Was ist Phishing? Warnsignale und Tipps zum Schutz

Nicht selten erhalten Sie legitime Links per SMS oder E-Mail – zum Beispiel, wenn eine Bestellung zur Abholung bereitliegt, eine Rechnung fällig ist oder ein Kollege einen Anhang mit Ihnen teilen möchte. Leider sind legitime Links manchmal nur schwer von Phishing-Links zu unterscheiden, die darauf programmiert sind, persönliche Daten abzugreifen oder Geräte zu infizieren.

Was ist Phishing?

Phishing ist eine Social-Engineering-Technik – eine Cyberbedrohung, bei der sich Betrüger als vertrauenswürdiger Ansprechpartner ausgeben, um Sie zur Preisgabe sensibler Daten wie Passwörter, Kreditkartennummern oder personenbezogener Daten zu verleiten.

Phishing-Angriffe beginnen häufig damit, dass die Scammer per E-Mail, über soziale Medien oder SMS einen infizierten Link oder Anhang in Umlauf bringen. Klickt jemand darauf, wird die Malware heruntergeladen. Es kann auch sein, dass Sie einen Phishing-Anruf erhalten, bei dem sich ein Betrüger als Kundenservice- oder Tech-Support-Mitarbeiter ausgibt.

Wie funktioniert Phishing?

Phishing-Angriffe können je nach Art der Betrugsmasche unterschiedliche Formen annehmen, doch sie folgen in der Regel immer demselben Schema:

1. Der Betrüger wählt ein Ziel aus – z. B. ein Unternehmen, eine Personengruppe oder eine Einzelperson – und denkt sich einen Trick aus.
2. Anschließend entscheidet sich der "Phisher", wie diese Scammer auch genannt werden, für einen Kommunikationsweg und nimmt Kontakt zu seinem Ziel auf.
3. Ist er erfolgreich, so reagiert die Zielperson, indem sie antwortet, den Phishing-Link öffnet oder einen infizierten Anhang herunterlädt.
4. Schlussendlich geht es Phishern darum, Daten zu sammeln und diese für illegale Einkäufe oder betrügerische Handlungen wie Identitätsdiebstahl zu nutzen. 

Was ist ein Phishing-Link?

Ein Phishing-Link ist ein irreführender Link, den Cyberkriminelle einsetzen, um Sie dazu zu bringen, Ihre eigene Privatsphäre und Sicherheit zu gefährden. Wenn Sie auf einen Phishing-Link klicken, wird Malware auf Ihrem Gerät installiert oder Sie werden auf eine gefälschte ("gespoofte") Website geleitet, wo Sie zur Eingabe sensibler Daten aufgefordert werden.

Arten von Phishing-Angriffen

Phishing-Betrug kann viele Formen annehmen. Wie ein bestimmter Angriff aussieht, hängt letztlich von den Drahtziehern, von der Zielperson, von der Kommunikationsplattform und vom eigentlichen Ziel der Betrüger ab.

Hier ist ein Überblick über einige vorwiegend linkbasierte Phishing-Angriffe.

E-Mail-Phishing

Die Standard-Phishing-E-Mail wird von Betrügern verschickt, die sich als seriöse Unternehmen ausgeben, häufig als Bank oder Kreditkartenanbieter. Diese typischen Phishing-E-Mails verleiten Sie zur Preisgabe sensibler Informationen: Sie bringen Sie dazu, nichts ahnend Malware herunterzuladen, oder leiten Sie auf eine nicht sichere Website weiter, auf der Sie zur Eingabe persönlicher Daten aufgefordert werden.

Spear Phishing

Spear-Phishing-E-Mails werden nicht an einen breiten Empfängerkreis versendet, sondern richten sich ganz gezielt an eine bestimmte Person, ein bestimmtes Unternehmen oder eine bestimmte Organisation. In der Regel investieren Spear-Phishing-Angreifer viel Zeit und Mühe darauf, Informationen über ihre Ziele zusammenzutragen und sich eine glaubwürdige Persona aufzubauen. Beispielsweise könnte sich ein Betrüger als Ihr Vorgesetzter ausgeben und Ihnen ein internes Gespräch vorgaukeln, um Sie zur Preisgabe firmeninterner Informationen zu verleiten.

