Phishing: makellose Maskerade

Aus Ausgabe 1/2024
Die digitalen Köder, die Betrüger in E-Mail-Postfächern auslegen, sind immer cleverer getarnt und sehen Originalnachrichten täuschend ähnlich. Wer nachfolgende Sicherheitstipps beherzigt, ist gut gerüstet gegen die neue Generation der Phishing-Attacken.

Bild Nr. 1710, Quelle: Postbank / © Andriy Popov

Ei­ne un­per­sön­li­che E-Mail in ge­bro­che­nem Deutsch, pi­xe­li­ge Bil­der, ei­ne ab­we­gi­ge Ge­schich­te: Der­ar­ti­ge Ver­su­che von Kri­mi­nel­len, auf di­gi­ta­lem Weg sen­si­ble Da­ten zu er­beu­ten, sind plump und leicht zu durch­schau­en. Heu­te ist Phis­hing deut­lich raf­fi­nier­ter. „Wir müs­sen uns von der Vor­stel­lung ver­ab­schie­den, dass be­trü­ge­ri­sche Nach­rich­ten auf den ers­ten Blick als sol­che zu er­ken­nen sin­d“, sagt Chris­ti­an Knig­ge, Ab­tei­lungs­lei­ter Fi­nan­ci­al Cri­me Risk bei der Post­bank. Zwar sei das Vor­ge­hen beim Phis­hing im­mer noch das­sel­be – die Be­trü­ger brin­gen Men­schen da­zu, ge­fälsch­te In­ter­net­sei­ten zu be­su­chen und dort ih­re Zu­gangs­da­ten zum On­line-Ban­king ein­zu­ge­ben, oder sie schleu­sen Schad­soft­ware auf ih­ren Com­pu­ter ein. Aber: „Die Fal­len, die Kri­mi­nel­le ent­wi­ckeln, sind im­mer bes­ser ge­tarnt. Be­trü­ge­ri­sche E-Mails und Web­sei­ten kön­nen von den Ori­gi­na­len auf den ers­ten Blick kaum un­ter­schie­den wer­den. Zu­dem nimmt die Häu­fig­keit der Phis­hing-An­grif­fe zu“, gibt Chris­ti­an Knig­ge zu be­den­ken.

Kein gu­tes Bauch­ge­fühl?

Gro­ßen An­teil an die­ser Ent­wick­lung hat die Ver­brei­tung von künst­li­cher In­tel­li­genz (KI). Sie er­mög­licht es Kri­mi­nel­len, mit we­nig Auf­wand ih­re At­ta­cken deut­lich zu ver­bes­sern und an den Adres­sa­ten an­zu­pas­sen. Zum Bei­spiel schreibt die KI über­zeu­gen­de Phis­hing-Mail-Tex­te in feh­ler­frei­em Deutsch und er­zeugt auf Knopf­druck au­then­tisch an­mu­ten­de Do­ku­men­te. Um die be­trü­ge­ri­schen Mails zu ent­tar­nen, müs­sen In­ter­net­nut­ze­rin­nen und -nut­zer skep­tisch blei­ben. „Al­le Alarm­glo­cken soll­ten schril­len, wenn ei­ne E-Mail zu ei­ner dring­li­chen Hand­lung auf­for­dert oder die Be­stä­ti­gung der Zu­gangs­da­ten zu ei­nem Kon­to ab­fragt, die man nicht selbst an­ge­sto­ßen ha­t“, warnt Chris­ti­an Knig­ge. 

Im Zwei­fel lie­ber nicht kli­cken!

Um zu prü­fen, ob die Mail wirk­lich vom an­geb­li­chen Ver­fas­ser stammt, kann man ge­fahr­los auf den Ab­sen­der kli­cken und die Do­main prü­fen. Bei Phis­hing-Mails ist der Na­me des schein­ba­ren Ab­sen­ders, der vor­ge­täuscht wird, leicht mo­di­fi­ziert – hat zu­sätz­li­che Satz­zei­chen, Buch­staben­dre­her oder ei­ne an­de­re Län­der­ken­nung. „Im Zwei­fel soll­te man kei­ne Links in ei­ner zwei­fel­haf­ten E-Mail auf­ru­fen, da schon der Be­such ei­ner Phis­hing-Web­sei­te Ri­si­ken birgt. Ab­so­lut ta­bu ist das Ein­log­gen auf An­meld­e­sei­ten, auf die man über ei­nen Link oder QR-Code ei­ner E-Mail wei­ter­ge­lei­tet wur­de – wenn man die­se nicht selbst an­ge­for­dert ha­t“, er­klärt der Post­bank Ex­per­te. „Der si­chers­te Weg ist, An­meld­e­sei­ten nur ma­nu­ell auf­zu­ru­fen, al­so die Adres­se selbst in die Adress­zei­le des Brow­sers ein­zu­tip­pen.“

Download

Kontakt

Iris Laduch
Mediensprecherin