Phishing-Schutz: Ausführlicher Guide 2024

Wie Sie den bestmöglichen Phishing-Schutz gewährleisten, erklären wir hier ausführlich. Doch zuvor: Was ist Phishing, einfach erklärt?

Phishing ist ein Social-Engineering-Angriff mit dem Ziel, Sie durch Täuschung dazu zu bringen, Ihre persönlichen Daten preiszugeben, oder Malware auf Ihrem Gerät zu verbreiten. Phishing wird eingesetzt, um Passwörter zu stehlen, die Kontrolle über Konten zu erhalten und unbefugt in Systeme einzudringen. Dies kann über jeden beliebigen Kanal geschehen: telefonisch, per E-Mail, über eine Webseite oder sogar persönlich.

Das Wort Phishing bezieht sich auf den englischen Begriff „fishing“ (also fischen oder angeln, und in diesem Zusammenhang das Angeln nach Passwörtern) und ist möglicherweise eine Wortkreuzung aus „phone“ und „fishing“. Wahrscheinlich ist es auch mit einem frühen Hacking-Begriff, dem sogenannten Phreaking, verwandt, da Phishing schon vor dem Aufkommen des Internets eine gängige Social-Engineering-Taktik war.

Inhaltsverzeichnis

12 Wege, mehr Phishing-Schutz zu gewährleisten
Wie können Sie Phishing erkennen?
Anti-Phishing-Tools gewährleisten zusätzlichen Phishing-Schutz
Die häufigsten Phishing-Arten
FAQ zur Verhinderung von Phishing-Attacken

12 Wege, mehr Phishing-Schutz zu gewährleisten

Können Sie Phishing-Angriffe vermeiden? Absolut – wenn Sie wissen, wie Sie sie erkennen und ihnen zuvorkommen! Wir zeigen Ihnen 12 wirksame Möglichkeiten für den besten Phishing-Schutz.

1. Sie müssen wissen, wie ein Phishing-Betrug aussieht

Wenn Sie wissen, wie ein Phishing-Betrug aussieht, können Sie verhindern, dass Sie darauf hereinfallen. So einfach. Oft imitieren die Betrüger vertrauenswürdige Organisationen oder versprechen Ihnen etwas umsonst.

• Phishing-E-Mails: „Kontoüberprüfung erforderlich“ oder „Bitte setzen Sie Ihr Passwort zurück“
• Werbeanzeigen: „Sie sind der glückliche Gewinner!“
• Tippfehler in URLs: sparkrasse.de statt sparkasse.de
• Suchmaschinen: „Sie haben nach Ihrer Bank gesucht, hier ist Ihre ‚Bank‘“ (während Sie auf eine in der Suchmaschine indizierte Betrugsseite weitergeleitet werden)

2. Melden Sie Phishing-Mails

Konnten Sie eine Phishing-Mail erkennen, die sich gerade in Ihren Posteingang geschlichen hat? Hut ab! Vergessen Sie nicht, sie Ihrem E-Mail-Provider zu melden. Dadurch kann er ähnliche Nachrichten in Zukunft besser als Spam erkennen und sie von Ihnen und anderen Nutzern fernzuhalten. Wenn sich der Absender der Phishing-Mail als ein real existierendes Unternehmen ausgibt, dann informieren Sie am besten auch das betreffende Unternehmen.

3. Erst denken, dann klicken

Seien Sie vorsichtig bei Links in unerwarteten E-Mails, Textnachrichten und Social-Media-Beiträgen. Kennen Sie die E-Mail-Adresse oder Telefonnummer des Absenders? Moderne E-Mail-Dienste zeigen oft nicht die vollständige E-Mail-Adresse des Absenders an, daher ist es wichtig, dass Sie einen Blick auf die vollständige E-Mail-Adresse werfen, bevor Sie antworten. Erscheint Ihnen die URL der Website seriös? Überlegen Sie es sich gut, bevor Sie auf einen Link klicken oder tippen.

