Artikel

Was ist Phishing? Ein wichtiger Leitfaden für Ihre Sicherheit

F-Secure
F-Secure
|
28. Okt. 2022
|
5 min Lesezeit

Phishing zählt zu den häufigsten Cyber-Bedrohungen. Angreifer manipulieren dabei ihre Opfer, indem sie schädliche Links oder Anhänge als Mitteilungen von vertrauens­würdigen Personen oder seriösen Unter­nehmen tarnen. Diese Links führen oft auf gefälschte Web­seiten, die darauf abzielen, vertrauliche Informationen wie Finanz- oder Kontakt­daten zu stehlen. Erfahren Sie hier, wie Phishing funktioniert und wie Sie sich effektiv davor schützen können.

Sind Sie unsicher, ob ein Link sicher ist?

Nutzen Sie den F‑Secure Link-Checker

Was ist Phishing?

Phishing bezeichnet eine Form der Cyber­kriminalität, bei der sich Angreifer als vertrauens­würdige Quelle ausgeben, um Einzel­personen zur Preis­gabe sensibler Informationen wie persönliche, finanzielle oder Anmelde­daten zu bewegen. Dies geschieht über verschiedene Kanäle wie E-Mails, Text­nachrichten, Telefon­anrufe oder QR-Codes und bedient sich oft gezielter Social-Engineering-Techniken.

Warum setzen Betrüger auf Phishing?

Zu verstehen, was Phishing ist und warum Betrüger es nutzen, ist entscheidend, damit Sie sich schützen können. Phishing ermöglicht es Angreifern, sensible Informationen wie Zugangs­daten zu sammeln, um Identitäts­diebstahl oder finanziellen Betrug zu begehen. Oft werden Opfer auf gefälschte Web­sites umgeleitet, die täuschend echt wirken, um sensible Daten wie Zugangs­daten abzugreifen.

Phishing kann auch verwendet werden, um Malware auf Ihrem Gerät zu installieren. Angreifer tarnen Schad­software als vermeintlich interessante Inhalte, wie wichtige Dokumente oder virale Videos, und verleiten so zum Herunter­laden. Zu den Bedrohungen zählen hier unter anderem Trojaner, die die Sicherheit Ihres Geräts erheblich gefährden können.

Welche Arten von Phishing-Angriffen gibt es?

Phishing-Angriffe gibt es in viel­fältigen Formen, die alle darauf ausgelegt sind, Einzel­personen oder Unter­nehmen zu schädigen, vertrauliche Daten zu stehlen oder Schad­software zu verbreiten. Im Laufe der Zeit sind Phishing-Methoden immer ausgeklügelter geworden; mittler­weile nutzen Angreifer sogar KI, um ihre Angriffe gezielt und personalisiert zu gestalten. Angesichts dieser stetig wachsenden Bedrohung ist es entscheidend, sich über aktuelle Cyber­sicherheits­maß­nahmen auf dem Laufenden zu halten und wachsam zu bleiben.

E-Mail-Phishing

E-Mail-Phishing gehört zu den gängigsten Formen von Phishing-Angriffen und ist laut IBM die Haupt­ursache für Daten­lecks. Betrüger versenden dabei E-Mails, die täuschend echt aussehen und scheinbar von vertrauens­würdigen Quellen wie Banken oder Online-Händlern stammen. Diese Nach­richten fordern den Empfänger auf, sensible Informationen wie Zugangs­daten oder Finanz­details preis­zugeben, oft unter dem Vorwand eines dringenden Problems, z. B. einer drohenden Konto­sperrung. Wer auf E-Mail-Phishing hereinfällt, riskiert, persönliche und finanzielle Daten offen­zulegen.

Spear-Phishing-Angriffe

Im Gegensatz zu herkömmlichen Phishing-Angriffen, die wahllos Opfer ansprechen, setzt Spear-Phishing auf einen gezielten, personalisierten Ansatz. Hierbei nehmen Angreifer eine bestimmte Person oder Organisation ins Visier und verwenden gezielte soziale Manipulations­techniken, um ihre Erfolgs­chancen zu maximieren. Obwohl Spear-Phishing für die Angreifer mit mehr Aufwand verbunden ist, erhöht die sorg­fältige Vorbereitung die Wahr­scheinlichkeit, dass das Opfer auf die Täuschung hereinfällt.

