Sie sind auf Seite 1von 10

Quelle: http://www.bsi-fuer-buerger.

de/

Phishing – gefährliche Umleitung für Ihre Passwörter


Das Passwortfischen hat sich in den letzten Monaten zu einer der großen "Plagen" in der
virtuellen Welt entwickelt. Unter dem Begriff "Phishing" werden unterschiedliche
Betrugsmaschen zusammengefasst, von denen besonders die Folgende zu trauriger
Berühmtheit gelangt ist: Angreifer verfassen E-Mails, die in Aussehen und Inhalt jenen von
Geschäftspartnern oder Banken gleichen. Sie spekulieren dabei darauf, dass der Empfänger
der massenweise verschickten Nachrichten auch tatsächlich Kunde dieser Firmen ist. Im Text
wird beispielsweise darauf verwiesen, dass aus Sicherheitsgründen Kontoinformationen
aktualisiert werden müssten. Das Opfer wird dazu verleitet, einen in der E-Mail enthaltenen
Internetlink zu verfolgen. Dieser führt dann beispielsweise auf eine perfekt gefälschte
Banken-Webseite. Gibt das Opfer dort nun seine vertraulichen Kontoinformationen ein,
"fischen" die Betrüger diese ab und greifen selbst auf das Konto zu. Formal gesehen passiert
ein solcher Phishing-Angriff also in zwei Etappen, die manchmal auch einzeln auftreten:
Da ist zum einen die E-Mail, die ein Vertrauensverhältnis ausnutzt und entweder auf eine
bösartige Internetseite lockt oder Computerschädlinge im Schlepptau hat. Diese Mails sind
heute übrigens oft perfekt formuliert, während sie zu Beginn der Phishing-Angriffe zumeist in
sehr schlechtem Deutsch verfasst waren. Das lag daran, dass sie oft aus dem fremdsprachigen
Ausland stammten und mit automatischen Übersetzungsprogrammen oder von Laien ins
Deutsche übertragen wurden.
Zum anderen gibt es die Nachahmung von Teilen oder einer gesamten vertrauten Webseite,
auch "Spoofing" ("Verschleierung") genannt. Hier geschieht der eigentliche Betrug, indem die
Angreifer einen getäuschten Nutzer zur Preisgabe vertraulicher Daten verleiten, die dann
missbraucht werden.
Phishing ist übrigens nicht mehr nur auf das Internet beschränkt – Datendiebe machen auch
Jagd auf die Nutzer über das Telefon unter Verwendung von Internettelefonen (VoIP). Eine
eigene Bezeichnung für diese neue Technik gibt es auch schon: „Vishing„ („Voice Phishing„)

Schutzmaßnahmen
Um nicht zum Opfer von Datenfischern zu werden, sollten Sie folgende Schutzmaßnahmen
berücksichtigen:

Bringen Sie Ihre Software immer auf den aktuellen Stand!


Sicherheitslücken in Programmen, insbesondere in Browsern, können von Datenfischern
ausgenutzt werden. Die meisten Hersteller steuern dagegen, in dem sie ihre Software laufend
aktualisieren und bekannt gewordene Lücken schließen. Sie sollten diese Aktualisierungen
("Patches") unbedingt so rasch wie möglich von den Webseiten der Hersteller herunter laden
und installieren. Über neue Patches informieren viele Hersteller über automatische Update-
und Warndienste, wichtige Neuerungen erfahren Sie auch im Newsletter "Sicher • Informiert"
, den das BÜRGER-CERT des BSI alle zwei Wochen veröffentlicht [www.buerger-cert.de ].