4. Installieren Sie eine Anti-Phishing-Toolbar

Eine Anti-Phishing-Toolbar ist eine Browsererweiterung, die Ihnen dabei hilft, Ihren Phishing-Schutz zu erhöhen. Sie informiert Sie über bösartige E-Mails, verdächtige Links und betrügerische Websites. Es gibt kostenlose sowie kostenpflichtige Anti-Phishing-Toolbars und sie eigenen sich für private als auch geschäftliche Zwecke.

5. Überprüfen Sie die SSL-Anmeldeinformationen der Zielsite

SSL steht für „Secure Sockets Layer“. Eine SSL-zertifizierte Website, die in der Regel mit „https“ (anstelle von „http“) beginnt, verschlüsselt Ihre Daten von dem Augenblick an, in dem sie zur Übermittlung an den Server in den Webbrowser eingegeben werden. Bei Websites ohne SSL-Zertifikat dagegen sind Ihre persönlichen Daten möglicherweise ungeschützt.

Die Überprüfung, ob eine Website SSL-zertifiziert ist, ist nur eine Möglichkeit, um festzustellen, ob sie sicher ist. Es gibt noch andere Möglichkeiten, um herauszufinden, ob die Nutzung einer Website sicher ist.

6. Verwenden Sie einen Passwort-Manager

Ein Passwort-Manager speichert Ihre Logins sicher. Einige warnen Sie möglicherweise sogar, wenn Sie sich auf einer unsicheren Anmeldeseite befinden, um zu verhindern, dass Sie auf einen Phishing-Betrug hereinfallen.

7. Ignorieren Sie keine Updates

Angreifer versuchen ständig, Schwachstellen in Apps oder Systemen auszunutzen, um Ihren persönlichen Daten oder Geräten Schaden zuzufügen. Wenn Sie Ihre Apps oder Geräte stets auf dem neuesten Stand halten, erhalten Sie die neuesten Sicherheitskorrekturen und sind vor Hacks oder Datenschutzverletzungen geschützt. Sind Ihnen manuelle Updates zu umständlich? Finden Sie heraus, ob Sie mit automatischen Updates besser dran sind.

8. Installieren Sie eine Firewall

Zugegeben, Firewalls können wahrscheinlich nicht viel dazu beitragen, dass Sie Phishing-Mails oder Phishing-SMS überhaupt erkennen. Aber sie können Sie vor bösartigen Websites warnen und Sie daran hindern, mit ihnen zu interagieren, falls Sie auf einer solchen gelandet sind.

9. Seien Sie vorsichtig bei Pop-ups

Die üblichen Pop-ups, die uns um unsere Zustimmung zur Verwendung von Cookies, zum Speichern von Passwörtern oder zum Senden von Benachrichtigungen bitten, gelten im Allgemeinen als sicher. Achten Sie jedoch auf Pop-ups, in denen Sie nach Ihren Zugangsdaten oder Kreditkarteninformationen gefragt werden. Alle persönlichen Daten, die Sie in gefälschte Anmeldefelder eingeben, gehen direkt an die Server der Angreifer, die sich mit diesen dann Zugang zu Ihrem Konto und anderen, möglicherweise verknüpften Konten verschaffen. Diese Phishing-Technik wird als Browser-in-the-Browser-Angriff bezeichnet.

10. Geben Sie keine wichtigen Informationen heraus, es sei denn, es lässt sich nicht vermeiden

Dieser Punkt scheint selbstverständlich zu sein, aber wir erwähnen ihn trotzdem! Wenn Sie sich für einen Online-Dienst anmelden möchten, müssen Sie zumindest einige persönliche Daten wie Ihren Namen und Ihre E-Mail-Adresse angeben. Wenn Sie online einkaufen möchten, müssen Sie natürlich auch Ihre Privatadresse angeben.

Lassen Sie alle optionalen Felder ansonsten einfach leer. Je weniger persönliche Informationen Sie angeben, desto weniger können die Angreifer gegen Sie verwenden. Noch besser ist es, wenn Sie keine echten Daten angeben, sondern eine Wegwerf-E-Mail-Adresse, die Nummer eines Wegwerftelefons oder die Nummer einer Prepaid-Kreditkarte verwenden.

