Anmerkung der Redaktion: Dies ist ein Gast-Artikel von Leonie Kaiser, Redakteurin bei dem Online-Portal Betrugstest.com. Sie hat sich auf die Themen IT-Sicherheit und Online-Betrug spezialisiert und schreibt Ratgeber-Artikel über Schutzmaßnahmen gegen Cyber-Kriminalität.
Es ist sicherlich kein Geheimnis, dass der Onlinehandel immer beliebter wird. Im Jahre 2015 machte dieser in Deutschland einen Anteil von 90% am Gesamtumsatz des Versandhandels aus. Im Durchschnitt hat jeder Deutsche im Jahre 2015 19 Warenkörbe gefüllt und auch zur Kasse gebracht. Dabei ist die Zahlung via Online-Anbieter wie PayPal mittlerweile sehr beliebt. 32% der Käufer nutzten diese und ähnliche Internetzahlungsanbieter. Derzeit gibt es Schnittstellen wie PAYMILL, die verschiedene Zahlungsanbieter für Online-Shops zusammenfassen. Dort werdet ihr lediglich auf seriöse Bezahlunternehmen weitergeleitet, um somit Phishing vorzubeugen.
Was ist Phishing?
Nur wenige wissen bisher, dass bei den Bestellungen im Internet auch viele Gefahren lauern. Die wichtigste Art des Online-Betrugs stellt dabei das sogenannte Phishing dar. Es handelt sich um ein Kunstwort, was sich von dem Englischen „fishing“ ableitet und das Fischen mit einem Köder nach Passwörtern beschreiben soll. Als „Köder“ dienen dabei gefälschte Webseiten, E-Mails oder Kurznachrichten, um empfindliche Daten eines Nutzers abzufangen. Besonders Angaben von Kredit- und Debitkarten sind ein beliebtes Ziel, aber auch Online-Anbieter wie PayPal oder Sofortüberweisung haben immer wieder Probleme damit. Die sogenannten Phisher nutzen die Informationen zum Identitätsdiebstahl und plündern dann auf diversen Wegen die jeweiligen Accounts. Zwischen 2010 und 2015 entstand durch diese Art des Diebstahls ein Gesamtschaden von 123 Millionen Euro. In dem folgenden Ratgeber möchte ich Ihnen die Tricks der Betrüger aufzeigen und wichtige Tipps zum Entlarven solcher Machenschaften geben.
Wie funktioniert Phishing?
Nutzer von Online-Banken können diesem Problem genauso begegnen wie User von sozialen Netzwerken oder Internetkaufhäusern beziehungsweise Online-Zahlungsdienstleistern. Wenn man die Masche dieser Betrüger jedoch einmal kennt, sollte man nicht mehr in eine solche Falle treten.
Zunächst wird immer ein Köder ausgeworfen. Sie bekommen eine E-Mail oder Kurznachricht von der Bank oder einem Zahlungsanbieter. Diese Mitteilung wird dem ersten Anschein nach sehr offiziell und mit dem Logo des jeweiligen Unternehmens versehen sein. Außerdem gibt es meist eine Konkrete Handlungsaufforderung, sodass Sie entweder einen Link anklicken, oder ein wichtiges Dokument im Anhang herunterladen sollen. Letzteres liegt meist als komprimierte Datei (im .zip- oder .rar-Format) vor. Wenn Sie den Köder annehmen und den Link anklicken oder die Datei herunterladen, können die persönlichen Informationen abgegriffen werden. Diesen Vorgang illustriert die folgende Infografik von Betrugstest.com noch einmal genauer:
(via www.betrugstest.com)
Bei den meisten Phishing-Mails werden Sie auf eine gefälschte Webseite geleitet, bei der Sie den Nutzernamen, die Kunden- oder Kontonummer und ihr Passwort angeben. Im Hintergrund werden die Informationen an den Phisher geschickt und das Konto kann danach geplündert werden.
