Heutzutage stellen Phishing-Betrugsversuche im Internet eine zunehmende Bedrohung dar. Sie gefährden die Sicherheit und Privatsphäre von Einzelpersonen und Organisationen gleichermaßen.
Phishing ist nicht mehr nur ein gelegentliches Problem, sondern ein weit verbreitetes Übel mit erheblichen finanziellen Folgen.
Das Internet Crime Complaint Center (IC3) des FBI erhielt im Jahr 2022 300.497 Berichte über Phishing-Angriffe, was es zum häufigsten Cyber-Verbrechen nach Anzahl der Meldungen macht. Daraus resultierten Verluste in Höhe von rund 52 $ Millionen.
Die Spitzenposition und die schweren finanziellen Schäden unterstreichen die dringende Notwendigkeit, diese Cyberbedrohungen zu verstehen und zu bekämpfen.
In diesem Artikel werden verschiedene Phishing-Angriffe untersucht – jeder mit seinen eigenen Merkmalen, aber alle mit böswilliger Absicht.
Es ist unerlässlich, die Funktionsweise dieser Betrugsmaschen zu kennen und die empfohlenen Vorsichtsmaßnahmen zu befolgen, um sicher im digitalen Raum zu navigieren und finanzielle Verluste zu minimieren.
9 häufige Phishing-Scams
9. E-Mail-Phishing
Beim E-Mail-Phishing geben sich Online-Betrüger als vertrauenswürdige Organisationen aus, um Menschen dazu zu bringen, private Daten wie Passwörter oder Kreditkartennummern preiszugeben.
Oft versuchen sie, ihre Opfer unter Zeitdruck zu setzen oder ihnen Angst einzujagen, damit sie unüberlegt handeln. Dies ist eine der häufigsten Phishing-Methoden überhaupt.
Ein üblicher Trick ist die gefälschte E-Mail einer Bank. Dabei geben sich Betrüger in ihren Nachrichten als Bankmitarbeiter aus und fordern den Empfänger auf, seine Kontodaten zu aktualisieren, da sonst das Konto geschlossen werden müsse. Auch Steuerbetrug ist weit verbreitet, insbesondere in der Steuererklärungssaison.
In gefälschten E-Mails, die angeblich von Steuerbehörden stammen, werden Menschen dazu verleitet, persönliche oder finanzielle Informationen offenzulegen.
Es ist von entscheidender Bedeutung, Phishing-E-Mails erkennen zu können.
Hier sind einige einfache Tipps:
- Achten Sie auf allgemeine Begrüßungen, da in den meisten Phishing-E-Mails nicht Ihr richtiger Name verwendet wird.
- Prüfen Sie, ob Rechtschreib- und Grammatikfehler vorhanden sind. Dies kann ein Warnsignal sein. Leider nutzen Betrüger inzwischen künstliche Intelligenz (KI) wie ChatGPT, um ihre E-Mails zu verfassen, weshalb Fehler immer seltener werden.
- Bewegen Sie den Mauszeiger über einen Link, bevor Sie darauf klicken, um zu sehen, wohin er führt. Vertrauenswürdige Organisationen haben in der Regel auch sichere HTTPS-Websites.
- Vorsicht vor E-Mails, die versuchen, Sie zu drängen oder zum Handeln zu bewegen.
- Vergewissern Sie sich, dass die Anti-Phishing-Tools Ihrer E-Mail-Software aktiviert und aktualisiert sind.
Beispiele für Phishing-E-Mails
Hier sind ein paar Beispiele für Phishing-E-Mails – aus meinem eigenen Spam-Ordner.
Wie der berüchtigte Geek-Squad-Betrug enthalten sie viele der typischen Merkmale von Phishing-E-Mails – allgemeine Begrüßungen und Fehler, zusammen mit dem Eindruck, dass man zur Interaktion gedrängt wird.
8. Spear-Phishing
Spear-Phishing ist eine Art von Online-Betrug, bei dem Kriminelle ihre gefälschten Nachrichten auf eine bestimmte Person oder Gruppe zuschneiden.
