Der Bankraub des 21. Jahrhunderts - wie Sie sich gegen Phishing schützen können

Essen. Mit gefälschten Mails oder fingierten Webseiten erschleichen sich Betrüger geheime Zugangsdaten und räumen Bares ab. “Phishing“ haben Experten die kriminelle Masche genannt. So erkennen Sie die Fallen und schützen Ihre Konten.

„Sehr geehrte Damen und Herren“, so begann die E-Mail, die sich eines Tages im Posteingang befand. Was folgte, klang nach Ärger: Ein Mitarbeiter von „MasterCard Europe SPRL“ teilte mit, dass die Kreditkarte leider gesperrt worden sei. Dies hänge mit einem neuen EU-Gesetz zur Bekämpfung von Geldwäsche zusammen. Die Karte müsse nun neu verifiziert werden. Dazu sei es notwendig, auf einer unten aufgeführten Webseite die Daten der Karte neu einzutragen.

Die Mail von Mastercard war gefälscht – einer von vielen Betrugsversuchen im Internet, die darauf abzielen, Verbrauchern persönliche Daten abzugreifen. „Phishing“ – wie es funktioniert und wie Sie sich schützen können.

„Phishing“ - was ist das?

Das Kunstwort setzt sich aus „Password“ und „fishing“ zusammen, was übersetzt bedeutet: „nach Passwörtern angeln“. Das Ziel ist ungeachtet aller Variationen immer gleich: Der Betrüger will mit ergaunerten Daten unter der Identität des Inhabers Handlungen im Online-Verkehr unternehmen, etwa Geldbeträge per Online-Banking abheben oder Waren bestellen.

Wie die Täter typischerweise vorgehen, erklärt die „Arbeitsgruppe Identitätsschutz im Internet (a-i3)“. Die Organisation wurde 2005 von Forschern der Ruhr-Universität Bochum sowie Praktikern aus dem Bereich der IT-Sicherheit gegründet.

Phishing, sagen die Bochumer Experten, ist nichts anderes als eine neue Technik des „Bankraubs“. Der Täter versendet E-Mails, die in Form und Inhalt von einem vertrauenswürdigen Geschäftspartner des Opfers zu stammen scheinen. „Die Angreifer spekulieren dabei darauf, dass der Empfänger der massenweise verschickten Nachrichten auch tatsächlich Kunde der vorgegebenen Firmen ist“, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Als seriöse Bank oder Firma getarnt, fordern die Täter das Opfer auf, einem in der E-Mail enthaltenen Link zu folgen. Auf der Webseite wird das Opfer dann angehalten in einer scheinbar sicheren Umgebung vertrauliche Daten einzugeben – entweder, weil die Kreditkarte ablaufe oder gesperrt sei, das Passwort erneuert werden müsse, die Zugangsdaten verloren gegangen seien oder aus Sicherheitsgründen Kontoinformationen bestätigt werden müssten, um beispielsweise eine Überprüfung der Kontodaten zu ermöglichen.

Erhält der Täter vertrauliche Daten, kann er im Internet in die Identität des Dateninhabers schlüpfen. Mit geheimen Passwörtern und Benutzernamen, Transaktionsnummern (TAN) oder PINs kann er auf das Konto des Inhabers zugreifen und beispielsweise Überweisungen durchführen.

So erkennen Sie „Phishing“

Zu Beginn der Phishing-Angriffe war der Text in Mails zumeist in sehr schlechtem Deutsch verfasst. Oft stammten sie aus dem fremdsprachigen Ausland, wurden mit automatischen Übersetzungsprogrammen oder von Laien ins Deutsche übertragen. Inzwischen sind viele Mails in Form und Inhalt täuschend echt. Viele sind kaum noch von den echten Anschreiben eines Geldinstituts, einer Verkaufsplattform oder einem Anbieter von Online-Bezahlverfahren wie etwa PayPal zu unterscheiden.

Und doch gibt es Hinweise. Die Verbraucherzentrale NRW rät, auf folgende verdächtige Punkte zu achten:

• Links oder Formulare. Banken versenden in der Regel keine Mails, sondern Briefe. Falls doch, enthalten sie nur in Ausnahmefällen Links oder Dateianhänge
• Ansprache. Banken und andere Geschäftspartner sprechen Kunden mit Namen an, niemals mit „Sehr geehrter Kunde“ oder „Sehr geehrter Nutzer“.
• Fristen und Eingabe. Verbraucher sollten stets skeptisch sein, wenn sie aufgefordert werden, innerhalb einer kurzen Frist zu handeln und wenn diese Aufforderung mit einer Drohung verbunden ist – etwa, dass sonst die Kreditkarte oder das Konto gesperrt wird.
• Mails und Webseiten. Prüfen Sie bei einer verdächtigen Mail den Mail-Header (auch Quelltext genannt). Daraus lassen sich der Absender sowie die nicht fälschbare IP-Adresse ablesen. In vielen Mail-Programmen geht das über die „Ansicht“ und „Optionen“.
• Achten Sie bei Internetseiten darauf, dass die Adresszeile mit „https“ und nicht wie sonst üblich mit „http“ beginnt – das zeigt an, dass eine gesicherte Verbindung aufgebaut wurde. Leider können Betrüger auch das „https“ in der URL fälschen. Als Sicherheitscheck hilft es hier, nach einem Klick mit der rechten Maustaste den Bereich „Seiteninformationen“ aufzurufen und die Quelle dort nachzuschlagen.

Hier finden Sie Rat

www.buerger-cert.de – Die Warnliste des BSI informiert Bürger und kleine Unternehmen vor aktuellen Viren, Würmern und anderen Sicherheitslücken.
www.a-i3.org – Die „Arbeitsgruppe Identitätsschutz im Internet“ erklärt aktuelle Themen und gibt Hilfestellung.
www.vz-nrw.de/Phishing-Radar – Eine Liste von Phishing-Mails, die aktuell im Umlauf sind.
www.bsi-fuer-buerger.de – Das Bundesamt für Sicherheit in der Informationstechnik.
www.antispam-ev.de – Portal mit einem großen Forum.

Drei Tipps für Ihre Sicherheit

• Moderne Software nutzen. Auf jedem Rechner mit Internetzugang gehört eine Antiviren-Software oder eine Firewall zum Pflichtprogramm. Darüber hinaus bieten auch moderne Internet-Browser Schutz gegen Phishing-Attacken. Wichtig ist, stets die neueste Version der Software zu verwenden und zwischenzeitlich regelmäßig für Updates zu sorgen.
• Auf Nummer sicher gehen. Niemals auf Links in E-Mails klicken. Adressen von Internetseite immer manuell eintippen. Beim OnlineBanking darauf achten, dass der Browser ein Verschlüsselungs-Symbol anzeigt – zum Beispiel in Form eines kleinen Schlosses.
• Schnell handeln. Wer Opfer einer Phishing-Attacke geworden ist, sollte die eigene Bank sofort informieren, Onlinezugang und das Konto sperren. Die E-Mail, die zur Eingabe vertraulicher Daten verleitet hat, sollte Kreditinstituten und Strafverfolgungsbehörden zur Verfügung gestellt werden.