Phishing: In die Mail-Falle getappt

„Sehr geehrter Kunde, wir haben festgestellt, dass Sie Ihre persönlichen Daten noch nicht bestätigt haben. Für weiteren sicheren Service ist die Bestätigung jedoch notwendig. Daher wurde Ihr Konto vorerst gesperrt. Um die Entsperrung auszuführen, klicken Sie auf den untenstehenden Link.“

So oder ähnlich versuchen Betrüger, an Informationen wie Kreditkartennummern und Passwörter zu gelangen. Auch wenn die sogenannten Phishing-Mails inzwischen vielen bekannt sind, fallen Nutzer immer wieder auf sie herein. Während manche Nachrichten unprofessionell und mit Rechtschreibfehlern gespickt sind, lassen sich andere kaum von den Originalen unterscheiden.

Der Empfänger wird meist aufgefordert, einen Link anzuklicken, der auf eine täuschend echt wirkende Webseite leitet, die vom Betrüger erstellt wurde. Dort soll er seine Daten eingeben. Wer bereits darauf hereingefallen ist, den Link anzuklicken, wird auch sehr wahrscheinlich seine Daten eingeben. Der Konsumentenschutz der Arbeiterkammer Kärnten warnt vor einem enormen Anstieg von gefälschten E-Mails. Innerhalb nur einer Woche sei unlängst ein Schaden von 10.000 Euro entstanden. „Jeder Betrug ist ein Selbstschädigungsdelikt“, sagt Vincenz Kriegs-Au vom Bundeskriminalamt der futurezone. „Herkömmliche Kriminalität hat sich ins Internet verlagert und geht über Landesgrenzen hinaus.“

Dunkelziffer hoch

Internetkriminalität im Allgemeinen sei von 2017 bis 2018 um rund 17 Prozent gestiegen. Bei Phishing-Mails sei die Dunkelziffer sehr hoch. Oft werden Vorfälle aus Scham nicht gemeldet. Auffällig ist, dass sich die Kriminellen bei ihren Angriffen immer mehr spezialisieren. Privatpersonen erhalten in der Regel Kontaktanfragen á la „Hey, schon lange nichts mehr von dir gehört“.

Weit verbreitet sind auch Nachrichten von Absendern, die als Technologieunternehmen, wie Apple oder Amazon, getarnt sind. Hier werden Konsumenten hingewiesen, dass ihnen eine geringe Summe, etwa 23,99 Euro für eine App, abgebucht wurde. Wer dies widerrufen will, solle auf den Link klicken. Früher hatten Kriminelle versucht, die Nutzer mit hohen Beträgen zu ködern. Darauf fallen aber nicht mehr genügend Leute rein.

Laut IT-Sicherheitsexperte Robert Waldner haben es die Täter nicht mehr primär auf Bankdaten abgesehen. Denn für Überweisungen wird zusätzlich ein TAN benötigt. Bei Paypal, Google und E-Mail-Anbietern haben Betrüger mehr Erfolg. Und: Wer die Kontrolle über das E-Mail-Konto hat, hat auch die Kontrolle über das Zurücksetzen des Passworts bei anderen Diensten. Die Empfehlung: „Immer eine Zwei-Faktor-Authentifizierung verwenden“, sagt Waldner.

Firmen im Visier

Firmen-E-Mail-Adressen werden von den Kriminellen mit arbeitsrelevanten Informationen angeschrieben, wie Gehaltsbescheide, Gewinne bei betriebsinternen Verlosungen oder Bewerbungsunterlagen.

Unlängst wurde ein großes heimisches Unternehmen zum Opfer. Ein Webformular zur Lohneinsicht hat Daten wie Name, E-Mail-Adresse und Passwort abgefragt. Nachdem ein Mitarbeiter das Formular ausgefüllt hatte, erhielt der Betrüger Zugriff auf das Webmail-Systems des Betriebs. Daraufhin schickt er die Phishing-Mail an alle der über tausend Firmen-Adressen. Mehrere hunderte Angestellte fielen auf die angebliche Lohneinsicht herein. Die E-Mail-Konten wurden mittlerweile gesichert. Was der Täter aber mit den erbeuteten Daten macht, ist nicht absehbar.

Ein Opfer reicht

Zigtausende Mails werden Kriegs-Au zufolge auf einmal verschickt. „Da reicht es aus, wenn ein Bruchteil darauf hereinfällt.“ Viele Opfer seien unwissend, aber auch gebildete Mitarbeiter können in die Falle tappen: „Sie agieren aus Stress heraus und werden in einem schwachen Moment erwischt.“ Besonders gefährlich wird es, wenn die Täter so Zugriff auf firmeninterne Daten erhalten. Sie könnten Industrie-Spionage betreiben oder das Unternehmen erpressen.

Wie man sich vor Phishing schützen kann

Wer ist der Absender?: Fragen Sie sich bei Erhalt einer E-Mail, ob Sie von der Person oder dem Unternehmen Kunde sind. Achten Sie zudem auf die E-Mail-Adresse des Absenders. Wirkt sie kryptisch, etwa service@apple.cfu.rsc.com  (anstatt service@apple.com), ist Vorsicht geboten.

Rechtschreibfehler: Häufig befinden sich im Betreff sowie in der Nachricht selbst Rechtschreibfehler.

Sichere Internetseite: Die erkennt man an den Buchstaben „https“ in der Adresszeile und einem Schloss- oder Schlüssel-Symbol im Browser. Hat sich der Betreiber einer unabhängigen Prüfung unterzogen, ist sie zudem mit einer grün hinterlegten Adresszeile oder einem grün hinterlegten Zertifikatssymbol gekennzeichnet.

Selbst überprüfen: Scheint eine  URL unsicher, kann man sie auf der Webseite www.virustotal.com überprüfen. Klicken Sie auf den Button „URL“   und kopieren Sie sie hinein. Zeigen alle aufgelisteten Entwickler für Cyber-Security grün an, ist die Webseite sauber und unbedenklich.

Offizielle Webseiten: Stellen Sie vor allem bei Banken und Paypal sicher, dass Sie die offizielle Webseite verwenden.

Brauchbares Passwort: Passwörter sollten mindestens acht Zeichen lang sein und aus einer zufälligen Reihenfolge von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen.

Regelmäßige Updates: Führen Sie regulär Software-Updates auf allen Geräten durch, um Sicherheitslücken zu schließen, die Betrügern bekannt sind.

Erste Maßnahmen: Wenn Sie den Verdacht haben, auf eine Phishing-Falle hereingefallen zu sein, kontaktieren Sie Banken, Kreditkarteninstitute oder sonstige Dienstleister, die mit den eingeholten  Daten in Verbindung stehen und wenden Sie sich an die Cybercrime-Meldestelle: against-cybercrime@bmi.gv.at. Mitarbeiter von Firmen sollten die IT-Abteilung  informieren. Sind Sie tatsächlich Opfer geworden, geben Sie eine polizeiliche Anzeige auf.