Phishing-Betrug und wie Sie ihn vermeiden

Phishing-Betrug und wie Sie ihn vermeiden

Banner Phishing-Betrug

Bisher haben wir wohl alle schon E-Mails von ausländischen Anwälten erhalten, die uns gegen einen gewissen Anteil das Vermögen angeblicher Verwandter, die im Ausland verstorben sind, zukommen lassen möchten. Vollkommen klar: Das sind Betrüger. Doch wussten Sie, dass dennoch sage und schreibe 30 % darauf eingehen oder den Link in der E-Mail anklicken?

Phishing-Betrug ist heutzutage schon so ausgeklügelt, dass man schon sehr genau hinschauen muss, um die auf ihre Bösartigkeit hindeutenden Ungereimtheiten zu erkennen.

In dem heutigen Beitrag möchten wir Ihnen anhand einiger typischer Beispiele erklären, wie Sie Phishing-Betrug erkennen können.

Doch was ist eigentlich Phishing-Betrug?

Der Begriff „Phishing“ wurde erstmals 1996 geprägt, als Hacker Benutzernamen und Kennwörter zu Konten von America Online, heute besser als AOL bekannt, ergaunerten. Mit der Analogie zum Angeln (engl. fishing) nutzen die Betrüger E-Mails als „Köder“, um nach Kennwörtern und Bankdaten zu „fischen“. In Anlehnung an die Anfänge des Hackens durch Phreaking – die Umleitung von Anrufen durch das Senden von Tonsignalen – wurde das „f“ durch „ph“ ersetzt.

Auch wenn die „Phreaker“ sich durch die manipulierten Tonfolgen kostenlose Anrufe erschwindelten, gab es für diese Aktionen nicht wirklich Opfer (abgesehen von den Telefongesellschaften). Bei Phishing-Angriffen sieht das schon wieder ganz anders aus. Phischer wollen Sie täuschen und zur Herausgabe Ihrer privaten Daten bringen. Da Unternehmen aufwendige Sicherheitsvorkehrungen treffen, um unerlaubten Zugriff zu vermeiden, haben es Kriminelle auf das schwächste Glied in dieser Kette abgesehen: Sie.

Welche Arten von Phishing-Betrug gibt es?

Im Wesentlichen gibt es zwei Arten von Phishing:

Vorschussbetrug

Beim Vorschussbetrug wird dem Opfer ein nicht unerheblicher Anteil eines großen Geldbetrages angeboten, wofür jedoch zunächst eine kleine Anzahlung zu leisten ist. Sobald das Opfer diese Zahlung durchgeführt hat, verschwindet der Betrüger entweder ganz oder er erfindet eine Reihe weiterer Kosten, die das Opfer zunächst begleichen muss, um das versprochene Geld erhalten zu können.

Klassisches Phishing

Phishing ist der Versuch, vertrauliche Informationen zu erlangen, etwa Benutzernamen, Kennwörter oder Kreditkartendaten, in dem sich der Betrüger als vertrauenswürdige Person oder Firma ausgibt wie Microsoft, Amazon, PayPal oder sogar Ihre Bank.

Obwohl der Großteil des klassischen Phishing-Betrugs per E-Mail erfolgt, sind doch immer mehr Versuche über soziale Netzwerke und selbst Arbeitsplattformen wie Dropbox und Google Docs zu beobachten.

Bild zum Cloud-Speicher-Phishing

Über die Jahre haben wir schon viel beobachtet, etwa als ein Skype-Scambot unseren Geschäftsführer überreden wollte, seine Kreditkartendaten herauszugeben.

Wir haben auch schon zusammen mit BleepingComputer den Versuch eines Microsoft-Support-Betrügers (vom Team als Herr Z. bezeichnet) beobachtet, der uns überzeugen wollte, dass unsere virtuelle Maschine mit „Trozen“ infiziert sei, damit wir sein Produkt kaufen.

Die Betrugsmasche mit dem technischen Support ist leider so häufig, dass wir uns hier noch einmal näher damit befasst haben.

Phishing kann in den verschiedensten Formen auftauchen, daher seien hier nur die häufigsten genannt:

Irreführendes Phishing

Egal, auf welchem Weg es erfolgt (Skype, E-Mail oder Anruf), bei dieser Form des Phishings gibt sich der Betrüger als ein rechtmäßiges Unternehmen aus, um etwas von Ihnen zu erhalten. Das können private Informationen zum Identitätsdiebstahl, Ihre Kreditkartendaten oder auch Ihr Geld sein, etwa weil Sie sich zum Kauf eines tatsächlichen oder erfundenen Produkts gezwungen fühlten. Die Methoden, mit denen die Kriminellen Ihnen die Echtheit geöffneter Seiten einreden wollen, werden immer gewiefter, wie Sie auch an unseren Beispielen sehen werden.

