Phishings erkennen und abwehren

Phishing ist eine Spezialform des Identitätsdiebstahls: Sie erhalten dabei E-Mails, die Sie unter Vorspiegelung falscher Tatsachen auf eine Website locken wollen. Zum Beispiel so eine:

Ziel des Phishens ist es, Ihnen eine wertvolle Kombination aus Zugangsname und Passwort oder weitere wichtige Daten zu entlocken, also sozusagen mit einem Link-Köder ihr Passwort zu fischen. Besonders interessant sind Daten, bei denen sich Geld abschöpfen lässt. Daher beziehen sich die meisten Phishing-Mails auf die Web von Shops, eBay oder auf Banken. Weil Mailkonten bei bekannten Mail-Anbietern wie Windows Live Hotmail, Google Mail, Yahoo! Mail, GMX, Web.de und so weiter sich dazu verwenden lassen, Zugang zu weiteren Konten und damit Identitäten zu erhalten, stehen auch diese immer öfter im Mittelpunkt des Interesses von Angreifern.

Die Phishing-Mail kommt normalerweise mit einem Link ins Haus. Etwa so:

Klickt ein Opfer darauf, erscheint eine täuschend echt aussehende Website, wie Sie auch auf eBay.de, auf Postbank.de oder ähnlichem zu sehen sein könnte. Den entscheidenen Fehler erkennt man nur, wenn man sich die URL sehr genau anschaut (hervorgehoben):

Wer hier Kontoname und Zugangsdaten eingibt, übergibt beide freiwillig an die kriminellen Phisher. Gibt ein Opfer aus versehen auch PINs und TANs ein, wie sie beim Online-Banking üblich sind, können die Gauner nur wenige Minuten nach dem Phishzug bereits Geld in nahezu beliebiger Höhe abräumen.

Phishing-Mails sehen stets offiziell aus und fordern Sie stets auf, sich auf eine Website zu begeben und dort Ihre Zugangsdaten einzugeben. Werden Sie also misstrauisch, sobald das der Fall ist. Die Maske der Phisher ist auch durchschaubar, wenn die Mail maschinell übersetzt wurde, durch schlechtes Deutsch auffällt oder verstümmelte Buchstaben und Sonderzeichen enthält. Auch das Fehlen einer persönlichen Anrede deutet auf Phishing hin, ebenso, wenn sich am Ende der offiziell aussehenden Mail Buchstaben- oder Wortsalat zeigt. Das zeugt vom Versuch, lernende Spam-Filter zu täuschen.

Tipps gegen Phishing und Phishing-Mails

  • Phishing-Mails arbeiten oft mit der Dringlichkeit der Aufforderung: Typisch sind Hinweise auf eine wichtige Sicherheitsüberprüfung, auf eine nötige Freischaltung oder ähnliches, zuweilen flankiert von Drohungen, ein Zugang würde bald gesperrt oder Geld ginge verloren, wenn Sie jetzt nichts unternehmen.
  • In Wirklichkeit meiden vor allem Banken diese Art der Kommunikation und verwenden für wichtige Korrespondenz nach wie vor den Postbrief. Versuchen Sie, es dabei zu belassen: Meiden Sie alle Angebote von Banken und ähnlichen Instituten, die für Phisher attraktiv sind, mit Ihnen per E-Mail zu kommunizieren. Zwingen Sie sie dagegen zur Briefpost-Kommunikation, denn dann wissen Sie: Wenn ist nicht auf Papier kommt, ist es Phishing.

(Ja, das wird sich leider nicht mehr lange machen lassen – siehe Telekom Rechnung Online -, aber so lange es halt geht. Es wäre meiner Meinung nach Aufgabe des Staates, eine sichere IT-Infrastruktur einzuführen, aber der Staat installiert scheinbar lieber Bundestrojaner.)

  • Achten Sie auf Webadressen. Hat eine Webadresse die Form http://211.199.252.187:180/r1/hyp/ anstelle von www.hypovereinsbank.de, dann stimmt was nicht.
  • Zahlen in der Webadresse oder anstelle eines Domainnamens sind immer verdächtig, kein seriöses Unternehmen würde sich hinter ihrer Anonymität verstecken.
  • Doch auch Namen können verdächtig sein: In der Webadresse www.volksbank.de.mgmcomps.com/r1/vf/ steckt zwar, von Links gelesen, die scheinbare Volksbank drin, aber die eigentliche Domain dieser angeblichen Volksbank-Adresse ist eben doch mgmcomps.com.

Jeder Domainname hat vereinfacht dargestellt mindestens zwei Teile: Ein Second-Level-Label wie scareware und eine Top-Level-Domain wie de, zusammen also unsicherheitsblog.de. Vorne dran steht ein http:// oder https://. Nach dem Domainnamen steht der Pfad zu einer Website. ABER: Zwischen http:// und dem minimalen Domainnamen kann beliebiger sonstiger Käse stehen. www zum Beispiel. Oder auch http://www.staatsbank.de.unsicherheitsblog.de. Relevant ist nur der kursiv markierte Teil vor der Top-Level-Domain. Der fettgedruckte ist nur Täuschung.

