Trotz immer besserer Junkmail-Filter und höher entwickelter Abwehrmaßnahmen ist Phishing immer noch eine der größten Gefahren für die Cybersicherheit.
Laut den Daten des Bundesamts für Sicherheit in der Informationstechnik (BSI) enthält etwa jede dritte unerwünschte E-Mail einen Phishing-Versuch.
Unter dem Begriff „unerwünschte E-Mail“ fasst das Bundesamt Nachrichten mit Werbung, vermeintliche Gewinnbenachrichtigungen und nicht abbestellbare Newsletter zusammen. Rund 62 Prozent aller Anwender haben schon einmal eine Mail in ihrem Posteingang als Phishing-Nachricht identifiziert.
Betrug mit neuer SIM-Karte: Wie gefährlich ist SIM-Swapping wirklich?
Phishing-Versuche sind Alltag geworden. Gleichzeitig sind sie immer schwieriger zu erkennen. Die Kriminellen nutzen zunehmend Large Language Models (LLMs) wie ChatGPT, um ihre Mails zu formulieren. Daraus resultieren weitgehend fehlerfreie Texte mit korrekter Grammatik und gut verständlichem Satzbau.
Phishing von KI-Accounts
Barracuda Networks macht auf neue Phishing-Mails aufmerksam, mit denen versucht wird, Zugänge zu den kostenpflichtigen ChatGPT-Accounts zu stehlen. Diese sind aktuell begehrt.
IDG
KI-Dienste wie ChatGPT oder Google Gemini werden für Unternehmen immer wichtiger, da sie damit ihre Kosten für Routine-Anschreiben oder auch die Rechnungsstellung reduzieren können. Open AI, der Hersteller von ChatGPT, und Google verlangen daher ab einer gewissen Zahl von Abfragen Geld für die Nutzung.
Das Security-Unternehmen Barracuda Networks meldete nun, dass mit einer umfangreichen Phishing-Welle versucht wurde, die Zugänge zu kostenpflichtigen ChatGPT-Accounts zu stehlen.
Die Kriminellen verschicken dazu E-Mails, die vorgeblich von Open AI kommen. In ihren Mails erklären sie, dass sie die monatliche Zahlung nicht abbuchen können. Der Empfänger solle nun innerhalb von sieben Tagen seine Kontoinformationen aktualisieren, anderenfalls würde er den Zugriff auf ChatGPT verlieren.
Siehe auch: Vorsicht vor Nummer 089839311818
Ein Button in der Mail führt zu einem Onlineformular für die Eingabe der Kontodaten. Solche Daten lassen sich über dunkle Kanäle im Internet gut verkaufen.
Streamingkonten
Sehr häufig versuchen die Betrüger, die Anmeldeinformationen für Streamingdienste wie etwa Netflix oder Disney+ zu stehlen.
So gab es in den vergangenen Monaten mehrere Wellen von Phishing-Mails, die die Daten von Netflix-Konten abfragten. Solche Zugänge lassen sich besonders einfach zu Geld machen und sind bei den Kriminellen entsprechend beliebt.
Derzeit treten gehäuft Phishing-Mails auf, die versuchen, die Zugangsdaten zu Streamingdiensten wie Netflix abzugreifen. Diese Daten lassen sich übers Internet besonders einfach zu Geld machen.
IDG
Die Benutzer erhalten dabei eine E-Mail, die vorgeblich von einem Streamingdienst stammt, und werden darin aufgefordert, ihre Zahlungsdaten zu aktualisieren.
Ansonsten müsse ihr Konto in wenigen Tagen gesperrt werden. In der E-Mail sehen sie einen Button oder einen Link, der angeblich zu ihrem Account führt. Auf der zugehörigen Webseite wartet ein Formular auf sie, in das sie ihre Zugangsdaten eintragen sollen.
Die Mail stammt von einem Betrüger, was sich in den meisten Fällen bereits durch einen Blick auf die Absenderadresse erkennen lässt. Nur wenige Phishing-Versender machen sich die Mühe, die Mail-Adresse zu fälschen (der Fachausdruck dafür heißt „spoofen“).
Wohin der Button oder Link in der Mail, der angeblich zu einem Formular des Streaminganbieters führt, tatsächlich verlinkt, lässt sich einfach in Erfahrung bringen, indem man ein oder zwei Sekunden mit der Maus darauf zeigt.
Verbraucherschutz warnt: So einfach bezahlen Betrüger mit Ihrem Paypal-Konto
Typisch für solche und andere Phishing-Mails ist, dass sie es dringend machen: Meist haben die Opfer nur zwei oder drei Tage Zeit, um das Problem zu lösen. Oder die Täter behaupten, das Konto sei bereits gesperrt worden, und der Mail-Empfänger müsse schnell handeln, um es wieder zu aktivieren. Die Täter bauen so einen zeitlichen Druck auf, damit ihre Opfer nicht lange nachdenken.
