Tech Talk

Fünf Tipps, wie Sie die Phishing-Attacken abwehren

Thomas Kuhn
Thomas Kuhn Redakteur Innovation & Digitales

Im Wochentakt versuchen Betrüger per E-Mail, Kundendaten, Passwörter und PIN-Codes zu stehlen. Fünf Tipps, wie Sie die Phishing-Attacken erfolgreich abwehren.

Auf diesen Seiten wollen Betrüger Ihr Bankkonto plündern
Auf den ersten Blick sieht die Webseite aus wie die Seite einer Sparkasse. Wer genauer hinschaut und den Text auch liest, findet jedoch einige schräge Formulierungen. Da ist zum Beispiel die Rede davon, dass "nach Abschluss der Anweisungen zum Konto zu aktualisieren" der Online-Zugang wiederhergestellt werde. Rechtschreibfehler oder grammatikalische Ungenauigkeiten sind typisch für eine Phishing-Seite. Unter Phishing versteht der Bankenverband eine Methode, "bei der ein krimineller Angreifer die E-Mail-Adresse oder die Internetseite einer Bank und eines Dienstleisters vortäuscht". Betrüger bauen dabei Internetseiten von Banken oder auch Versandhändlern täuschend echt nach. Einziges Ziel: Die Kontodaten samt Geheimnummer (PIN), Code für eine Überweisung (Tan-Nummer) und Passwort abzusahnen (phishen). Statt an ihren Händler oder die Bank senden Kunden ihre Zugangsdaten dann an die Kriminellen. Und noch bevor der Kunde es merkt, ist sein Bankkonto geplündert. Wer zum Beispiel bei dieser nachgebauten Sparkassen-Seite oben auf den roten Kasten mit dem Pfeil klickt, landet auf einer Internetseite in Polen. Quelle: Screenshot
Dieses Formular ist dann zu sehen. Dort sollen Sparkassenkunden ihre PIN-Nummer eintippen. Keine Bank würde jedoch etwa per Email nach der PIN-Nummer fragen. Einen zusätzlichen Hinweis auf eine Phishing-Seite liefern in diesem Beispiel die Links. Wer auf das Impressum oder die Sicherheitshinweise klickt, kommt nicht weiter. Die Links funktionieren schlich nicht. Quelle: Screenshot
Die Daten von Kreditkarten sind für Betrüger besonders interessant. Um schneller zum Ziel zu gelangen, üben die Bösewichte Druck aus. Diese VISA-Betrüger etwa geben den Empfängern gerade mal zwei Tage Zeit. Am liebsten aber wäre es ihnen natürlich, wenn die Opfer ihre Karte sofort verifizieren (im Screenshot markiert). Quelle: Screenshot
Die Sparkasse Bielefeld warnt ganz aktuell in ihrem Blog vor Betrügern. Quelle: Screenshot
Die erkennt man dabei manchmal ganz einfach. Es fehlen schlicht Dinge, die auf einer echte Webseite vorhanden wären. Wie eine korrekte Seite ausschaut, macht eine Sparkasse auf ihrer Internetseite deutlich: Wichtig ist etwa das kleine Schloss-Symbol im Browser (siehe Screenshot).  Mehr Sicherheit biete außerdem das Verschlüsselungsmerkmal der URL https:// statt http://. Quelle: Screenshot
Die Sparkassen versuchen nun, die Sicherheit zu steigern, indem sie neue Technik einsetzen. So tauschten Sparkassen vor einigen Monaten die alten Tan-Listen auf Papier gegen das Chip-Tan-System aus. Eine Tan-Nummer ist der Sicherheitscode, mit dem ein Bankkunde eine Überweisung tätigen kann. Früher bekamen Kunden eine Liste mit Dutzenden Tan-Nummern zugeschickt. Heute wird dem Kunden die aktuelle Tan-Nummer für einen Überweisungsauftrag immer erst dann zur Verfügung gestellt, wenn er sie tatsächlich benötigt. Das Chip-Tan-System generiert immer wieder eine neue Tan-Nummer. Betrüger konnten Tan-Nummern früher einfacher abfangen und für eine Überweisung auf das eigene Konto nutzen. Mit dem neuen System soll es für sie nun schwieriger sein, Tan-Nummern abzufangen. Quelle: dpa
Geht es doch mal schief, müssen die Kunden mitunter haften. Der Bundesgerichtshof hat 2012 entschieden, dass ein Kunde, der auf einer gefälschten Webseiten seine Tan-Codes preisgibt, für den Schaden selbst aufkommen muss. Eine seit Herbst 2009 geltende Vorschrift, welche die Haftung von Bankkunden auf grobe Fahrlässigkeit und Vorsatz beschränkt, war zur Zeit der Überweisung noch nicht in Kraft. Doch auch heute dürfte es als fahrlässig gewertet werden, wenn jemand bedenkenlos mehrere Tan-Nummern auf einer fremden Webseite preisgibt. Die neue EU-Gesetzgebung vor, dass Kunden mit 150 Euro haften, wenn ein Betrüger seine Zahlungskarte missbraucht. Der Verband der Sparkassen teilte auf Anfrage mit, dass die Sparkassen über das gesetzliche Niveau hinaus gingen und ihren Kunden den vollen Schaden ersetzten, wenn der Kunde sorgfältig mit der Karte und der Geheimzahl (PIN) umgegangen ist. Beim Phishing, wo keine Bankkarte im Spiel ist, gilt laut Sparkassenverband folgendes: "Sobald ein Kunde sein Online-Banking gesperrt hat, haftet er nicht für eventuelle Schäden durch missbräuchliche Nutzung. Vor der Sperranzeige ist die Haftung auf 150 Euro begrenzt, sofern der Kunde seinen Sorgfaltspflichten entsprochen hat." Viele Karten kann man über den zentralen Sperrnotruf 116 116 sperren. Quelle: Fotolia

