Ein Großteil unseres Privat- und Berufslebens spielt sich im Internet ab – vom Online-Banking über den Kontakt mit Freunden und Familie bis hin zum Entspannen nach einem langen Tag mit unseren Lieblingsfilmen und -serien. Das Internet bietet uns also viele Vorteile, die uns das Leben erleichtern. Es kann jedoch auch ein beliebter Ort für Cyberkriminelle sein, die Identitäten stehlen wollen. 

Eine gängige Methode ist es, Menschen dazu zu verleiten, persönliche Daten preiszugeben oder auf Links zu klicken, über die u. a. Malware heruntergeladen wird. Häufig imitieren die Kriminellen vertrauenswürdige Personen bzw. Institution, oder geben vor, eine persönliche Beziehung zum Opfer zu haben. Diese Form betrügerischer Online-Nachrichten wird als “Phishing” bezeichnet. 

Wir alle kennen das Sprichwort: Wissen ist Macht. Wenn Sie wissen, was Phishing-Betrug ist, wie er funktioniert und woran Sie ihn erkennen, können Sie sich davor schützen und das Internet wieder so nutzen, wie es ursprünglich gedacht war. Im Folgenden erläutern wir, was Sie wissen sollten. 

Wie funktioniert Phishing?

Wahrscheinlich haben Sie bereits von dem Begriff “Phishing” gehört, wissen aber nicht unbedingt, was sich dahinter verbirgt. Hier ein kurzer Überblick.  

Phishing ist eine Form der Cyberkriminalität, bei der Betrüger Nachrichten versenden, die scheinbar von vertrauenswürdigen Absendern wie großen Unternehmen stammen. Im Grunde versuchen die Betrüger, das Vertrauen der Empfänger durch sogenannte Social-Engineering-Techniken auszunutzen. Häufig wollen sie so an sensible Daten wie Kennwörter, Finanzdaten und Kreditkartennummern gelangen. Mithilfe dieser Daten erlangen sie dann Zugriff auf Kreditkarten oder Bankkonten. 

Das Problem bei Phishing-Angriffen ist jedoch, dass sie meist über unterschiedliche Kommunikationskanäle erfolgen:

  •  E-Mails: Dies ist die häufigste Form des Phishings; 96 % der Phishing-Angriffe erfolgen per E-Mail. 
  • Telefonanrufe: Betrüger hinterlassen Nachrichten, bei denen sie die Opfer dazu auffordern, eine Telefonnummer anzurufen, unter der sie ihre persönlichen Daten angeben sollen.  
  • SMS-Nachrichten: Mit einer SMS sollen die Opfer dazu verleitet werden, auf Links zu einer schädlichen Website zu klicken 
  • WLAN-Spoofing: Betrüger erstellen einen kostenlosen WLAN-Hotspot, der wie ein normaler Zugangspunkt aussieht. Sobald sich jemand damit verbindet, erlangen sie Zugriff auf das System des Benutzers. 

An welchen Informationen sind Phishing-Betrüger interessiert?

Wie bereits erwähnt, wollen Phishing-Betrüger an sensible Daten gelangen. Doch welche sind das genau? Hier ist eine Liste von Informationen, die mit Phishing-Angriffen häufig erbeutet werden sollen:

  • Anmeldedaten (z. B. E-Mail-Adressen und Kennwörter)
  • Kreditkartendaten
  • Bankkontonummern
  • Sozialversicherungsnummern
  • Unternehmensdaten

Die verschiedenen Arten von Phishing-Angriffen

Phishing-Betrug tritt in vielen Formen auf. Wenn Sie die häufigsten Arten von Phishing-Angriffen kennen, können Sie sich besser vor Identitätsdiebstahl schützen. Im Folgenden werden diese erläutert.

Phishing-E-Mails

Phishing-E-Mails sind betrügerische E-Mails, die so aussehen, als kämen sie von einem seriösen Unternehmen oder einer vertrauenswürdigen Person. Häufig werden Sie darin aufgefordert, persönliche Daten weiterzugeben oder auf einen Link zu klicken, über den Malware heruntergeladen wird. Ein Beispiel dafür wäre eine E-Mail, die angeblich von der Sparkasse stammt und Sie dazu auffordert, sich wegen verdächtiger Aktivitäten bei Ihrem Bankkonto anzumelden, um Ihre Daten zu verifizieren.  

Zum Glück lassen sich solche Phishing-Angriffe an bestimmten Anzeichen erkennen. 

  • Der Text enthält Rechtschreib- und Grammatikfehler. Wenn die E-Mail voller Rechtschreib- und Grammatikfehler ist, handelt es sich wahrscheinlich um einen Phishing-Betrug. Unternehmen versenden keine E-Mails, die voller Fehler sind. 
  • Eine Bank bittet um Ihre persönliche Daten. Finanzinstitute senden Ihnen keine E-Mails, um sie nach persönlichen Daten wie Ihrer PIN, Sozialversicherungsnummer oder Kontonummer zu fragen. Löschen Sie diese E-Mails sofort, und geben Sie keine Informationen weiter. 
  • Die URL passt nicht. Um die E-Mail-Adresse des Absenders anzuzeigen, bewegen Sie den Mauszeiger über den Namen des Absenders oder den Link in der E-Mail. Wenn die Absenderadresse nicht mit dem angezeigten Namen übereinstimmt, ist das ein klares Warnsignal. Wenn zum Beispiel die E-Mail-Adresse von einer angeblich von DHL stammenden E-Mail nicht den Firmennamen enthält oder dieser falsch geschrieben ist, handelt es sich höchstwahrscheinlich um eine Phishing-E-Mail. Um die URL eines Links auf einem Smartphone zu überprüfen, halten Sie Ihren Finger lange auf dem Link gedrückt. 
  • Die E-Mail enthält keine persönliche Ansprache. Die Unternehmen, bei denen Sie Kunde sind, sprechen Sie in der Regel mit Ihrem Namen an. Phishing-E-Mails dagegen enthalten meist allgemeine Begrüßungen wie “Sehr geehrter Kunde”.
  • Der Text vermittelt ein Gefühl der Dringlichkeit. Phishing-Nachrichten täuschen eine Notsituation vor, um Sie zu einer unüberlegten Handlung zu verleiten. Häufig wird behauptet, dass Ihr Konto gesperrt wird, wenn Sie Ihre persönlichen Daten nicht sofort bestätigen. Bei E-Mails, in denen Sie zum sofortigen Handeln aufgefordert werden, handelt es sich in der Regel um Phishing-Betrug. Ein seriöses Unternehmen räumt seinen Kunden eine angemessene Frist zur Reaktion ein, bevor es Konten schließt. 
  • Die E-Mail stammt von einem unbekannten Absender. E-Mails von unbekannten Absendern oder von Unternehmen, bei denen Sie kein Kunde sind, sollten Sie löschen. Vorsicht ist auch bei ungewöhnlichen oder verdächtigen Nachrichten von bekannten Personen geboten. 

Spear-Phishing

Im Unterschied zu Phishing-E-Mails, die an sehr viele Empfänger gesendet werden, nehmen Spear-Phishing-E-Mails gezielt bestimmte Personen oder Unternehmen ins Visier. Die Betrüger stellen im Voraus Nachforschungen über die Empfänger an und passen die Nachricht so an, dass die Opfer eher darauf hereinfallen. 

Dies sind Beispiele für Spear-Phishing-E-Mails:

  • Hacker-Angriff auf Unternehmen: Cyberkriminelle senden E-Mails an Mitarbeiter eines Unternehmens, um Schwachstellen in einem Unternehmensnetzwerk zu finden. Meist sehen die E-Mails aus, als kämen sie von einer vertrauenswürdigen Quelle. Um das Netzwerk des Unternehmens zu infizieren reicht es aus, wenn nur ein einziger Empfänger auf den Download-Link für Ransomware klickt.
  • Eine Nachricht vom Chef: Ein Angestellter erhält eine betrügerische E-Mail, die scheinbar von einer Führungskraft stammt und in der er aufgefordert wird, Unternehmensdaten weiterzugeben oder die Zahlung an einen Lieferanten vorzuziehen. 
  • Social-Media-Betrug: Cyberkriminelle können die Informationen in Ihrem Social-Media-Profil nutzen, um Nachrichten mit Forderungen nach Geld oder Daten zu schreiben. So könnte beispielsweise eine Großmutter eine SMS mit dem Namen ihres Enkelkindes erhalten, in der sie wegen eines Notfalls um Geld gebeten wird. Ruft sie das Kind an, um sich zu vergewissern, stellt sich jedoch heraus, dass es zu Hause ist und es ihm gut geht.