11. Nutzen Sie nach Möglichkeit keine öffentlichen Netzwerke

Öffentliche WLANs sind oft offene, ungesicherte Netzwerke. Nicht nur können Dritte in solchen Netzwerken sehen, was Sie online tun, sondern zudem können auch Angreifer einen gefälschten WLAN-Zugangspunkt erstellen und Ihre Anmeldedaten erbeuten, sobald Sie mit diesem verbunden sind. Müssen Sie ein öffentliches Netzwerk nutzen, dann treffen Sie diese Vorsichtsmaßnahmen, um Ihre Sicherheit in öffentlichen WLANs zu gewährleisten.

12. Halten Sie die Augen auf nach verkürzten Links

Verkürzte Links sind nichts Neues. Sie werden oft in Social-Media-Posts verwendet, um mehr Platz für den Rest der Nachricht zu haben. Das Problem dabei ist, dass sie in der Regel den ursprünglichen Link verbergen und ihn in wahllose Zahlen und Zeichen umwandeln. Dadurch können wir nur schwer einschätzen, wohin der Link uns tatsächlich führt. Nach allem, was wir wissen, kann er uns auf eine gefälschte Website leiten, um unsere Anmeldedaten zu stehlen oder unsere Geräte zu beschädigen.

Wie können Sie Phishing erkennen?

Während es verschiedene Phishing-Arten gibt, gibt es auch Angriffswarnzeichen, auf die Sie achten können. Im Folgenden gehen wir näher darauf ein.

Die Nachricht wird von einer öffentlichen E-Mail-Domain gesendet

Seriöse Unternehmen oder Organisationen haben eine eigene Domain, z. B. nutzername@netflix.com. Sie nutzen niemals öffentliche Domains wie nutzername@google.com oder nutzername@outlook.com, die in der Regel zu persönlichen Konten gehören. Gibt sich eine E-Mail als ein großes Unternehmen aus, nutzt aber eine öffentliche Domain, handelt es sich wahrscheinlich um einen Phishing-Angriff.

Die Identität eines Anrufers zu überprüfen kann schwierig sein, da die Zahlen, die bei der Rufnummernübermittlung angezeigt werden, leicht zu fälschen sind. Banken, Behörden oder Gerichte werden Sie kaum jemals anrufen, um nach persönlichen Daten zu fragen. Falls doch, fragen Sie nach dem Namen, dem Titel und der Abteilung des Anrufers und rufen Sie ihn dann unter einer öffentlich aufgeführten Nummer zurück.

Offensichtliche Grammatik- und Rechtschreibfehler

Viele Phishing-E-Mails enthalten Rechtschreib- und Grammatikfehler im Text, in der Betreffzeile oder in den darin angegebenen URLs. Dies ist ungewöhnlich für Werbematerialien, die von großen, professionellen Organisationen verschickt werden, die einen hohen Standard für die Qualität der Inhalte einhalten.

Es wird nach persönlichen Informationen gefragt

Sofern Sie nicht erwarten, von einem Unternehmen oder einem Dienst zu hören (z. B. nachdem Sie das Zurücksetzen eines Passworts angefordert haben), werden diese sich nicht bei Ihnen melden, um nach Ihren persönlichen Daten wie Passwörtern oder Kreditkartennummern zu fragen. Wenn Sie einen unaufgeforderten Anruf erhalten, in dem Sie um die Nennung Ihrer persönlichen Daten gebeten werden, fragen Sie nach dem Namen und der Telefonnummer des Anrufers und überprüfen Sie die Angaben bei der betreffenden Organisation. Bei ungefragt erhaltenen E-Mails ist es immer sicherer, sie zu ignorieren.

