Cyberfallen: Phishing – wie betrügerische Nachrichten trickreicher wurden

Stichwort Phishing: Schon lange versuchen Kriminelle, mit Tricks an sensible Daten zu gelangen. Geändert hat sich einerseits die Qualität der erhaltenen Nachrichten, andererseits auch die Angriffsformen. Willkommen zum zweiten Teil unserer Serie.

Ich kann mich noch gut daran erinnern, als ich vor rund zwanzig Jahren meine erste Mailadresse erstellt habe. Damit kamen aber auch die ersten betrügerischen Nachrichten. Eine hat mich ganz besonders beschäftigt: Angeblich sei ein Bankkonto in meinem Namen eröffnet worden. Einige Angaben würden aber noch fehlen. Diese müssten «hier» ergänzt werden, mit einem Klick auf den bereitgestellten Link. Damals kaum zum Thema sensibilisiert, war ich selbstverständlich besorgt. Bei meinen Nachforschungen stellte sich heraus, dass es eine reine Irreführung war.

Neue Herausforderungen

Es ist natürlich nicht bei diesem einen Fall geblieben. Seitdem habe ich zahlreiche weitere betrügerische Nachrichten erhalten, so zum Beispiel ein angebliches Formular meines Musik-Streaming-Dienstes mit dem Vermerk, mein Konto sei gesperrt und benötige eine Aktualisierung. Eine weitere gefährliche Angriffsform, um Zugang zu sensiblen Daten zu erlangen, sind E-Mails mit gefährlichen Anhängen. Diese können beispielsweise als Rechnung Ihres Telekom-Anbieters getarnt sein. In einer solchen Mail kann sich eine Schadsoftware verstecken und je nach Art weitere bösartige Software aus dem Internet nachladen. Unter anderem können diese zu einer Verschlüsselung Ihrer Daten führen.

Anders als bei den «klassischen» Phishingmails, die an mehrere zufällige Empfänger geschickt werden, gibt es auch Mails, die es gezielt auf eine Person, ein Unternehmen oder eine Organisation abgesehen haben («Spear-Phishing»). Als Quelle der Nachricht erscheint dann selten ein grosses bekanntes Unternehmen, sondern beispielsweise eine Ihnen bekannte Person.

Sie haben noch nie solche Nachrichten erhalten? Warten Sie ab, die kommen schon noch – eventuell auf noch dreistere Art und nicht zwingend per E-Mail. Soziale Medien, Messaging-Apps und auch klassische SMS sind bei Kriminellen ebenfalls hoch im Kurs. Klar ist, dass betrügerische Nachrichten immer raffinierter werden.

«Offensichtlich fake» sieht anders aus

Ich muss gestehen, einige Phishingmails wirken erstaunlich echt. Auf altbekannte Merkmale wie schlechte Rechtschreibung oder falsche Absenderadressen ist nicht immer Verlass. Auch Betrüger/-innen greifen auf hervorragende Übersetzungs- und Korrekturprogramme zurück. Oder sie bauen bewusst kleine und typisch menschliche Schreibfehler ein, um echt zu wirken. Dass echte Absenderadressen übernommen werden, ist ebenfalls keine Seltenheit. Zudem wissen Kriminelle, wie man mit den Ängsten und Sorgen der Menschen spielt, Glücksgefühle auslöst oder stressige Situationen ausnutzt, um eine gewünschte Handlung zu bewirken.

Besondere Vorsicht bei diesen Hinweisen

Es gilt daher, bei E-Mails immer ganz genau hinzuschauen. Bei den folgenden Merkmalen sollte man misstrauisch werden:

• Bei klassischen Phishingmails: eine unpersönliche Anrede («Sehr geehrte/-r Kundin / Kunde»).
• Die Aufforderung zum Handeln («Laden Sie diese Datei herunter» oder «Klicken Sie auf diesen Link»).
• Zeitdruck wird aufgebaut («Wenn Sie nicht innerhalb der nächsten X Stunden handeln, dann …»).
• Die Absender fragen sensible Daten wie Passwörter oder Kreditkarteninformationen ab.
• Die Nachricht enthält Anhänge wie Rechnungen, Lieferbestätigungen, eine Blindbewerbung, einen Vertrag etc., oft mit sehr allgemein gehaltenen Dateinamen («Rechnung.docx», «Bauplan.pdf» oder «Finanzbericht.xlsx»).

Ganz grundsätzlich: Lassen Sie sich nicht unter Druck setzen und geben Sie nie vertrauliche Informationen und Daten über unpersönliche Kanäle wie E-Mail, SMS, Telefon oder auf einem Social-Media-Kanal preis. Dies gilt auch für Formulare, die Sie über einen Link in einer verdächtigen Nachricht geöffnet haben. Prüfen Sie zunächst den Link, indem Sie mit der Maus darüberfahren – jedoch ohne den Link anzuklicken! Je nach Browser oder Mail-Programm sehen Sie daraufhin die tatsächliche Zieladresse als Einblendung oder am unteren Rand des Fensters.

Hören Sie auf Ihren Bauch – und fragen Sie nach

Seriöse Anbieter und Dienstleister werden niemals unaufgefordert über E-Mail, Kurznachricht oder Telefon die Angabe Ihrer Passwörter oder Kreditkartendaten abfragen. Solche Aufforderungen können Sie prinzipiell ignorieren und entsprechende Nachrichten löschen. Falls Sie aber eine Meldung an die Polizei machen wollen, ist es nützlich, dass Sie die Nachricht vorliegen haben.

Wenn Sie dennoch nicht sicher sind, ob eine Nachricht wirklich echt ist, können Sie zum Beispiel den Absender anrufen. Aber Achtung, wählen Sie nicht die Telefonnummer aus der suspekten E-Mail! Verwenden Sie, falls vorhanden, die originale App Ihrer Bank, Ihres Providers, des entsprechenden Online-Dienstleisters oder besuchen Sie die offizielle Website, indem Sie die Originaladresse selbst im Browser eintippen und dort die korrekten Kontaktdaten finden.

Den Tätern/-innen auf der Spur

Tatsächlich sind Ermittlungen im Cyberbereich nicht immer einfach. Trotzdem kommt die Polizei Kriminellen immer wieder auf die Spur. Damit uns die Bekämpfung von Cyberkriminalität gelingt, ermutigen wir Betroffene, strafrechtlich relevante Vorfälle wie Hacking, Betrug oder Erpressung zu melden.

Sie können die Notfallnummer 112 wählen oder eine Polizeiwache in Ihrer Nähe kontaktieren. Wer einen Vorfall ohne Schaden erlebt hat, zum Beispiel den Erhalt von Phishingnachrichten, kann dies dem Nationalen Zentrum für Cybersicherheit (NCSC) melden. Jede Meldung ist nützlich!