Smishing

Smishing, auch als SMS-Phishing bekannt, bezeichnet das Versenden betrügerischer Text­nachrichten an Mobil­geräte, um Opfer zum Anklicken bös­artiger Links und zur Preis­gabe vertraulicher Informationen zu verleiten. Obwohl viele Menschen mit Phishing-E-Mails vertraut sind und wissen, wie sie diese vermeiden können, sind sie möglicher­weise weniger auf SMS-Phishing-Angriffe vorbereitet. Zudem können betrügerische Nach­richten in bestehende Unter­haltungen eingefügt werden, sodass sie wie Nach­richten vertrauens­würdiger Quellen erscheinen.

Vishing

Phishing kann auch per Telefon­anruf erfolgen, was als Vishing oder Voice-Phishing bekannt ist. Bei Vishing-Betrügereien nutzen Angreifer echte Personen, automatisierte Text-to-Speech-Software oder sogar KI-generierte Stimmen. Unabhängig von der verwendeten Methode bleibt das Ziel eines Vishing-Angriffs dasselbe wie bei anderen Phishing-Methoden: persönliche Informationen des Opfers zu erlangen, um diese für betrügerische Zwecke zu miss­brauchen.

Quishing

Quishing, auch QR-Phishing genannt, nutzt manipulierte QR-Codes, um Opfer zur Preis­gabe sensibler Daten oder zur Installation von Malware zu verleiten. Betrüger erstellen und verbreiten dabei QR-Codes, die beim Scannen auf gefälschte Web­seiten weiter­leiten oder schädliche Software anbieten. Da QR-Codes oft als sicher gelten, nutzen Angreifer dieses Vertrauen aus, um unbemerkt persönliche Informationen zu erlangen oder die Geräte der Opfer zu kompromittieren. Wie bei anderen Phishing-Methoden ist das Ziel von Quishing, die erlangten Daten für betrügerische Zwecke zu miss­brauchen.

So funktionieren Phishing-Angriffe

Phishing-Angriffe folgen in der Regel einer Reihe von Schritten, die darauf abzielen, Opfer zur Preis­gabe vertraulicher Informationen oder zur Installation von Malware zu bewegen. Hier ist ein Über­blick über den typischen Phishing-Ablauf:

  1. Recherche und Planung: Bei gezielten Phishing-Angriffen, wie beim Spear-Phishing, sammeln Betrüger Informationen über ihre Ziel­personen, darunter deren Interessen, Gewohnheiten und Schwach­stellen. Diese Recherche hilft ihnen, über­zeugendere und personalisierte Phishing-Nach­richten zu erstellen.

  2. Erstellung einer über­zeugenden Nachricht: Betrüger gestalten eine Nachricht, die den Anschein erweckt, von einer vertrauens­würdigen Quelle wie einer Bank, einem Online-Händler oder einer Behörde zu stammen. Sie verwenden oft Logos, Marken und eine Sprache, die der echten Organisation ähnelt, um die Authentizität der Nachricht zu erhöhen.

  3. Versenden der Phishing-Nachricht: Die Phishing-Nachricht wird meist mithilfe automatisierter Tools an die Ziel­personen gesendet, um eine große Anzahl an Nach­richten zu verbreiten. Die E-Mail-Adressen stammen häufig aus Daten­lecks oder werden im Dark Web gekauft.

  4. Täuschung des Opfers: Nach Erhalt der Phishing-Nachricht kann das Opfer dazu verleitet werden, sensible Informationen wie Zugangs­daten, Finanz­details oder persönliche Daten preis­zugeben. Die Nachricht erzeugt häufig ein Gefühl der Dringlichkeit, um sofortiges Handeln zu erzwingen.

  5. Installation von Malware: Einige Phishing-Nachrichten enthalten Schad­software, wie Viren oder Ransomware. Wenn das Opfer auf einen Link klickt oder einen Anhang öffnet, wird die Malware auf dem Gerät installiert und kompromittiert dessen Sicherheit.

