Phishing stellt nach wie vor eine der beliebtesten Betrugs-Methoden im Internet dar. Die Kreativität der Betrüger nimmt zu und basiert meist auf einer falschen Identität. Beliebt sind Zahlungsdienstleister wie PayPal, E-Mail-Provider, aber auch Onlineshops oder Zustelldienste. Mit renommierten Unternehmensnamen versuchen Phishing-Angreifer sich den Anschein der Glaubwürdigkeit zu verleihen. Die Schäden können enorm ausfallen und beispielsweise Bankdaten in falsche Hände geraten lassen. Wissen um geläufige Phishing-Methoden hilft Personen, sich für das Thema zu sensibilisieren.
Phishing im Überblick: Allgemeines und Aufkommen
Phishing-Mails stellen eine schädliche Unterform der Spam-Mail dar. Spam-E-Mails sind weit verbreitet und entsprechen heute mehr als der Hälfte des gesamten weltweiten Mail-Aufkommens. Nicht alle dieser Spam-Mails gehören in die Kategorie Phishing. Bei diesem handelt es sich um eine Form der Cyber-Attacke, bei der Kriminelle unter falscher Identität nach sensiblen Daten „fischen“. In den Fokus geraten beispielsweise Bankverbindungsdaten oder Passwörter. Diese missbrauchen Cyber-Angreifer, um sich Zugriff zu wichtigen Informationen zu verschaffen oder Geld damit zu verdienen.
Während Werbe-Spam nur unangenehm ist, handelt es sich bei Phishing-Mails um ein ernsthaftes wirtschaftliches Problem. Die IBM-Studie Cost of a Data Breach Report 2020 kommt zu dem Ergebnis, dass eine solche Cyber-Attacke ein Unternehmen im Durchschnitt 4 Millionen US-Dollar kostet. Im Einzelfall können die Kosten für betroffene Firmen deutlich höher liegen.
Phishing betrifft nicht nur Unternehmen, sondern auch Privatanwender, deren sensible Daten für Betrüger ebenso interessant sind. Phishing kann viele Formen annehmen. Gemeinsam ist ihnen, dass sich Cyber-Kriminelle meist unter falscher Identität melden. So geben sie etwa vor, im Namen von Microsoft, Google, DHL oder Amazon zu schreiben. Auch die Gestaltung der Phishing-Mails kann viele Formen annehmen. Bei E-Mails im HTML-Format kann bereits der Quellcode Schadprogramme beinhalten. Bereits ein Klick auf die Graphik in der E-Mail birgt ein Risiko. Daher ist es wichtig, bei jeder E-Mail genau auf den Absender zu achten und im Zweifelsfall weder Links zu klicken noch Dateianhänge zu öffnen. Ebenso sollte keinesfalls auf eine Phishing-Mail geantwortet werden. Ist eine Mail als Phishing identifiziert worden, sollte sie umgehend gelöscht werden.
Ist unklar, ob es sich um eine authentische oder eine Phishing-Mail handelt, lohnt eine Nachfrage beim tatsächlichen Anbieter beziehungsweise bei dem Unternehmen, in dessen Namen die E-Mail verfasst wurde.
Nach einer Phishing-Attacke: Möglichkeiten für Phishing-Opfer
Kam es trotz Vorsichtsmaßnahmen zu einer geglückten Phishing-Attacke, stellt sich die Frage nach der Schadensregulation. Eigentumsdelikte im Internet sind schwieriger zu erfassen als beispielsweise ein Wohnungseinbruch. Der Betrugsnachweis lässt sich erbringen, doch stellt sich die Frage nach dem Versicherungsschutz.
Als ein immer häufigerer Tatbestand der neuen Generation sind Phishing-Schäden Gegenstand vieler Hausrat-Versicherungen. Einige Anbieter bieten spezielle Zusatzbausteine für den Schutz im Internet. Dazu gehören etwa Kosten für anwaltliche Erstberatung. Ebenso sind in einigen Versicherungs-Bausteinen Kosten für die Datenrettung integriert. Hierbei ist es unmaßgeblich, ob die Schäden durch Viren, Hardware-Defekt oder physische Schäden entstanden sind.
Zu beachten ist, dass Privatpersonen auch selbst in der Haftung sind, wenn sie Daten versenden. Dies gilt auch dann, wenn versehentlich eine Phishing-Mail weitergeleitet wird. Mit einer entsprechenden Deckungserweiterung in der privaten Haftpflichtversicherung ist Schutz vor Schadenersatz-Forderungen gegeben.
Branchen und Unternehmen für Phishing-Versuche
Häufig suchen sich Cyber-Kriminelle für ihre Phishing-Mails die Identitäten bekannter Unternehmen verschiedener Branchen aus.
Hierbei bedienen sich Cyber-Kriminelle immer kreativerer Methoden. So beobachtet das BSI (Bundesamt für Sicherheit in der Informationstechnik) nahezu täglich fantasievolle neue Varianten des Phishings. Hierbei suchen Angreifer häufig Anschluss an real existierende Unternehmen oder tatsächliche Ereignisse, um den Anschein der Glaubwürdigkeit zu erzeugen.
Beliebt ist etwa der Betrug mit gefälschten Rechnungen. Hierbei geben Cyber-Angreifer vor, offene Rechnungen seien dringend zu begleichen. Sie arbeiten mit den Faktoren Furcht und Dringlichkeit und versuchen damit, nichtsahnende Anwender zu einer unüberlegten Handlung zu bewegen. Nutzer werden unter Druck gesetzt, eine Zahlung für (nie bestellte) Waren und Dienstleistungen zu leisten. Zu diesem Zweck sollen sie häufig einem in die E-Mail integrierten Link folgen. Bereits ein Klick darauf kann verheerende Folgen haben und zur Installation von Schad-Software führen. Zu den Opfern gehören Privatpersonen, aber auch ganze Finanzabteilungen von Unternehmen.