Clone Phishing

Bei Clone-Phishing-Angriffen erstellen Betrüger eine nahezu identische Version einer E-Mail, die das Opfer bereits erhalten hat. Die geklonte E-Mail wird von einer Adresse gesendet, die jener des ursprünglichen Absenders sehr ähnlich sieht. Auch der Inhalt ist identisch.

Lediglich der Anhang oder Link in der Nachricht wurde ausgetauscht. Wenn jemand auf diese Links in dieser "neuen" E-Mail klickt, gelangt er auf eine mit Malware verseuchte Website  – oder er öffnet einen infizierten Anhang.

Whaling

Whaling-Angriffe zielen auf Vorstandsvorsitzende, Geschäftsführer oder andere hochrangige Führungskräfte ab. Das Ziel eines Whaling-Angriffs ist es, einflussreiche Personen dazu zu bringen, sensible Unternehmensdaten preiszugeben. Diese Attacken sind ausgefeilter als gewöhnliche Phishing-Angriffe, und ihnen gehen umfangreiche Recherchen vonseiten der Betrüger voraus. In der Regel handelt es sich hierbei um Betrugs-E-Mails, die augenscheinlich von vertrauenswürdigen Ansprechpartnern innerhalb des Unternehmens oder von seriösen externen Organisationen stammen.

Pop-up Phishing

Bei dieser Betrugsmasche werden die Zielpersonen durch Fake-Werbung mithilfe von Panikmache dazu gebracht, diverse Arten von Malware zu installieren. Typisch für Pop-up Phishing ist beispielsweise eine fingierte Viruswarnung, die auf dem Bildschirm des Nutzers erscheint und diesem suggeriert, sein Computer sei infiziert und der Virus könne nur mit einer bestimmten Antivirus-Software beseitigt werden. Sobald der Benutzer die Fake-Software installiert, funktioniert sie entweder nicht oder sie infiziert den Computer sogar selbst mit Malware.

Welche Techniken setzen Phisher ein, um ihre Opfer zu manipulieren?

Um ihre Chancen zu erhöhen, an die gewünschten Informationen zu gelangen, setzen Betrüger oft eine Kombination aus verschiedenen Phishing-Techniken ein. Hier einige Beispiele:

• Social Engineering: Dabei werden die Zielpersonen durch manipulative Überzeugungstaktiken zur Preisgabe sensibler Informationen verleitet. Beispielsweise könnte sich ein Betrüger als ein Verwandter in einer Notfallsituation ausgeben, um Sie dazu zu bringen, ihm kurzfristig Geld zu überweisen.
• URL-Manipulation: Betrüger ahmen manchmal den Wortlaut echter URLs nach, um zu verschleiern, dass ein Link zu einer Phishing-Website führt. So könnten Sie beispielsweise glauben, dass Sie die offizielle Support-Seite Ihrer Bank ansteuern, aber wenn Sie mit dem Mauszeiger über den Link fahren, stellen Sie fest, dass er tatsächlich zu einer anderen Seite führt.
• Grafische Darstellung: Manchmal laden Phisher E-Mails als Bild statt als Text hoch, um zu verhindern, dass bestimmte Texte bei einem Scan durch den Phishing-Filter als Betrugsversuch entlarvt werden.
• Website-Weiterleitung: Gelegentlich nutzen Phisher eine mit Malware verseuchte Webseite als Zwischenstation zwischen ihrer Phishing-E-Mail und der echten Webseite. So könnten Sie beispielsweise auf einer von den Betrügern erstellten Webseite landen, die Ihre persönlichen Daten erfasst. Anschließend werden sie auf die echte Website weitergeleitet, um Ihren Verdacht zu minimieren, dass Sie gerade einem Phishing-Angriff zum Opfer gefallen sind.
• Kurz-URLs: Eine weitere beliebte Phishing-Methode ist die Verschleierung von Links zu gefährlichen Websites mithilfe von Kurz-URL-Diensten.
• Typosquatting: Beim sogenannten Typosquatting registriert ein Phisher Domains, die einer legitimen Domain sehr ähnlich sind, in der Hoffnung, dass die Zielpersonen den Unterschied nicht bemerken. Ein Betrüger, der sich als Amazon-Kundendienstmitarbeiter ausgibt, könnte beispielsweise eine Phishing-Seite unter der URL "Amazpn.com" erstellen.
• KI-Stimmgeneratoren: Betrüger können KI-Stimmgeneratoren einsetzen, um sich als Personen des öffentlichen Lebens oder als Ihre Bekannte auszugeben und Sie dazu zu bringen, vertrauliche Informationen preiszugeben.
• Chatbots: Manche Betrüger setzen auch KI-gestützte Chatbots ein, um hochgradig personalisierte Phishing-Nachrichten zu erstellen, die keine der typischen Rechtschreib- und Grammatikfehlern enthalten, die oft mit Phishing-Angriffen in Verbindung gebracht werden.

