Was ist Phishing?

Ich bin gefährdet, ein Phishing-Ziel zu sein?

Welche Arten von Phishing-Betrug gibt es?

Wie erkenne ich einen Phishing-Betrug?

Was ist eine Phishing-E-Mail?

Was tue ich, wenn ich eine Phishing-E-Mail erkannt habe?

Was sollte ich tun, um nicht Opfer von Phishing zu werden?

Mit dem kleinen Prozentsatz von Empfängern, die auf die Nachricht reagieren, Geld machen.

• Phishing-Betrügereien durchführen, um an Passwörter, Kreditkartennummern, Bankkontodaten usw. zu gelangen.
• Bösartigen Code auf den Computern der Empfänger verbreiten.



• Voice-Phishing-Betrüger (Vishing) rufen Sie an und geben sich als eine echte Person oder Firma aus, um Sie zu täuschen. Sie leiten Sie möglicherweise von einer automatischen Nachricht weiter und verschleiern ihre Telefonnummer. Vishers versuchen, Sie am Telefon zu halten und drängen Sie, Maßnahmen zu ergreifen.
• SMS-Phishing (Smishing) Ähnlich wie beim Vishing wird bei dieser Masche eine echte Organisation imitiert, die in einer kurzen Textnachricht Dringlichkeit ausnutzt, um Sie zu täuschen. In der Nachricht finden Sie normalerweise einen Link oder eine Telefonnummer, die Sie benutzen sollen. Auch mobile Nachrichtendienste sind gefährdet.
• Beim Social Media Phishing nutzen Kriminelle Posts oder Direktnachrichten, um Sie in eine Falle zu locken. Einige sind offenkundig, wie kostenlose Werbegeschenke oder dubiose „offizielle“ Organisationsseiten mit einer dringenden Bitte. Andere geben sich als Ihre Freunde aus oder bauen eine langfristige Beziehung zu Ihnen auf, bevor sie Sie „angreifen“, um das Geschäft zu besiegeln.
• Clone-Phishing dupliziert eine echte Nachricht, die zuvor gesendet wurde, wobei legitime Anhänge und Links durch bösartige ersetzt werden. Dies geschieht per E-Mail, kann aber auch über andere Mittel wie gefälschte Konten in sozialen Medien und Textnachrichten erfolgen.

Watering Hole Phishing zielt auf beliebte Websites, die von vielen Menschen besucht werden. Bei einem solchen Angriff kann versucht werden, Schwachstellen auf einer Website für eine Reihe anderer Phishing-Angriffe auszunutzen. Die Auslieferung von Malware, die Umleitung von Links und andere Mittel sind bei diesen Schemata üblich.

• Pharming (DNS-Cache-Poisoning) nutzt Malware oder eine Sicherheitslücke vor Ort, um den Datenverkehr von sicheren Websites auf Phishing-Sites umzuleiten. Die manuelle Eingabe einer URL führt die Besucher auch dann auf die bösartige Website, wenn diese ein Opfer von Pharming ist.
• Typosquatting (URL-Hijacking) versucht, Personen zu erwischen, die eine falsche Website-URL eingeben. So kann beispielsweise eine Website erstellt werden, die um einen Buchstaben von einer gültigen Website abweicht. Die Eingabe von „wallmart“ anstelle von „walmart“ könnte zu einer bösartigen Website führen.
• Clickjacking nutzt die Schwachstellen einer Website, um versteckte Erfassungsfelder einzufügen. Diese erfassen die Anmeldedaten des Benutzers und alles andere, was Sie auf der ansonsten sicheren Website eingeben.
• Tabnabbing geschieht, wenn eine unbeaufsichtigte betrügerische Seite in eine Imitation einer gültigen Website-Anmeldung umgeladen wird. Wenn Sie zu dieser Seite zurückkehren, halten Sie sie möglicherweise für echt und geben unwissentlich den Zugang zu Ihrem Konto frei.
• HTTPS-Phishing gibt einer bösartigen Website die Illusion von Sicherheit mit dem klassischen „Vorhängeschloss neben der URL-Leiste“. Während dieses Verschlüsselungszeichen früher nur auf Websites zu finden war, die als sicher eingestuft wurden, kann jetzt jede Website dieses Zeichen erhalten. Ihre Verbindung und die von Ihnen gesendeten Informationen können also für Außenstehende blockiert sein, aber Sie sind bereits mit einem Kriminellen verbunden.

Böse Zwillingsangriffe imitieren offizielles öffentliches Wi-Fi an Orten wie Cafés und Flughäfen. Damit wird versucht, Sie dazu zu bringen, eine Verbindung herzustellen und alle Ihre Online-Aktivitäten abzuhören.