  6. Missbrauch der Informationen: Betrüger nutzen die gestohlenen Informationen, um Identitäts­diebstahl zu begehen, unautorisierte Trans­aktionen durch­zuführen oder die Daten im Dark Web zu verkaufen. Die Auswirkungen können erheblich sein und zu finanziellen Verlusten führen.

Diese Folgen haben Phishing-Angriffe

Die Folgen eines erfolgreichen Phishing-Angriffs können schwer­wiegend sein und reichen von Identitäts­diebstahl und finanziellen Verlusten bis hin zu emotionalem Schaden. Phishing-Angriffe kompromittieren oft sensible Daten wie Finanz­informationen und persönlich identifizierbare Informationen (PII) und können Ransomware oder andere Malware auf Geräten installieren.

Identitätsdiebstahl ist eine häufige Konsequenz, bei der Betrüger gestohlene Daten nutzen, um neue Konten zu eröffnen, Kredit­karten zu beantragen oder in Ihrem Namen Steuern zahlen — was letztlich Ihre Kredit­­würdigkeit und finanzielle Stabilität gefährdet.

So erkennen Sie Phishing-Angriffe

Um Phishing-Angriffe zu erkennen, sollten Sie auf bestimmte Warn­signale achten, darunter:

  • Dringende oder bedrohliche Sprache

  • Anfragen nach vertraulichen Informationen wie Zugangs­daten oder Finanz­informationen

  • Ungewöhnliche oder unbekannte Absender-E-Mail-Adressen

  • Rechtschreib- oder Grammatik­fehler in Nachrichten

  • Links oder Anhänge, die verdächtig erscheinen oder unerwartet sind

Das Bewusstsein für diese Anzeichen hilft Ihnen, wachsam gegen­über verschiedenen Cyber-Bedrohungen wie Phishing und anderen verdächtigen Aktivitäten zu bleiben.

5 Tipps zur Vermeidung von Phishing-Betrug

Mit diesen fünf Tipps können Sie Phishing-Betrug gezielt vermeiden und Ihre Online-Sicherheit deutlich erhöhen.

1. Sie selbst sind Ihre größte Sicherheits­lücke

Phishing-Angriffe funktionieren oft nur, wenn das Opfer aktiv mitwirkt, etwa durch das Öffnen einer Phishing-E‑Mail, das Anklicken eines Links oder das Herunter­laden eines Anhangs. Häufig sind weitere Schritte nötig, wie das Aktivieren von Inhalten, die Malware einschleusen, oder das Eingeben persönlicher Daten in ein betrügerisches Formular. Ein gutes Sicherheits­bewusst­sein, einschließlich regel­mäßiger Software-Updates und Vorsicht bei unerwarteten E‑Mails, schützt Sie effektiv vor Phishing-Betrug.

2. Jeder kann zum Opfer werden

Phishing-Angriffe können jeden treffen — unabhängig von Alter, Beruf oder technischem Wissen. Professionelle Kriminelle gestalten diese Angriffe oft so geschickt, dass sie schwer zu erkennen sind. Sie spielen mit unserer Hoffnung auf gute Nachrichten oder unserer Angst vor negativen Konsequenzen.

Wer beispielsweise eine Lieferung erwartet oder auf ein Geschenk hofft, ist besonders gefährdet, auf eine betrügerische Nachricht herein­zufallen. Phishing-Betrügereien im Zusammen­hang mit Lieferungen nehmen zu Spitzen­zeiten wie Weih­nachten und Black Friday stark zu. Ohne Vorsicht kann Phishing als Online-Betrug schwer­wiegende Folgen haben.

3. Phishing wirkt oft vertrauens­würdig

Die häufigsten Phishing-Angriffe erfolgen über E-Mail-Anhänge und Links, aber auch per SMS oder Sofort­nachricht. Alles, was die Glaub­würdigkeit eines Phishing-Angriffs erhöht, steigert die Erfolgs­chancen des Betrugs.