Spear-Phishing

Während das irreführende Phishing auf eine ganze Bevölkerungsgruppe abzielt, erfolgt diese nach dem englischen Begriff für Speer benannte Form des Phishings gezielt. So erhalten Sie beispielsweise eine E-Mail, die Ihren Namen, Ihre Abteilung, Ihr Unternehmen und Ihre geschäftliche Telefonnummer angibt, oder eine Skype-Kontaktanfrage, die ebenfalls persönliche Informationen enthält.

CEO-Fraud

Bild für CEO-Fraud-Phishing

Hierbei handelt sich um eine Unterform des Spear-Phishings, bei dem die Daten eines Geschäftsführers per E-Mail, Anruf oder Skype erschwindelt werden. Mit diesen Daten wird dann eine betrügerische Aktivität durchgeführt, etwa der Mitarbeiter in der Buchhaltung dazu überredet wird, einen hohen Geldbetrag auf das Konto des Betrügers zu überweisen. Sie wird daher auch als Chef-Masche bezeichnet.

Cloud-Speicher-Phishing

Mithilfe der Plattformen, auf die heutzutage viele Menschen für ihre Arbeit vertrauen, erfolgt dieser Betrug anhand von Dokumentfreigaben. In der Vergangenheit haben Google und Dropbox diese Form des Phishings sogar unwissentlich mit SSL-Zertifikaten unterstützt, wodurch sie vollkommen legitim wirkten.

Pharming

Hier geht es um die unbemerkte Weiterleitung des Datenverkehrs von einer rechtmäßigen Seite auf eine gefälschte Version. Alle privaten Informationen, die Sie dann auf dieser Seite eingeben, gehen direkt an die Betrüger. Die Links zu diesen Seiten werden häufig durch E-Mails, Skype-Chats und Werbung in sozialen Netzwerken verteilt.

So funktioniert Vorschussbetrug: Chat mit einem Scammer

Diese E-Mail von „UBS Investment Bank London“ erschien Anfang der Woche in meinem Postfach. Der Absender – [email protected] – weckte mein Interesse.

Phishing-E-Mail von UBS

(Wie Sie an der roten Meldung sehen, gibt sogar schon das E-Mail-Programm eine Betrugswarnung aus.) Wer des Englischen mächtig ist, wird amüsiert feststellen, dass der Text keinerlei Sinn hat. Meine Neugier war geweckt. Ich wollte mehr wissen. Was hatte es damit auf sich? Und wer war Jerry Joe?

Also rief ich ihn an.

Die Telefonnummer verband mich mit einem Mann in Basingstoke, England. Dieser blieb zunächst sprachlos, bis ich ihn fragte, weshalb er mir eine E-Mail geschrieben habe. Während ich ihn befragte, fragte er mich nach meinem Namen. Er versicherte außerdem wiederholt, dass er mir gern mehr Informationen über das geschäftliche Abenteuer geben würde, auf das wir uns begeben würden. Ich müsse ihm lediglich meinen vollständigen Namen nennen.

Als ich nicht über Jerry Joes Aufforderung hinausgelangte, private Informationen am Telefon preiszugeben, antwortete ich (unter falschem Namen) von einer anderen E-Mail-Adresse aus, um mehr zu erfahren.

Innerhalb einer Stunde erhielt ich diesen Roman.

Beispiel für Vorschussbetrug

40 % von fast 8 Millionen Britischen Pfund? 100 % garantiert und risikofrei? Das ist doch was. Sollte ich zu diesem Zeitpunkt noch nicht von diesem großartigen Angebot angetan gewesen sein, waren zu meiner Überzeugung noch folgende Unterlagen angehängt.

Auch wenn ich überrascht feststellte, dass der Kontoauszug von 2014 wie in den 80er Jahren auf altem Endlospapier gedruckt worden war, schien doch alles recht überzeugend. Er fuhr fort:

 Abfrage privater Informationen

Nachdem mir nun von diesem christlichen Familienvater versichert worden war, dass es sich nicht um eine Spielerei handle und alles rechtlich überwacht werde, sollte ich mich sicher fühlen, meinem neuen „Geschäftspartner“ folgende Informationen zu geben:

  • Meinen vollständigen Namen
  • Meine vollständige Anschrift
  • Mein Alter
  • Meinen Beruf
  • Meinen Familienstand
  • Eine Kopie eines Ausweisdokuments, entweder mein Reisepass oder mein Führerschein

Ich könnte mir durchaus vorstellen, hätte ich diese Informationen herausgegeben, würde dieser „Herr“ meine Identität verwenden, um andere arme Seelen zu betrügen. Und das war sicherlich nicht das einzige Ziel der Aktion. Oft ist die Überweisung dieses neu gewonnenen Vermögens mit einer „kleinen Gebühr“ verbunden. Dafür müsste ich natürlich außerdem noch meine Kreditkartendaten bereitstellen oder Geld über Western Union oder PayPal versenden.