Im Gegensatz zu herkömmlichen Phishing-Scams sind beim Spear-Phishing viele Vorbereitungen nötig, damit es glaubwürdig wirkt.
Beim Spear-Phishing sammeln Betrüger Informationen über ihr Ziel, wie z. B. den Namen, den Jobtitel und die Kollegen, um überzeugende Nachrichten zu erstellen.
Sie geben sich beispielsweise als Mitarbeiter oder Lieferant aus und fordern die Zielperson in einer E-Mail auf, vertrauliche Informationen preiszugeben oder auf einen schädlichen Link zu klicken.
Hier sind einige einfache Schritte, um sich vor Spear-Phishing zu schützen:
- Seien Sie vorsichtig bei unerwarteten Nachrichten, insbesondere bei solchen, die Dringlichkeit vermitteln.
- Wenn Sie eine ungewöhnliche Anfrage nach sensiblen Informationen erhalten, überprüfen Sie diese, indem Sie über einen bekannten, anderen Kommunikationsweg Kontakt mit dem Absender aufnehmen.
- Richten Sie E-Mail-Filter ein, mit denen sich potenzielle Spear-Phishing-E-Mails erkennen und aussortieren lassen.
- Führen Sie regelmäßige Schulungen durch, um Mitarbeitern oder Familienmitgliedern beizubringen, wie sie Spear-Phishing-Versuche identifizieren können.
- Halten Sie Ihre Software und Systeme auf dem neuesten Stand, um Sicherheitslücken zu schließen, die Spear-Phisher ausnutzen könnten.
Beispiel für Spear-Phishing
Im Juli 2020 war Twitter Opfer eines schweren Spear-Phishing-Angriffs, bei dem Betrüger die Mitarbeiter des Unternehmens dazu brachten, die Kontrolle über einige berühmte Konten zu übernehmen, darunter die von Barack Obama, Joe Biden und Elon Musk.
Mit einer Methode namens „Phone Spear Phishing“ verschafften sie sich Zugang zu den internen Tools von Twitter. Anschließend nutzten sie diese hochkarätigen Konten, um einen Betrug mit Bitcoin (BTC) zu verbreiten.
7. Clone-Phishing
Beim Clone-Phishing kopieren Betrüger eine echte E-Mail, die Sie bereits erhalten haben, ändern jedoch die Links oder Anhänge in schädliche.
Anschließend senden sie diese gefälschte E-Mail erneut und geben sich dabei als jemand aus, dem Sie vertrauen, z. B. als Ihre Bank oder ein Kollege.
So könnten sie z. B. eine E-Mail von Ihrer Bank kopieren, in der es um die Aktualisierung Ihres Kontos geht. Den Link ändern sie jedoch zu einer gefälschten Website, auf der sie Ihre Anmeldedaten stehlen können.
Oder sie senden eine E-Mail von einem Kollegen, der ein Dokument mit Ihnen teilt, und ersetzen es mit einer schädlichen Version.
Hier erfahren Sie, wie Sie sich vor Clone-Phishing schützen können:
- Seien Sie vorsichtig bei E-Mails, die aus heiterem Himmel kommen und in denen Sie zu schnellem Handeln aufgefordert werden.
- Überprüfen Sie die E-Mail-Adresse des Absenders, wenn Ihnen etwas an der E-Mail merkwürdig vorkommt.
- Klicken Sie nicht auf Links oder laden Sie keine Anhänge aus E-Mails herunter, die zweifelhaft erscheinen. Rufen Sie stattdessen die offizielle Website über Ihren Browser auf.
- Verwenden Sie E-Mail-Filter, die Phishing-E-Mails erkennen und blockieren können.
- Halten Sie Ihre Antiviren-Software auf dem neuesten Stand, um sich vor Angriffen zu schützen.
Beispiel für Clone-Phishing
Einer der häufigsten Betrugsversuche beim Clone-Phishing funktioniert so: Kriminelle geben vor, Ihnen ein Dokument von einem bekannten Absender geschickt zu haben.
