Phishing. Was ist das und wie kann man sich schützen?

Bei Phishing-Angriffen werden E-Mails oder Textnachrichten verwendet, um persönliche Informationen zu erlangen, indem sich die Täter als vertrauenswürdige Organisationen ausgeben. Hier erfahren Sie, was Phishing ist und wie Sie vermeiden können, darauf hereinzufallen.

Was ist Phishing?

Bedeutung und Übersetzung von Phishing

Der Begriff "Phishing" ist eine Anpassung des englischen Verbs "to fish" an den Computerjargon und bedeutet, etwas zu erreichen oder zu realisieren, indem man jemanden "ködert".

Computer-Phishing

In der Informatik wird der Begriff "Phishing" verwendet, um einen Online-Betrug zu bezeichnen, der durch das Versenden von E-Mail-Nachrichten erfolgt, die in Bezug auf Inhalt, Logo, Absender und Grafiken mit denen bekannter Marken identisch sind und in denen der Empfänger aufgefordert wird, vertrauliche Daten anzugeben, die dann im Netz für bösartige Zwecke verwendet werden.

Wie funktioniert Phishing?

Phishing ist eine weitverbreitete Praxis, weil sie einfach, kostengünstig und risikoarm ist.

Tausende von Kriminellen versuchen täglich, Phishing-Betrug zu begehen, indem sie betrügerische E-Mails an grosse Verteilerlisten senden, um an sensible Daten des Empfängers oder Zugang zu einem geschützten System zu gelangen.

Für Betrüger ist es sehr einfach, eine Mitteilung eines bekannten und angesehenen Unternehmens zu fälschen: Sie kopieren das Logo und die Verweise von der offiziellen Webseite bereiten eine zusammenhängende Nachricht vor, die in der Regel auf einem Gefühl der Dringlichkeit beruht und das war's. Nun muss die E-Mail nur noch an so viele Empfänger wie möglich geschickt werden, in der Hoffnung, dass jemand "anbeisst" und mit den gewünschten Informationen antwortet.

Die Empfängerlisten werden online abgerufen, illegal gekauft oder einfach durch Spekulationen unter Verwendung allgemeiner E-Mail-Adressen wie info@, sales@, verwaltung@, marketing@ usw. erstellt.

Phishing-Angriffe scheinen auch oft von Organisationen auszugehen, die bei den Opfern Vertrauen erwecken können, wie z. B. Wohltätigkeitsorganisationen. Ausserdem nutzen die Angreifer häufig aktuelle Ereignisse und bestimmte Jahreszeiten aus, wie z. B.:

- Geopolitisch instabile Situationen       
- Naturkatastrophen
- Epidemien und Gesundheitsprobleme
- Wirtschaftliche Sorgen
- Wichtige politische Wahlen

Phishing-Angriffe können auch über SMS oder Textnachrichten erfolgen; in diesem Fall spricht man von "Smishing". Textnachrichten können Links zu Webseiten, E-Mail-Adressen oder Telefonnummern enthalten, die, wenn sie angeklickt werden, automatisch ein Browserfenster oder eine E-Mail-Nachricht öffnen oder eine Nummer wählen.

So erkennen Sie Phishing-E-Mails

Diese Art des elektronischen Betrugs kann viele Ziele verfolgen, vom Zugriff auf vertrauliche Informationen bis hin zur Installation von Malware auf dem System des Opfers. Daraus folgt, dass jede Phishing-E-Mail anders aussieht, obwohl es viele wiederkehrende Elemente gibt:

• Zweideutige und nicht referenzierte Texte

          In Phishing-E-Mails fehlt oft der persönliche Bezug und der Inhalt ist zweideutig und allgemein gehalten (z. B. "Vertrag läuft Ende des Monats                aus" statt "Vertrag läuft am 15.12.2022 aus")

• Ähnlicher, aber falscher Absender
  Die Adresse des Absenders kann ein seriöses Unternehmen imitieren. Cyberkriminelle verwenden oft Namen, die den echten Namen sehr ähnlich sind, indem sie bestimmte Zeichen ändern oder weglassen. So können sie beispielsweise E-Mails von einem Postfach wie info@swizonic.ch verschicken, bei dem die Domain swizonic.ch der Domain swizzonic.ch so ähnlich ist, dass man bei geringer Aufmerksamkeit leicht übersieht, dass ein "Z" fehlt.
  

• Mangelnde Detailgenauigkeit bei Begrüssungen und Signaturen
  Sowohl eine allgemeine Begrüssung wie "Sehr geehrter Kunde" oder "Sir/Madam" als auch das Fehlen von Kontaktinformationen im Signaturblock sind deutliche Hinweise auf eine Phishing-E-Mail. Eine vertrauenswürdige Organisation spricht Sie normalerweise mit Namen an und gibt ihre Kontaktinformationen an.

