Phishing ist eine der ältesten Formen von Cyberkriminalität. Es ist ein einfaches und effektives Werkzeug, mit dem Hacker Leute dazu bringen, sensible Informationen herauszugeben oder schädliche Software herunterzuladen. Natürlich gilt es, Phishing unter allen Umständen zu vermeiden – hier erfährst du, was Phishing ist und wie du dich am besten davor schützt.

1. Was ist Phishing?

Phishing ist fast so alt wie das Internet selbst und trat erstmals Mitte der 1990er Jahre auf. Es wird genauso ausgesprochen wie das englische Wort „Fishing“ (zu Deutsch: Angeln – das „Ph“ entstammt dem Hacker-Jargon). Der Hacker wird so mit einem Angler verglichen, der einen Haken mit Köder auslegt, um Fische zu fangen. Im Gegensatz zu Insekten oder Würmern handelt es sich beim Köder aber um betrügerische Kommunikationsarten, wie etwa in Form von E-Mails, SMS oder Telefonanrufen.

Phishing ist absichtlich irreführend und als Kommunikation aus vertrauenswürdigen Quellen getarnt. Oft fühlt man sich als Empfänger einer Phishing-E-Mail unter Druck gesetzt, sofort zu handeln – sie kann z. B. so aussehen, als käme sie von deiner Bank. Darin steht dann, dass es ein Problem mit deinem Konto gäbe und du aus “Sicherheitsgründen” so schnell wie möglich deine Angaben aktualisieren musst, indem du einen Link öffnest.

Wenn du aber anbeißt und den Link öffnest, wirst du auf eine Seite weitergeleitet, die eine täuschend echte Kopie der echten Webseite ist (einschließlich offizieller Banner und Logos), um dich so zur Eingabe deiner Daten zu verleiten. So kommen Hacker an deine privaten Informationen – wie Passwörter, Kontonummern oder Ausweisdaten – mit denen sie online Einkäufe tätigen, Geld stehlen oder Identitätsdiebstahl begehen können.

Die gute Nachricht ist: Wenn du nicht auf den Link klickst, ist diese Betrugsmasche wirkungslos.

2. Was ist eine Phishing-E-Mail?

Da Phishing auf eine große Anzahl potenzieller Opfer abzielt (manchmal sogar auf Millionen von Menschen gleichzeitig), ist es weiterhin ein beliebtes Werkzeug für Hacker. Laut einem FBI-Bericht aus dem Jahr 2017 sind Hacker damit so erfolgreich, dass allein in den USA lebenden Personen insgesamt 30 Millionen Dollar durch Phishing gestohlen wurden. Es gibt auch keine Anzeichen für einen Rückgang von Phishing-Angriffen: Im Jahr 2018 hat sich die Zahl der Angriffe fast verdoppelt.

Weil die Sicherheitsvorkehrungen vieler E-Mail-Konten solche Angriffe wirksam erkennen, gehen Hacker immer raffinierter vor. Schlecht geschriebene E-Mails mit Versprechungen, Millionen von Dollar auf dein Konto zu überweisen, wenn du deine Bankdaten übermittelst, kennen wir alle. Mittlerweile sind Hacker aber viel geschickter: Moderne Phishing-E-Mails enthalten oft maßgeschneiderte Informationen, Unternehmensmarken oder Webadressen, die dem Original sehr ähnlich sehen.

Weitere Formen von Phishing

E-Mails sind nach wie vor die beliebteste Form von Phishing. Hacker nutzen jedoch auch andere moderne Technologien, um ihre Opfer zu erreichen. Ein beliebtes Ziel sind Smartphones – so wird „Smishing“ (Phishing-Angriffe in Form von SMS-Nachrichten) immer verbreiteter, zumal gefälschte Websites auf mobilen Bildschirmen noch schwieriger zu erkennen sind.

Dank Verschlüsselungstechnik ist modernes Online-Banking sicher. Phishing ist jedoch ein Weg für Kriminelle, um an Informationen zu gelangen, ohne dabei die Sicherheitsbarrieren von Apps, Webseiten oder Programmen durchbrechen zu müssen. So zielte beispielsweise im Jahr 2020 eine SMS-Phishing-Kampagne auf mobile Banking-Apps in Nordamerika ab: Hacker sendeten Nachrichten an einen großen Personenkreis und sobald Empfänger auf den darin enthaltenen Link klickten, wurden sie zu einer falschen Anmeldeseite für ihr Online-Banking-Konto weitergeleitet. Die Tatsache, dass dieser Kampagne 4.000 Personen zum Opfer fielen, ist ein gutes Beispiel dafür, wie effektiv SMS-Phishing sein kann.

Wie werden Phishing-Angriffe getarnt?

