Neben dem Betrug beim Onlineshopping gehören Phishing-Vorfälle zu den häufigsten Methoden von Cyber-Kriminellen. Immer wieder gelingt es ihnen, vertrauliche Daten per scheinbar seriösen Mails und Links auszuspionieren. Eine gesunde Portion Menschenverstand hilft, diese Gefahren zu minimieren.
Laut dem „Digitalbarometer 2019“, dem Kurzbericht zu den Umfrageergebnissen der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) war jeder Vierte bereits Opfer von Kriminalität im Internet. Es handelte sich dabei vor allem um Betrug beim Onlineshopping (36 %), Phishing-Vorfälle (28 %) und um Schadsoftware-Angriffe durch Viren oder Trojaner (26 %). Laut der polizeilichen Befragung bei 2000 Internetnutzern im Frühjahr 2019 gehen viele immer noch verblüffend sorglos mit den potenziellen Gefahren im Internet um: Nur ein Drittel (31 %) informiert sich regelmäßig über Gefahren und Schutzmaßnahmen. Die Mehrheit informiert sich erst im Problemfall (42 %) über Internetsicherheit. Zwar kennt immerhin die Hälfte der Befragten aktuelle Sicherheitsempfehlungen zum Schutz vor Kriminalität im Internet, doch nur 36 % setzen diese dann direkt um, so die Ergebnisse aus dem Digitalbarometer. Bloß 61 % haben Antivirenprogramme installiert und 58 % nutzen als sicher geltende Passwörter. Verfügbare Updates installieren nur 36 % immer sofort und die Verschlüsselung von E-Mails nutzen gerade einmal 19 %.
Mit 28 % ist das Ausspionieren vertraulicher Daten – Phishing - verblüffend erfolgreich. Phishing ist ein Fachwort, das auf das englischen Wort fishing (angeln) zurückgeht. Dies beschreibt sehr schön, was hier geschieht. Kriminelle versuchen über betrügerische bzw. gefälschte Mails, Messenger-Nachrichten, Webseiten oder die sozialen Netzwerke persönliche Daten eines Internetnutzer „abzufischen“. Abgefragt werden u. a. Passwörter, Zugangsdaten, Konto- oder Kreditkartennummern. Das „Ph“ von Phishing steht dabei für password harvesting (Passwort ernten).
Gelingt dieses den Kriminellen mit ihren Attacken, so sind sie nunmehr in der Lage mit den Daten beispielsweise Zugriff auf das eigene Konto zu haben und sich entsprechend zu bedienen. Um dieses Ziel zu erreichen, müssen die Internetseiten und die Anschreiben möglichst echt und seriös wirken. Der Empfänger schöpft dann keinen Verdacht und gibt ohne Misstrauen seine persönlichen Daten an die Betrüger weiter. Die Gutgläubigkeit des Opfers wird schamlos ausgenutzt und das eigene Konto ist schneller geschädigt als man denkt. Dann kann man nur noch Schadensbegrenzung betreiben: Umsätze auf dem Bankkonto kontrollieren, Verbindung mit der Bank aufnehmen, Sperren des Kontos und eine spätere Entsperrung mit neuen Passwörtern und PIN.
Wie kann man sich aber gegen derartige Attacken schützen? Das BSI in Bonn empfiehlt grundsätzlich eine kritische Skepsis gegenüber E-Mails unbekannter Absender und weist daraufhin, das Banken, Behörden oder andere Dienstleister niemals über Mails und Links persönliche Daten oder gar Passwörter abfragen. Es warnt zudem vor Mail-Anhängen mit Dateiformaten wie .exe oder .scr. Diese Dateien können Schadsoftware auf den eigenen Rechner aufspielen.
Wenn man unsicher ist, ob die eingegangene E-Mail echt ist und ihre Berechtigung hat, so empfiehlt das BSI eine telefonische Klärung der Echtheit. Wobei man nicht die Telefonnummer in der Mail nutzen, sondern die Rufnummer des Ansprechpartners selbst ermitteln sollte.
Grundsätzlich ist es des Weiteren sinnvoll, die PC-Software und das Betriebssystem regelmäßig upzudaten und für die eigenen Account-Zugänge eine zweistufige Authentisierung zu haben, neben dem Passwort z. B. einen zusätzlichen Nummern-Code. Selbst wenn die Cyber-Aktivisten das eigentliche Passwort abgefischt haben, so verhindert dann die zweite Identifizierung z. B. den Zugang zum eigenen Konto. Und: Alle eigenen Online-Accounts sollten jeweils unterschiedliche Passwörter haben.
Text: Dirk Sanne
Bildquelle: pixabay/Tumisu