Nun, da Sie die Tricks der Betrüger besser verstehen, wollen wir uns als Nächstes typische Warnsignale eines Phishing-Angriffs ansehen.

Was kann man tun, wenn man auf einen Phishing-Link geklickt hat?

Falls Sie durch einen Phishing-Betrug dazu verleitet wurden, auf einen verseuchten Link zu klicken, ist es wichtig, schnell zu handeln, um den Schaden einzugrenzen. Beenden Sie zunächst jegliche Interaktion: Brechen Sie die Kommunikation mit dem Angreifer ab, halten Sie alle aktiven Downloads an, und schließen Sie die Fake-Website, falls Sie per URL auf eine solche weitergeleitet wurden. Sichern Sie dann Ihr Gerät ab, und überwachen Sie Ihr Kreditkonto und andere Konten auf Anzeichen von Betrug.

Beenden Sie jegliche Interaktion

Wenn Sie bemerken, dass Sie in eine Phishing-Falle getappt sind, sollten Sie sofort alle laufenden Aktivitäten abbrechen. Schließen Sie beispielsweise, je nach Situation, das Fenster mit der Fake-Website, oder halten Sie laufende Downloads an. Wenn Sie nach dem Klicken auf einen Phishing-Link jegliche Interaktion beenden, kann das zum Schutz Ihrer Daten beitragen, da dann keine sensiblen Informationen mehr an den Angreifer übermittelt werden können.

Trennen Sie Ihre Internetverbindung

Das Trennen der Internetverbindung nach dem Klicken auf einen Phishing-Link ist eine weitere Möglichkeit, eine laufende Datenübertragung zu stoppen. Dies ist eine gute Option, um Hintergrundprozesse zu beenden und die Ausbreitung von Malware auf andere Geräte in Ihrem Netzwerk zu verhindern.

Ändern Sie Ihre Passwörter

Verwehren Sie den Angreifern den unberechtigten Zugriff auf Ihre Konten, indem Sie alle Anmeldedaten ändern, die möglicherweise offengelegt wurden, als Sie auf den Phishing-Link geklickt haben.  Erstellen Sie lange und einzigartige Passwörter aus einer Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen für maximale Sicherheit, um Hacker fernzuhalten.

Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA)

Falls Sie kürzlich auf einen Phishing-Link geklickt haben, sollten Sie Ihre Konten durch die  Zwei-Faktor-Authentifizierung (2FA) zusätzlich absichern. Dies trägt zum besseren Schutz Ihrer Konten bei, selbst wenn ein Hacker Ihr Passwort in die Hände bekommt, da die 2FA-Methode von den Nutzern die Eingabe eines zusätzlichen Verifizierungscodes erfordert, der direkt an ein anderes Gerät gesendet wird.

Informieren Sie die Kreditauskunfteien

Betroffene in den USA können die drei nationalen Auskunfteien – Experian®, Equifax® und TransUnion® – über deren Websites über den Phishing-Angriff informieren und den Zugriff auf ihre Kreditauskunftsdatei sperren lassen. So verhindern Sie, dass Kriminelle neue Kreditkonten eröffnen oder Kredite in Ihrem Namen aufnehmen können.

