen zu unschönen häuslichen oder familiären Konsequenzen führen könnte. Unglücklicherweise kommen manche dieser Fake-Strafandrohungen mit Ransomware im Gepäck im E-Mail-Postfach an und erhöhen so nochmals den Druck auf den User zu bezahlen.
Die Lösung: Ruhig bleiben. Die Mail genau lesen. Werden Details zu den angeblichen Vergehen geliefert? Wahrscheinlich nicht. Davon abgesehen: Wenn eine Regierungsbehörde von Ihnen Geld verlangt und zwar sofort, weil sonst drastische Konsequenzen drohen - dann werden Sie gerade aufs Glatteis geführt.