Sie sind gemein, mittlerweile erstaunlich gut gemacht und längst die Pest in unserer elektronischen Post: Phishing-E-Mails, in denen uns Online-Betrüger dazu verleiten wollen, unsere Kundendaten, Passwörter oder PIN-Codes zu verraten. Auf oft verblüffend gut nachgeahmten Webseiten sollen wir - so die oft verwendete Formulierung - "aus Sicherheitsgründen die Kontodaten bestätigen", da es angeblich "zu Fremdzugriffen durch Dritte" gekommen sei.
Alternativ verschicken die Angreifer Nachrichten, die angeblich aktuelle Rechnungen enthalten, bei denen die Dateianhänge aber mit Schadsoftware verseucht ist, die beispielsweise die Eingabe der Kontodaten protokolliert und die Informationen dann heimlich an die Hacker weiterleitet. Gerade erst schwappte wieder eine Welle mit gefälschten Telekom- und Vodafone-Rechnungen durchs Netz und in die elektronischen Postfächer.
Fast immer ist die Aufforderung garniert mit der Drohung, das Konto, der Account, der Onlinezugang oder der Telefonanschluss werde kurzfristig gesperrt, wenn man nicht sofort reagiere/die Nutzerdaten prüfe/die Rechnung begleiche. Die Lösung des Problems dagegen sei nur einen Klick entfernt, man müsse bloß dem in der Nachricht eingebetteten Link folgen ...
Bekannte Masche
Die Masche ist - eigentlich - stets die gleiche und hinlänglich bekannt. Dennoch gelingt die Überrumpelung immer noch erstaunlich oft.
Selbst wenn sich die Zahl der gemeldeten Fälle in der letztverfügbaren Kriminalstatistik 2012 auf knapp 3.500 knapp halbiert hatte, gehen Sicherheitsspezialisten davon aus, dass die Dunkelziffer um ein Vielfaches höher liegt. Dafür spricht auch, dass die Zahl der Cybercrime-Delikte insgesamt weiter stark ansteigt.
Zugleich aber wächst bei den deutschen Surfern das Bewusstsein für das Phishing-Risiko. Viele Onliner löschen daher inzwischen rigoros E-Mails mit verdächtigen Betreff-Zeilen wie etwa "WICHTIG: PASSWORT PRÜFEN", "ID wurde aus Sicherheitsgründen deaktiviert" oder "ACHTUNG KONTOSPERRE".
Die Kehrseite der Totalverweigerung: Mit allen potenziell riskanten Nachrichten verschwinden auch jene in den Orkus, in denen Telefonkonzern, Bank oder Online-Händler tatsächlich vor neuen Sicherheitsrisiken, Spam- oder Phishing-Attacken warnen wollen.
So etwa der Onlineriese Ebay, der seine Kunden nach dem millionenfachen Diebstahl von Kundendaten zur Änderung der Nutzerpasswörter aufforderte. Meine erste Reaktion beim Blick auf den Betreff "Wichtig: …" war denn auch die Annahme, es sei der nächste Phishing-Versuch.
"Wir stecken da in einem Zielkonflikt", heißt es denn auch unisono bei Online-Händlern, Bankern, Web-Shops oder Cloud-Dienstleistern: "Wir warnen unsere Kunden per E-Mail vor Phishing-Attacken, die sie ebenfalls per E-Mail erreichen."
Mit einer täuschend echt aussehenden Ebay-Anfrage und der Drohung, die Polizei ein zuschalten, erreichen die Phishing-Betrüger, dass das Opfer antwortet.
Klickt man auf den Antwort-Button, ...
... kommt man auf eine ebenfalls gefälschte Ebay-Eingabemaske.
Sogar angebliche Auktionsteilnahmen sind gefälscht..
Nach der Anmeldung auf der gefälschten Seite wird man auf eine reguläre Ebay-Seite weitergeleitet. Die läuft allerdings ins Leere. Aber so bemerken die Phishing-Opfer den Datendiebstahl womöglich gar nicht.
Nun sind die Betrüger im Besitz der Zugangsdaten und können mit dem gekaperten Ebay-Account jede Menge Unheil anrichten.
Statt also pauschal alles zu löschen, was möglicherweise ein Phishing-Versuch sein könnte, sollten Onliner wissen, wie sie getarnte Attacken im elektronischen Posteingang identifizieren können und wie sie das Risiko, den Betrügern in die Falle zu gehen, durch das richtige Verhalten beim Konto-Check noch zusätzlich minimieren können. Hier die entscheidenden Tipps: