Symantec (Deutschland) GmbH
Humboldtstr. 6
85609 Aschheim
+49-89-943020
Fachartikel, 14.05.2007
IT-Sicherheit
Phishing-E-Mails erkennen und Betrug vorbeugen
Phishing-Angriffe sind bei Cyber-Betrügern äußerst beliebt. Die Gründe liegen auf der Hand. Phishing ist eine unkomplizierte und äußerst wirksame Methode, Internet-Benutzer dazu zu bringen, Angaben zu ihrer Person und andere vertrauliche Daten preiszugeben. Jeden Tag tauchen Tausende neuer, gefälschter Phishing-Websites auf, während andere wieder verschwinden: ein blühendes Geschäft! Glücklicherweise können Sie sich auf einfache Weise schützen.
Phishing-Betrüger nutzen E-Mail und seit einiger Zeit auch Instant Messaging (IM) für ihre Zwecke. Die betrügerischen Nachrichten kommen in verschiedenen Aufmachungen, aber der Zweck bleibt derselbe: Die Opfer sollen auf einen Link klicken, der sie angeblich zur offiziellen Website einer Einrichtung führt, mit der sie geschäftlich zu tun haben, zum Beispiel eine Bank, ein Einzelhandels- oder Kreditkartenunternehmen oder eine Behörde.
Der Link kann in einer E-Mail oder IM-Nachricht enthalten sein, führt aber in jedem Fall auf eine gefälschte Webseite, die genauso aussieht wie die echte. Auf der gefälschten Webseite werden Sie unter einem Vorwand, der in der E-Mail oder IM-Nachricht erläutert wird (zum Beispiel angebliche Sicherheits- oder technische Probleme), zur Eingabe von persönlichen Informationen aufgefordert. Die Phishing-Betrüger fragen gewöhnlich nach Anmeldedetails für Konten sowie nach Kennwörtern und PIN-Nummern usw. Diese Informationen werden dann auf dem falschen Server gespeichert und für Identitätsdiebstahl und Abbuchungen von Ihrem Bankkonto genutzt.
In letzter Zeit hat sich vor allem eine spezielle Form von Phishing, das so genannte Spear-Phishing, weiter entwickelt und verbreitet. Spear-Phishing richtet sich gezielt an eine bestimmte Personengruppe. Angriffe dieser Art wurden sogar auf MySpace, eine Website für Social Networking, ausgeführt. Eine Spear-Phishing-Nachricht richtet sich an eine kleinere Gruppe von Empfängern, aber ihre detaillierte Gestaltung erschwert es dem Benutzer, die Fälschung zu erkennen. Die Nachricht sieht aus, als käme sie von Ihrem Arbeitgeber, einem Kollegen oder Bekannten. Führen Sie sich die Situation vor Augen: Eine Phishing-E-Mail wirkt viel überzeugender, wenn sie gezielte Informationen wie eine persönliche Anrede enthält, „Hallo Tom, Klaus hier. Wir sind zusammen zur Schule gegangen.” Oder: „Willkommen in unserem Team, Frau Schmidt.” Oder Sie erhalten eine E-Mail, die angeblich von Ihrer IT-Abteilung stammt und Sie dazu auffordert, „die folgenden neuen Updates vor dem 30. Mai zu installieren”.
Es geht um Ihre Identität. Schützen Sie sie.
Klicken Sie nicht auf Links in E-Mails oder IM-Nachrichten, in denen Sie persönliche Informationen angeben sollen. Wenn Sie die Anweisungen befolgen und auf der Webseite, zu der Sie geleitet werden, persönliche Daten preisgeben, spielen Sie diese Informationen direkt in die Hände von Identitätsdieben. Gehen Sie immer direkt zur offiziellen Website, indem Sie die Adresse selbst in den Browser eingeben oder ein Lesezeichen verwenden (einige Trojanische Pferde sind jedoch sogar in der Lage, Lesezeichen-Adressen zu ändern).
Vorsicht vor Pharming-Angriffen. Im Fall von Pharming werden Sie unbemerkt zu einer gefälschten Kopie der gewünschten Webseite geleitet, obwohl Sie die Adresse der offiziellen Website in den Browser eingegeben haben. Diese Umleitung findet auf der Serverebene statt. Die Risiken sind dieselben wie im Fall von Phishing, aber es liegt in der Verantwortung des Internet-Dienstanbieters oder Ihrer IT-Abteilung, Pharming-Angriffen vorzubeugen.
Öffnen Sie E-Mail-Anhänge nur, wenn Sie sie erwarten und ihren Inhalt kennen. Verwenden Sie einen guten Antispam-Filter für zusätzliche Sicherheit, um die Anzahl an Spam-E-Mails von Phishing-Betrügern zu begrenzen.
Überzeugen Sie sich von der Identität des Absenders, bevor Sie persönliche Informationen preisgeben. Seriöse Kreditkartenunternehmen und andere Institutionen erfragen persönliche Informationen auf keinen Fall in einer E-Mail. Fragen Sie nach dem Namen des Absenders, der Behörde oder des Unternehmens sowie nach der Telefonnummer und Adresse. Dann können Sie überprüfen, ob die Nachricht rechtmäßig ist. Zögern Sie nicht, einen Telefonanruf zu tätigen anstatt eine E-Mail zu beantworten.
Achtung bei der Jobsuche, wenn angebliche potenzielle Arbeitgeber nach Angaben wie Sozialversicherungsnummern und anderen persönlichen Informationen fragen.
Wenn Sie glauben, dass Sie Kontonummern, PINs oder Kennwörter an einen Phishing-Betrüger weitergegeben haben, benachrichtigen Sie umgehend die Einrichtungen, bei denen diese Konten bestehen. Wenn Sie eine Betrugsmeldung erstatten möchten, wenden Sie sich an die Federal Trade Commission, ID Theft Clearinghouse unter www.consumer.gov/idtheft oder telefonisch unter 877-438-4338, TDD 202-326-2502.
Schlussfolgerung
Es besteht kein Grund zur Panik im Hinblick auf E-Mails und IM-Nachrichten. Es ist aber hilfreich zu wissen, wie Nachrichten zu betrügerischen Zwecken missbraucht werden, damit Sie Phishing-Angriffen nicht zum Opfer fallen. Es ist ganz einfach: Lassen Sie sich auf keinen Fall von einem Link in einer E-Mail oder IM zu einer „offiziellen” Webseite leiten, auf der Sie persönliche Informationen eingeben sollen. Wenn Sie diese Vorsichtsmaßnahme befolgen, sind Sie geschützt. Informieren Sie sich außerdem über die aktuellen Trends im Hinblick auf Internet-Betrug und erwägen Sie den Einsatz von Sicherheits-Tools wie Norton Confidential und Norton Internet Security , um die Risiken zu mindern und die Übertragung persönlicher Informationen von Ihrem PC zu vermeiden.
Phishing-Betrüger nutzen E-Mail und seit einiger Zeit auch Instant Messaging (IM) für ihre Zwecke. Die betrügerischen Nachrichten kommen in verschiedenen Aufmachungen, aber der Zweck bleibt derselbe: Die Opfer sollen auf einen Link klicken, der sie angeblich zur offiziellen Website einer Einrichtung führt, mit der sie geschäftlich zu tun haben, zum Beispiel eine Bank, ein Einzelhandels- oder Kreditkartenunternehmen oder eine Behörde.
Der Link kann in einer E-Mail oder IM-Nachricht enthalten sein, führt aber in jedem Fall auf eine gefälschte Webseite, die genauso aussieht wie die echte. Auf der gefälschten Webseite werden Sie unter einem Vorwand, der in der E-Mail oder IM-Nachricht erläutert wird (zum Beispiel angebliche Sicherheits- oder technische Probleme), zur Eingabe von persönlichen Informationen aufgefordert. Die Phishing-Betrüger fragen gewöhnlich nach Anmeldedetails für Konten sowie nach Kennwörtern und PIN-Nummern usw. Diese Informationen werden dann auf dem falschen Server gespeichert und für Identitätsdiebstahl und Abbuchungen von Ihrem Bankkonto genutzt.
In letzter Zeit hat sich vor allem eine spezielle Form von Phishing, das so genannte Spear-Phishing, weiter entwickelt und verbreitet. Spear-Phishing richtet sich gezielt an eine bestimmte Personengruppe. Angriffe dieser Art wurden sogar auf MySpace, eine Website für Social Networking, ausgeführt. Eine Spear-Phishing-Nachricht richtet sich an eine kleinere Gruppe von Empfängern, aber ihre detaillierte Gestaltung erschwert es dem Benutzer, die Fälschung zu erkennen. Die Nachricht sieht aus, als käme sie von Ihrem Arbeitgeber, einem Kollegen oder Bekannten. Führen Sie sich die Situation vor Augen: Eine Phishing-E-Mail wirkt viel überzeugender, wenn sie gezielte Informationen wie eine persönliche Anrede enthält, „Hallo Tom, Klaus hier. Wir sind zusammen zur Schule gegangen.” Oder: „Willkommen in unserem Team, Frau Schmidt.” Oder Sie erhalten eine E-Mail, die angeblich von Ihrer IT-Abteilung stammt und Sie dazu auffordert, „die folgenden neuen Updates vor dem 30. Mai zu installieren”.
Es geht um Ihre Identität. Schützen Sie sie.
Klicken Sie nicht auf Links in E-Mails oder IM-Nachrichten, in denen Sie persönliche Informationen angeben sollen. Wenn Sie die Anweisungen befolgen und auf der Webseite, zu der Sie geleitet werden, persönliche Daten preisgeben, spielen Sie diese Informationen direkt in die Hände von Identitätsdieben. Gehen Sie immer direkt zur offiziellen Website, indem Sie die Adresse selbst in den Browser eingeben oder ein Lesezeichen verwenden (einige Trojanische Pferde sind jedoch sogar in der Lage, Lesezeichen-Adressen zu ändern).
Vorsicht vor Pharming-Angriffen. Im Fall von Pharming werden Sie unbemerkt zu einer gefälschten Kopie der gewünschten Webseite geleitet, obwohl Sie die Adresse der offiziellen Website in den Browser eingegeben haben. Diese Umleitung findet auf der Serverebene statt. Die Risiken sind dieselben wie im Fall von Phishing, aber es liegt in der Verantwortung des Internet-Dienstanbieters oder Ihrer IT-Abteilung, Pharming-Angriffen vorzubeugen.
Öffnen Sie E-Mail-Anhänge nur, wenn Sie sie erwarten und ihren Inhalt kennen. Verwenden Sie einen guten Antispam-Filter für zusätzliche Sicherheit, um die Anzahl an Spam-E-Mails von Phishing-Betrügern zu begrenzen.
Überzeugen Sie sich von der Identität des Absenders, bevor Sie persönliche Informationen preisgeben. Seriöse Kreditkartenunternehmen und andere Institutionen erfragen persönliche Informationen auf keinen Fall in einer E-Mail. Fragen Sie nach dem Namen des Absenders, der Behörde oder des Unternehmens sowie nach der Telefonnummer und Adresse. Dann können Sie überprüfen, ob die Nachricht rechtmäßig ist. Zögern Sie nicht, einen Telefonanruf zu tätigen anstatt eine E-Mail zu beantworten.
Achtung bei der Jobsuche, wenn angebliche potenzielle Arbeitgeber nach Angaben wie Sozialversicherungsnummern und anderen persönlichen Informationen fragen.
Wenn Sie glauben, dass Sie Kontonummern, PINs oder Kennwörter an einen Phishing-Betrüger weitergegeben haben, benachrichtigen Sie umgehend die Einrichtungen, bei denen diese Konten bestehen. Wenn Sie eine Betrugsmeldung erstatten möchten, wenden Sie sich an die Federal Trade Commission, ID Theft Clearinghouse unter www.consumer.gov/idtheft oder telefonisch unter 877-438-4338, TDD 202-326-2502.
Schlussfolgerung
Es besteht kein Grund zur Panik im Hinblick auf E-Mails und IM-Nachrichten. Es ist aber hilfreich zu wissen, wie Nachrichten zu betrügerischen Zwecken missbraucht werden, damit Sie Phishing-Angriffen nicht zum Opfer fallen. Es ist ganz einfach: Lassen Sie sich auf keinen Fall von einem Link in einer E-Mail oder IM zu einer „offiziellen” Webseite leiten, auf der Sie persönliche Informationen eingeben sollen. Wenn Sie diese Vorsichtsmaßnahme befolgen, sind Sie geschützt. Informieren Sie sich außerdem über die aktuellen Trends im Hinblick auf Internet-Betrug und erwägen Sie den Einsatz von Sicherheits-Tools wie Norton Confidential und Norton Internet Security , um die Risiken zu mindern und die Übertragung persönlicher Informationen von Ihrem PC zu vermeiden.
ZUM AUTOR
Über Symantec (Deutschland) GmbH
Pressefach von Symantec (Deutschland) GmbHWEITERE ARTIKEL DIESES AUTORS
ANDERE ARTIKEL AUS DIESEM RESSORT
SUCHE 
Anzeige
PRESSEFORUM MITTELSTAND
Anzeige
BRANCHENVERZEICHNIS
PR-DIENSTLEISTERVERZEICHNIS
BUSINESS-SERVICES
Business Forum
Presseportal
PR-Welt
Branchenverzeichnis
PR-Dienstleisterverzeichnis
Kooperationsbörse
Presseportal
PR-Welt
Branchenverzeichnis
PR-Dienstleisterverzeichnis
Kooperationsbörse
Wissen und Praxis
Nachrichten
Fachartikel
Kolumnen
Interviews
Themenportale
Leitfäden
Mustervorlagen
Nachrichten
Fachartikel
Kolumnen
Interviews
Themenportale
Leitfäden
Mustervorlagen
© novo per motio KG