Phishing und Datenklau-Warnung

Smishing & Phishing auf dem Vormarsch

Spam verstopft nicht nur E-Mail-Postfächer und bahnt Betrugsversuche an, sondern infiziert oft auch das Empfängersystem mit einem Schadprogramm zum Ausspionieren persönlicher Daten: Phishing heißt diese Cybercrime-Spielart – ein Kunstwort, das sich aus Passwort und Fishing zusammensetzt.

Tom Wannenmacher, 16. September 2022

Phishing per Mail gehört mittlerweile zu unserem Alltag. Doch auch am Handy via SMS trudeln betrügerische Nachrichten ein: Smishing. Der Begriff Smishing setzt sich aus Phishing und SMS zusammen und bezeichnet eine Angriffsmethode, durch die mittels irreführender SMS Informationen und Daten abgegriffen werden. Ziel ist dabei, dem Nutzer sensible Daten wie Zugangsdaten zum Onlinebanking herauszulocken oder mittels Malware / Schadsoftware in das Smartphone einzudringen.

Das Fischen nach Passwörtern hört sich harmloser an, als es in der Realität tatsächlich ist. Denn Phishing steht am Anfang verschiedenartiger Delikte, die vom „einfachen“ Datendiebstahl über illegale Kontoabbuchungen bis hin zu Angriffen auf kritische Infrastrukturen reicht. Das BSI berichtete in der Vergangenheit zum Beispiel auch über Phishing-Angriffe auf europäische und US-amerikanische Energieversorger – darunter auch Kernkraftwerksbetreiber.

Mimikama-Hinweis: Auf der Website haveibeenpwned.com können Sie gleich kontrollieren, ob Ihre E-Mail-Adresse und Telefonnummer bereits abgegriffen wurden. 

Spear-Phishing: Nicht alle Phishing-Mails landen im Gefolge einer ungezielten Spam-Welle im Postfach: Das sogenannte Spear-Phishing richtet sich gezielt gegen bestimmte Firmen oder Organisationen. Deshalb sind solche Phishing-Mails mit oft hohem Aufwand und viel Akribie auf einen ganz konkreten Empfänger zugeschnitten. Die Hintermänner gehören in solchen Fällen meist einer international organisierten Gruppe von Cyber-Kriminellen an. Spear-Phishing ist oft nur der Auftakt einer gestaffelten Angriffskette, bei der es häufig um Finanzbetrug, aber auch um das Abschöpfen von Geschäftsgeheimnissen oder militärischen Informationen geht.

Phishing – Vorsicht vor der Tarnung!

Als seriöse Bank, Internetanbieter oder anderer Dienstleister getarnt, fordern Spam-E-Mails mit gefälschtem Absender die Empfänger zum Beispiel zu einer vorgeblich notwendigen Aktualisierung ihrer persönlichen Daten auf. Als Vorwand für die Bestätigung von Kontoinformationen wird dann zum Beispiel der baldige Ablauf einer Kreditkarte genannt. Oder das Passwort müsse wegen eines angeblichen Sicherheitsvorfalls erneuert werden. Dabei spekulieren die Kriminellen darauf, dass sich unter den Empfängern einer Spam-Welle stets genügend Kunden der im Absender genannten Organisation befinden. Kein Wunder, dass der Name großer Bankengruppen wie die Sparkassen oder Volks- und Raiffeisenbanken so häufig für Phishing-Spam missbraucht wird.

Lesen Sie auch: Falsche SMS vom Bundesministerium der Finanzen führt in Multi-Bankenfalle

Phishing: Nachahmung von Websites bis zur Perfektion

Sowohl die Phishing-Mail selbst als auch die Website, auf die ein Link im Text verweist, sind dabei zumeist sorgfältig nachgeahmt. Cyber-Kriminelle verstehen ihr Handwerk. Allzu oft gelingt es ihnen, durch professionelle Imitation des Corporate Designs inklusive Logo, Farbgebung und Schriftarten der jeweiligen Organisation überzeugend Echtheit vorzutäuschen. Arglose Empfänger lassen sich so leichter dazu verleiten, auf einen Link in der Mail zu klicken – zumal er sich oftmals hinter einem perfekt designten Button verbirgt. Jetzt haben die Betrüger ihre Opfer genau da, wo sie sie hin haben wollen: auf der gefälschten Website einer Organisation, die überall als vertrauenswürdig anerkannt ist.

Phishing in sozialen Netzen

Posts in sozialen Netzwerken können genauso wie der Link in der Spam-E-Mail auf eine gefälschte Website führen. Hierbei sind es weniger Banken oder große Dienstleistungsunternehmen, die als fingierte Absender missbraucht werden, sondern vor allem bekannte Markennamen. Das Ziel der Phishing-Betrüger bleibt jedoch dasselbe – nämlich Vertrauen erschleichen und persönliche Daten abgreifen.

Smishing – Betrug per SMS

Hinter Smishing – dem Phishing per SMS – steckt eine weitere Angriffsvariante von Cyber-Kriminellen. Das vorrangige Ziel ist es, Zugangsdaten abzugreifen und diese für weitere Betrügereien zu missbrauchen. Die SMS kommen meist von angeblichen Paketdiensten, die eine Sendungsverfolgung, Probleme mit der Paketzustellung beinhalten oder auch Onlineshopping-Plattformen, die eine Zahlungsaufforderung enthalten.

Oberstes Gebot ist Vorsicht! Überlegen Sie erst einmal genau, ob Sie gerade ein Paket erwarten und lassen Sie sich nicht unter Druck setzen. Achten Sie zum Beispiel auf Rechtschreibfehler (insbesondere bei Umlauten wie ö, ä, ü) in der SMS und kuriose Zeichenabfolgen innerhalb der Links. Klicken Sie im Zweifel nicht auf diese Links in der SMS.

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Passend dazu: Abofalle! Mit SMS zur angeblichen Paketverfolgung


Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

  • Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum. Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fake News, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt deine Unterstützung!

Mehr von Mimikama