Cyberbetrug mit Phishing und Smishing ist weit verbreitet. Aufgrund immer ausgefeilterer Methoden werden zunehmend auch technisch versierte Nutzer Opfer dieser Betrügereien. Wir zeigen, woran Sie Phishing und Smishing erkennen und so Kriminellen das Handwerk legen!
Was ist Phishing?
Bei Phishing (Neologismus des englischen Begriffs „fishing“, deutsch „angeln“) handelt es sich um eine der ältesten Betrugsmaschen im Netz, die dem Bereich des „Social Engineerings“ zuzuordnen ist.
Kriminelle versuchen, mit Hilfe angeblicher, täuschend echt aussehender E-Mails bekannter Banken, Firmen oder anderen Organisationen persönliche Daten abzugreifen, darunter beispielsweise
- Postadressen und Telefonnummern,
- Kreditkartendaten (einschließlich PINs und CVV-/CVC-Codes),
- Vertragsinformationen (wie Kundennummern, Zählernummern, etc.)
- Zugangsdaten für Online-Shops oder Bezahldiensten,
- Zugangsdaten, PINs und TANs für Homebanking sowie
- Zugangsdaten zu privaten oder geschäftlich genutzten E-Mail-Konten.
Diese in betrügerischer Absicht verfassten Nachrichten imitieren oft das Layout offizieller E-Mails, einschließlich Firmenlogo und Footer. Auch greifen sie häufig zu einer ähnlichen Wortwahl bei der Kundenansprache, sodass selbst eine kritische Prüfung auf den ersten Blick keine Auffälligkeiten offenbart.
Der Inhalt dieser Mails ähnelt sich: Angeblich müsse man das Kundenkonto bzw. das Bankkonto prüfen oder persönliche Angaben aus Sicherheitsgründen aktualisieren. Oder man gaukelt eine nebulös formulierte Sicherheitsverletzung vor, die ein Ändern der Zugangsdaten erfordere.
Oft machen sich die Betrüger den sogenannten „Zündschnureffekt“ zunutze: Es wird zum sofortigen Handeln aufgerufen, da anderenfalls ein finanzieller Verlust drohe, Strafgebühren fällig oder persönliche Daten gelöscht würden.
Die angebotenen Links führen zu gefälschten Websites, welche die Daten des Nutzers abgreifen und an die Kriminellen weiterleiten.
So erkennen Sie Phishing-Mails
- Fehlende persönliche Anrede, allgemein gehaltene Formulierungen
- Schlechtes Deutsch mit Rechtschreib- und Grammatikfehlern bzw. sprachlich im jeweiligen Zusammenhang ungebräuchliche Begriffe (selten!)
- Aufforderung zum sofortigen Handeln, verbunden mit der Androhung von Konsequenzen (z.B. Kontensperrung, Kosten)
- Notwendigkeit der Eingabe von PINs oder Geheimzahlen
- Anklickbare Links führen zu unbekannten Domains, die mit dem eigentlichen Unternehmen in keiner Beziehung stehen
Insbesondere der letzte Punkt ist ein eindeutiges Indiz für E-Mail – Betrug. Prüfen Sie deshalb die Webadresse vor der Eingabe persönlicher Daten, ob diese auch tatsächlich zu dem Unternehmen gehört.
Sollten Sie unsicher sein, geben Sie die offizielle Domain per Hand in die Adresszeile des Browsers ein oder kontaktieren den telefonischen Kundenservice (keine Kontaktdaten aus der Betrugsmail verwenden!).
Phishing-Mail erhalten? Das sollten Sie jetzt tun!
Am besten löschen Sie derartige Nachrichten sofort und markieren sie in Ihrem E-Mail-Programm als „unerwünscht“, um diese zukünftig automatisiert zu filtern (sofern Ihr Mailclient eine solche Funktion bietet).
Keinesfalls dürfen Sie auf einen der angegebenen Links klicken. Dies wäre zwar grundsätzlich erst einmal unproblematisch. Allerdings enthalten viele Links eindeutige IDs, womit Sie indirekt den Erhalt der Betrugsmail bestätigen – mit der Folge, zukünftig nur noch mehr davon zu erhalten.
Eine Strafanzeige bei Polizei oder Staatsanwaltschaft ist zwar theoretisch möglich, jedoch im Allgemeinen wenig zielführend. In den meisten Fällen können die Täter nicht ermittelt werden oder entziehen sich der Justiz des jeweiligen Landes.
Smishing – Phishing per Kurznachricht
Bei Smishing handelt es sich um einen Ableger des Phishing. Allerdings nutzen Kriminelle hier SMS oder Messenger-Dienste zur Kommunikation (daher die Bezeichnung „SMiShing“). Das Vorgehen ist ansonsten vergleichbar mit dem Erhalt einer betrügerischen E-Mail.
Eine besonders perfide Masche besteht darin, das Opfer zum Anruf einer „offiziellen“ Hotline zu bewegen. Dort wird solange Druck ausgeübt, bis der Anrufer seine Zugangsdaten (oder andere persönliche Daten mit hohem Missbrauchspotential) preisgibt.
Da bei Anrufen meist eine automatische Übermittlung der Telefonnummer erfolgt, lauert hier die Gefahr weiterer telefonischer Betrugsversuche bis hin zum Stalking durch mehrfache tägliche Anrufe.
Eine Abart von Smishing stellt das Versenden von Paketankündigungen oder Abonnement-Bestätigungen dar, verbunden mit der Angabe eines Links. Klickt man auf diesen, wird entweder versucht, persönliche Daten abzugreifen oder Schadsoftware zu installieren.
Wichtig zu wissen: Kein seriöses Unternehmen wird Sie per SMS oder Messenger auffordern, personenbezogene Daten zu offenbaren oder einen Rückruf anfordern. Löschen Sie derartige Kurznachrichten umgehend!
Autor: Tobias Eichner | Datum der Veröffentlichung: Januar 2022
Wichtig: Bitte beachten Sie die Nutzungsbedingungen und rechtlichen Hinweise für diesen Beitrag!