Lektion 19 – Phishing-Attacken: Wie man sie vermeiden kann

Was ist Phishing?

E-Mails, deren Absender ihre wahre Identität vertuschen und sich stattdessen als eine andere Person oder Firma ausgeben, werden als Phishing bezeichnet. In der Regel kopieren die Betrüger das Design einer bekannten und vertrauenswürdigen Marke, mit dem Ziel an Ihre sensiblen Daten, wie Benutzername oder Passwort, zu gelangen. Häufig werden dafür E-Mails versendet, die denen der Deutschen Post / DHL, Amazon oder PayPal zum Verwechseln ähnlich aussehen.

In jüngster Zeit häufen sich Fälle, in denen Betrüger sich als Vertreter eines Unternehmens der Boerse Stuttgart Group ausgeben (z.B. BISON, BSDEX, Börse Stuttgart oder als EUWAX AG). Ihr Ziel ist es, durch raffinierte Täuschungen, dich dazu zu bringen deine Daten preiszugeben, oder dich als Neukunde registrieren zu lassen. Sobald du diesen Schritten folgst, gelangen deine sensiblen Informationen in die Hände der Betrüger, oder du erleiden finanzielle Verluste, weil dir eine nichtexistierende Geschäftsbeziehung mit uns vorgetäuscht wird. Bitte sei äußerst vorsichtig und überprüfe jede Kommunikation sorgfältig, bevor du persönliche Informationen mit Dritten teilst.

Mitarbeitende von BISON werden dich niemals nach deinen Zugangsdaten fragen, insbesondere nicht nach deiner TAN. Auch werden Mitarbeitende niemals dich auffordern den Bildschirm deines Computers mit uns zu teilen (Screensharing). Insbesondere das Weitergeben der TAN führt dazu, dass Dritte Zugang zu deinem gesamten Konto erhalten. Geben niemals deine Login-Daten und deine TAN an Dritte, insbesondere an Unbekannte, weiter.

Welche verschiedenen Phishing-Varianten gibt es?

Kriminelle nutzen zunehmend ausgeklügelte Betrugsmethoden, um an vertrauliche Informationen heranzukommen. Phishing-Angriffe, die in vielfältigen Varianten auftreten, zählen dabei zu den beliebtesten Methoden.
Wir zeigen dir auf wie du verschiedene Betrugsversuche durch Phishing erkennen und dich effektiv schützen kannst.

1. Phishing per E-Mail: Bei Phishing-Attacken per E-Mail wird der Inhalt so gestaltet, dass er den Anschein erweckt von deiner Bank oder einem anderen vertrauten Unternehmen zu stammen. Diese E-Mails können sehr überzeugend wirken und fordern den Empfänger dazu auf, persönliche Informationen preiszugeben.
2. Vishing: Kurz für „Voice Phishing“ ist eine Betrugsmethode, bei der Kriminelle telefonischen Kontakt zu ihren Opfern aufnehmen, um an vertrauliche Informationen zu gelangen. Ähnlich wie beim Phishing per E-Mail geben sich die Betrüger oft als Vertreter seriöser Institutionen, wie Banken, Behörden oder bekannten Unternehmen, aus. Die Täter nutzen dabei gefälschte Telefonnummern, die seriös erscheinen oder sogar tatsächlichen Nummern von Institutionen entsprechen können, um ihre Glaubwürdigkeit zu erhöhen. Ziel der Betrüger ist es an vertrauliche Daten zu gelangen.
3. Smishing: Ist eine Form des Betrugs, bei der Kriminelle SMS-Nachrichten versenden, um an vertrauliche Informationen ihrer Opfer zu gelangen. Die Betrüger geben sich häufig als vertrauenswürdige Institutionen oder Unternehmen aus und nutzen die vermeintliche Dringlichkeit oder attraktive Angebote, um die Empfänger zur Herausgabe von persönlichen Daten zu verleiten. Bei einem Smishing-Angriff erhält der Empfänger eine SMS, in welchem aufgefordert wird, auf einen Link zu klicken oder sensible Informationen preiszugeben. Die Nachricht kann behaupten, dass ein dringendes Problem mit dem Bankkonto des Empfängers besteht, eine Lieferung verifiziert werden muss, oder es werden exklusive Rabatte angeboten, die nur für eine begrenzte Zeit gültig sind. Die Verlinkungen führen oft zu gefälschten Websites, die den echten zum Verwechseln ähnlich sind.
4. Phishing per Brief: Eine zunehmend verbreitete Methode unter Betrügern ist das Phishing per Brief. Bei dieser Methode schicken Betrüger gefälschte Briefe, die scheinbar von vertrauenswürdigen Unternehmen oder Institutionen stammen, an ihre Opfer. Diese Briefe nutzen oft die Schriftzüge und Marken der Unternehmen, um authentisch zu wirken. Ziel ist es, die Empfänger zur Herausgabe persönlicher Informationen oder zur Überweisung von Geldbeträgen zu bewegen.
   