Eine der besten Schutzmaßnahmen gegen Spear-Phishing ist es, den Absender einer E-Mail direkt zu kontaktieren, um die Richtigkeit der Anfrage zu überprüfen. Rufen Sie den Kollegen an, der Sie um eine Überweisung bittet, oder melden Sie sich bei Ihrem Amazon-Konto an, um zu prüfen, ob es nach neue Nachrichten gibt. 

Klon-Phishing

Bei dieser sehr individuell auf das Opfer zugeschnittenen Betrugsmasche verwenden die Betrüger eine echte E-Mail, die Sie in der Regel zuvor erhalten haben, und fügen daran Anhänge oder schädliche Links zu einer gefälschten Website ein. Für den Empfänger sieht es dann so aus, als ob die E-Mail erneut vom Absender gesendet wurde. Wenn Sie auf einen schädlichen Link klicken, erhalten Spammer möglicherweise Zugriff auf Ihre Kontaktliste. An diese Kontakte werden dann gefälschte E-Mails geschickt, die aussehen, als stammten sie von Ihnen.

Geklonte Phishing-E-Mails sehen äußerst überzeugend aus. Es gibt jedoch Methoden, um sie zu erkennen:

  • Haken Sie sofort nach. Rufen Sie die Website der Bank, des Online-Händlers oder des Unternehmens auf, um zu sehen, ob wirklich Handlungsbedarf besteht. 
  • Sehen Sie sich die URL genauer an. Vertrauen Sie nur Websites, die mit HTTPS beginnen, und niemals solchen, die nur mit HTTP beginnen. 
  • Suchen Sie nach Fehlern. Achten Sie wie bei jeder potenziellen Phishing-E-Mail auf Rechtschreibfehler und schlechte Grammatik. 

Voice-Phishing

Beim Voice-Phishing (engl. für “Stimme”, kurz Vishing) rufen Betrüger Sie an und versuchen, Ihnen sensible Daten zu entlocken. Häufig fälschen Sie die Telefonnummer, um den Eindruck zu erwecken, der Anruf komme von einem lokalen Unternehmen oder sogar von Ihrem eigenen Anschluss. Vishing-Anrufe sind in der Regel automatische Anrufe, die eine Sprachnachricht hinterlassen oder Sie auffordern, eine Taste zu drücken, um eine Verbindung herzustellen. Die Betrüger versuchen auf diese Weise, an Kreditkartendaten oder persönliche oder finanzielle Informationen zu gelangen, um damit Identitätsdiebstahl zu begehen.

Zum Glück können Sie diese Angriffe an folgenden Anzeichen erkennen:  

  • Der Anruf stammt von einer Behörde. Wenn der Anrufer sich als Mitarbeiter einer Behörde ausgibt, handelt es sich wahrscheinlich um einen Betrugsversuch. Behörden wie das Finanzamt rufen Sie nicht an und schicken Ihnen auch keine SMS oder E-Mails, es sei denn, Sie haben darum gebeten. 
  • Sie sollen sofort handeln. Oft versuchen Betrüger, ihren Opfern Angst zu machen und sie so zum schnellen Handeln zu bewegen. Handlungsdruck ist ein eindeutiges Zeichen für Betrug. 
  • Sie werden um persönliche Daten gebeten. Wenn der Anrufer Sie nach Ihren Daten fragt, ist dies eindeutiges Warnsignal. In einigen Fällen besitzen sie sogar einen Teil Ihrer Daten, bspw. die ersten Ziffern Ihrer Sozialversicherungsnummer. Die Betrüger gaukeln dann Ihnen vor, dass der Anruf echt ist, und wollen Sie dazu bringen, weitere Informationen preiszugeben. 