Wenn es einen Anhang gibt und sich in der komprimierten Datei Malware (ein sogenanntes trojanisches Pferd) befindet, kann sogar der Kommunikationsweg zwischen dem Kunden und der Bank aufgenommen werden. So kann auch das indizierte TAN-Verfahren, das eine Liste unterschiedlicher Nummern bereithält, abgefangen werden. Eine größere Sicherheit stellt hier das Mobile TAN-Verfahren dar, da hier in einem zweiten Schritt der Phisher die mTan bekommen muss. Dazu ist es notwendig, dass entweder ein anderes Handy für das Zuschicken des Codes registriert, oder aber das eigentliche Mobiltelefon ebenfalls mit Schadsoftware infiziert wird.
In jedem Falle bekommt der Betrüger jedoch zunächst die Kontoinformationen und das Passwort, durch den Zugang zum Account können dann noch mehr persönliche Daten eingesehen und gestohlen werden.
Wie kann ich mich davor schützen?
Damit es zu diesem Datendiebstahl gar nicht erst kommt, möchte ich hier die wichtigsten Erkennungszeichen für die „Köder“ kurz erwähnen, damit Sie auf solche Phishing-Mails gar nicht erst hereinfallen und diese sofort nach der Ansicht löschen. Dann ist jeder Schaden von vornherein bereits abgewendet.
1. Absender
Meist wird als Absender ein bekannter Name einer Bank, eines Auktionshauses oder eines Zahlungsanbieters gewählt. Sehen Sie sich die E-Mail-Adresse dennoch genau an und vergleichen Sie diese mit bekannten Absendern von den jeweiligen Unternehmen. Manchmal erkennt man hier schon erste Unstimmigkeiten zur E-Mail-Adressen Struktur.
2. Empfänger
Betrachten Sie genau, an wen diese E-Mail verschickt wurde. Von den Betrügern werden in der Regel viele Opfer gleichzeitig angeschrieben. Falls also mehrere Personen in der Empfängerzeile eingetragen sind oder es sich sogar um eine Verteiler-Liste handelt, ist die Wahrscheinlichkeit sehr groß, dass es sich um eine Phishing-Mail handelt.
3. Betreff
Achten Sie immer auf den Betreff. Wenn sich dort Handlungsaufforderungen wie „Wichtig!“ oder „Dringend!“ finden, ist dies ein Zeichen für eine eher unseriöse Mitteilung. Im Allgemeinen wird eine Bank den Betreff nicht mit einem Ausruf versehen.
4. Anrede
Generell fällt bei Phishing-Mails auf, dass die Anrede teilweise unpersönlich oder auch falsch ist. In diesem Falle sollten Sie davon ausgehen, dass ein seriöses Unternehmen die Kundendaten kennt und darauf achtet, dass die Namen der Nutzer auch richtig geschrieben werden.
5. Rechtschreibung und Grammatik
Auf den schriftlichen Verkehr legen Banken und andere Institutionen sehr viel Wert. Aus diesem Grund sollten offensichtliche Schreib- oder Grammatikfehler Zweifel an der Echtheit einer E-Mail wecken. Falls demnach Endungen falsch gewählt wurden, oder sogar Umlaute (wie ü, ä, ö) nicht richtig dargestellt werden, sollten Sie Vorsicht beim Gebrauch der weiteren Inhalte walten lassen.
6. Ansicht des Links
Wenn wirklich ein Link in der Mail vorhanden ist, sollten Sie ihn sich vor dem Klicken genauer ansehen. In der Regel wird das Ziel in der linken unteren Ecke genau wiedergegeben, sodass hier überprüft werden kann, ob die Webseite überhaupt die gleiche URL hat, wie die Homepage des angegebenen Unternehmens. Wenn hier Unstimmigkeiten vorliegen und komische Zahlen in der URL erkennbar sind, oder die Domainendung falsch ist, sollten Sie nicht darauf klicken.
7. Schreibstil
Die Formulierungen der Nachricht können ebenfalls hilfreichen Aufschluss über die Echtheit geben. Werden Sie beispielsweise unter Druck gesetzt durch Fristen von 14 Tagen, durch eine Abbuchung bei Nichthandlung oder vielleicht auch durch die Androhung von Inkasso-Dienstleistern, sollten Sie sich nicht abschrecken lassen. Handeln Sie nicht aus Angst. Viele Phisher versuchen so, eine schnelle und unbedachte Reaktion auszulösen.