Drohungen und mögliche Folgen

Phishing-Angreifer können sich als Regierung, Steuerbehörde oder Ihre Bank ausgeben. Sie behaupten zunächst, Sie hätten eine überfällige Zahlung oder Ihre Steuererklärung nicht abgegeben, und drohen Ihnen mit rechtlichen Schritten, wenn Sie das Geld nicht an sie überweisen.

Einfügen verdächtiger Links oder Anhänge

Die meisten Unternehmen schicken Ihnen in der Regel keine unaufgeforderten E-Mails. Fragen Sie sich also: Warum sollten Sie diese E-Mail erhalten haben? Vor allem, wenn die E-Mail Links oder Anhänge enthält, sollten bei Ihnen die Alarmglocken schrillen.

Dringende Fristen

Es kommt häufig vor, dass Phishing-Betrüger Ihnen ein falsches Gefühl der Dringlichkeit vorgaukeln, um Sie durch diese Täuschung zum sofortigen Handeln zu bewegen. So können sie beispielsweise behaupten, dass unerwartete Aktivitäten auf Ihrem Konto stattgefunden haben, und Sie werden aufgefordert, auf bestimmte Anweisungen zu klicken, da Sie ansonsten riskieren, dass Ihr Konto geschlossen wird. Ein anderes Phishing-Beispiel, wie eine E-Mail beginnen könnte, wäre mit der Aufforderung, ein Angebot oder einen Preis in Anspruch zu nehmen, der nur für eine begrenzte Zeit verfügbar ist.

Anti-Phishing-Tools gewährleisten zusätzlichen Phishing-Schutz

Zwar ist der beste Schutz gegen Phishing in der Regel, die Augen offenzuhalten, doch sind wir auch nur Menschen. Selbst die aufmerksamste Person kann nicht rund um die Uhr wachsam sein. An dieser Stelle kommen automatisierte Anti-Phishing-Tools ins Spiel. Sie bieten Ihnen einen passiven Phishing-Schutz, den Sie einmal einrichten und dann nicht weiter darüber nachdenken müssen.

• Avanan schützt E-Mails und eine Reihe von Cloud-Anwendungen vor Phishing, Malware und Viren.
• Barracuda Sentinel gewährleistet Phishing-Schutz vor Phishing-Mails, die herkömmliche E-Mail-Gateways umgehen.
• BrandShield überwacht soziale Medien und erkennt Phishing-Websites und -Seiten.
• Cofense PDR erkennt Phishing-Attacken, die die SEGs (Secure Email Gateways) aller großen Anbieter umgangen haben.
• RSA FraudAction schützt Sie vor Phishing und Malware, betrügerischen mobilen Anwendungen und betrügerischen Social-Media-Seiten.
• IRONSCALES kombiniert menschliche und automatisierte Intelligenz, um sich gegen die Kompromittierung von Geschäfts-E-Mails, gefälschte Anmeldeseiten und mehr zu wehren.
• KnowBe4 ist eine Plattform für Schulungen zum Sicherheitsbewusstsein und für simulierte Phishing-Angriffe.

Die häufigsten Phishing-Arten

Spear-Phishing Definition

Spear-Phishing ist eine der gängigsten Phishing-Techniken. Es erfolgt in der Regel in Form von Phishing-E-Mails, die den Anschein erwecken, von einem seriösen Unternehmen oder einer legitimen Organisation zu stammen. Ihr Ziel ist es, Sie dazu zu bringen, Ihre persönlichen Daten wie Kennwörter, Kreditkartennummern oder Daten Ihrer Bankkonten preiszugeben oder Viren auf Ihr Gerät zu verbreiten.

Die E-Mail enthält Ihren Namen und andere Informationen, die legitim erscheinen. Das soll Sie glauben machen, dass die E-Mail echt ist, damit Sie schließlich tun, was in der E-Mail verlangt wird, z. B. einen Anhang öffnen oder auf Links in der E-Mail klicken.