Bild: Phishing-Betrug

Der britische Komiker James Veitch kommuniziert immer wieder einmal mit Betrügern, um sich auf Kosten der im Internet umherspukenden Plagegeister lustig zu machen. Laut seiner Aussage ist die mit ihm verschwendete Zeit Zeit, die die Betrüger nicht nutzen können, um andere um ihre Ersparnisse zu bringen. Die Ergebnisse sind höchst unterhaltsam.

Obwohl es im Rahmen dieses Artikels offensichtlich ist, dass es sich bei den Beispielen um Betrug handelt und sie sicher auch einige Lacher anregen, handelt es sich doch um ein ernst zunehmendes Problem. Es gibt immer noch viele Leute, die sich zur Herausgabe ihrer Informationen überreden lassen, weil sie auf die betrügerische E-Mail hereinfallen oder so lange belästigt werden, bis sie es tun. Sollten Sie eine E-Mail wie die obige erhalten, löschen Sie sie einfach.

Wie sieht es mit weniger offensichtlichen Betrugsversuchen aus?

So lässt sich klassischer Phishing-Betrug entlarven

Sind Sie auch so sehr auf die richtige Schreibweise bedacht, wenn Sie eine E-Mail an einen Kunden, Ihren Chef oder einen Kollegen schicken? Wie viel Mühe muss sich dann erst ein Finanzunternehmen wie eine Bank geben, damit sämtliche Kommunikation und Marketingmaterialien fehlerfrei verschickt werden.

Sollten Sie eine E-Mail wie die folgende erhalten, können Sie sich sicher sein, dass sie nicht von der Postbank stammt:

Quelle: Stern

Auch wenn das Erscheinungsbild durchaus überzeugend ist, ist die falsche E-Mail-Adresse – das sogenannte E-Mail-Spoofing – ein erstes Anzeichen dafür, dass etwas nicht stimmt. Vielleicht fallen Ihnen auf den ersten Blick die Rechtschreibfehler nicht unbedingt auf, aber spätestens beim Schreibstil und der Aufforderung zum Anmelden über die E-Mail sollten Sie stutzig werden.

Kein seriöses Finanzinstitut weltweit würde Ihnen zur Anmeldung in Ihrem Konto einen Link schicken oder Sie auf die Seite eines Drittanbieters verweisen. Wenn Sie eine derartige E-Mail erhalten, rufen Sie die Website Ihrer Bank direkt über ein separates Fenster in Ihrem Browser auf. Hier können Sie Ihre Nachrichten sicher innerhalb des Onlinebankings abrufen. Liegt die Meldung hier auch? Ich bezweifle es.

Betrüger machen sich zunutze, dass wir rund um die Uhr mit Informationen zugeschüttet werden. Da kommt es schnell vor, dass unbedacht auf einen Link geklickt wird oder Informationen herausgegeben werden.

Halten Sie nach folgenden Merkmalen die Augen offen, die auf eine Fälschung der E-Mail hindeuten:

 

  1. In der E-Mail wird eine allgemeine Anrede verwendet (z. B. „Sehr geehrter Kunde“ oder „Hallo“).
  2. Der Betreff klingt dringend und/oder bedrohlich (z. B. „Konto gesperrt“ oder „Unerlaubter Kontozugriff“).
  3. Ihnen wird grundlos eine große Menge Geld angeboten.
  4. Die E-Mail hat keinerlei Sinn.
  5. Die E-Mail scheint von einer Regierungseinrichtung zu kommen.
  6. Die E-Mail, das Telefonat oder die Kontaktanfrage erfolgte vollkommen ungebeten und es ging keinerlei Aktion Ihrerseits voraus.
  7. Sie werden gebeten, private Informationen wie Kreditkartendaten oder Bankdaten bereitzustellen, oder auf eine Seite weitergeleitet, wo Sie sich mit Ihren Bankdaten anmelden sollen.
  8. Irgendetwas fühlt sich nicht richtig an. Wenn ein Angebot zu gut klingt, um wahr zu sein, oder Ihnen Ihr Bauchgefühl sagt, dass etwas nicht stimmt, ist es meistens auch so.