Je realistischer eine Phishing-E-Mail aussieht, desto wahrscheinlicher ist es, dass Opfer in die Falle tappen. Aus diesem Grund kopieren Hacker Internetauftritte bekannter Marken, die von einer großen Anzahl Menschen genutzt werden. Laut einem Bericht von Vade Secure aus dem Jahr 2019 gehören PayPal, Facebook, Microsoft, Netflix und WhatsApp zu den beliebtesten Marken für Hacker.

Der Bericht zeigt auch die häufigsten Maschen auf, die bei Phishing-E-Mails als „Köder“ zum Einsatz kommen. Oft bezieht sich die Mitteilung auf „ungewöhnliche Aktivitäten“ auf dem Konto der Person, wobei die Notwendigkeit einer sofortigen Überprüfung betont wird. Es gibt allerdings auch kreativere Maschen, darunter das Versenden von Scheinangeboten, kostenlosen pornografischen Inhalten oder Rechnungen, die beglichen werden müssen (z. B. von Amazon).

Auch aktuelle Ereignisse können in Kampagnen genutzt werden. Im Jahr 2020 wurden bei einem Phishing-Angriff gefälschte E-Mails der Weltgesundheitsorganisation (WHO) versendet. Die E-Mails sahen aus wie hilfreiche Anweisungen der WHO, wie die Verbreitung des Coronavirus verhindert werden kann. Viele verunsicherte Nutzer öffneten dann einen Link, der zu einem Dokument führen sollte, und landeten auf einer gefälschten Anmeldeseite von Microsoft Outlook. Alle auf dieser Seite eingegebenen Daten wurden direkt an die Hacker übermittelt.

3. Welche Arten von Phishing-Angriffen gibt es?

Als „Kampagne“ bezeichnet man eine Angriffsart, bei der normalerweise dieselbe E-Mail-Vorlage verwendet und an einen großen Personenkreis gesendet wird – wie z. B. eine Mobile-Banking-Kampagne rund um den Coronavirus. Es gibt jedoch auch ausgefeiltere Formen von Phishing-Angriffen, die schwieriger zu erkennen sind. Die folgenden Definitionen sind weiterhin an das Thema Angeln angelehnt:

  • Spear-Phishing (abgeleitet vom englischen Wort für Speer) zielt auf eine bestimmte Personengruppe ab – ähnlich, wie wenn man eine bestimmte Fischart angeln will. Hacker recherchieren die Hintergründe ihrer Opfer und versenden maßgeschneiderte Mitteilungen. Gewöhnlich zielen diese Angriffe auf Mitarbeiter von Unternehmen ab und die Nachrichten sind als Mitteilungen von Kollegen getarnt. In einem Bericht von Europol aus dem Jahr 2019 wurde Spear-Phishing als eine neue, ernstzunehmende Bedrohung hervorgehoben.
  • Whaling (zu Deutsch: Walfang) ist gezieltes Phishing, bei dem große Ziele wie CEOs oder Politiker im Fokus stehen. Diese Form des Phishings ist mit höherem Aufwand, aber auch mit potenziell riesigen Belohnungen verbunden.
  • Clone-Phishing (abgeleitet vom englischen Wort für Klonen) ist ein ausgeklügelter Angriff, bei dem echte Mitteilungen abgefangen werden. Dabei klont der Hacker eine seriöse E-Mail von einer vertrauenswürdigen Quelle. Für das Opfer wirkt die E-Mail wie die Fortsetzung eines Gesprächs und so ist die Wahrscheinlichkeit groß, dass sie auf einen schädlichen Link klickt.
  • Vishing ist Phishing per Telefon. Die Masche ist die gleiche: Der Anrufer erscheint seriös, um sensible Informationen vom Opfer zu erschleichen. Sei immer vorsichtig, wenn du einen unaufgeforderten Anruf erhältst, bei dem persönliche Informationen verlangt werden.

4. Wie man eine Phishing-Website oder Phishing-E-Mail erkennt

Wie kannst du dich also vor Phishing-Angriffen schützen? Manchmal kannst du eine Phishing-E-Mail dank ihrer allgemeinen Einleitung („Sehr geehrte/r Dame/Herr“) statt deines Namens erkennen. Noch offensichtlicher ist es, wenn die E-Mail von einem Unternehmen stammt, bei dem du kein Konto hast – in diesem Fall stammt sie wahrscheinlich von einer Massenkampagne. Ignoriere die E-Mail einfach und melde den Vorfall.