Wenn Sie von einem Kollegen aufgefordert werden, ein Dokument anzusehen, ist die Wahrscheinlichkeit höher, dass Sie darauf klicken, ohne darüber nachzudenken.
6. Whaling
Bei Whaling handelt es sich um eine hinterlistige Online-Betrugsmasche. Ziel der Hacker sind dabei hochrangige Führungskräfte in Unternehmen, wie CEOs oder CFOs, die sie durch Täuschung dazu bringen sollen, sensible Firmeninformationen preiszugeben.
Im Gegensatz zu herkömmlichen Phishing-Scams sind diese Betrugsversuche persönlich auf die jeweilige Führungskraft zugeschnitten und erfordern einen hohen Vorbereitungsaufwand, um glaubwürdig zu wirken.
Im Visier der Betrüger stehen hochrangige Personen, da diese Zugang zu wertvollen Informationen des Unternehmens haben.
Sie geben sich beispielsweise als Geschäftsführer aus und fordern das Finanzteam per E-Mail auf, eine hohe Geldsumme auf ein gefälschtes Konto zu überweisen.
Oftmals erzeugen sie ein Gefühl der Eile, um eine schnelle Reaktion ohne viel Nachdenken auszulösen.
Um Führungskräfte vor Whaling zu schützen, können Unternehmen:
- Mehrstufige Anmeldeprozesse für E-Mail-Konten und sensible Systeme zur Erhöhung der Sicherheit verwenden.
- Führungskräfte und Mitarbeiter über Whaling und dessen Erkennung aufklären und dabei das Erfordernis betonen, unerwartete Geld- oder Informationsanfragen doppelt zu überprüfen.
- Ein System zur doppelten Überprüfung haben, wie z. B. eine telefonische Bestätigung für Überweisungen.
- Intelligente E-Mail-Filter zum Abfangen und Blockieren von Betrugs-E-Mails nutzen, insbesondere von E-Mails, die angeblich von Führungskräften stammen.
- Sicherheits-Software stets auf dem neuesten Stand halten, um Viren und andere Online-Bedrohungen im Zusammenhang mit Whaling-Betrug abzuwehren.
Beispiele für Whaling
Im Jahr 2015 erhielt eine Finanzmanagerin von Mattel eine E-Mail, die anscheinend vom neuen CEO stammte und in der sie aufgefordert wurde, 3 $ Millionen an einen Lieferanten in China zu zahlen.
Sie genehmigte die Überweisung, fand aber später heraus, dass die E-Mail nicht vom CEO verfasst worden war. Diese Attacke war Teil einer größeren Betrugsmasche, bei der Kriminelle echte Anfragen fälschten.
Glücklicherweise erhielt Mattel mit Hilfe chinesischer Beamter das Geld nach einem Feiertag in China zurück.
5. Vishing (Voice-Phishing)
Vishing, die Abkürzung für Voice-Phishing, ist eine Masche, bei der Betrüger anrufen und sich als Mitarbeiter echter Organisationen wie Banken oder Behörden ausgeben, um Sie dazu zu bringen, private Daten wie Kontonummern oder Sozialversicherungsnummern preiszugeben.
Im Gegensatz zum klassischen Phishing, das über E-Mails erfolgt, werden beim Vishing Anrufe zur Täuschung von Personen verwendet.
Zu den Beispielen für Vishing-Betrug gehören Anrufer, die sich als Mitarbeiter Ihrer Bank ausgeben und verdächtige Belastungen überprüfen wollen, oder als Mitarbeiter des Finanzamts, die behaupten, Sie schuldeten dem Staat Steuern.
Oft versuchen sie, Sie unter Druck zu setzen oder einzuschüchtern, damit Sie am Telefon Informationen oder Geld geben.
So schützen Sie sich vor Vishing-Betrug:
- Seien Sie bei unerwarteten Anrufen vorsichtig, insbesondere wenn der Anrufer versucht, Sie zu verängstigen.