Kontaktieren Sie Ihre Kreditkartenanbieter und überprüfen Sie Ihre Kontoauszüge

Falls Sie einem Betrüger Ihre Kreditkartendaten verraten haben, kontaktieren Sie umgehend Ihren Kreditkartenanbieter. Dieser kann Ihnen dabei helfen, Ihre Kreditkarte sperren zu lassen, um nicht autorisierte Käufe zu verhindern, und Ihre Kontoauszüge auf betrügerische Transaktionen zu überprüfen. Möglicherweise können Sie sich sogar Bestellungen erstatten lassen, die die Betrüger mit Ihrer Karte aufgegeben haben.

Überprüfen Sie Ihre Kreditauskunft

In den Monaten, nachdem Sie auf den Phishing-Link geklickt haben, sollten Sie regelmäßig Ihre Kreditauskunftsdatei auf Anzeichen von Identitätsdiebstahl und Finanzbetrug überprüfen. So können Sie feststellen, ob jemand in Ihrem Namen Darlehen oder Kreditkarten beantragt.

Melden Sie den Phishing-Angriff

Markieren Sie Phishing-Nachrichten oder -Anrufe als Spam oder Junk. Zeigen Sie den Phishing-Versuch anschließend an, um die zuständigen Stellen zur Bekämpfung von Cyberkriminalität bei der Bedrohungsverfolgung und bei der Eindämmung künftiger Phishing-Angriffe zu unterstützen.

So melden Sie Phishing-Nachrichten:

• Melden Sie Phishing-SMS durch Weiterleitung an SPAM (7726).
• Melden Sie Phishing-E-Mails durch Weiterleitung an reportphishing@apwg.org.

Scannen Sie Ihr Gerät auf Malware

Mithilfe von Antivirus-Software wie Norton 360 Deluxe können Sie Online-Angriffe erkennen und blockieren. Damit können Sie Phishing-Betrüger auch davon abhalten, Sie weiterhin auszuspionieren oder Ihre persönlichen Daten zu stehlen.

Woran erkenne ich einen Phishing-Angriff, bevor ich auf einen infizierten Link klicke?

Heutzutage sind Phisher wesentlich geschickter darin, ihre Ziele zu ködern und in die Falle zu locken, als noch vor ein paar Jahren. Dennoch gibt es verschiedene Möglichkeiten, einen Phishing-Angriff zu entlarven, bevor es zu spät ist. Hier einige Beispiele:

• Verdächtig gute Angebote: Seien Sie vorsichtig bei E-Mails, in denen extrem günstige Produkte oder Services beworben werden. Wenn ein Angebot zu gut erscheint, um wahr zu sein, dann ist es wahrscheinlich auch so.
• Anfragen nach persönlichen Daten: Seriöse Institute wie Banken fragen niemals per E-Mail nach Kontodaten – geben Sie Informationen dieser Art also niemals auf diesem Weg weiter.
• Rechtschreib- und Grammatikfehler: Phishing-E-Mails und SMS-Nachrichten enthalten häufig Tippfehler und holprige Formulierungen.
• Generische Anrede: Häufig verzichten Phishing-Betrüger in E-Mails auf eine persönliche Anrede, da sie ein möglichst breites Publikum ansprechen und so viele Menschen wie möglich in die Falle locken wollen. Deshalb sind ihre E-Mails möglicherweise an einer unpersönlichen Anrede wie "Sehr geehrte Damen und Herren" oder "Sehr geehrter Kontoinhaber" zu erkennen.
• Handlungsdruck: Phisher nutzen dringliche Formulierungen, um Sie dazu zu bringen, übereilt auf Links zu klicken. Lassen Sie sich nicht unter Druck setzen; nehmen Sie sich Zeit zum Lesen und Beantworten von E-Mails.
• Unbekannte Absender: Löschen Sie die E-Mails von unbekannten Absendern, ohne auf etwas zu klicken – insbesondere dann, wenn Sie deren Identität nicht bestätigen können.
• Vertraute Absender: Auch scheinbar vertraute E-Mail-Adressen können gefälscht sein. Falls der Tonfall, der Kommunikationskanal oder der Inhalt verdächtig erscheint, kontaktieren Sie die Person über einen anderen Weg, um sich zu vergewissern, dass die Nachricht tatsächlich von ihr stammt.
• Verdächtige Links und Anhänge: Bevor Sie auf einen Link klicken, bewegen Sie den Mauszeiger darüber und prüfen Sie die URL auf Unstimmigkeiten. Ähnlich sollten Sie bei Anhängen verfahren.
• Analysieren Sie Nachrichten mit einem Betrugserkennungstool: Wenn Ihnen eine Nachricht verdächtig erscheint, können Sie mithilfe eines Betrugspräventionstools wie Norton Genie überprüfen, ob sie echt ist.