8. GrußFormel
Betrachten Sie abschließend die Grußformel. In der Regel wird ein seriöses Unternehmen mit einem ausgeschriebenen „Mit freundlichen Grüßen“ enden. Falls es eine untypische Wendung wie „mfg“ oder „Respektvoll“ genutzt wird, sollten Sie die Mail gleich löschen.
Normale Sicherheitsstandards beim Online Zahlungsverkehr
Wenn dennoch auf den Link in der E-Mail gedrückt wurde, kann die Website durch den Phishing-Filter des jeweiligen Browsers (beispielsweise Mozilla Firefox oder Google Chrome) geblockt werden. Dieser Filter gleicht die aufgerufene Webseite mit einer stündlich aktualisierten und kodierten Liste von Adressen ab, die als betrügerisch gemeldet wurden. In diesem Falle sollten Sie die Sicherheitseinstellungen nicht umgehen, sondern die Seite schließen und die E-Mail löschen.
Falls Sie aber weitergeleitet wurden, sollten Sie zunächst die URL der Webseite mit denen aus ihrer Favoriten-Liste abgleichen. In der Regel sind zwar bekannte Markennamen ein Teil der Internetadresse einer Phishing-Webseite aber es ist nie die gleiche. So ist die Webseite von dem Online-Zahlungsabwickler PayPal www.paypal.com/ mittlerweile sehr bekannt. Wenn Sie aber auf eine Seite mit der Adresse http://pay-pal.de weitergeleitet werden, stimmt etwas nicht und sie sollten dort auf keinen Fall ihr Daten eingeben.
Ein anderer wichtiger Aspekt ist die Verschlüsselung. Im Internet werden Kundendaten heutzutage nur noch mit sicheren SSL-Verbindungen übertragen. Die Abkürzung steht dabei für Secure Socket Layer und ist mittlerweile der Standard für abhörsichere Verbindungen im Bereich E-Banking und E-Commerce. Wenn Sie weitere Informationen zur Funktionsweise des Verfahren erhalten wollen, empfehle ich diesen Lexikon-Artikel. Wichtig ist an dieser Stelle, dass sie auf den ersten Teil der URL achten. Wenn wirklich Login-Daten abgefragt werden, muss es sich um eine HTTPS- und nicht um eine einfache HTTP-Verbindung handeln. Wenn dies nicht der Fall ist, handelt es sich um eine Phishing-Falle.
Daten versehentlich eingegeben – was kann ich tun?
Trotz aller Bemühungen kann es dennoch passieren, dass man alle Daten eingibt, auf den Login-Button klickt und dann erst realisiert, dass ein Betrüger am Werk war. In diesem Falle sollten Sie sich mit der Bank, dem Zahlungsanbieter oder dem Auktionshaus in Verbindung setzen und ihr Konto sperren lassen.
Für Banken gibt es den Sperr-Notruf 116 116. Über diese Nummer erfolgt die Weiterleitung zur jeweiligen Bankhotline. Für die Sperrung wird in der Regel die Bankleitzahl, die Kontonummer und eine Filialnummer benötigt. Außerdem gibt es Codes für das telefonische Banking. Wenn Sie diese nicht zur Hand haben, werden die Personalien überprüft und Sie werden auch nach dem aktuellen Kontostand gefragt. Die Sperrung des Kontos erfolgt nach erfolgreicher Identitätsprüfung sofort.
Wenn bereits ein Schaden entstanden ist, sollten Sie diesen zur Anzeige bringen und einen Rechtsanwalt konsultieren der sich auf Internetbetrug spezialisiert hat. Am Ende sollten Sie auch das Unternehmen über die Phishing-Mail informieren, für welches sich der Betrüger ausgegeben hat. So können andere Kunden informiert werden, damit nicht ein noch größerer Schaden entsteht.
Autor-Bio:
Leonie Kaiser ist erfahrene Redakteurin bei dem Online-Portal Betrugstest.com. Sie hat sich auf die Themen IT-Sicherheit und Online-Betrug spezialisiert und schreibt Ratgeber-Artikel über Schutzmaßnahmen gegen Cyber-Kriminalität.
