Wie schütze ich mich vor Phishing?

Mit immer ausgefeilteren Methoden versuchen Kriminelle, arglosen Nutzern vertrauliche Informationen wie Passwörter und Kontodaten zu entlocken. Aktuelles Beispiel ist eine angeblich im Namen der Postbank versandte Phishing-Mail. Wir geben Tipps, woran du betrügerische Nachrichten und Webseiten erkennen kannst.

Phishing (iStock/ Lightcome)

Björn GreifRedakteur

Aktuell versenden Betrüger massenhaft sogenannte Phishing-Mails, die angeblich von der Postbank stammen und Empfänger zur Freischaltung einer vermeintlichen „Bankingapp“ auffordern. Die E-Mails mit persönlicher Anrede und der Überschrift „Postbank Finanzassistent“ weisen das Logo sowie die typische Farbgebung der Postbank auf. Durch Anklicken eines enthaltenen Links werden arglose Nutzer auf eine gefälschte Webseite geleitet, die der Anmeldeseite des Postbank-Onlinebankings zum Verwechseln ähnlich sieht. Geben sie dort wie verlangt ihre Kontozugangsdaten sowie im Anschluss ihre Telefonnummer für das MobileTAN-Verfahren ein, werden die Angaben an die Betrüger übermittelt. Diese senden im Anschluss per SMS einen Download-Link für die vermeintliche Banking-App an das Smartphone des Nutzers, bei der es sich in Wirklichkeit um eine Schadsoftware handelt. Mit ihrer Hilfe und den abgegriffenen Daten können sie schließlich das Konto des Opfers plündern.

Die gefälschten Postbank-Mails sind nur ein Beispiel für tausende ähnliche, immer ausgefeiltere Phishing-Angriffe, die jeden Tag auf leichtgläubige Anwender abzielen. Die Kriminellen wollen ihnen mittels E-Mails oder auch Nachrichten in sozialen Netzen vertrauliche Informationen wie Passwörter und Kontodaten entlocken oder Schadprogramme unterjubeln. Der Begriff „Phishing“ setzt sich übrigens aus „Passwort“ und „fishing“ zusammen, steht also für „nach Passwörtern angeln“.

Wie Trickbetrüger an der Haustür oder am Telefon täuschen Phisher in ihren Nachrichten gerne eine persönliche Beziehung zu ihrem Opfer vor oder machen falsche Versprechungen, etwa auf einen Gewinn oder kostenlose Angebote. Mittels dieses sogenannten Social Engineering versuchen sie, das Vertrauen der Empfänger zu gewinnen oder sie durch das Signalisieren eines dringenden Handlungsbedarfs (sonst gehen Daten verloren) sowie konkrete Drohungen (Konto wird gesperrt) unter Druck zu setzen, sodass diese ihren Anweisungen freiwillig Folge leisten. Häufig geben sich die Kriminellen dazu auch – wie im Fall der Postbank-Mails – als seriöse Bank oder andere Firma aus. In deren Namen behaupten sie beispielsweise, dass der Nutzer aus Sicherheitsgründen seine Kontoinformationen respektive Zugangsdaten bestätigen müsse oder der Anhang eine Rechnung bzw. Bestellbestätigung enthalte.

Da solche Phishing-Nachrichten meist millionenfach verschickt werden, sind häufig auch einige Empfänger darunter, die tatsächlich Kunden des entsprechenden Geldinstituts oder Unternehmens sind. Viele Phishing-Mails wirken heutzutage sowohl optisch als auch inhaltlich täuschend echt, weshalb Unvorsichtige dem enthaltenen Link zu ebenfalls gefälschten Anmeldeseiten bzw. Schadwebsites folgen oder einen mit Malware verseuchten Anhang öffnen. Dann haben die Betrüger ihr Ziel meist schon erreicht.