Woher soll ich wissen, ob ich auf einen Phishing-Link geklickt habe?

Möglicherweise bemerken Sie nicht sofort, dass Sie auf einen Phishing-Link geklickt haben, da es einige Zeit dauern kann, bis verdächtige Anzeichen auftreten.

Folgende Warnsignale weisen auf einen möglichen Phishing-Angriff hin:

• Verdächtige Weiterleitungen, durch die Sie auf unprofessionell gestaltete Websites mit Rechtschreibfehlern und merkwürdigen Zeichen in der URL landen.
• Aufdringliche Anfragen nach persönlichen Daten, zum Beispiel ein Formular, in dem Sie zur Angabe sensibler Daten wie Ihrer Sozialversicherungsnummer oder Ihrer Kontodaten aufgefordert werden.
• Nachrichten und Angebote, die zu schön sind, um wahr zu sein – z. B. kostenlose Urlaubsreisen oder Stellenangebote mit überdurchschnittlich hohem Gehalt, die Sie dazu verleiten sollen, mit dem Betrüger in Kontakt zu treten.
• Handlungsdruck erzeugende Formulierungen in Nachrichten oder Website-Texten, die Sie durch Panikmache dazu bringen sollen, ohne nachzudenken auf einen Link zu klicken.

Schützen Sie sich mit Norton vor Online-Angriffen

Cyberkriminelle ersinnen ständig neue Phishing-Angriffe und andere Betrugsmaschen. Daher benötigen Sie eine hochmoderne Sicherheitssoftware, um Ihre Abwehr zu stärken.

Norton 360 Deluxe hilft Ihnen dabei, Ihre Geräte sicherer zu nutzen – mit leistungsstarkem Malware- und Virenschutz, ausgefeilten Anti-Hacking-Funktionen und sogar einem Fake-Website-Blocker zur Abwehr von Datendiebstahl.

Häufig gestellte Fragen zu Phishing

Wenn Ihre Fragen über ein simples "Was ist Phishing?" hinausgehen, dann haben wir die passenden Antworten für Sie. In diesem FAQ-Abschnitt erfahren Sie mehr über Phishing-Betrug.

Wer sind die Ziele von Phishing-Angriffen?

Jeder kann Ziel eines Phishing-Angriffs werden. Um ihre Erfolgschancen zu erhöhen, senden Phishing-Betrüger ihre Nachrichten oft an möglichst viele E-Mail-Adressen oder Telefonnummern.

Kann KI für Phishing-Angriffe eingesetzt werden?

Ja, Betrüger können KI einsetzen, um ihre Mitteilungen überzeugender klingen zu lassen. Sie könnten beispielsweise mithilfe von KI realistische Phishing-Nachrichten ohne Rechtschreib- und Grammatikfehler erstellen, die sehr echt wirken.

Kann man durch das Öffnen einer SMS zum Opfer von Betrug werden?

Nein, das bloße Öffnen einer betrügerischen SMS ist unbedenklich. Das Klicken auf Links in diesen SMS oder das Antworten darauf kann Sie jedoch Malware aussetzen oder Sie dazu verleiten, persönliche Daten preiszugeben.

Was kann man tun, wenn man auf dem Handy auf einen verdächtigen Link klickt?

Falls Sie auf Ihrem Smartphone auf einen verdächtigen Link klicken, schließen Sie die Website, halten Sie alle aktiven Downloads an und trennen Sie die Internetverbindung. Scannen Sie dann Ihr Handy mit einer Sicherheitssoftware auf Malware. Und ändern Sie schließlich die Passwörter aller möglicherweise betroffenen Konten.