Der Begriff „Phishing“ (englisch „Angeln“) bezeichnet die Täuschungsversuche von unbefugten Dritten, sich über gefälschte Webseiten, E-Mails, SMS oder andere Kurznachrichten als vertrauenswürdiger Kommunikationspartner auszugeben. Ziel dieses Betrugs ist es, z. B. an persönliche Daten eines Benutzers zu gelangen. Hierbei wird versucht ihn zur Ausführung einer schädlichen Aktion zu bewegen, wie z.B. das Einloggen in einen nachgebauten Webauftritt, um die Zugangsdaten wie das Passwort und den Benutzernamen oder einen 2. Faktor für die 2-Faktor-Identifizierung zu erschleichen.

Phishing ist schon seit Jahren ein aktuelles Thema. Was sich nur immer wieder verändert und leider auch „verbessert“ sind die Techniken der Angreifer. Längst sind die gefälschten E-Mails und Webseiten nicht mehr an den Rechtschreibfehlern und der kryptischen URL erkennbar. So wird es leicht den Betrügern auf den Leim zu gehen.

Laut dem BSI sind aktuell weit verbreitete Techniken Phishing-Versuche im Kontext mit DHL-, Amazon- und PayPal-Konten sowie Banking-Anbietern. So wurden in E-Mails mit dem Inhalt „Wir haben Ihr Amazon-Konto und alle ausstehenden Bestellungen gesperrt“ bei Kunden des Onlinehändlers, unter dem Vorwand angeblicher Sicherheitsmaßnahmen, persönliche Daten abgefragt. In den E-Mails war ein Link enthalten, der angeblich zur Überprüfung der Zugangsdaten dienen sollte. Auch bei DHL-Kunden gab es in den vergangenen Jahren Phishing-Versuche, indem den Kunden vorgegaukelt wurde, dass angebliche Zollgebühren in Höhe von 1,89 Euro nicht bezahlt worden seien und dass aus diesem Grund ein Paket nicht zugestellt werden konnte. Auch hierbei handelt es sich um einen Betrug, auf den leider viele DHL-Kunden reingefallen sind.

Ähnliche E-Mails werden auch gerne unter dem Deckmantel einer Bank (u.a. Sparkasse, Commerzbank) oder von Zahlungsdienstleistern (z.B. PayPal) versendet.

Die wichtigste Empfehlung ist hierbei immer die jeweilige Seite direkt über den Browser aufzurufen und die Forderungen dort zu verifizieren. Alternativ kann auch in der eigenen App nachgeschaut werden. In keinem Fall sollte auf einen Link geklickt werden, der in einer E-Mail enthalten ist! [SRE]

Quellenangabe:

  • LinkedIn-Beitrag des Bundesamt für Sicherheit und Informationstechnik (BSI) „Aktueller Lagebericht vom Bundesamt für Sicherheit in der Informationstechnik (BSI)“, abgerufen am 26.07.2024 unter: https://www.linkedin.com/pulse/aktueller-lagebericht-vom-bundesamt-f%25C3%25BCr-sicherheit-der-stefan-otto/?trackingId=Aol7%2F%2FUsQIq80t2tphRYLQ%3D%3D

Autorin:

Sabrina Reinecke [SRE], externe betriebliche Datenschutzbeauftragte (TÜV-Zertifizierung)