Wenn Betrüger die Daten Angel auswerfen
Von fingierten Rechnungen bis zu falschen Gewinn-Benachrichtigungen: Was Phishing-E-Mails anrichten und wie man sich schützt
Es beginnt mit einer E-Mail, die scheinbar von der eigenen Bank, Paypal oder Amazon stammt. Empfänger werden aufgefordert, auf einen Link zu klicken, einen Anhang zu öffnen oder ihre Kontodaten auf einer Webseite einzutragen. Wer das macht, schenkt allerdings Betrügern persönliche Daten – oder lädt sich schlimmstenfalls schädliche Software auf den Computer. Nutzer müssen sich daher vor solchen Phishing-Mails in Acht nehmen.
Die Schreiben erzeugen häufig Handlungsdruck, erklärt Ralf Scherfling von der Verbraucherzentrale NRW. Etwa mit der Aussage, das Konto sei gesperrt. Oder es würden dringend Informationen benötigt. Am Ende gibt es einen Link zu einer Webseite oder einen Anhang zum Öffnen.
Waren solche Mails früher noch holperig formuliert und voller Zeichenfehler, haben die Absender mittlerweile dazugelernt. „Was wir beobachten, ist, dass gerade die Phishing-E-Mails deutlich besser gemacht sind, als das früher der Fall war“, sagt Joachim Wagner vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Inzwischen werden manchmal auch Daten genutzt, die aus Datenbanken gestohlen wurden. So enthalten die Schreiben gelegentlich sogar den korrekten Namen und andere echte Daten. „Das erhöht die Trefferquote deutlich, denn so eine E-Mail wirkt natürlich viel authentischer.“
Spam- und Phishing-Mails täuschen meist einen populären Absender vor. Etwa Banken, Telefongesellschaften oder Online-Händler. Mit einem Blick auf die Kopfzeile der Mail könne man aber häufig erkennen, ob der Absender echt ist, erklärt Wagner. Auch ein genauer Blick auf die Adresse der in der Mail verlinkten Webseiten kann helfen. Weichen sie von der echten Adresse des vermeintlichen Absenders ab, sind sie wahrscheinlich gefälscht.
Häufig werden in Spam-Mails auch angebliche Rechnungen verschickt: Öffnet man sie, lädt man sich schädliche Software auf den Rechner – mit weitreichenden Folgen. Zum Beispiel kann der Festspeicher des Computers verschlüsselt werden. Vom Computer-Besitzer wird dann ein Lösegeld in der Regel in der Form von Bitcoins erpresst, erläutert Wagner. Andere Schadsoftware greife die Zugangsdaten fürs Online-Banking oder für andere Nutzerkonten ab. Oder Computer werden fremdgesteuert für massenhafte Anfragen an einzelne Ziele im Netz mit der Absicht, sie dadurch lahmzulegen.
Der beste Schutz vor Phishing ist laut Wagner die Prävention. Soll heißen: Betriebssystem, Virenschutz und alle installierten Programme müssen auf dem neuesten Stand sein. Wer nicht sicher ist, ob eine E-Mail im Posteingang Phishing oder ein legitimes Schreiben der eigenen Bank ist, sollte per Telefon oder persönlich nachfragen. Dazu darf man allerdings keine Kontaktnummer aus dem verdächtigen Schreiben nutzen. Sie könnte gefälscht sein. Besser, man schaut in öffentliche Telefonverzeichnisse oder ruft die Unternehmenswebseite auf. Keinesfalls, warnt Verbraucherschützer Ralf Scherfling, sollte man auf die E-Mails reagieren und etwa antworten.
Und dann gibt es noch ein paar goldene Regeln: „Ihre Bank oder ein anderer Bezahldienst wie beispielsweise PayPal wird Sie nie per E-Mail zur Eingabe Ihrer Kunden-, Zugangs- oder Bankdaten auffordern“, sagt Harald Schmidt von der Polizeilichen Kriminalprävention von Ländern und Bund.
Opfer einer Phishing-Attacke sollten auf jeden Fall Strafanzeige erstatten, auch wenn die Täter unbekannt sind. Verdächtige Mails meldet man dem E-Mail-Anbieter. So können sie besser herausgefiltert werden. Der beste Schutz vor Phishing ist die gesunde Skepsis gegenüber E-Mails, die persönliche Daten abfragen. Im Zweifel sollte man diese Mails daher lieber löschen und keinesfalls auf Links oder Anhänge klicken.