Die Nachricht im Posteingang sah echt aus. So echt, dass der Kollege die Aufforderung sofort befolgte, seine Zugangsdaten zum iCloud-Konto bei Apple zu ändern. Dumm nur: Die vermeintlich offizielle E-Mail erwies sich beim zweiten Hinsehen als Fälschung. Statt dem iPhone-Produzenten hatte der Kollege seine geheimen Zugangsdaten samt Passwort einer Phishing-Seite anvertraut – dem Server von Web-Betrügern. Die kaufen damit auf fremde Kosten ein oder verschicken Spam.

Millionenfach schwappt die gefährliche E-Post durch die Rechner; mal mit Phishing-Links, mal mit Schnüffelprogrammen, um Kreditkartennummern auszuspionieren. Gerade erst warnten die Deutsche Telekom und Vodafone vor gefälschten Rechnungen mit getarnter Schadsoftware.

Es ist ein lukratives Geschäft. Laut BKA summierten sich 2012 die gemeldeten Schäden in Deutschland auf 14 Millionen Euro. Die Dunkelziffer liegt aber weit höher, weil die Betroffenen schweigen oder die Manipulationen gar nicht bemerken. Anders der betroffene Kollege, der sein Passwort änderte, bevor die Hacker zuschlugen.

Besser enttarnen statt einfach löschen

Sein Impuls, „solch einen Mist lösche ich künftig ungelesen“, ist dennoch riskant. Wer wie viele andere genervte Surfer diese Taktik verfolgt, riskiert, ernst gemeinte Warnungen zu übersehen. Die aber verschicken Online-Dienste regelmäßig, um vor realen Gefahren zu warnen. So forderte Ebay vergangene Woche die Kunden auf, ihre Passwörter zu ändern, weil Hacker millionenfach Zugangsdaten gestohlen hatten.

„Wir stecken in einer Zwickmühle“, sagte mir jüngst der Sicherheitsverantwortliche eines Kommunikationskonzerns. „Die Kunden wollen zwar sofort über Sicherheitslecks informiert werden. Aber unsere Nachrichten lesen sie nicht mehr.“

Statt zweifelhafte E-Mails pauschal zu löschen, ist es besser, die Angreifer mithilfe ihrer typischen Fehler zu enttarnen:

1. Sprache Logos und Layout kopieren Betrüger aus realen E-Mails. Die Formulierung der Texte aber überlassen sie oft schlechter Software. Rechtschreibfehler im Betreff oder Text verraten jeden Phisher.

2. Empfänger Prüfen Sie ob die E-Mail richtig adressiert ist. Verdächtig ist, wenn die Nachricht an ihre Büro-Adresse geht, obwohl Sie mit der gar nicht beim entsprechen Dienst (wie iCloud oder Dropbox) registriert sind. Ebenso ein Unpersönliches „Hallo, Ihr Konto ist in Gefahr“.

3. Absender Eine angebliche Apple-Nachricht vom Absender xsl@honshu.co ist sicher gefälscht. Doch auch glaubhaft wirkende Adressen können in die Irre führen: Wenn Betrüger Web-Links mithilfe optisch ähnlicher Buchstaben imitieren, wird www.apple.de (mit kleinem „l“) plötzlich zu www.appIe.de (mit großem „I“) – und ein Klick darauf führt auf eine Phishing-Seite.

In Arbeit
Bitte entschuldigen Sie. Hier steht ein Element, an dem derzeit noch gearbeitet wird. Wir kümmern uns darum, alle Elemente der WirtschaftsWoche zeitnah für Sie einzubauen.

4. Links Verweisen Links aus der E-Mail direkt auf eine Web-Seite, auf der Sie Ihre Nutzerdaten eingeben sollen, gilt Alarmstufe Rot. Oft sind das getarnte Server, über die Betrüger Kundendaten protokollieren. Prüfen Sie daher in der Adresszeile Ihres Browser, ob die Web-Adresse und der Name des Online-Dienstes zusammenpassen.

5. Gegencheck Melden Sie sich bei dubiosen E-Mails direkt über den Browser beim betreffenden Dienst an, und prüfen Sie, ob auch dort eine Warnung in Ihrem Nutzer-Postfach liegt – wie das etwa Ebay gerade gemacht hat. Ist das der Fall, können Sie auch der E-Mail vertrauen.

In dem Sinne: Surfen Sie sicher.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%