- Geben Sie bei einem Anruf niemals persönliche Informationen preis, es sei denn, Sie haben die Nummer von einer bekannten, vertrauenswürdigen Person.
- Wenn Ihnen ein Anruf verdächtig vorkommt, legen Sie auf und rufen Sie unter einer offiziellen Nummer zurück, die Sie auf Ihrem Kontoauszug oder der offiziellen Website finden.
- Verwenden Sie Apps zur Anruferidentifizierung, die Sсam-Anrufe erkennen und blockieren können.
- Melden Sie alle Vishing-Versuche den örtlichen Behörden.
Beispiel für Vishing
Die Kasinos MGM und Caesars in Las Vegas wurden Opfer von Vishing-Angriffen, bei denen Hacker Anrufe beim Helpdesk tätigten, um an Anmeldedaten zu gelangen und auf die Systeme der Kasinos zuzugreifen. Anschließend forderten sie Lösegeld.
Um das Problem schnell zu lösen, zahlte Caesars 15 $ Millionen. MGM hingegen weigerte sich zu zahlen und verlor durch den Angriff etwa 100 $ Millionen.
4. Smishing (SMS Phishing)
Beim Smishing oder SMS-Phishing senden Betrüger Textnachrichten, die angeblich von vertrauenswürdigen Quellen stammen, um Menschen dazu zu bringen, private Daten wie Passwörter oder Bankkontonummern mitzuteilen.
Im Gegensatz zu den üblichen E-Mail-Betrügereien werden Sie beim Smishing über Textnachrichten auf Ihrem Telefon angegriffen.
Zum Beispiel könnten Sie eine SMS erhalten, die angeblich von Ihrer Bank stammt und in der Sie aufgefordert werden, Ihre Kontodaten zu bestätigen, oder von einer Regierungsbehörde mit einem Link, über den Sie eine Steuerrückerstattung beantragen können.
Diese Nachrichten drängen Sie oft dazu, schnell und unüberlegt zu handeln.
So schützen Sie sich vor Smishing-Betrug:
- Seien Sie vorsichtig bei SMS von unbekannten Nummern oder Nachrichten, die Sie unter Druck setzen.
- Klicken Sie nicht auf Links und laden Sie keine Inhalte aus verdächtigen SMS herunter.
- Wenn in einer SMS nach persönlichen Informationen gefragt wird, rufen Sie die offizielle Nummer der Organisation an, um dies zu überprüfen.
- Verwenden Sie eine der besten Android-Antivirus-Apps zum Erkennen und Blockieren von schädlichen Texten und Links.
- Melden Sie verdächtige Textnachrichten Ihrem Mobilfunkanbieter.
Beispiele für Smishing
Unten sehen Sie ein Beispiel für einen solchen Betrug. Wie Sie erkennen können, ist Apple Pay falsch geschrieben (als ein Wort statt zwei) und der Link ist sehr seltsam – er ähnelt in keiner Weise anderen Links für Apple-Support oder -Produkte.
3. Pharming
Beim Pharming handelt es sich um einen Cyberbetrug, bei dem Kriminelle Sie unbemerkt von echten auf gefälschte Websites umleiten.
Um dies zu erreichen, manipulieren sie das Adressbuchsystem des Internets, indem sie das Domain Name System (DNS) korrumpieren, das die Namen von Websites in IP-Adressen übersetzt.
Im Gegensatz zu herkömmlichen Phishing-Scams, bei denen Sie zum Klicken auf bösartige Links aufgefordert werden, erfolgt die Umleitung beim Pharming automatisch, weshalb es gefährlicher ist.
Beim Pharming wird ein Benutzer, der die Webadresse einer legitimen Website eingibt, auf eine gefälschte Version weitergeleitet.
So kann man beispielsweise beim Versuch, die Website seiner Bank aufzurufen, auf eine betrügerische Seite gelangen, die der Website der Bank täuschend ähnlich sieht und auf der die Anmeldedaten des Benutzers gestohlen werden können.
So vermeiden Sie Pharming-Betrug:
- Achten Sie darauf, dass die Adresse der Website mit HTTPS beginnt. Daran erkennen Sie, dass sie sicher ist.
- Um Schwachstellen zu beheben, sollten Sie Ihren Computer, Ihren Browser und Ihre Sicherheitssoftware stets auf dem neuesten Stand halten.
- Sensible Transaktionen sollten nicht über öffentliches WLAN abgewickelt werden, da Betrüger diese Netzwerke leichter abhören können. Wenn Sie dies tun müssen, stellen Sie sicher, dass Sie eines der besten VPNs wählen.
- Verwenden Sie DNS-Sicherheitsprotokolle wie DNS Security Extensions (DNSSEC), um sich vor DNS-Spoofing zu schützen.
- Achten Sie auf ungewöhnliches Verhalten oder Erscheinungsbild von Websites und informieren Sie Ihren Internetdienstanbieter, wenn Sie glauben, auf einen Pharming-Betrug gestoßen zu sein.
Beispiele für Pharming
Im Jahr 2017 griffen Hacker eine brasilianische Bank an und leiteten ihre Online-Kunden auf gefälschte Bank-Websites um, indem sie die DNS-Registrierungen der Online-Präsenz der Bank änderten.
Dadurch konnten sie persönliche Anmeldedaten stehlen. Bei diesem Angriff wurde die gesamte Internetpräsenz der Bank gekapert, was eine unheilvolle Nutzung von Pharming zur Begehung von groß angelegtem Betrug demonstrierte.
2. Quiz- und Umfrage-Betrug
Bei Quiz- und Umfragescam erstellen Betrüger gefälschte Quizze oder Umfragen, um Ihre persönlichen Daten zu stehlen oder schädliche Software zu verbreiten.
Oftmals werden Menschen mit dem Versprechen von Gewinnen oder interessanten Ergebnissen geködert.
Beispiele hierfür sind Quizze, die angeblich verraten, welchem Star man ähnelt, oder Umfragen, bei denen man nach Abschluss kostenlose Geschenkgutscheine erhält.
Wenn Sie jedoch teilnehmen, werden Sie möglicherweise nach Ihren persönlichen Daten gefragt oder dazu aufgefordert, gefährliche Software herunterzuladen, was zu Identitätsdiebstahl oder anderen betrügerischen Aktivitäten führen kann.
Hier sind einige Tipps, um nicht Opfer von Quiz- und Umfragebetrug zu werden:
- Seien Sie misstrauisch bei Gewinnspielen und Umfragen von Quellen, die Sie nicht kennen, vor allem wenn sie hohe Preise versprechen.
- Geben Sie bei einem Quiz oder einer Umfrage keine persönlichen Daten wie Ihren Namen, Ihre Adresse oder Ihre Finanzdaten an.
- Überprüfen Sie die Webadresse, um sicherzustellen, dass sie von einer vertrauenswürdigen Quelle stammt, und achten Sie auf HTTPS für zusätzliche Sicherheit.
- Verwenden Sie Sicherheitssoftware auf Ihren Geräten, um böswillige Aktivitäten zu erkennen und zu blockieren.
- Wenn Sie bei einem Quiz oder einer Umfrage zum Herunterladen aufgefordert werden, ist das ein schlechtes Zeichen. Halten Sie sich davon fern.
- Melden Sie verdächtige Quizze und Umfragen den Behörden, um auch andere vor Betrug zu schützen.
Beispiele für Quiz- und Umfragescams
2022 wurden WhatsApp-Nutzer Opfer eines Betrugs, bei dem falsche Costco-Bargeldprämien für Umfragen angeboten wurden.
Dadurch wurden die Opfer dazu verleitet, persönliche Daten weiterzugeben oder schädliche Apps herunterzuladen.
Ursprünglich aus Mexiko stammend und sich in ganz Lateinamerika ausbreitend, wurde dieser Betrug anlässlich des „40-jährigen Jubiläums“ von Costco mit gefälschten Websites und Bewertungen durchgeführt, um glaubwürdig zu wirken.