Überprüfen Sie den Sicherheitsstatus von Webseiten, auf denen Sie


persönliche Informationen eingeben!
Dabei sollten Sie besonders auf zwei Punkte achten:
● Auf gesicherten Seiten erscheint in der Statuszeile des Browsers ein Schlosssymbol.
Dieses Symbol zeigt an, dass bei der Übertragung von Informationen das
Verschlüsselungsverfahren SSL zum Einsatz kommt (nähere Informationen zu SSL
© Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved. Seite 1 von 10
Quelle: http://www.bsi-fuer-buerger.de/

im Bereich "Browser"). Wenn Sie auf das Schlosssymbol klicken, öffnet sich ein
Fenster ("Zertifikat") mit Informationen über den Betreiber der Webseite. Der dort
angegebene Namen der Webseite muss mit jenem in der Statuszeile übereinstimmen.
Außerdem muss das Zertifikat von einer anerkannten Stelle ausgestellt worden sein.
Es existiert mittlerweile eine große Zahl an privaten wie öffentlichen Anbietern von
Zertifikaten. Die Bundesnetzagentur ist als Behörde zuständig und veröffentlicht auf
ihrer Webseite die Namen jener Anbieter, die von ihr geprüft wurden. Ihr Browser
zeigt eine Warnmeldung an, wenn ein Zertifikat abgelaufen ist oder eine unsichere
Herkunft hat.
● Achten Sie darauf, dass der in der Adresszeile angegebene URL mit "https" und
nicht wie sonst üblich mit "http" beginnt – das ist ein starkes Indiz dafür, dass eine
durch SSL gesicherte Verbindung aufgebaut wurde. Leider können Betrüger auch
das "https" in der URL fälschen. Als Sicherheitscheck hilft es hier, nach einem Klick
mit der rechten Maustaste den Bereich "Seiteninformationen" aufzurufen und die
Quelle dort nachzuschlagen.

Banken oder seriöse Firmen fordern ihre Kunden niemals per E-Mail oder
per Telefon zur Eingabe von vertraulichen Informationen auf!
Geldinstitute, Online-Auktionshäuser wie eBay, aber auch sonstige seriöse
Wirtschaftsunternehmen wissen, dass E-Mails von Betrügern leicht gefälscht werden können.
Daher werden sie ihre Kunden niemals per E-Mail dazu auffordern, darin angeführte Links
anzuklicken und dort vertrauliche Daten einzugeben. Wenn Sie eine derartige E-Mail
erhalten, dann können Sie davon ausgehen, dass es sich um einen Phishing-Angriff handelt.
Wenn Sie unsicher sind, dann setzen Sie sich telefonisch oder brieflich mit Ihrem
Geschäftspartner oder Ihrer Bank in Verbindung, aber verfolgen Sie keinesfalls die in der
Nachricht angegebenen Internetlinks. Das Gleiche gilt für dubiose Telefonate: Seriöse
Geschäftspartner oder Banken werden sich niemals von sich aus telefonisch bei Ihnen melden
und Sie zur Eingabe von Passwörtern, PIN oder TAN über die Tastatur oder per
Sprachcomputer auffordern!

Beachten Sie die generellen Sicherheitsregeln, die für das Internetsurfen


und den E-Mail-Verkehr gelten!
● Klicken Sie generell niemals auf in E-Mails enthaltene Links, sondern tippen Sie die
Internetadressen gewünschter Seiten immer manuell ein!
● Reagieren Sie nicht auf vermeintliche Anrufe Ihrer Bank, in denen Sie zur Eingabe von
PIN oder TAN aufgefordert werden – etwa mit der Behauptung, Ihre Kreditkarte sei
verloren gegangen.
● Schalten Sie die Funktion "Aktive Inhalte ausführen" generell aus. Wenn Sie darauf
nicht verzichten wollen, so stellen Sie über die entsprechenden Funktion in den
Sicherheitseinstellungen zumindest sicher, dass Ihr Browser in jedem Einzelfall bei
Ihnen anfragt, ob Aktive Inhalte ausgeführt werden dürfen. Nähere Informationen dazu
erhalten Sie im Bereich "Browser".
● Öffnen Sie E-Mails und darin enthaltene Anhänge nur dann, wenn Sie aus
vertrauenswürdiger Quelle stammen.
● Setzen Sie eine Firewall und Virenschutzsoftware ein und bringen Sie diese regelmäßig
auf den aktuellen Stand.

© Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved. Seite 2 von 10
Quelle: http://www.bsi-fuer-buerger.de/

● Achten Sie darauf, dass Sie auch die Softwareaktualisierungen für Ihr Betriebssystem
und andere von Ihnen eingesetzte Programme laufend installieren oder nutzen Sie
automatische Update-Dienste.

Kontaktieren Sie Ihre Bank oder Ihren Geschäftspartner, wenn Sie


befürchten, dass Sie einem Phishing-Angriff zum Opfer gefallen sind!
Die für Sicherheitsfragen zuständigen Mitarbeiter können den Vorfall verfolgen und prüfen,
ob Schaden entstanden ist. Falls tatsächlich bereits Summen unberechtigt überwiesen worden
sind, so wenden Sie sich bitte umgehend an die Polizei .

Beispiele für Phishing-Angriffe

Woran erkennt man Phishing-E-Mails?


● Die Absenderadressen sind zumeist gefälscht. Die Erkennung des gefälschten
Absenders ist nur über die Header-Auswertung möglich.
● Die Anrede ist unpersönlich gehalten ("Lieber Kunde der x-Bank!")
● Dringender Handlungsbedarf wird signalisiert ("Wenn Sie nicht sofort Ihre Daten
aktualisieren, gehen diese verloren…")
● Drohungen kommen zum Einsatz ("Wenn Sie das nicht tun, müssen wir Ihr Konto
leider sperren…")
● Vertrauliche Daten (z. B. PINs und TANs) werden abgefragt, z. B. in einem Formular
innerhalb der E-Mail.
● Die Mails enthalten Links oder Formulare, die vom Empfänger verfolgt bzw. geöffnet
werden sollen.
● Die Nachrichten sind manchmal (aber nicht immer!) in schlechtem Deutsch verfasst.
Die Gründe dafür: Sie werden manchmal von Computerprogrammen aus anderen
Sprachen automatisch übersetzt.
● Die E-Mails enthalten kyrillische Buchstaben oder falsch aufgelöste bzw. fehlende
Umlaute (z. B. nur "a" statt "ä" bzw. "ae").

Woran erkennt man Phishing-Webseiten?


● Oft fehlt in der Adresszeile des Browsers das Kürzel "https://", das eine gesicherte
Verbindung signalisiert. Allerdings kann dies in manchen Fällen auch das gefälscht
werden.
● In der Adresszeile erscheinen Internetadressen, die den echten ähnlich sind, aber
unübliche Zusätze enthalten (z. B.: Zahlen: www.135x-bank.com oder www.x-
bank.servicestelle.de)
● Auf der Login-Seite werden TAN-Codes abgefragt.
● Das Sicherheitszertifikat, erkennbar durch das Schlosssymbol in der Stautsleiste, fehlt
oder ist gefälscht.

Beipiele
Wir weisen darauf hin, dass auch Kunden anderer als der hier beispielhaft aufgeführten
Banken und E-Commerce Unternehmen Opfer von Phishing-Angriffen werden können.

© Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved. Seite 3 von 10
Quelle: http://www.bsi-fuer-buerger.de/

Beispiele Postbank

© Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved. Seite 4 von 10
Quelle: http://www.bsi-fuer-buerger.de/

© Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved. Seite 5 von 10
Quelle: http://www.bsi-fuer-buerger.de/

Beispiele eBay

© Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved. Seite 6 von 10
Quelle: http://www.bsi-fuer-buerger.de/

Beispiele Sparkasse

© Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved. Seite 7 von 10
Quelle: http://www.bsi-fuer-buerger.de/

© Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved. Seite 8 von 10
Quelle: http://www.bsi-fuer-buerger.de/

Dresdner Bank

© Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved. Seite 9 von 10
Quelle: http://www.bsi-fuer-buerger.de/

© Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved. Seite 10 von 10