Sie sind gemein, mittlerweile erstaunlich gut gemacht und längst die Pest in unserer elektronischen Post: Phishing-E-Mails, in denen uns Online-Betrüger dazu verleiten wollen, unsere Kundendaten, Passwörter oder PIN-Codes zu verraten. Auf oft verblüffend gut nachgeahmten Webseiten sollen wir – so die oft verwendete Formulierung – „aus Sicherheitsgründen die Kontodaten bestätigen“, da es angeblich „zu Fremdzugriffen durch Dritte“ gekommen sei.
Alternativ verschicken die Angreifer Nachrichten, die angeblich aktuelle Rechnungen enthalten, bei denen die Dateianhänge aber mit Schadsoftware verseucht ist, die beispielsweise die Eingabe der Kontodaten protokolliert und die Informationen dann heimlich an die Hacker weiterleitet. Gerade erst schwappte wieder eine Welle mit gefälschten Telekom- und Vodafone-Rechnungen durchs Netz und in die elektronischen Postfächer.
Fast immer ist die Aufforderung garniert mit der Drohung, das Konto, der Account, der Onlinezugang oder der Telefonanschluss werde kurzfristig gesperrt, wenn man nicht sofort reagiere/die Nutzerdaten prüfe/die Rechnung begleiche. Die Lösung des Problems dagegen sei nur einen Klick entfernt, man müsse bloß dem in der Nachricht eingebetteten Link folgen...
Bekannte Masche
Die Masche ist – eigentlich – stets die gleiche und hinlänglich bekannt. Dennoch gelingt die Überrumpelung immer noch erstaunlich oft.
Selbst wenn sich die Zahl der gemeldeten Fälle in der letztverfügbaren Kriminalstatistik 2012 auf knapp 3.500 knapp halbiert hatte, gehen Sicherheitsspezialisten davon aus, dass die Dunkelziffer um ein Vielfaches höher liegt. Dafür spricht auch, dass die Zahl der Cybercrime-Delikte insgesamt weiter stark ansteigt.
Zugleich aber wächst bei den deutschen Surfern das Bewusstsein für das Phishing-Risiko. Viele Onliner löschen daher inzwischen rigoros E-Mails mit verdächtigen Betreff-Zeilen wie etwa „WICHTIG: PASSWORT PRÜFEN“, „ID wurde aus Sicherheitsgründen deaktiviert“ oder „ACHTUNG KONTOSPERRE“.
Die Kehrseite der Totalverweigerung: Mit allen potenziell riskanten Nachrichten verschwinden auch jene in den Orkus, in denen Telefonkonzern, Bank oder Online-Händler tatsächlich vor neuen Sicherheitsrisiken, Spam- oder Phishing-Attacken warnen wollen.
So etwa heute früh der Onlineriese Ebay, der seine Kunden nach dem millionenfachen Diebstahl von Kundendaten nun zur Änderung der Nutzerpasswörter auffordert. Meine erste Reaktion beim Blick auf den Betreff „Wichtig: …“ war denn auch die Annahme, es sei der nächste Phishing-Versuch.
„Wir stecken da in einem Zielkonflikt“, heißt es denn auch unisono bei Online-Händlern, Bankern, Web-Shops oder Cloud-Dienstleistern: „Wir warnen unsere Kunden per E-Mail vor Phishing-Attacken, die sie ebenfalls per E-Mail erreichen.“
Statt also pauschal alles zu löschen, was möglicherweise ein Phishing-Versuch sein könnte, sollten Onliner wissen, wie sie getarnte Attacken im elektronischen Posteingang identifizieren können und wie sie das Risiko, den Betrügern in die Falle zu gehen, durch das richtige Verhalten beim Konto-Check noch zusätzlich minimieren können. Hier die entscheidenden Tipps:
