Phishing: Die fiesesten Tricks der Betrüger

Das Grundprinzip beim Phishing ist relativ simpel: Mit gefälschten Kontaktformularen, E-Mails oder Nachrichten über Messenger-Dienste wie WhatsApp versuchen Betrüger online an die persönlichen Daten von Kunden zu kommen. Entscheidend dafür, dass der Betrug funktioniert ist wie echt diese Täuschungsversuche aussehen – und genau bei diesem Punkt werden die Kriminellen immer besser. Während man Phishing-Mails früher noch relativ simpel erkennen konnte, sind moderne Betrugsversuche teilweise so clever gestaltet, dass selbst geschulte Beobachter den Betrug nicht immer auf den ersten Blick erkennen.

Phishing-Mails erkennen und entlarven

Das Wort Phishing ist übrigens ein Kunstwort und stammt vom englischen Fishing (Angeln). Bildlich gesprochen ist damit das Ködern von Usern und das „Angeln“ nach Passwörtern und Kontoinformationen gemeint. Genau darauf läuft es beim Phishing nämlich hinaus: Die Betrüger geben sich als vertrauenswürdige Personen oder Unternehmen aus und versuchen, durch gefälschte Nachrichten an vertrauliche Kundendaten zu gelangen. Dazu zählen:

• Benutzernamen und Passwörter für Online-Banking
• Kreditkarteninformationen
• E-Mail-Adresse
• Zugangsinformationen zu Bezahl-Diensten wie PayPal
• Kundendaten für Online-Händler wie eBay oder Amazon

Was mit den Daten geschieht, unterscheidet sich von Fall zu Fall. Meistens geht es aber darum, Nutzerkonten zu plündern bzw. Transaktionen vom Konto des Geschädigten auf das des Betrügers durchzuführen. Phishing-Mails sind teilweise einfach zu erkennen, z.B. aufgrund fehlerhafter Schreibweisen oder amateurhaft nachgebauten Webseiten. In unserer Bilderserie findet ihr einige neuere Maschen, die nicht ganz so leicht zu durchschauen sind.

Die fiesesten Tricks der Online-Betrüger

Phishing kann nur funktionieren, wenn die Empfänger der Nachricht glauben, dass diese tatsächlich echt ist. Die Betrüger nutzen daher häufig offizielle Logos oder Corporate-Designs von Unternehmen um die Opfer in Sicherheit zu wiegen. Beliebt sind auch Login-Seiten, die den Auftritten von bekannten Webportalen nachempfunden sind. Phishing ist übrigens kein gänzlich neues Phänomen oder erst im Internetzeitalter entstanden. Der erste moderne Phishing-Vorfall ereignete sich zwar 1996 in der Usenet-Newsgroup alt.online-service.america-online – schon lange davor gab es aber ähnliche Vorfälle, bei denen die Betrüger z.B. auf telefonischem Wege versuchten, das Vertrauen ihrer Opfer zu erschleichen.

Bildquelle: Brian A Jackson

E-Mail von Giropay24: Eine besonders hinterhältige Nachricht, die seit einiger Zeit unter verschiedenen Namen versendet wird – z.B. auch Directpay AG oder Online Pay AG. Empfänger erhalten eine Mahnung vom Anwalt und sollen auf den Anhang der Mail klicken. Damit installieren sie einen Trojaner, der sie anschließend ausspioniert.

Bildquelle: Brian A Jackson

Ein Klassiker unter den Phishing-Mails: Kunden von Saturn (und wer ist das nicht?) werden über eine fälschlich stattgefundene Zahlung per Paypal benachrichtigt. Um die Zahlung zu stornieren, soll man auf einen eingebetteten Link klicken – und tappt damit unmittelbar in die Betrugs-Falle.

Bildquelle: Screenshot

In dieser Phishing-Mail heißt es, dass das PayPal-Konto auf das neue SEPA-Bezahlsystem mit IBAN und BIC umgestellt würde. Die Nachricht wirkt täuschend echt – und enthält sogar einen Warnhinweis vor Phishing.

Bildquelle: Screenshot

Als eine der bekanntesten Marken überhaupt ist auch Apple nicht vor Betrug gefeit. Hier soll man seine Apple-ID auf einer speziellen Login-Seite eingeben – wer das macht riskiert den Verlust der Zugangsdaten und ermöglicht den Betrüger Zugriff auf sämtliche verknüpften Apple-Dienste.

Bildquelle: Screenshot

Diese Betrugs-E-Mail zielt auf die Nutzer des Telebankings der Targobank ab. Aufgrund geänderter Sicherheitsrichtlinien soll man seinen PIN ändern – andernfalls drohe eine Geldstrafe. Auch das ist natürlich nur ein Trick, um den Nutzer zur Weitergabe seiner Daten zu bewegen.

Bildquelle: Screenshot

Hier wird die aktive Mitarbeit der Empfänger gefordert – angeblich habe die Deutsche Bank eine neues Sicherheitssystem eingeführt. Daher müsse man seine persönlichen Daten erneut eingeben, damit das Tool wirksam werde.

Bildquelle: Screenshot

Mit dieser Nachricht wird direkt an die finanziellen Interessen der Empfänger appelliert. Das Bundeszentralamts für Steuern (BZSt) biete eine Steuerrückerstattung an – wer kann da schon nein sagen? Die Mail wirkt täuschend echt – aufgrund des offensichtlichen Anreizes schauen viele Nutzer aber wohl ohnehin nicht all zu genau hin.

Bildquelle: Screenshot

Betrüger denken sich immer neue Methoden aus, um ahnungslose Opfer hinters Licht zu führen. Diese Nachricht wird vermeintlich vom Kopierer des eigenen Arbeitgebers versendet – wer den Anhang öffnet, installiert sich Malware mit der Kriminielle Zugriff auf den Computer erhalten.

Bildquelle: sylv1rob1

Auch hier geht es wieder darum Malware zu installieren. Diese Mail machte sich perfiderweise die Angst vor dem gefährlichen Locky-Trojaner zunutze, indem sie als Warnung auftrat in Wirklichkeit aber selbst einen Virus installierte.

Zum Schluss noch eine Amazon-Kundeninformation, die zwar gar kein Betrug ist, aber wie ein Phishing-Versuch wirkt. Der Empfänger der Mail wird aufgefordert sein Amazon-Passwort zu ändern – ein Schema, das man aus vielen Betrugs-Mails kennt, in diesem Fall aber eine berechtigte Warnung ist. Hier zeigt sich, dass Phishing inzwischen so verbreitet ist, dass man inzwischen selbst bei echten Warnhinweisen misstrauisch wird.