Es gibt einige Maßnahmen, die Sie ergreifen können, um sich vor Vishing-Anrufen zu schützen. Gehen Sie nicht ans Telefon, wenn Sie die Nummer nicht kennen. Leiten Sie den Anruf auf die Mailbox um und blockieren Sie die Nummer, wenn es sich nicht um einen seriösen Anruf handelt. Verwenden Sie eine Anrufsperre, die eingehende Anrufe auf Ihrem Mobiltelefon filtert. Um Anrufe auf einem Festnetzanschluss zu blockieren, wenden Sie sich an Ihren Anbieter und erkundigen Sie sich nach den Möglichkeiten.

Wenn Sie es mit Cyberkriminellen zu tun haben, müssen Sie nicht höflich sein. Sollten Sie versehentlich einen Vishing-Anruf entgegennehmen, legen Sie bitte sofort auf. Beantworten Sie keine Fragen, auch nicht mit ja oder nein. Ihre Stimme könnte aufgezeichnet und für Identitätsdiebstahl missbraucht werden. Drücken Sie auch keine Taste, wenn Sie gefragt werden, ob Sie aus der Anrufliste gelöscht werden möchten. Andernfalls erhalten Sie weitere Anrufe.

Wenn Sie eine Sprachnachricht erhalten und sich fragen, ob diese echt ist, rufen Sie das Unternehmen am besten direkt unter der Telefonnummer an, die auf der entsprechenden Website angegeben ist. Rufen Sie auf keinen Fall die in der Sprachnachricht angegebene Nummer an.

Smishing

Wenn Sie schon einmal eine SMS erhalten haben, die angeblich von Amazon oder DHL stammt, dann sind Sie bereits Opfer von Smishing (SMS-Phishing) geworden. Bei dieser Methode schicken die Betrüger SMS-Nachrichten mit schädlichen Links an die Smartphones ihrer Opfer, in der Hoffnung, dass diese darauf klicken. Hier einige Beispiele für typische betrügerische SMS-Nachrichten:

  • Gewonnene Preise: Wenn es zu schön klingt, um wahr zu sein, handelt es sich wahrscheinlich um Betrug. 
  • Falsche Rückerstattungen: Seriöse Unternehmen schreiben Ihnen den Betrag auf Ihrem Bankkonto oder Ihrer Kreditkarte gut, anstatt Ihnen eine SMS zu schicken. 
  • Angehörige in einer Notsituation: Bei diesen Nachrichten wird häufig um eine Kaution oder andere Hilfe für einen Verwandten gebeten, der sich gerade im Ausland befindet. 
  • Nachrichten von Behörden: Löschen Sie diese SMS sofort löschen, da Behörden Angelegenheiten niemals per SMS erledigen. 
  • SMS-Nachrichten von Unternehmen wie Amazon oder Apple: Diese Unternehmen werden häufig nachgeahmt, da sie von sehr vielen Menschen genutzt werden. 

Wenn Sie eine betrügerische SMS erhalten, sollten Sie nicht darauf antworten, da Sie sonst weitere SMS erhalten. Löschen Sie stattdessen die Nachricht und blockieren Sie die Nummer. 

Pop-up-Phishing

Bei Pop-up-Phishing geht es um gefälschte Pop-up-Anzeigen, die beim Surfen auf einer Website angezeigt werden. Häufig werden Sie dabei aufgefordert, auf einen Link zu klicken oder eine Nummer anzurufen, um das angebliche Problem zu lösen. Einige davon laden sich immer wieder neu, wenn Sie versuchen, sie zu schließen, oder Ihr Browser stürzt ab.  