Woran du betrügerische Mails und Websites erkennst

Der beste Schutz vor Phishing sind Wachsamkeit und ein gesundes Maß Skepsis. Grundsätzlich empfiehlt es sich, zu prüfen, ob der angezeigte Absender bekannt und mit dem wahren Absender der Nachricht identisch ist. Zudem solltest du dich fragen, ob Betreff sowie Text sinnvoll sind und ob du von dem Absender einen Anhang wie eine Rechnung erwartest. Erscheint dir eine Mail irgendwie seltsam, solltest du sie sicherheitshalber nicht öffnen, sondern ungelesen löschen. Im Zweifelsfall kannst du auch telefonisch bei deiner Bank oder dem jeweiligen Unternehmen nachfragen, ob die Nachricht tatsächlich von ihr bzw. ihm stammt.

Besondere Vorsicht ist geboten, wenn in Nachrichten Angaben zu vertraulichen Daten wie Kreditkartennummern, PINs oder Transaktionsnummern (TANs) verlangt werden. Seriöse Firmen würden solche Informationen nie auf diesem Weg abfragen. Ein weiterer Warnhinweis ist die nachdrückliche Aufforderung, einem Link zu folgen oder ein angehängtes Formular zu öffnen. Um zu vermeiden, auf eine gefälschte Seite geleitet zu werden, solltest du keine enthaltenen Links anklicken, sondern die Webadresse von Banken oder Onlineshops per Hand in den Browser eingeben.

Phishing-Webseiten kannst du häufig daran erkennen, dass die in der URL-Leiste des Browsers angezeigte Domain leicht von der gewohnten Webadresse abweicht. Sie enthält etwa Schreibfehler oder unübliche Zusätze wie vorangestellte Zahlen oder per Punkt abgetrennte Ergänzungen. In den meisten Fällen, aber nicht immer, fehlt zudem das https:// vor der www-Adresse, das auf eine gesicherte Verbindung hinweist. Oft verfügen Phishing-Seiten auch nicht über ein gültiges Sicherheitszertifikat, was an dem fehlenden grünen Schlosssymbol in der URL-Leiste zu erkennen ist. Ob auf Webseiten eingebettete Links tatsächlich zum angegeben Ziel führen, kannst du prüfen, indem du mit dem Mauszeiger – ohne zu klicken – auf dem Link verweilst (auf Mobilgeräten mit dem Finger), bis direkt daneben oder unten in der Statuszeile des Browsers die Zieladresse sichtbar wird.

Browser mit Phishing-Schutz nutzen

Nahezu alle heutigen Browser einschließlich Cliqz verfügen über einen integrierten Phishing-Schutz, der Nutzer vor möglichen Betrugsversuchen warnt. Wenn du eine Website besuchst, die als Fälschung identifiziert wurde, zeigt der Cliqz Browser einen Hinweis an. Zusätzlich verhindert er den Download und die heimliche Installation von Schadprogrammen, die über unsichere Websites verbreitet werden. Teilweise basiert die Anti-Phishing-Technik von Cliqz auf statistischen Daten des Human Web, an dem Nutzer auf Wunsch und vollkommen anonym teilnehmen können. Anhand der Daten ermitteln wir Internetseiten und bewerten deren Relevanz sowie Sicherheit. Auf diese Weise tragen die Human-Web-Teilnehmer zu einem sichereren Netz bei. Einen hundertprozentigen Schutz gegen Phishing und Malware gibt es aber nicht, weshalb du immer Vorsicht walten lassen solltest. Darüber hinaus empfiehlt sich allgemein der Einsatz einer aktuellen Sicherheitssoftware, die wie Browser und Betriebssystem stets auf dem neuesten Stand gehalten werden sollte.

Wurdest du trotz aller Vorsichtsmaßnahmen und Sicherheitsvorkehrungen doch einmal Opfer eines Phishing-Angriffs, solltest du den Betrug schnellstmöglich dem ebenfalls betroffenen Anbieter, dessen Name missbraucht wurde, melden und Anzeige erstatten. Ebenso solltest du Vorkehrungen treffen, dass die Phisher mit den abgegriffenen Daten keinen weiteren Schaden anrichten können. Ändere beispielsweise alle deine Zugangsdaten, sperre gegebenenfalls deine TAN-Liste sowie Bankkonten und überprüfe deine Online-Accounts (Banking, Shopping) regelmäßig auf ungewöhnliche Transaktionen.