Spear-Phishing-Beispiele

Eine übliche Spear-Phishing-Mail gibt vor, von einem seriösen Online-Shop zu stammen, und informiert Sie über eine erfolgreiche Transaktion, eine unvollständige Bestellung oder eine Versandmitteilung. Im Jahr 2015 gaben sich Angreifer als Amazon aus und verschickten fast 100 Millionen E-Mails mit dem Titel Ihre „Amazon.com-Bestellung wurde versandt“, die die Empfänger dazu brachten, die Locky-Ransomware zu installieren.

Whaling

Ein Whaling-Angriff zielt in der Regel in E-Mails auf leitende Angestellte einer Organisation ab, indem sich die Angreifer als legitime Kunden, Partner oder Mitglieder der Organisation ausgeben. Ziel ist es, die Opfer dazu zu bringen, die Überweisung hoher Beträge zu genehmigen, sensible Unternehmensdaten preiszugeben oder auf einen Link zu klicken, über den Malware übertragen wird.

Der Begriff Whaling leitet sich von der Größe des Angriffs ab. Whaling-E-Mails sind ausgefeilter als typische Phishing-E-Mails. Ihr Inhalt ist stark personalisiert und enthält den Namen, die Berufsbezeichnung und andere relevante Informationen der Zielperson. Und nicht nur das: Die E-Mails sind auch mit fließender Geschäftsterminologie, Branchenkenntnissen und persönlichen Bezügen verfasst.

Phishing-Beispiele für Whaling

• Ein Whaling-Angreifer gab sich als CEO von Snapchat aus und forderte per E-Mail von einem leitenden Mitarbeiter des Unternehmens Informationen zur Gehaltsabrechnung.
• Ein Betrüger gab sich als der neue CEO von Mattel aus und bat per E-Mail einen leitenden Angestellten des Unternehmens um eine Geldüberweisung.
• Betrüger gaben sich als CEO von Seagate aus und schickten eine E-Mail an die Personalabteilung des Unternehmens, die ihnen unwissentlich wertvolle Mitarbeiterdaten, einschließlich Sozialversicherungsnummern und Gehaltsinformationen, aushändigte.

Smishing

Ein Smishing-Angriff erfolgt in Form von Textnachrichten und bringt die Opfer durch Täuschung dazu, ihre persönlichen Daten preiszugeben. Smishing, Vishing und Spear-Phishing verfolgen im Wesentlichen dieselben Ziele, setzen aber unterschiedliche Kommunikationsmittel ein, um die Opfer anzusprechen. Smishing erfolgt über SMS und Textnachrichten, Vishing über Telefonanrufe und Spear-Phishing über E-Mails. Erfahren Sie mehr darüber, wie Smishing funktioniert.

Beispiele für Smishing

Smishing-Angreifer verwenden in der Regel eine der folgenden Aussagen, um Sie dazu zu bringen, Ihre persönlichen Daten preiszugeben:

• „Mit Ihrer Kreditkarte wurde ein verdächtiger Kauf getätigt“: Der Angreifer gibt sich als Ihre Bank aus und fragt nach Ihren persönlichen Daten, um angeblich den Kauf für Sie rückgängig machen zu können.
• „Herzlichen Glückwunsch! Sie haben gewonnen“: In der Nachricht wird behauptet, Sie seien der glückliche Gewinner. Unnötig zu erwähnen, dass Sie zunächst Ihre Identität verifizieren müssen.
• „Ihr Paket wurde versandt“: Möchten Sie Ihre Lieferung verfolgen? Klicken oder tippen Sie auf den angegebenen Link.

Vishing

Beim Vishing werden die Opfer mittels Telefonanrufen dazu verleitet, ihre persönlichen Daten preiszugeben. Wie schon erwähnt, verfolgt es die gleichen Ziele wie Smishing und Spear-Phishing, die es über andere Kommunikationsmittel (Textnachrichten bzw. E-Mails) auf ihre Opfer abgesehen haben.