• Gefälschte Hyperlinks und Webseiten
  Wenn Sie mit dem Mauszeiger über Links im Text der E-Mail fahren und die Links nicht mit dem Text übereinstimmen, der beim Überfahren erscheint, ist der Link möglicherweise gefälscht. Bösartige Webseiten können identisch mit einer legitimen Seite aussehen, aber die URL kann eine andere Schreibweise oder eine andere Domain verwenden (z. B. .com statt .ch). Ausserdem können Cyberkriminelle eine URL-Verkürzungsmethode verwenden, um das wahre Ziel des Links zu verbergen.
  

• Rechtschreib- und Layoutfehler
  Oft sind Phishing-Nachrichten schlampig gestaltet, schlecht geschrieben und enthalten sogar Grammatik- und Rechtschreibfehler. Dies alles sind Anzeichen für einen möglichen Phishing-Versuch. Seriöse Unternehmen und Institutionen haben engagierte Mitarbeiter, die Kundenmitteilungen sorgfältig erstellen, überprüfen und Korrektur lesen.
  

• Verdächtige Anhänge und Links
  Häufig werden wir in Phishing-Nachrichten aufgefordert, auf einen unsicheren Link zu klicken oder einen Dokumentanhang mit einer "seltsamen" Erweiterung zu öffnen.

Schon der Text der Mitteilung sollte sofort die Alarmglocken schrillen lassen. In der Tat nutzen diese E-Mails oft einfache, aber wirksame Techniken, um uns zum Handeln zu verleiten.

• Das Gefühl der Dringlichkeit. Der Absender könnte Formulierungen verwenden wie "Zahlen Sie jetzt, um eine Unterbrechung des Dienstes zu vermeiden", "Antworten Sie jetzt, um zu vermeiden, dass ..." usw. Der "Anschein" von Autorität oder Vertrautheit.

• Der scheinbare Empfänger könnte Ihr Chef sein, der Name Ihres Freundes oder der Name der Bank, bei der Sie Ihr Konto haben.

• Neugierde. Nachrichten können an die angeborene menschliche Neugierde appellieren ... etwas, das Sie dazu bringt, einen Blick darauf zu werfen, nur für den Fall, dass es wahr ist: "Wichtige Systemaktualisierung ...", "Änderungen an Ihrem Bankkonto ...", "Sie sind unser 100ster Kunde und haben einen Preis gewonnen ..." usw.

Auf den ersten Blick scheinen die oben genannten Beispiele offensichtlich zu sein, aber es ist leicht, in die Falle zu tappen, wenn man müde, ein wenig gestresst, spät dran oder in Eile ist... das Logo sieht seriös aus, die Adresse ist auf den ersten Blick richtig, die E-Mail ist dringend und der Klick kommt.

So schützen Sie sich vor Phishing

Um nicht in die Phishing-Falle zu tappen, raten wir Ihnen Folgendes:

- Seien Sie misstrauisch gegenüber jeder E-Mail, in der Sie aufgefordert werden, vertrauliche Daten wie Kreditkartennummern, Passwörter für den Servicezugang oder andere persönliche Informationen einzugeben

- Installieren Sie Antiviren-Software und -Programme, Firewalls, E-Mail-Filter und Anti-Phishing-Funktionen und halten Sie sie auf dem neuesten Stand, indem Sie sichere und professionelle Lösungen wie den Antivirus- und Antispam-Service von Swizzonic.ch wählen.

- Überprüfen Sie sorgfältig die URL der Webseite, die in Ihrem Browser erscheint. Vergewissern Sie sich, dass es sich um eine geschützte Seite handelt, die leicht an einem Vorhängeschloss und dem Präfix https:// (und nicht http://) in der Adressleiste zu erkennen ist, Elemente, die anzeigen, dass die ausgetauschten Informationen verschlüsselt werden.

• Klicken Sie niemals auf "seltsame" Links in der Nachricht und laden Sie keine Anhänge herunter oder öffnen Sie diese.
  
• Prüfen Sie die Herkunft der Nachricht sorgfältig und achten Sie auf Inhalt und Form.
  
• Geben Sie in E-Mails keine persönlichen oder finanziellen Informationen an und antworten Sie nicht auf Anfragen.

Was ist bei Phishing zu tun?

Im Folgenden finden Sie eine kurze Liste von Massnahmen und bewährten Verfahren, die Sie anwenden können, wenn Sie eine Phishing-E-Mail entdecken:

1. Löschen Sie die Nachricht
2. Wenn wir die Nachricht auf unserer Arbeits-E-Mail-Adresse erhalten, benachrichtigen wir sofort das IT-Sicherheitsteam.
3. Benachrichtigen Sie das Unternehmen oder die Einrichtung, dessen/deren Name ausgenutzt wird, damit sie über den Betrug informiert sind, der gegen sie verübt wird.
4. Melden Sie Phishing-Versuche bei der Polizei.

Wenn wir auf einen Link geklickt, eine bösartige Datei heruntergeladen oder unsere Daten angegeben haben, müssen wir unbedingt alle offengelegten Passwörter ändern, einen Scan unseres Computers durchführen, um etwaige Viren zu erkennen und zu blockieren, und unsere Kontoauszüge überprüfen, um alle illegalen Transaktionen zu stornieren.