Betrugsopfer werden dazu aufgefordert, den gefälschten Link für einen „Preis“ zu teilen, wodurch weitere Personen getäuscht und möglicherweise Malware installiert oder vertrauliche Informationen gestohlen werden.
1. Betrug mit technischen Support
Bei Scams mit technischem Support geben sich Betrüger als hilfsbereite Mitarbeiter des Kundendienstes bekannter Unternehmen aus, um ahnungslose Menschen mit falschen Versprechungen zur Herausgabe persönlicher Daten oder zur Zahlung für unnötige oder nicht vorhandene technische Supportleistungen zu verleiten.
Diese Betrugsmaschen nutzen die Unkenntnis der Menschen in technischen Fragen aus.
Beispiele hierfür sind zufällige Anrufe oder E-Mails von Personen, die angeblich von Microsoft oder Apple stammen und Ihnen mitteilen, dass es ein falsches Problem mit Ihrem Computer gibt.
Gegen eine Gebühr wird Ihnen angeboten, das Problem zu beheben. Möglicherweise werden Sie gebeten, Ihren Computer aus der Ferne zu steuern, was dazu führen kann, dass schädliche Software installiert oder Ihre persönlichen Daten gestohlen werden.
So vermeiden Sie Betrug mit technischem Support:
- Seien Sie vorsichtig bei unerwarteten Anrufen oder E-Mails, in denen technischer Support angeboten wird, insbesondere wenn Sie unter Druck gesetzt werden.
- Geben Sie niemals Ihre persönlichen oder finanziellen Daten weiter und lassen Sie nicht zu, dass die Person Ihren Computer kontrolliert, wenn Sie nicht um Hilfe gebeten haben.
- Wenn Sie glauben, dass ein Betrüger Sie kontaktiert hat, legen Sie auf oder löschen Sie die E-Mail und rufen Sie das echte Unternehmen direkt über die offiziellen Kontaktinformationen an.
- Halten Sie die Schutzsoftware Ihres Computers auf dem neuesten Stand, um schädliche Inhalte zu blockieren.
- Informieren Sie sich über gängige Betrugstricks beim technischen Support und klären Sie auch andere darüber auf.
- Melden Sie alle Betrugsfälle mit technischem Support den örtlichen Behörden.
Beispiel für Betrug mit technischem Support
Ein häufiger Betrug mit technischem Support per E-Mail ist eine Benachrichtigung über verdächtige Aktivitäten.
Dabei geben sich Kriminelle als Mitarbeiter bekannter Unternehmen aus und behaupten, dass in Ihrem Konto ungewöhnliche Aktivitäten festgestellt wurden.
Sie werden dann aufgefordert, anzurufen oder auf einen Link zu klicken.
Anschließend werden Sie nach Ihren Daten gefragt und diese werden aufgezeichnet.
Schutz vor gängigen Phishing-Scams: Zusammenfassung
Gängige Phishing-Betrugsmaschen sind ein großes Problem, das sowohl Einzelpersonen als auch Unternehmen gefährdet.
Wie die erschreckenden Zahlen des FBI für 2022 zeigen, können diese Angriffe großen finanziellen Schaden anrichten. Daher muss man sie unbedingt kennen und sich davor schützen.
In diesem Artikel wurden verschiedene Arten von Phishing-Betrug wie E-Mail-Phishing, Spear-Phishing und andere aufgeschlüsselt. Dabei wurde erklärt, wie sie funktionieren und wie man sich davor schützen kann.
Ob es darum geht, bei unerwarteten E-Mails vorsichtig zu sein, Software auf dem neuesten Stand zu halten oder Anfragen nach sensiblen Informationen zu überprüfen – das Befolgen dieser Sicherheitsmaßnahmen schützt davor, auf diese Betrugsmaschen hereinzufallen und finanzielle Verluste zu erleiden.
Gut informiert und vorsichtig können Sie sicher im Internet surfen.