Wann immer du eine Mitteilung erhältst, in der du zu einer bestimmten Handlung aufgefordert wirst, frage dich: Kontaktiert mich diese Person normalerweise per E-Mail für solche Anfragen? Achte auf Ton und Sprache der Mitteilung, einschließlich kleiner Fehler. Erscheint dir irgendetwas ungewöhnlich? Achte besonders auf die Absenderzeile und antworte bei Verdacht nicht direkt, sondern in einer neuen E-Mail.

Die meisten Phishing-E-Mails enthalten einen Link, der dich auf eine gefälschte Webseite führt. Solche Phishing-Websites sind das Portal, über das du unwissentlich deine Daten an Hacker weitergibst. Überprüfe die Adresse der jeweiligen Webseite sorgfältig, z. B. „wwwn26.com“ vs. „www.n26.com“. Ein weiterer Anhaltspunkt ist das Schlosssymbol neben der Adresszeile im Chrome-Browser, das auf eine sichere Verbindung hinweist.

Sei stets skeptisch gegenüber umgeleiteten Webseiten (wenn sich die Webadresse ändert und du auf eine andere Seite weitergeleitet wirst). Wenn ein Link fragwürdig erscheint und du auf Nummer sicher gehen möchtest, öffne einfach ein neues Fenster und rufe die Webseite direkt auf. Du hast eine E-Mail von PayPal erhalten, mit einem Link zum Einloggen in dein Konto? Dann schadet es nicht, dich in deinem Browser direkt auf die PayPal-Seite zu begeben und von dort aus einzuloggen. Falls die Mitteilung echt ist, kannst du auf diese Weise auf dein Konto zugreifen, um weitere Informationen zu erhalten.

5. Weitere Tipps zum Schutz vor Phishing-Angriffen

Sei immer vorsichtig, wenn du aufgefordert wirst, sensible Informationen zu übermitteln. Der N26 Kundenservice fragt dich beispielsweise nie nach deinem Passwort oder deiner Kreditkartennummer. Halte außerdem die 10-stellige Nummer auf deiner Karte stets geheim (mache keine Fotos von der entsprechenden Seite der Karte). Befolge diese Tipps, um dich noch effektiver zu schützen:

  • Stelle sicher, dass dein Computer über eine aktuelle Sicherheitssoftware verfügt.
  • Installiere eine Anti-Phishing-Erweiterung in deinem Webbrowser.
  • Erstelle ein starkes und sicheres Passwort und verwende niemals dasselbe Passwort für verschiedene Konten.
  • Stelle sicher, dass auf deinem Smartphone die neuesten Updates installiert sind.
  • Aktiviere die Multi-Faktor-Authentifizierung (oder die 2-Faktor-Authentifizierung, „2FA“) – mit einem zusätzlichen Schritt bei der Anmeldung, z. B. einem Code, der an dein Smartphone gesendet wird, bist du noch sicherer unterwegs.
  • Veröffentliche keine persönlichen Daten online, da diese Informationen von Hackern missbräuchlich verwendet werden können.

Wie du einen Phishing-Angriff melden kannst

Durch die immer raffinierteren Phishing-Methoden kannst du bei aller Vorsicht natürlich trotzdem zum Opfer eines Angriffs werden. In diesem Fall solltest du den Vorfall melden:

  • Wende dich direkt an deinen E-Mail-Anbieter. Kontaktiere zum Beispiel den Google-Support.
  • Wende dich direkt an das Unternehmen, dessen Informationen nachgeahmt wurden, um es über den Vorfall zu informieren.
  • Falls deine persönlichen Daten gestohlen wurden, wende dich an die Abteilung für Internetkriminalität deiner örtlichen Polizeistation.

N26 Kunden können uns über die Chat-Funktion der App oder auf der N26 Website benachrichtigen. Da du jetzt aber über Phishing und die Sicherheit deines N26 Kontos informiert bist, hoffen wir natürlich, dass es nicht dazu kommt. Halte also die Augen offen, sei skeptisch und behalte die Tipps aus diesem Artikel im Hinterkopf, um dich nicht phishen zu lassen.


Sicherheit bei N26

N26 hat in den letzten Jahren an Bekanntheit gewonnen und so haben wir mehrere Wellen von Phishing-Angriffen erlebt, die auf unsere Kunden abzielen. Wir bekämpfen diese Kampagnen über verschiedene Wege: So verfügen wir bei N26 über ein Team von IT-Sicherheitsexperten, die sich der Überwachung von Phishing-Webseiten widmen und diese sofort nach ihrem Erscheinen löschen lassen.

Wenn du N26 Kunde bist und den Verdacht hast, von einem Phishing-Angriff betroffen zu sein, dann setze dich mit uns in Verbindung oder kontaktiere den Kundenservice über die Chatfunktion in der N26 App.

Ähnliche Artikel

Entdecke ähnliche Artikel aus unserem Blog, die dich vielleicht interessieren könnten