Beim Phishing von Suchmaschinenergebnissen werden Methoden verwendet, um eine betrügerische Webseite in den Suchergebnissen vor einer legitimen Seite erscheinen zu lassen. Es ist auch als SEO-Phishing oder SEM-Phishing bekannt. Wenn Sie nicht genau hinschauen, klicken Sie möglicherweise auf die bösartige Seite statt auf die echte.

Angler-Phishing gibt sich als Kundendienstmitarbeiter eines echten Unternehmens aus, um Ihnen Informationen zu entlocken. In den sozialen Medien erkennt ein gefälschtes Hilfekonto Ihre „@Mentions“ zum sozialen Handle des Unternehmens, um mit einer gefälschten Support-Nachricht zu antworten.

BEC (Business Email Compromise) umfasst verschiedene Methoden, in den Kommunikationskreis eines Unternehmens einzudringen, um an hochwertige Informationen zu gelangen. Dazu kann die Identifizierung des Geschäftsführers gehören oder die Vortäuschung eines Lieferanten mit einer gefälschten Rechnung, um Aktivitäten wie Überweisungen zu initiieren.

Cryptocurrency-Phishing zielt auf Personen mit Kryptowährungs-Geldbörsen. Anstatt mit langfristigen Mitteln selbst Kryptowährungen zu schürfen, versuchen diese Kriminellen, diejenigen zu bestehlen, die bereits über diese Mittel verfügen.

Nutzen Sie Ihren gesunden Menschenverstand, bevor Sie sensible Informationen weitergeben. Wenn Sie eine Benachrichtigung von Ihrer Bank oder einem anderen wichtigen Institut erhalten, klicken Sie niemals auf den Link in der E-Mail. Öffnen Sie stattdessen ein Browser-Fenster und geben Sie die Adresse direkt in das URL-Feld ein, damit Sie sich vergewissern können, dass die Website echt ist.

• Trauen Sie niemals alarmierenden Nachrichten. Die meisten seriösen Unternehmen fordern keine persönlichen Daten oder Kontodaten per E-Mail an. Das gilt für Ihre Bank, Ihre Versicherung und alle Unternehmen, mit denen Sie Geschäfte machen. Wenn Sie jemals eine E-Mail erhalten, in der Sie nach Kontoinformationen jeglicher Art gefragt werden, löschen Sie sie sofort und rufen Sie dann das Unternehmen an, um sich zu vergewissern, dass Ihr Konto in Ordnung ist.
• Öffnen Sie keine Anhänge in diesen verdächtigen oder seltsamen E-Mails – insbesondere keine Word-, Excel-, PowerPoint- oder PDF-Anhänge.
• Vermeiden Sie es, in E-Mails eingebettete Links anzuklicken, da diese mit Malware infiziert sein können. Seien Sie vorsichtig, wenn Sie Nachrichten von Anbietern oder Drittanbietern erhalten; klicken Sie niemals auf eingebettete URLs in der Originalnachricht. Besuchen Sie stattdessen die Website direkt, indem Sie die korrekte URL-Adresse eingeben, um die Anfrage zu überprüfen, und lesen Sie die Kontaktrichtlinien und Verfahren des Anbieters für die Anforderung von Informationen.
• Halten Sie Ihre Software und Ihr Betriebssystem auf dem neuesten Stand. Windows-Betriebssysteme sind häufig Ziel von Phishing- und anderen bösartigen Angriffen, also achten Sie darauf, dass Sie sicher und auf dem neuesten Stand sind. Das gilt besonders für diejenigen, die noch ein älteres Betriebssystem als Windows 10 verwenden.

Veröffentlichen Sie Ihre private E-Mail-Adresse niemals auf öffentlich zugänglichen Online-Ressourcen.

Wenn Sie Ihre private Adresse elektronisch veröffentlichen müssen, versuchen Sie, sie zu maskieren – um zu vermeiden, dass die Adresse von Spammern aufgegriffen wird. Zum Beispiel ist „[email protected]“ eine Adresse, die von Spammern leicht gefunden werden kann. Versuchen Sie stattdessen, sie als ‚Joe-dot-Smith-at-yahoo.com‘ zu schreiben.

Wenn Ihre Privatadresse von Spammern entdeckt wird, sollten Sie sie ändern. Auch wenn dies unbequem sein mag, hilft Ihnen die Änderung Ihrer E-Mail-Adresse, Spam und Betrüger zu vermeiden.

Behandeln Sie Ihre öffentliche Adresse als eine vorübergehende Adresse. Die Wahrscheinlichkeit ist groß, dass Spammer Ihre öffentliche Adresse schnell in die Hände bekommen, vor allem wenn sie häufig im Internet verwendet wird.

Schrecken Sie nicht davor zurück, Ihre öffentliche E-Mail-Adresse häufig zu ändern.

Überlegen Sie, ob Sie mehrere öffentliche Adressen verwenden. Auf diese Weise haben Sie bessere Chancen, herauszufinden, welche Dienste Ihre Adresse an Spammer verkaufen.