  • Achten Sie daher stets nur auf jenen Domain-Namen, der sich links vom ersten / befindet und – von rechts nach links betrachtet – aus der Top-Level-Domain(.com, .de, .net, .info etc.) und dem Domainnamen links vom Punkt besteht.
  • Achten Sie beim Banken auf https-Seiten (Secure HTTP). Ein untrügliches Merkmal für Phishing ist, wenn Sie auf eine Bankseite oder ähnliches gelockt werden und dort Zugangsdaten eingeben sollen – der Browser dabei aber keine Verschlüsselung (SSL) verwendet. Das wäre für Online-Banking zu unsicher und daher unvernünftig. Daher befördert Sie ein Klick auf “Online-Banking” bei fast jeder Bank Sie zu einer Seite mit SSL-Verschlüsselung. Nur manchmal ist die Login-Seite nicht SSL-gesichert; holen Sie das nach, indem Sie in der Adresszeile nach dem http und vor dem :// ein s einfügen, so dass ein https: draus wird.
  • Sie erkennen eine SSL-verschlüsselte https-Browserverbindung daran, dass die Webadresse mit https: beginnt und der Browser ein Schloss-Symbol anzeigt. Einiger Browser unterlegen die Adresszeile zusätzlich farbig und blenden den Anbieternamen (der stammt aus einem Sicherheitszertifikat) nochmal farbig hinterlegt ein.

Sichere https:-Verbindung zu Google

Sichere https:-Verbindung zur Bank

  • Misstrauen Sie auch ganz allgemein Webadressen, die nur so klingen, als würden Sie zu Banken gehören.
  • Loggen Sie sich nur über den offiziellen Weg ein, von der Hauptseite der Bank aus, die diese Ihnen schriftlich mitgeteilt hat.
  • Werden Sie hellhörig, wenn Sie nach Identitätsmerkmalen wie Benutzername, Passwort, PIN oder TAN gefragt werden. Wenn das schon nach dem Klick auf einen Link in einer Mail oder direkt in der Mail der Fall ist, steckt womöglich Phishing dahinter.
  • Machen Sie sich stets bewusst, auf welcher Webseite Sie sich befinden.
  • Melden Sie sich mit Ihren Zugangsdaten nur auf Webseiten an, deren URL wie https://www.paypal.com/de/ Sie persönlich eingegeben haben. Achten Sie darauf, dass Sie PIN und TAN nur auf Seiten angeben, die gesichert sind – erkennbar an einer Webadresse beginnend mit https:// und am Schloß-Symbol in der unteren Statuszeile des Browser.
  • Normalerweise melden Sie sich mit Zugangsname und PIN an und verwenden eine TAN erst bei einer Transaktion. Verlassen Sie die Webseite, wenn TANs ohne konkreten Anlass (Überweisung) abgefragt werden, wenn die Eingabe von PIN und TAN auf einer Seite verlangt wird oder Sie aufgefordert werden, mehrere TANs auf einer Seite einzugeben.
  • Verwenden Sie Mozilla Thunderbird als Mail-Software. Es besitzt einen eingebauten Phishing-Alarm, der erstaunlich gut funktioniert. Nutzen Sie dort unbedingt die Möglichkeit, Falscherkennungen zu korrigieren, indem Sie bei „falsch positiv“ erkannten – also „echten“ Mails Ihrer Bank – auf „Kein Betrug“ klicken.

Phishing mit SSL erkennen

Einige Phishings haben aber auch diese Hürde überwunden und tarnen sich noch besser, indem Sie eine SSL-Verbindung aufbauen, erkennbar am https:// in der Adresszeile des Browsers. Das lässt sich theoretisch erkennen: Wählen Sie im Internet Explorer „Datei, Eigenschaften, Zertifikate“ oder in Firefox „Extras, Seiteninformationen, Sicherheit, Anzeigen“. In beiden Fällen sehen Sie, dass das Zertifikat die aktuelle Webadresse wirklich mit dem genannten Unternehmen verbindet.

So weit, so gut. Doch auch diese Angabe lässt sich fälschen.Das passiert zwar bisher sehr selten (ein Einzelfall in den USA), doch steht zu erwarten, dass hier weitere Attacken folgen werden.

  • Vergleichen Sie die Webadresse, welche die richtige zu sein scheint, genau mit der, die Sie zum Beispiel zusammen mit Ihrer PIN erhalten haben.
  • Melden Sie sich auf keiner Webseite mit Ihren Zugangsdaten an, die Sie nicht persönlich durch die Eingabe der entsprechenden URL geöffnet haben. Einzige Ausnahme: wenn Sie das Login ausgehend von der Basisseite angesprungen haben. Dann gilt allerdings für die Basisseite, dass Sie sie persönlich durch die Eingabe der entsprechenden URL geöffnet haben.

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren …