PHISHING

Phishing beschreibt eine Art des Daten- und Identitätsdiebstahls über das Internet. Der Begriff stammt aus dem Englischen und ist eine Wortschöpfung aus den Bestandteilen password harvesting und fishing. Das Ziel des Phishings ist das vorsätzliche Ausspähen und Stehlen von persönlichen Daten eines Internet-Nutzers über gefälschte Websites und damit einhergehend ein Identitätsdiebstahl. Diese Websites sind in der Regel genaue Abbildungen der kopierten Website.


Meist werden die User per Mail angeschrieben und per Text- oder Bildlink auf die Phishing-Seite geleitet. Diese Websites sind in der Regel genaue Abbildungen der kopierten Website, weshalb der User den Betrug oftmals nicht bemerkt. Der User wird hier nach unterschiedlichen Daten gefragt, wie beispielsweise Kreditkartennummer, Kontodaten, Sozialversicherungsnummer, Kennwörtern oder E-Mail-Konto-Daten.

Gibt der User die erfragten Daten ein, so werden diese an den Betrüger weitergeleitet und stehen ihm anschließend für die Abwicklung von Geschäften zur Verfügung. Die Datendiebe nutzen unterschiedliche Methoden, um an die Userdaten zu gelangen. So werden beispielsweise Browserschwachstellen (Exploits) genutzt, mit denen dem User eine vermeintlich korrekte URL in der Adressleiste angezeigt wird.


Die Absenderadressen der Mails sind oft gefälscht, sie enthalten häufig eine sehr unpersönliche Anrede („Lieber Kunde“), signalisieren einen dringenden Handlungsbedarf (bspw. mit Androhung einer Kontosperrung o. Ä.) und fragen vertrauliche Daten durch ein Formular ab. Oftmals enthalten die Mails Links, die durch den Nutzer angeklickt werden sollen. Häufig sind die Nachrichten in holprigem Deutsch verfasst, da sie von Computerprogrammen übersetzt wurden.


Wenn das Kürzel https:// in der Adresszeile des Browsers fehlt (was in Einzelfällen allerdings auch gefälscht werden kann), die Internetadresse zwar Ähnlichkeiten zur echten aufweisen, aber unübliche Zusätze enthalten, das Sicherheitszertifikat fehlt (= Schlosssymbol in der Statusleiste), ist generell Vorsicht geboten.


Erhalten Sie eine nicht vertrauenswürdige Mail, dann füllen Sie auf keinen Fall die enthaltenen Email-Formulare mit ihren persönlichen Daten aus. Sollte die Mail Links enthalten, klicken Sie auf keinen Fall auf diese. Antworten Sie nicht direkt auf die Mail. Wissen Sie nicht genau, ob es sich um eine Phishing-Mail handelt, dann rufen Sie den Versender direkt an oder antworten Sie mit der Ihnen bekannten Email-Adresse. Kreditinstitute oder Payment Service Provider versenden grundsätzlich keine Mails an ihre Kunden in denen Kundendaten, wie Zugangsdaten abgefragt werden.