Wie man sich gegen Phishing Attacken wehren kann

1. Mehr-Faktor-Authentisierung schützt auch bei Datenverlust: Dank Mehr-Faktor-Authentisierung reicht es nicht mehr, nur eine Information zu besitzen, die einen als Besitzer:in identifiziert. In der Regel ist zusätzlich eine TAN oder eine biometrische Erkennung wie der Fingerabdruck notwendig.
2. Genau auf den Absender einer E-Mail achten: E-Mail-Adressen gehören immer zu einer entsprechenden Domain. BISON E-Mails, deren Website-Domain bisonapp.com lautet, erhältst du immer von E-Mails mit der Endung @bisonapp.com Wenn du eine E-Mail mit einer anderen Domäne oder einer etwas anderen Schreibweise erhältst, solltest du vorsichtig sein.
3. Grammatikalische Fehler: Phishing E-Mails werden in der Regel von Fremdsprachlern verfasst. Mit den 13 meistgesprochenen Sprachen der Welt würde man zwar bereits mehr als die Hälfte der Weltbevölkerung erreichen, doch so viele Sprachen spricht wohl kaum jemand fließend. Cyberkriminalität findet weltweit statt. Deshalb werden einfache Übersetzungstools genutzt, um möglichst viele Personen zu erreichen. Erhältst du eine Mail von einem seriösen Anbieter und der Text enthält diverse grammatikalische Fehler? Oder der Text enthält keine gängigen Bezeichnungen? Dann vergewissere dich, dass die E-Mail tatsächlich von uns verschickt wurde und kontaktiere direkt unseren Customer Support. Es ist jedoch zu beachten, dass mit der Entwicklung moderner KI-Chatbots wie ChatGPT Kriminelle zunehmend in der Lage sind, diese Technologien für ihre betrügerischen Zwecke zu nutzen. Sie optimieren dadurch ihre Fähigkeit, fehlerfreie Texte zu verfassen. Dies führt dazu, dass das bisherige Erkennungsmerkmal von Phishing-Versuchen – nämlich die sprachlichen Unstimmigkeiten und Fehler – an Bedeutung verlieren. Dadurch können betrügerische Nachrichten immer schwieriger identifiziert werden.
4. Design der E-Mail sieht merkwürdig aus: Eine optisch hochwertige HTML-Mail zu versenden, die auf allen Geräten gut aussieht, ist sehr zeitaufwändig. Für diese Aufgabe gibt es in vielen Unternehmen E-Mail Marketing Manager:innen. Jeder Browser und jeder E-Mail-Client ist technisch anders aufgebaut. Echte Unternehmen nehmen sich die Zeit, diese technischen Hürden zu überwinden, um ihren Kunden ein gutes Kundenerlebnis zu liefern. Es ist nicht ausgeschlossen, dass eine Mail eines seriösen Unternehmens auf deinem Gerät merkwürdig aussieht, vor allem, wenn du ältere oder ungewöhnliche Geräte nutzt. Doch merkwürdig formatierte E-Mails können auf eine Phishing Mail hinweisen. Kriminelle testen das Design nicht auf verschiedenen Geräten und Browsern. Häufig wird einfach das Logo eines Unternehmens eingefügt und eventuell der Footer kopiert. Sollte dir das Design merkwürdig vorkommen, prüfe zum Beispiel im nächsten Schritt die E-Mail des Absenders.
5. Anti-Virus Tool oder Spamfilter-Tool: Die Spamfilter von großen E-Mail-Anbietern wie Yahoo und Google erkennen bereits sehr viele ungewünschte Nachrichten. Sowohl Unternehmen als auch Privatpersonen können sich aber noch weiter schützen. Für Privatpersonen eignen sich Anti-Virus Tools. Diese enthalten oft Spamfilter, die mit dem installierten E-Mail-Programm zusammenarbeiten.
6. Keine oder falsche individuelle Anrede: Viele Unternehmen, bei denen du Kunde bist, kennen deinen Namen. Aus diesem Grund wirst du in vielen Mails mit Vor- und oder Nachnamen angesprochen. In der Kommunikation sind Unternehmen meist sehr konsistent. Deine Bank hat dich immer mit Nachnamen angesprochen und plötzlich steht in einer Mail „Sehr geehrte/r Kund/in“? In der Regel versenden Kriminelle Phishing Mails in Massen. Phishing Attacken, die auf gestohlenen Datensätzen basieren und deine vollständigen Daten besitzen, sind deutlich seltener. Erhöhe deine Aufmerksamkeit, solltest du nicht persönlich angesprochen werden. Insbesondere eine falsche Schreibweise sollte zu erhöhter Aufmerksamkeit führen.
7. Betrügerischer Link in einer E-Mail: Vermeide, einen Link anzuklicken, der von unbekannten Absendern kommt. Solltest du aufgefordert werden, dich über einen Link bei Bison einzuloggen, öffne vorsichtshalber die Webseite in einem neuen Browserfenster, indem du die URL direkt eingibst. Überprüfe den Link vorab, indem du mit der Maus darüberfährst, um eine Vorschau der URL zu sehen.
8. Eine scheinbar dringende Anfrage: Sei besonders vorsichtig, wenn du in einer E-Mail zum sofortigen Handeln gedrängt wirst, um sensible Daten preiszugeben.
9. Unerwartete Kontaktaufnahme: Hinterfrage bei unerwarteten Anrufen von deiner Bank oder einer anderen Institution, die nach persönlichen Informationen fragen die Legitimität des Anrufs. Eine Möglichkeit die Anfrage zu überprüfen, ist das Gespräch zu beenden und die jeweilige Institution direkt über die offiziellen Kommunikationskanäle zu kontaktieren, aber niemals über die Rufnummer, die im fraglichen Anruf übermittelt wurde.