Phishing im Namen von E-Mail-Anbietern
Eine weitere häufige Phishing-Attacke ist der Vorwand eines vermeintlichen Upgrades des E-Mail-Kontos. Phishing-Angreifer geben sich hier als E-Mail-Provider aus. Oftmals wählen Angreifer bekannte Anbieter wie Google oder Microsoft oder die vermeintliche IT-Abteilung des eigenen Unternehmens. Diese Mails haben oft die Struktur, dass sie Benutzer vor einem Ablaufen des Kontos warnen, sollten keine sofortigen Maßnahmen ergriffen werden.
PayPal und andere Zahlungsdienste
Bezahldienstleister wie PayPal gehören ebenso zum Repertoire vieler Phishing-Anbieter. PayPal ist ein interessantes Ziel, da es sich um ein System mit über 200 Millionen Nutzern handelt. Betrüger nutzen hierbei eine Plattform, die unmittelbar mit Bankkonten oder Kreditkarten verknüpft ist. Heutige PayPal-Betrugsversuche sind oft durchdacht, sodass sie nicht direkt als Phishing zu erkennen sind. So verwenden Kriminelle das Original-Logo sowie überzeugende kleingedruckte Text-Passagen. Auch diese Phishing-Mails setzen oft auf Angst und Dringlichkeit. Sie warnen beispielsweise davor, dass es ein Problem mit dem Konto gebe, das nun sofort zu beheben sei.
Google Docs
Eine neuere Phishing-Technik, die besonders ausgeklügelt ist, stellt der Betrug mit Google Docs dar. Hier können Absender sich als persönlich bekannte Kontakte ausgeben. Angreifer ermutigen Empfänger zum Klick auf einen Link, um ein angebliches Dokument anzuzeigen. Der Link führt zu einer Seite, die der Anmelde-Seite des E-Mail-Anbieters Gmail ähnelt. Nach der Auswahl des Kontos erfolgt eine Aufforderung, den Zugriff auf das eigene Google-Konto zu gewähren. Infolgedessen hat der Angreifer ein leichtes Spiel, die eigenen Google-Daten zu nutzen.
Datenschutz-Missbrauch für Phishing-Versuche
Besonders seit dem Inkrafttreten der DSGVO (Datenschutzgrundverordnung) ist dieses Thema von fortwährender Beliebtheit bei Cyber-Angreifern. Unter falscher Identität versenden sie E-Mails, in denen behauptet wird, der Gesetzgeber würde sie zur Überprüfung der Kundendaten verpflichten. Hierbei werden Kunden aufgefordert, die eigenen Daten anzugeben. Häufiger tritt dieses Phänomen beispielsweise unter der falschen Identität PayPals auf.
Amazon und andere Online-Shops
Online-Shops und Händler wie Amazon gehören ebenfalls zu Unternehmen, deren Namen gerne von Cyber-Kriminellen zu Phishing-Zwecken missbraucht werden. Eine typische Formulierung im Namen eines angeblichen Online-Händlers lautet „Ihr Konto wurde eingeschränkt“. Diese Botschaft wird beispielsweise im Namen von Amazon.de oder Amazon.com versendet. Der Vorwand lautet, die Daten müssten vor Missbrauch geschützt werden. Angreifer versuchen im Rahmen dessen, ahnungslose Kunden zur Eingabe der Daten zu bewegen. Angeblich drohe hierbei bei fehlender Eingabe der Daten eine endgültige Sperrung des Kontos. Bei Eingabe der Daten können Angreifer auf Kosten betrogener Kunden Ware bestellen oder auf Amazon-Dienste des Kunden zugreifen.
Phishing mit Banken und Sparkassen
Auch Kreditinstitute gehören zu den Unternehmen, deren Namen Betrüger gerne zu Phishing-Zwecken nutzen. Ein stets aktuelles Phänomen ist die angebliche Sicherheitsüberprüfung. Bankkunden werden hierbei in einem angeblichen Sicherheits-Abfrageformular zur Eingabe sensibler Daten aufgefordert. Oft haben es Betrüger auf Kunden der Volks- und Raiffeisenbanken abgesehen. Da es sich um mehr als 18 Millionen Kunden allein in Deutschland handelt, ist die Wahrscheinlichkeit hoch, auch bei vollkommen willkürlich versandten Massen-Mails Kunden dieser Kreditinstitute zu erreichen.
Im Anschreiben stellen Cyber-Betrüger die Behauptung auf, Kunden müssen sich für einen angeblichen Datenabgleich legitimieren. Andernfalls drohe eine Sperrung des Kontos. Zu erkennen ist der Phishing-Versuch oft an einer falschen Schreibweise des Namens des Kreditinstituts. Ebenso erfolgt das Anschreiben meist auf unpersönliche Art und Weise.
Noch attraktiver sind Sparkassen-Kunden für Phishing-Betrüger, da die Sparkassen fast 40 Millionen Kunden-Konten in Deutschland zählen. Die Methoden der Betrüger werden immer besser, da bei Sparkassen-Kunden meist eine persönliche Ansprache erfolgt. Kunden werden aufgefordert, angeblich veraltete Daten neu einzugeben. Es gilt auch hier der Grundsatz, dass seriöse Kreditinstitute ihre Kunden niemals via E-Mail zur Eingabe sensibler Daten auffordern.