Werfen wir einen näheren Blick auf ein typisches Beispiel:

Phishing-E-Mail Netflix

Phishing-Login-Fenster Netflix

Das ist jedoch leider noch nicht alles, worauf Sie achten müssen.

Es gibt noch eine weitere Form von Phishing-Betrug, den Sie kennen sollten.

Unicode-Phishing

Schauen wir uns die Browserleiste in der Animation unten genauer an. Wenn Sie von einer E-Mail hierher weitergeleitet würden, gäbe es auf den ersten Blick kein Problem. Sieht aus wie paypal.com. Passt. Erst bei näherem Hinsehen fällt der Unterschied auf.

Beispiel für Punycode-Phishing mit PayPal

Jetzt können Sie das „ä“ und den Strich über dem zweiten „a“ erkennen. Das ist eine betrügerische Seite, auf die ich über einen Link in einer E-Mail geleitet wurde. Dies ist eine von unserem Labor immer häufiger beobachtete Methode, um Anwender glauben zu lassen, sie befänden sich auf der richtigen Seite. In diesem Fall nutzen die Betrüger aus, dass Unicode über verschiedene Schreibsysteme verfügt, die für dieselben Buchstaben einen anderen Code verwenden. Mithilfe von Punycode können die Betrüger Domain-Namen registrieren, die genau wie die bestehender Websites aussehen.

Derartig gut gefälschte Anmeldeseiten und abgewandelte URLs wie die obigen, sind der Grund dafür, dass Anwender dennoch auf den Betrug hereinfallen.

Wie können Sie sich also schützen?

So lässt sich Phishing vermeiden

Auch wenn die Betrugsmaschen immer ausgeklügelter werden, gibt es doch einige Maßnahmen, wie Sie Phishing-Angriffe vermeiden können.

  1. Klicken Sie niemals auf Links in E-Mails, die angeblich von Ihrer Bank oder einem anderen vertrauenswürdigen Unternehmen kommen. Das gilt insbesondere, wenn Sie darum gebeten werden, private Daten zu bestätigen oder zu aktualisieren. Löschen Sie derartige E-Mails sofort.
  2. Recherchieren Sie bestimmte Namen und Formulierungen aus der E-Mail im Internet, wenn Sie sich nicht sicher sind. Viele Betrugsversuche lassen sich auf diese Weise entlarven, da es etliche Berichte dazu gibt und andere Opfer oftmals auch in Foren von ihren Erlebnissen berichten.
  3. Überprüfen Sie jede Website, auf der Sie um die Eingabe privater Daten gebeten werden, auf „https:“ in der Adresse. Die zu übertragenden Informationen werden mithilfe von SSL-Zertifikaten verschlüsselt, um Identitäten und Finanzdaten im Netz zu schützen. Sollte das HTTPS in der Adressleiste fehlen, schließen Sie die Seite und suchen Sie manuell nach der sicheren Adresse. Achten Sie immer genau darauf, was in der Adressleiste steht. Schauen Sie zum Beispiel, ob es Ungereimtheiten gibt wie Symbole, die dort nicht hingehören, oder unleserliche URLs.
  4. Geben Sie niemals Auskunft über private Informationen, wenn Sie unaufgefordert angerufen wurden. Selbst wenn Sie der anrufenden Person glauben, dass sie von Ihrer Bank ist, rufen Sie sie lieber unter der auf der offiziellen Website angegebenen Nummer zurück. Hier wird Ihnen bestätigt werden, ob und weshalb angerufen wurde. Wählen Sie niemals eine Nummer, die Ihnen die anrufende Person gegeben hat.
  5. Melden Sie den Betrug immer der Anti-Phishing Work Group. Dadurch wird sichergestellt, dass sich ebenfalls von dem Betrug betroffene Anwender online darüber informieren können.

Wie Sie sehen können, versuchen einige Schurken wirklich alles, um Sie um Ihre Ersparnisse zu bringen. Dabei sind die Grenzen zwischen dem Ergattern von Informationen und dem Betrug für einen finanziellen Vorteil fast immer verwischt. Doch keine Angst. Sie haben alles, was Sie benötigen, um mögliche Phishing-Angriffe abzuwehren. Gutes Augenmerk und vernünftiges Abwägen sind die beste Verteidigung gegen jede Infektion. Sie wissen nun Bescheid, helfen Sie auch anderen, sich zu schützen.

Wir wünschen eine schöne (betrugsfreie) Zeit.

… und jetzt sind Sie dran. Erzählen Sie uns von dem verrücktesten Betrug, der Ihnen bisher begegnet ist, und wie Sie reagiert haben.