Jeder von uns hat schon mal von dem Begriff Phishing gehört, aber dennoch wissen viele nicht, was es damit überhaupt auf sich hat. Dabei ist Phishing im Grunde nichts anderes als ein Betrugsversuch, der über Anrufe, E-Mails oder SMS erfolgt und durch täuschend echte Nachrichten – oft in Kombination mit einer gefälschten Website – versucht, an sensible Daten zu gelangen. Zum Glück gibt es Methoden, um Phishing sofort zu erkennen.
Der Absender gehört zu den wichtigsten Indizien, aber wir können nicht davon ausgehen, dass die Adresse immer auf den ersten Blick dubios ist. Vielmehr sind es vertraute Adressen, die leicht abgeändert wurden – manchmal nur ein Buchstabe, eine Zahl oder ein Zeichen.
Ein Angreifer, der das weiß, kann spontan eine ähnliche Adresse anmelden, um sich dadurch Vertrauen zu erschleichen. Die Überprüfung des Absenders sollte daher immer sehr penibel erfolgen. Zudem muss uns bewusst sein, dass Adressen komplett manipuliert werden können.
Sollten plötzlich Nachrichten auftauchen, die wir absolut nicht erwartet hätten, handelt es sich möglicherweise um Phishing. Insbesondere dann, wenn sie mit einer Aufforderung verbunden sind. Seriöse Unternehmen sind in ihrer Kommunikation recht vorhersehbar, weswegen dringliche oder unerwartete Bitten immer kritisch hinterfragt werden sollten.
Phishing hat immer ein klares Ziel, das entweder durch einen Anhang oder über einen Link in Gang gesetzt wird. Handelt es sich um einen Anhang, versucht der Angreifer wahrscheinlich, Malware auf unserem Gerät zu installieren. Sollte er damit Erfolg haben, kann er unser Gerät kontrollieren und dadurch leicht an sensible Daten gelangen. Bei Links ist das Vorgehen in der Regel anders. Hier kann zwar ebenfalls Malware im Spiel sein, aber viel häufiger wird man auf eine gefälschte Website weitergeleitet, um dort sensible Daten einzugeben. Bei Anhängen und Links ist daher immer Vorsicht geboten. Anhänge sollten bei verdächtigen E-Mails am besten erst gar nicht geöffnet werden. Bei Links bietet es sich an, mit der Maus über den Link zu fahren, um zu sehen, wohin er tatsächlich führt.
Viele Phishing-Nachrichten enthalten fehlerhafte Formulierungen, da sich Angreifer entweder keine große Mühe geben oder die Sprache des Ziels nicht beherrschen. Typische Anzeichen sind neben einer komischen Satzstellung und unnatürlichen Wortwahl auch Rechtschreibung und Grammatik. Aber Achtung: Im Gegensatz zu früher können Angreifer mittlerweile generative KI nutzen, um einwandfrei formulierte Nachrichten zu erstellen. Fehlerhafte Sprache kommt daher weit seltener vor als früher. Manchmal lassen sich auch KI-Nachrichten durch ihre Floskeln erkennen. In den meisten Fällen müssen wir jedoch zusätzliche Indizien hinzuziehen.
Um ihr Ziel zu erreichen, setzen nahezu alle Angreifer auf Druck. Wie sie diesen Druck aufbauen, ist immer unterschiedlich und hängt sowohl von dem jeweiligen Opfer als auch von der Situation ab. Meistens geht es darum, dass schnell gehandelt werden muss, da angeblich ein Konto gesperrt wird oder eine wichtige Frist unmittelbar abläuft. Die Szenarien sind dabei völlig frei erfunden. Sie sollen das Opfer lediglich dazu bewegen, impulsiv zu klicken und gegebenenfalls eine weitere andere Handlung wie die Eingabe von sensiblen Daten auszuführen. Nachrichten, die mit starkem Druck verbunden sind, sollten daher immer skeptisch betrachtet werden. Vor allem dann, wenn sie angeblich von einer seriösen Firma stammen. Seriöse Firmen kommunizieren schließlich rechtzeitig und transparent. Dringliche Aufforderungen sind praktisch ausgeschlossen.
Abgesehen von Angst zielen Angreifer auch auf Gier und Neugier ab. Dafür nutzen sie falsche Versprechen wie Preise durch ein Gewinnspiel, anständig bezahlte Jobs oder die plötzliche große Liebe. Oft werden all diese Emotionen miteinander verbunden – zum Beispiel ein großer Gewinn, der sofort eingelöst werden muss, damit er nicht verfällt. Zu unrealistische Nachrichten sind daher ebenfalls ein klares Anzeichen von Phishing. Könnte tatsächlich ein seriöses Angebot dahinterstecken, bietet es sich an, direkt beim jeweiligen Unternehmen über die offizielle Hotline anzurufen.
Angreifer haben immer eine klare Absicht, nach der sie nicht einfach fragen können. Daher schaffen sie künstliche Szenarien, um uns dazu zu bewegen, sensible Daten einzugeben, einen Anhang herunterzuladen oder ein bestimmtes Programm zu installieren. Sobald solche Aufforderungen fallen, müssen wir achtsam sein. Zwar könnte es sich tatsächlich um eine seriöse Nachricht handeln, aber mit großer Wahrscheinlichkeit steckt ein Betrugsversuch dahinter.
Zum Abschluss sei daran erinnert, dass die beste Verteidigung gegen Phishing proaktives Handeln und das Überprüfen der Informationen ist.
Im Zweifelsfall bei einer Mitteilung:
Seriöse Unternehmen werden immer einen sicheren Kanal für Sie bereithalten, und eine unabhängige Überprüfung ist Ihre beste Sicherheitsgarantie.
