Phishing-Tipps 17.02.2022, 09:25 Uhr

Checkliste: Phishing erkennen – so gehts

Phishing ist eine beliebte und fiese Angriffsmethode. Mit falschen E-Mails und Webseiten wird versucht, an Login- und Bankdaten zu kommen. Glücklicherweise lassen sich solche Angriffe erkennen und abwehren. Dabei helfen Ihnen die folgenden Tipps.
(Quelle: Shutterstock/modvector)
Auf so gut wie keine andere Cyberattacke wie Phishing fallen Privat­personen herein. Dabei wäre Phishing grösstenteils vermeidbar, denn: Die Attacke benötigt zwingend, dass der Nutzer einen Fehler macht. Wir zeigen Ihnen, wie Sie Phishing erkennen und sich schützen, Bild 1.
Bild 1: eine klassische Phishing-E-Mail
Quelle: PCtipp.ch
Das Gros der Phishing-Angriffe wird breit gestreut. Der Angreifer imitiert ein Gross­unternehmen und schickt die gefälschte Nachricht einfach an alle Mailadressen in seiner Liste – in der Annahme, dass ein Grossteil der angeschriebenen Personen eine Verbindung zum Unternehmen hat. Dann müssen nur noch eine Handvoll davon darauf reinfallen und es hat sich für den Phisher gelohnt.
Vermehrt verwenden Phisher aber auch Angriffe mithilfe von Social-Engineering-Methoden. Dabei benutzen die Angreifer nicht einfach Listen von Mailadressen, sondern ganze Datenbanken, bei denen jeder Mail­adresse ein persönliches Profil beigefügt ist. Alles, was über Sie öffentlich auffindbar ist, kann verwendet werden: Wohnort, Arbeit­geber, Geburtsdatum, persönliche Vorlieben etc. Solche Angriffe sind effektiver, weil sie für den Empfänger glaubwürdiger erscheinen.
Eine verwandte Methode ist in sozialen Medien beliebt: Es werden im Namen des In­habers des gehackten Kontos Phishing-Links an Freunde verschickt; normalerweise unter einem Vorwand, zum Beispiel man wolle ein paar Fotos teilen oder eine Umfrage machen. Die Links führen meistens zu gefälschten Webseiten, die den Nutzer dazu bringen sollen, die Nutzerdaten dort einzugeben, Bild 2.
Bild 2: Fährt man mit der Maus über den Link, sieht man, dass die URL nichts mit dem vermeintlichen Absender zu tun hat
Quelle: PCtipp.ch
Dazu erstellen Phisher eine Webseite, die genauso aussieht wie die richtige Login-Seite eines echten Anbieters. Das Opfer wird unter einem Vorwand auf die gefälschte Seite gelotst und soll sich dort «einloggen». Das Login klappt natürlich nicht, die eingegebenen Daten werden aber direkt an den Hacker gesandt, der sie dann auf der richtigen Login-Seite gebrauchen kann.
Etwas seltener geworden sind mit Malware verseuchte Webseiten. Das unter anderem auch, weil Webbrowser und Betriebssysteme heutzutage besser gegen Malware geschützt sind. Da lässt sich der Nutzer leichter über­listen als die Software.



Kommentare

Avatar
tipptopp
17.02.2022
Möchte gerne den umfassenden und informativen Artikel noch mit dem Hinweis ergänzen, dass oft am Ende der Phishing-Mail ein link zum Abmelden aufgeführt ist: ACHTUNG! ja nicht drauf klicken und hoffen, dass dann keine Mails mehr von diesem Absender kämen; im Gegenteil bestätigt man damit den Erhalt und die Richtigkeit der eigenen Email-Adresse...und dann geht's erst richtig los!!! Werde selber z.Zt. zugemüllt mit falschen "LinkedIn" Mails, habe dort aber gar nie ein Profil hinterlegt. Auch sind die Mailadressen dubios und haben mit LinkedIn nichts zu tun. Daselbe gilt für Amazon oder irgendwelche Päcklis, die nicht zugestellt werden können. Na ja ist ja alles nicht mehr ganz so neu. Übrigens lernen Mail-Clients (z.Bsp. Outlook) relativ rasch, was echt oder fake ist, wenn man sie entsprechend mit Infos füttert (Aktionen>Junk-E-Mail>Absender zur Liste blockierter Absender hinzufügen).