Es wird immer skurriler, wie Angreifer versuchen, an deine personenbezogenen Daten zukommen.
In diesem Artikel erkläre ich dir die Begriffe anhand von vielen anschaulichen Beispielen. Am Ende des Artikels weißt du, dass es Phishing-, Smishing- und Vishing-Angriffe gibt und wie du dich davor schützen kannst.
Was ist Phishing?
Eine gängige Methode, um an deine personenbezogenen Daten zukommen, ist das sogenannte Phishing, das für das ungeübte Auge schwer zu erkennen ist. Phishing liegt vor, wenn ein Angreifer gefälschte E-Mails oder Websites verwendet, um dich zur Eingabe deiner personenbezogenen Daten wie Benutzername, Passwort oder Kreditkartennummern zu bringen.
Angreifer können auch bösartige Dateien an diese E-Mails oder Websites anhängen, die Malware auf deinem Computer installieren können, wenn du darauf klickst.
Beispiele für E-Mail Betreffzeilen von Phishing-E-Mails
Im folgenden Beispiel siehst du die Top 10 Phishing-Betreffzeilen, die in der Studie von SoSafe, am häufigsten angeklickt wurden. In der Studie werden auch noch weitere spannende Aspekte, wie psychologische Taktiken, die der Angreifer gegen dich einsetzt, beschrieben. Das Einsetzen von Autorität, oder das Appellieren an die Hilfsbereitschaft und das Wecken der Neugier sind nur einige der Taktiken. Eine sehr empfehlenswerte Lektüre!
Beispiele für Inhalte von Phishing-E-Mails
Das Bundesamt für Sicherheit in der Informationstechnik hat eine Sammlung von aktuellen Phishing-Angriffen auf ihrer Website veröffentlicht. Im Folgenden ein Beispiel im Paypal-Branding.
Was ist Smishing?
Smishing ist eine Art von Phishing-Angriffen, bei dem Textnachrichten (z.B. SMS) anstelle von E-Mails verwendet werden, um dich dazu zu bringen, deine Daten preiszugeben.
Angreifer geben sich oft als vertrauenswürdige Organisation aus und verschicken dringend klingende Nachrichten mit Links oder Anhängen. Wenn du auf den Link klickst oder den Anhang öffnest, kann sich Malware auf deinem Gerät ausbreiten.
Oder du wirst auf eine gefälschte Website weitergeleitet, auf der du dann aufgefordert wirst, deine personenbezogenen Daten einzugeben.
Beispiele für Smishing-Textnachrichten
Die Nachrichten können so richtig fies sein. Wer will sein Paket nicht verfolgen? Eine endlose Auswahl an Beispielen hat die Verbraucherzentrale NRW zusammengestellt, ein Auszug:
- Ihre Bestellung # 276513 wird in Kurze eintreffen. Fortschritt verfolgen: *Link*
- Liebe/r , Ihre Bestellung ist verschickt! Lieferung nachverfolgen: *Link*
- Paket [009232513] wurde im Verteilerzentrum angehalten. Verfolgen Sie Ihre Sendung hier: *Link*
- Bitte bestätigen Sie, dass Ihre Ware versandt wurde. *Link*
- Verspätete Lieferung Um Ihr Paket zu erhalten Sie müssen eine Zollsteuer von 1,99 EURO zahlen *Link*
Was ist Vishing?
Bei einem Vishing-Angriff ruft dich der Angreifer in der Regel an und gibt vor, von einer glaubwürdigen Organisation wie einer Bank oder einer Regierungsbehörde zu sein. Sie versuchen, dich dazu zu bringen, ihnen deine personenbezogenen Daten, wie Bestätigungscodes oder Passwörter zu geben.
Dabei gehen sie sehr clever vor. Meist sind sie schon über andere Wege an deine personenbezogenen Daten gekommen. Das schafft leider oft eine Art von Vertrauensvorsprung, dass es dem Angreifer leichter macht, an zusätzliche Informationen von dir zu kommen.
Beispiel der Westpac New Zealand Bank
Wie so ein Anruf ablaufen könnte, kannst du auf der Website der Westpac New Zealand Bank nachhören: Caught on tape: Listen to a real scammer in action.
Eine Freundin aus Neuseeland hat mich darauf aufmerksam gemacht.
Beispiel des Bundesamts für Sicherheit in der Informationstechnik
Der Spiegel berichtete über Fake-Anrufe, die vom vermeintlichen Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) kamen. Dabei erschien auf dem Telefon-Display des Geschädigten die Nummer des BSI, die Angreifer versuchten so an personenbezogene Daten des Geschädigten zukommen.
Wie du dich gegen Phishing, Smishing und Vishing schützen kannst
Auch wenn Phishing überwiegend über E-Mail geschieht, Smishing via SMS und Vishing übers Telefon, gibt es einige Tipps, die für alle drei gelten. Die wichtigsten habe ich dir hier aufgelistet:
Tipp 1: Wenn du unerwartete Nachrichten erhältst, klicke nicht ungeprüft auf Links, Bilder oder Anhänge in dieser Nachricht. Hinterfrage, ob die Nachricht Sinn macht. Schau dir die E-Mail des Absenders genauer an.
Tipp 2: Wie ist die Anrede? Zu unpersönlich? Besonders bei Nachrichten von deinen Vertragsdienstleistern. Wenn ja, sei skeptisch.
Tipp 3: Achte auf grammatikalische Fehler und ungewöhnliche Aufforderungen.
Tipp 4: Lass dich nicht unter Druck setzen. Niemals.
Tipp 5: Gebe deine personenbezogenen Daten nicht leichtfertig irgendwo ein.
Tipp 6: Sei zunächst misstrauisch gegenüber ungebetenen Anrufern, vor allem, wenn sie nach personenbezogenen Daten fragen. Auch wenn sie schon etwas über dich herausgefunden (Hallo, Social Media!) haben.
Tipp 7: Lass dir die Identität des Anrufers bestätigen.
Tipp 8: Überweise niemals Geld. Falls ein Familienmitglied in Not ist, sprich mit der Person. Eine schriftliche Nachricht reicht nicht aus.
Hast du noch ein Tipp, der hier nicht fehlen darf? Meld dich bei mir!