Folgende Pop-ups treten häufig auf:

  • Warnung vor einem infizierten Computer: Bei diesen betrügerischen Anzeigen sollen Sie dazu zu verleitet werden, auf einen Link zu klicken, um Viren von Ihrem Computer zu entfernen. Um noch mehr Druck aufzubauen sind einige sogar mit einem gefälschten Countdown-Timer versehen, die Ihnen einige Sekunden Zeit geben, um auf einen Link zu klicken und eine Virenschutzsoftware zu installieren. In Wirklichkeit jedoch wird über den Link Malware installiert. Seriöse Virenschutzsoftware wie McAfee Total Protection tut dies nicht, sondern schützt sie stattdessen vor Bedrohungen wie Malware, Phishing usw. 
  • AppleCare-Verlängerung: Bei diesem Pop-up sollen Sie eine gefälschte Apple-Nummer anrufen, um Ihre Kreditkartendaten für die Verlängerung Ihrer Apple-Garantie einzugeben.
  • Pop-ups von angeblichen E-Mail-Anbietern: Diese Pop-up-Fenster, die angeblich von Ihrem E-Mail-Anbieter kommen, fordern Sie auf, persönliche Daten einzugeben. 

Wenn Sie ein betrügerisches Pop-up sehen, klicken Sie nicht darauf, und versuchen Sie auch nicht, die auf die Schaltfläche “Schließen” in der Anzeige zu klicken. Schließen Sie stattdessen das gesamte Browserfenster bzw. den Tab. Wenn Ihr Browser abgestürzt ist, können Sie das Programm auf dem PC mithilfe des Task-Managers beenden. Auf dem Mac klicken Sie auf das Apple-Symbol und wählen “Sofort beenden”. 

Was sollte ich tun, wenn ich Opfer von Phishing geworden bin?

Die Nutzung des Internets macht uns für viele Menschen sichtbar, auch für Betrüger. Glücklicherweise gibt es Maßnahmen, die Sie als Opfer von Phishing ergreifen können, um die digitale Welt wieder sorgenfrei genießen zu können. Hier ist eine Liste:

  • Melden Sie sich bei der Polizei. Wenden Sie sich an Ihre örtliche Polizeidienststelle, um den Identitätsdiebstahl so schnell wie möglich zu melden. Alternativ können Sie den Identitätsdiebstahl über die Onlinewachen der Polizei zur Anzeige bringen.
  • Ändern Sie Ihre Kennwörter. Wenn Sie das Kennwort zu Ihrem Bankkonto oder einem anderen Konto preisgegeben haben, melden Sie sich bei Ihrem Konto an und ändern die Kennwörter und den Anmeldenamen. Wenn Sie andere Konten mit denselben Kennwörtern haben, ändern Sie auch diese. Verwenden Sie niemals dasselbe Kennwort für mehrere Konten. 
  • Kontaktieren Sie das Kreditkartenunternehmen. Wenn Sie Ihre Kreditkartennummer weitergegeben haben, rufen Sie beim Unternehmen an und informieren es darüber. Das Unternehmen kann feststellen, ob betrügerische Abbuchungen vorgenommen wurden, Ihre aktuelle Karte sperren und eine neue Kreditkarte ausstellen. 
  • Prüfen Sie Ihre Kreditauskunft. In Deutschland können Sie bei den großen Kreditauskunfteien (Schufa, Crif, Infoscore/Experian, Creditreform und Boniversum) einmal jährlich kostenlos eine Kreditauskunft erhalten. Überprüfen Sie in der Auskunft, ob neue Konten auf Ihren Namen eröffnet wurden. 
  • Scannen Sie Ihre Geräte. Es kann sein, dass Sie während des Phishing-Angriffs Malware heruntergeladen haben. Mit Virenschutzsoftware, wie sie in McAfee Total Protection enthalten ist, können Sie Ihre Geräte in Echtzeit scannen, um schädliche Aktivitäten zu erkennen und Viren von Ihren Geräten zu entfernen.

Wie kann ich mich vor Phishing-Betrug schützen?

