Immer öfter versuchen Betrüger mit täuschend echt aufgemachten Phishing-E-Mails arglose Internetnutzer auf manipulierte Internet-Seiten zu locken. Wer hier Zugangsdaten oder Passwörter eintippt, ist in die Falle getappt.
Immer perfekter – immer bedrohlicher. Sogar Experten müssen bei Phishing-Spam inzwischen oft genau hingucken, ob es sich nicht doch um eine „echte“ Nachricht handelt. Denn mittlerweile sind Nachrichten mit betrügerischem Hintergrund äußerst professionell aufgemacht. Mit Phishing-Mails wollen Online-Diebe wortwörtlich Ihre Zugangsdaten „angeln“, also Kennwörter und andere Zugangsdate „abfischen“. Dazu verschicken die Betrüger gefälschte E-Mails, die so aussehen, als kämen sie beispielsweise direkt von einer Bank, einer Kreditkartenfirma oder einem Bezahldienst wie PayPal. Damit wollen sie den Empfänger auf gefälschte Internetseiten locken, auf denen der dann „zur Überprüfung“ Kontonummern, Passwörter, PINs und Transaktionsnummern (TANs) eintippen soll. Tappt das Opfer in die Falle, plündern die Betrüger das Konto oder gehen auf Einkaufstour. Zwar ist die Anzahl von Phishing-Attacken in letzter Zeit leicht rückläufig, dafür gehen die dahinterstehenden Banden immer professioneller vor. Es ist nicht lang her, da waren Phishing-Nachrichten durch viele Rechtschreibfehler und absurde Aufmachung ganz einfach zu erkennen. Diese Zeiten sind definitiv vorbei.
Phishing immer ausgeklügelter
Die meisten Phishing-Mails lassen sich nicht mehr auf den ersten Blick als solche identifizieren. Mittlerweile werden die Opfer zum Beispiel persönlich angeschrieben („Sehr geehrter Herr Müller“), die Absenderadresse ist vertrauenswürdig (beispielweise „service@paypal.de“) und Rechtschreibung und Gestaltung sind ohne Fehl und Tadel. Darüber hinaus verlinken einige der enthaltenen Verknüpfungen zu „echten“ Internetseiten, nur der eine, der zur Eingabe der persönlichen Daten führt, leitet auf die gefälschte Hacker-Seite. Die ist dann optisch von der echten Unternehmens-Seite kaum zu unterscheiden.
Wie also Phishing auf die Schliche kommen? Das wichtigste Kennzeichen: Phishing-Nachrichten folgen stets Schema F. Aufhänger ist in der Regel ein Sicherheitsproblem, oder eine andere Schwierigkeit, die angeblich gelöst werden müsse. Um dem Ganzen Nachdruck zu verleihen, folgen meist Drohungen, wie Konten oder Karten zu sperren, wenn der Empfänger nicht umgehend handelt. Um das Problem aus der Welt zu schaffen, sollen die Opfer bitte schön ihre Daten verraten. Dazu reicht ein Klick auf eine in der E-Mail enthaltene Verknüpfung, die auf eine Internetseite führt, auf der das Opfer dann die geheimen Daten eintippen muss.
Phishing-Mails erkennen
Regel Nummer Eins: Banken, Bezahldienste und andere Unternehmen fragen per E-Mail oder Telefon NIE nach Passwörtern, Anmeldedaten oder anderen persönlichen Daten. Wer diese Regel beherzigt, ist eigentlich schon auf der sicheren Seite. Aber Menschen sind Menschen. Es kann durchaus passieren, dass man einmal nicht richtig bei der Sache ist oder nicht genau hinguckt. Und schon ist es passiert. Folgende Regeln sind wichtig.
- Misstrauisch sein: Gehen Sie davon aus, dass Banken, Bezahldienste und andere Unternehmen niemals nach Passwörtern, Anmeldedaten oder anderen persönlichen Daten per E-Mail oder Telefon fragen.
- Nicht auf den Link klicken: Wer glaubt, an einer Warnmeldung könnte etwas Wahres dran sein, sollte nicht auf den Link in der E-Mail klicken, sondern sich in einem neuen Browser-Fenster manuell beim echten Dienst anmelden und selbst nachschauen, ob etwas nicht stimmt.
- Keine Dateianhänge öffnen: Unter keinen Umständen bedenkenlos Dateianhänge von E-Mails unbekannter Herkunft öffnen. Dabei spielt es keine Rolle, ob es sich um anscheinend ungefährliche Dateien wie Bilder, Dokumente oder sonstige Dateien handelt.
- Nicht antworten: Niemals auf Phishing-Spam reagieren: In diesem Fall wissen die Cybergangster, dass die E-Mail-Adresse auch tatsächlich genutzt wird. Dadurch hagelt es noch mehr Spam- und Phishing-Mails.
Wer haftet beim Phishing?
Das Geld ist weg? Wer trägt dafür die Verantwortung? Die Banken verweisen bei Phishing-Fällen stets auf ihre Allgemeinen Geschäftsbedingungen. Dort finden sich meist Passagen, die die Mitwirkungs- und Sorgfaltspflichten des Kunden beschreiben. Damit sind die Banken fein raus. Das bestätigte auch der Bundesgerichtshof (BGH) in einem Urteil aus dem Jahr 2009. Andererseits verurteilte das Landgericht Landshut im Juli 2011 eine Bank zur vollen Rückzahlung. Ein Phishing-Opfer wurde in diesem Fall um 6.000 Euro geprellt. Der Knackpunkt ist bei solchen Verfahren die Frage, ob dem Kunden ein Sorgfaltsverstoß nachgewiesen werden kann, der einen vertraglichen Schadensersatzanspruch der Bank gegen ihn begründet. Der Paragraph 675v BGB regelt, dass Bankkunden grundsätzlich nur für „grobe Fahrlässigkeit“, aber nicht für einfaches fahrlässiges Verhalten haften. Sprich: Die Haftung ist von Fall zu Fall unterschiedlich. Wer aber auf eine simple Phishing-Mail hereinfällt und munter Anmeldedaten sowie PINs und TANs preisgibt, hat in der Regel schlechte Karten.
Der eBlocker schiebt dem einen Riegel vor
Doch damit ist jetzt Schluss, denn der eBlocker schützt nicht nur die Privatsphäre, sondern stoppt auch betrügerische Nachrichten von Cyber-Kriminellen. Dafür muss der eBlocker lediglich per Netzwerkkabel mit einem freien Netzwerkanschluss am Router verbunden werden. Nach ein paar Minuten kann der Nutzer dann über den Browser seiner Wahl auf das Dashboard des eBlockers zugreifen und weitere Einstellungen vornehmen.