Oft imitieren diese Angriffe das Erscheinungs­bild bekannter Marken, denen Sie vertrauen — wie Amazon, Ihre Bank oder DHL. Ein geschärftes Sicherheits­bewusstsein hilft Ihnen, solche scheinbar legitimen Phishing-Versuche zu erkennen und zu vermeiden.

4. Vorsicht bei Dringlichkeit

Phishing-E-Mails erzeugen oft ein Gefühl der Dringlichkeit, um schnelles Handeln zu erzwingen. Wenn Sie durch eine E‑Mail unter Druck gesetzt werden, sofort zu handeln, sollte dies ein Warn­signal sein. Seriöse Unter­nehmen wie Banken oder Kredit­karten­anbieter fordern niemals per E‑Mail eine Verifizierung Ihrer Daten an.

Bei dringlich wirkenden E‑Mails sollten Sie es daher vermeiden, auf Links oder Anhänge zu klicken. Rufen Sie statt­dessen die Organisation direkt an, um die Echtheit der Nachricht zu prüfen. So können Sie oft schon im Vorfeld fest­stellen, ob es sich um einen Betrugs­versuch handelt.

5. Vertrauen Sie Ihrem Instinkt

Dieser Ratschlag mag simpel erscheinen, doch er ist entscheidend. Auf Ihren Instinkt zu hören und informiert zu bleiben, ist der Schlüssel zu Ihrer digitalen Sicherheit. Die Unter­scheidung zwischen legitimen und betrügerischen Web­sites oder E‑Mails kann schwierig sein, doch letztlich liegt die Entscheidung bei Ihnen.

Wenn Ihnen etwas verdächtig vorkommt, fragen Sie sich: Habe ich das erwartet? Vertraue ich der Quelle? Kann ich die Authentizität über­prüfen? Im Zweifel ist es immer besser, auf Nummer sicher zu gehen.

Was Sie bei Verdacht auf einen Phishing-Angriff tun können

Wenn Sie glauben, eine Phishing-E‑Mail oder ‑Nachricht erhalten zu haben, gehen Sie wie folgt vor, um sich zu schützen:

  1. Nicht antworten: Reagieren Sie nicht auf die Nachricht und vermeiden Sie Inter­aktionen mit dem Absender. Klicken Sie auf keine Links und öffnen Sie keine Anhänge.

  2. Absender verifizieren: Kontaktieren Sie das Unter­nehmen oder die Organisation direkt über eine offizielle und legitime Telefon­nummer oder E‑Mail-Adresse. Nutzen Sie keinesfalls die Kontakt­informationen aus der verdächtigen Nachricht.

  3. Angriff melden: Melden Sie die Phishing-Angriffe bei den zuständigen Behörden. In Deutsch­land sind dies das Bundesamt für Sicherheit in der Informations­technik (BSI), Ihr E‑Mail-Anbieter und die Organisation, die imitiert wurde, wie beispiels­weise Ihre Bank. Melden hilft dabei, Phishing-Betrug zu verfolgen und zu bekämpfen.

  4. Nachricht löschen: Entfernen Sie die Phishing-Nachricht und alle zugehörigen Anhänge oder Links von Ihrem Gerät, um versehentliche Klicks und Bedrohungen zu vermeiden.

  5. Sicherheitssoftware aktualisieren: Stellen Sie sicher, dass Ihre Sicherheits­software auf dem neuesten Stand ist und führen Sie einen Scan durch, um Malware zu erkennen. Durch regel­mäßige Updates sind Sie besser vor neuen Bedrohungen geschützt.

total app on different devices

Schützen Sie sich vor Phishing-Angriffen mit F‑Secure Total

F-Secure Total bietet umfassenden Online-Schutz, um Sie vor Phishing-Angriffen, Malware, Identitäts­diebstahl und anderen Online-Bedrohungen zu schützen.

  • Phishing-Schutz prüft Links in Nachrichten

  • Schutz beim Online-Browsing, Banking und Shopping

  • Preisgekrönter Antivirus- und Malware-Schutz

  • Rund-um-die-Uhr-Überwachung von Online-Identitäten und Datenpannen

  • Passwortmanager zum Schutz Ihrer persönlichen Daten

Lesen Sie mehr über Total