Weitere Informationen zum Phishing per Brief

Wie funktioniert Phishing per Brief?

Die Briefe enthalten häufig gefälschte Kontaktinformationen wie Telefonnummern oder E-Mail-Adressen, die direkt zu den Betrügern führen. Nicht selten sind diese Schreiben sogar per Einschreiben versendet, um ihren seriösen Anschein zu verstärken. Inhaltlich locken diese Briefe oft mit der Aussicht auf angebliche Guthaben, sei es in Euro oder Kryptowährungen, die nur darauf warten, vom Empfänger abgerufen zu werden.

Anzeichen für Phishing per Brief

1. Verwendung bekannter Marken und Logos, die jedoch bei genauer Betrachtung oft leicht abweichende Details aufweisen können.
2. Angebote von großen Summen an Geld oder Kryptowährungen, die ohne vorherige Ankündigung oder plausible Begründung angeboten werden.
3. Aufforderung zur Kontaktaufnahme über spezifische Telefonnummern oder E-Mail-Adressen, die nicht mit den offiziellen Kontaktinformationen der angegebenen Organisation übereinstimmen.
4. Briefzustellung per Einschreiben, um Vertrauen zu schaffen.

So kannst du dich vor Brief-Phishing schützen

1. Überprüfe die Absenderangaben: Vergleichen die im Brief angegebenen Kontaktdaten mit jenen, die auf der offiziellen Website der angeblichen Absenderorganisation zu finden sind.
2. Sei skeptisch bei Geldversprechen: Hinterfrage angebliche Angaben zu Guthaben bei Unternehmen, mit welchen du in keiner Geschäftsbeziehung stehst, kritisch. Es könnte ein Betrugsversuch handeln, mit dem Ziel sensible persönliche Daten abzugreifen oder Zahlungen zu verlangen, um angebliche Guthaben auszuzahlen.
3. Kontaktaufnahme über offizielle Kanäle: Nehme bei Unsicherheiten immer über die offiziell verifizierten Kommunikationswege Kontakt zum Unternehmen auf.
4. Informiere die Behörden: Melde verdächtige Briefe den zuständigen Behörden oder der Verbraucherzentrale, um weitere Untersuchungen zu ermöglichen und andere potenzielle Opfer zu warnen.

Wir möchten dich darauf hinweisen, dass wir dich niemals kontaktieren werden, um dein Guthaben oder deine Gewinne zu verwalten. Die Verantwortung und Kontrolle über deine finanziellen Mittel liegen ausschließlich in deinen Händen!

Weitere Hinweise

Bitte bewahre deine vertraulichen Daten sicher auf und teilen sie niemals mit Dritten! Wir von Bison garantieren dir, dass wir dich niemals nach sensiblen Informationen wie Passwörtern, PINs, mTANs oder anderen Sicherheitscodes fragen werden. Ebenso werden wir dich nicht auffordern deinen Computerbildschirm mittels Fernzugriffssoftware (z. B. TeamViewer, AnyDesk) mit uns zu teilen.
Auch möchten wir dich darauf hinweisen, dass wir zu keinem Zeitpunkt von dir Vorauszahlungen oder ähnliche Gebühren für die Auszahlung deines Guthabens, egal ob in Euro oder in Kryptowährung, verlangen werden. Auch werden wir dich nicht auffordern Gelder auf ein anderes Konto zu überweisen.
Unsere Kommunikation mit Kunden erfolgt ausschließlich über unsere offiziellen Kommunikationskanäle und niemals über Messenger-Dienste wie WhatsApp. Solltest du derartige Anfragen erhalten, sei vorsichtig und hinterfrage deren Authentizität.

Aktuelle Informationen rund um Phishing findest du auch hier

Informationen zur Phishing-Methode und aktuelle Beispiele finden Sie im Phishing-Radar der Verbraucherzentrale: https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/phishingradar-aktuelle-warnungen-6059