Sie haben das Recht, das Internet uneingeschränkt nutzen zu können. Das bedeutet jedoch auch, dass Sie Maßnahmen ergreifen müssen, um sich vor Phishing-Angriffen zu schützen. Folgendes können Sie tun, um Ihre Cybersicherheit zu verbessern und sich vor Betrügern zu schützen:

  • Klicken Sie nicht auf Links in E-Mails. Wenn Sie eine E-Mail von Ihrer Bank oder einem Unternehmen wie Amazon erhalten haben, öffnen Sie ein neues Browserfenster, und gehen Sie direkt auf die Website des Unternehmens. Klicken Sie nicht auf die Links in der E-Mail. 
  • Verwenden Sie eindeutige Kennwörter. Wenn Sie dasselbe Kennwort für mehrere Konten verwenden, kann ein Hacker, der in eines Ihrer Konten eindringt, Zugriff auf alle Ihre Konten erlangen. Verwenden Sie für jedes Ihrer Konten ein unterschiedliches Kennwort. Ein Kennwort-Manager wie McAfee True Key kann Ihnen helfen, starke und eindeutige Kennwörter zu erstellen. 
  • Prüfen Sie die Sicherheit Ihres Browsers. Webbrowser wie Google Chrome und Safari können so eingestellt werden, dass sie betrügerische Websites blockieren. Gehen Sie in die Einstellungen Ihres Browsers, und passen Sie die entsprechende Sicherheitsstufe an. 
  • Verwenden Sie Spam-Filter. Alle großen E-Mail-Anbieter haben Spam-Filter, die verdächtige E-Mails in einen Junk- oder Spam-Ordner verschieben. Wenn dennoch Phishing-E-Mails in Ihrem Posteingang landen, sollten Sie diese immer als Spam kennzeichnen, damit alle anderen E-Mails von derselben Adresse im Spam-Ordner landen.  
  • Löschen Sie verdächtige E-Mails. Löschen Sie E-Mails, die beispielsweise angeblich von einer Bank kommen und Betreffzeilen haben, Dringlichkeit vermitteln.
  • Verwenden Sie Virenschutz. Alle Ihre vernetzten Geräte sollten über einen Virenschutz wie McAfee Total Protection verfügen. Aktivieren Sie die automatische Aktualisierung, um vor den neuesten Bedrohungen geschützt zu sein. 
  • Senden Sie keine Informationen per E-Mail. Banken und Kreditkartenunternehmen fragen Sie niemals per E-Mail nach persönlichen Daten. Wenn Sie Informationen von einem Finanzinstitut bestätigen lassen möchten, wenden Sie sich direkt an das Institut über die Kontaktangaben auf der Website, z. B. die Telefonnummer. 
  • Seien Sie vorsichtig auf sozialen Medien. Seien Sie vorsichtig mit den Informationen, die Sie in den sozialen Medien veröffentlichen. Umfragen, bei denen Sie persönliche Daten wie den Namen Ihres Haustiers, Ihres Lieblingsfilms usw. angeben, können Hackern eine Fülle von Informationen liefern. Stellen Sie Ihre Beiträge so ein, dass nur Ihre Freunde sie sehen können.

Schützen Sie sich beim Surfen im Internet

Phishing-Angriffe sollten kein Grund sein, das Internet nicht mehr zu nutzen. Die McAfee-Dienste zum Schutz vor Identitätsdiebstahl und die McAfee-Virenschutzsoftware schützen Sie vor Betrügern und Identitätsdieben, damit Sie die digitale Welt sorgenfrei genießen können. 

Durch die aktive Überwachung Ihrer sensiblen Daten rund um die Uhr, bei der bis zu 60 Arten von persönlichen Informationen abgedeckt werden, bietet McAfee umfassenden präventiven Schutz. Mit uns werden Sie zehn Monate früher als bei Mitbewerbern gewarnt, und können so Maßnahmen ergreifen, bevor es zu einem Missbrauch Ihrer Daten kommt. Außerdem bieten wir Versicherungsschutz für Identitätsdiebstahl in Höhe von einer Million US-Dollar und einen praktischen Wiederherstellungsdienst im Falle einer Datenkompromittierung. 

Das Beste daran ist, dass Sie sich ein individuelles Schutzpaket zusammenstellen können, das Ihren Anforderungen entspricht, darunter Virenschutz, Schutz vor Identitätsdiebstahl und Schutz für mehrere Geräte. Wir schützen Sie zuverlässig beim Surfen im Internet.