Beispiele für Vishing

Ein Vishing-Angreifer gibt in der Regel vor, als Mitarbeiter der Regierung, der Steuerbehörde, der Polizei oder der Bank des Opfers anzurufen. Der Betrüger zwingt die Opfer, die geforderten Informationen bereitzustellen, indem er ihnen vorgaukelt, dass sie etwas in ihrem eigenen Interesse tun, z. B. um eine Strafanzeige zu vermeiden oder eine Sperrung ihres Bankkontos zu verhindern. Ein ähnlicher Trick wird mit Voicemails angewandt, in denen die Opfer aufgefordert werden, sofort zurückzurufen, um ernsthafte Konsequenzen zu vermeiden.

Suchmaschinen-Phishing

Suchmaschinen-Phishing ist eine neue Technik. Die Angreifer bringen ein Opfer dazu, auf bösartige Websites zuzugreifen, die sie in legitimen Suchmaschinen indexiert haben. Auf der Seite mit den Suchergebnissen wird die gefälschte Website angezeigt, die den von den Opfern eingegebenen Schlüsselwörtern entspricht. Der Trick nutzt unser Vertrauen in die Suchmaschinenergebnisse aus, da sie bequem und sicher sind.

Beispiele für Suchmaschinen-Phishing

Eine Phishing-Website für eine Suchmaschine kann eines dieser Dinge darstellen:

• Stark rabattierte Produkte oder Dienstleistungen: Die Übeltäter wollen, dass Sie für den Kauf Ihre Kreditkartendaten eingeben, auf die sie nur gewartet haben!
• Sie geben sich als legitimer Dienst aus: Gefälschte Coinbase-Anmeldeseiten tauchten bei Suchbegriffen wie „Coinbase Login“ auf. Bei dieser Form des Phishings geht es normalerweise um Bank- oder Finanzdienstleistungen.
• Gefälschte Jobangebote: Hier werden Sie nach Ihrer Sozialversicherungsnummer gefragt. Geben Sie sie nicht heraus!

Angler-Phishing

Beim Angler-Phishing gibt sich ein Angreifer als Kundendienstmitarbeiter aus und antwortet einem unzufriedenen Kunden, der sich in den sozialen Medien über ein Produkt oder eine Dienstleistung beschwert. Der Betrüger schlägt eine sofortige Lösung vor, bei der der Kunde in der Regel auf einen Link klicken muss, um sein Problem zu beheben. Durch das Anklicken dieses Links wird jedoch Malware auf dem Gerät der Zielperson installiert oder deren Anmeldedaten werden gestohlen.

Beispiele für Angler-Phishing

Ein angeblicher Kundendienstmitarbeiter stellt einen Link bereit, über den Sie angeblich wieder Zugang zu Ihrem Konto erhalten können. Sind Sie mit einer Dienstleistung nicht zufrieden? Der Betrüger behauptet, er wolle „alles wieder ins Lot bringen“, und fordert Sie auf, einem Link zu folgen oder ihm eine private Nachricht zu schicken, um weitere Details für eine Entschädigung anzugeben.

Pharming

Bei einem Pharming-Angriff wird ein Opfer auf eine betrügerische Website umgeleitet, nachdem es eine korrekte URL in einen Browser eingegeben hat. Zu Beginn wird ein bösartiger Code auf einem Computer oder Server installiert. Der Code ändert im Hintergrund die Zieladresse und leitet das Opfer auf eine gefälschte Website um, die einer seriösen Website ähnelt. Anschließend werden die Opfer aufgefordert, sich mit ihren echten Anmeldedaten auf der bösartigen Website anzumelden.

Beispiele für Pharming

Pharming zielt häufig auf Banken oder Finanzinstitute ab, um Anmeldedaten und Bankinformationen von Kunden abzufangen. Bei einem Pharming-Angriff im Jahr 2007 wurden Kunden von über 50 Finanzinstituten, darunter Barclays Bank, PayPal und eBay, angegriffen und täglich über 1.000 Geräte infiziert.

Auch wenn einige der Inhalte, auf die wir in diesem Artikel verlinken, noch in der Originalsprache vorliegen, halten wir es für sinnvoll, sie hier zu veröffentlichen. Wir hoffen, dass sie Ihnen trotzdem gefallen.