Falsche Elster-App
Teilweise dienen Phishing-Mails nicht dazu, direkt bestimmte Anmeldedaten zu stehlen. Stattdessen soll der Empfänger zu einer bestimmten Handlung veranlasst werden, etwa zur Installation einer Software.
Eine E-Mail, die vorgeblich vom Finanzministerium kommt, verlangt vom Empfänger die Begleichung von über 5.000 Euro Steuerschulden. Gedroht wird mit einer horrenden Strafe von einer halben Million Euro.
IDG
So warnte die Verbraucherzentrale NRW vor Phishing-Mails mit der Betreffzeile „Ihr Digitales Zertifikat – Handlungsbedarf“, die die Empfänger auffordern, eine App mit der Bezeichnung ElsterSecure+ zu installieren.
Elster ist das Portal der deutschen Finanzbehörden, wo Steuerpflichtige ihre Steuererklärungen online abgeben können.
Die E-Mail behauptet, ElsterSecure+ diene „der sicheren Authentifizierung und dem Schutz Ihrer sensiblen Daten im Rahmen der digitalen Steuerkommunikation“. Tatsächlich heißt die Authentifizierungs-App für Elster jedoch ElsterSecure (ohne Pluszeichen), zum Erfassen von Belegen gibt es zusätzlich die App MeinELSTER+.
Die Verbraucherzentralen warnen vor E-Mails, die den Empfänger auffordern, eine App mit der Bezeichnung ElsterSecure+ zu installieren.
IDG
Die Verbraucherzentrale vermutet, dass die App die Vorgänge auf dem Computer überwacht und beispielsweise Anmeldedaten an kriminelle Banden weitergibt. Eine andere Möglichkeit ist, dass die Software Daten aus den Kontaktdatenbanken von Windows oder Outlook ausliest und nach außen übermittelt.
Mails von Polizei, Justiz und Fiskus
Ein weiterer Trend sind Phishing-Mails, die vermeintlich von der Polizei, dem Justiz- oder dem Finanzministerium stammen.
Polizei und Justizbehörden drohen mit einem Straf- oder Haftbefehl oder informieren über ein bereits laufendes Ermittlungsverfahren. Sie fordern vom Empfänger eine sofortige Reaktion per E-Mail. In diesen Fällen geht es vermutlich um Identitätsdiebstahl, das Opfer soll detaillierte Angaben zu seiner Person machen.
Neuer Paypal-Betrug: Ihnen wird Geld überwiesen – so reagieren Sie richtig
Das falsche Finanzministerium wiederum beschuldigt den Empfänger der Mail der Steuerhinterziehung und verlangt eine erste Nachzahlung in Höhe eines vierstelligen Betrags, und zwar innerhalb von 48 Stunden. Anderenfalls drohten ihm bis zu fünf Jahre Haft und eine Geldstrafe in Höhe von bis zu 500.000 Euro.
Rundfunkbeiträge
Darüber hinaus kursieren derzeit E-Mails, die die Empfänger mit einer Rückerstattung von Rundfunkbeiträgen locken.
Auf einer Webseite könnten sie überprüfen lassen, ob sie vielleicht mehr bezahlt haben als eigentlich notwendig. Es genüge ein Klick auf die Schaltfläche „Rückerstattungsstatus prüfen“ in der Mail, um die Seite aufzurufen und die eigenen Ansprüche prüfen zu lassen.
Mit dem Klick ruft der Empfänger jedoch eine Internetseite der Kriminellen auf, die die eingegebenen persönlichen Daten sammelt und weiterverkauft. Laut Verbraucherzentrale meldet sich der Beitragsservice niemals selbst bei den Beitragszahlern, um deren Zahlungen zu überprüfen.
Smishing wird zur Plage
Wenn ein Phishing-Versuch per SMS kommt, nennt man das Smishing. Bereits seit längerer Zeit tauchen immer neue Smishing-Wellen auf, die es bei den Empfängern mit dem Enkeltrick versuchen. Der Text lautet in diesem Fall beispielsweise „Hallo Papa, das ist meine neue Nummer. Kannst du mir auf WhatsApp schreiben?“.
Falls der Empfänger daraufhin tatsächlich Kontakt aufnimmt, wird er meist eine Antwort erhalten, in der es um einen Unfall oder einen anderen Notfall geht. Um dem Sohn oder der Tochter zu helfen, soll Papa einen drei- oder vierstelligen Betrag auf ein Konto überweisen oder auf anderem Wege transferieren.
Passwortmanager
Besonders wertvoll für die Kriminellen sind Zugänge zu den verschlüsselten Tresoren von Passwortmanagern.
Wenn es ihnen gelingt, das Masterpasswort abzugreifen, haben sie freien Zugriff auf Anmeldedaten aller Art, von Bankkonten über Onlineversender und Streamingdienste bis hin zu den Accounts bei E-Mail-Diensten und Telefonprovidern.
Betrüger versuchen, das Masterpasswort für den Passwortmanager Lastpass abzugreifen. Damit hätten sie freien Zugang zu allen gespeicherten Kennwörtern und Zugangsdaten.
IDG
Im Frühjahr 2024 wurde eine neue Vorgehensweise der Kriminellen bekannt.
Sie arbeiten zunehmend mit Phishing-Kits, mit denen sich recht einfach Anmeldemasken auf Webseiten fälschen und mit Logos der vorgeblichen Inhaberfirmen versehen lassen. Diese Kits werden im Rahmen von Phishing-as-a-Service-Angeboten von kriminellen Gruppen übers Internet vertrieben.
Im konkreten Fall wurde mit einem solchen Kit die Anmeldeseite des Passwortmanagers Lastpass nachgebaut. Dann starteten die Angreifer eine automatisierte Anrufserie, bei der eine Bandansage erklärte, dass ein neues Gerät versuche, auf das Lastpass-Konto zuzugreifen.
Der Angerufene solle mit Drücken der „1“ den Zugriff erlauben oder ihn mit „2“ blockieren. Wählte er die „2“, kündigte eine weitere Bandansage einen Anruf von einem angeblichen Kundendienst-Mitarbeiter an.
Der zweite Anruf kam dann von einem echten Menschen, der die Mail-Adresse abfragte und dem Opfer eine E-Mail mit Anweisungen zum Zurücksetzen des Masterpassworts ankündigte.
Diese Mail verlinkte auf eine Website der Kriminellen, wo der Kunde sein bisheriges Masterpasswort eingeben sollte. Sobald die Kriminellen im Besitz dieses Passworts waren, loggten Sie sich bei Lastpass ein und änderten Telefonnummer und E-Mail-Adresse des Besitzers, sodass er selbst keinen Zugriff mehr hatte.
Da bei dieser Methode der erste Kontakt zwischen dem Betrüger und seinem Opfer per Telefon erfolgt, nennt man sie Vishing oder auch Voice- oder Sprach-Phishing.
Auch hier drücken die Kriminellen aufs Tempo, damit die Angerufenen nicht zum Nachdenken kommen. Da Passwortmanager oft zahlreiche Zugangsdaten zu wichtigen Konten speichern, empfiehlt es sich, sie durch eine Zwei-Faktor-Authentifizierung zusätzlich abzusichern oder eine Anmeldung mit Passkey einzurichten.
Paypal- und Klarna-Zugänge
Mithilfe einer angeblichen Sicherheitsabfrage versuchen Betrüger, an die persönlichen Daten und den Paypal-Zugang zu gelangen. Mit einem Anruf beim Empfänger der Mail erfragen sie dann die noch fehlenden Daten für eine Überweisung.
IDG
Das Thema Datenschutz hat mittlerweile die breite Öffentlichkeit erreicht. Viele Menschen wissen, dass es gesetzliche Vorschriften für Unternehmen gibt, wie sie mit den Daten ihrer Kunden verfahren müssen. Das machen sich die Kriminellen zunutze.
In einer E-Mail mit dem Logo des Zahlungsdienstleisters Paypal behaupten sie, dass das Konto gesperrt worden sei, da die Kontoinformationen noch nicht bestätigt seien.
Um die Sperre zu lösen, müsse der Kunde die „3DS-Doppelautorisierung“ aktivieren. Zwar gibt es tatsächlich eine 3DS-Authentifizierung, bei Paypal heißt sie jedoch 3D Secure.
Nach dem Klick auf den Button wird der Empfänger der Mail aufgefordert, seine Telefonnummer und Zugangsdaten zu Paypal einzugeben. Die Betrüger können dann über einen Rückruf die noch fehlenden Daten für die Überweisung erfragen und Zahlungen auf ihr Konto umleiten.
Wie sie Phishing-Mails zuverlässig erkennen
Eine E-Mail von der ING Bank sollte auch eine Adresse mit der Domainendung ing.de tragen und nicht von support@zakitchha.dreamhostps.com stammen. Ein eindeutiger Hinweis, dass es sich um Phishing handelt.
IDG
Durch Phishing können Ihnen hohe finanzielle Verluste entstehen. Seien Sie also vorsichtig und sehen Sie sich eingehende E-Mails genau an:
- Phishing-Nachrichten sind heute dank KI zwar besser formuliert, aber dennoch nicht fehlerfrei. Werden Sie misstrauisch bei fremdsprachigen Einsprengseln, einer falschen oder fehlenden Anrede und einer ungewöhnlichen Wortwahl.
- Typisch für Phishing-Versuche ist, dass die Täter ihr Opfer unter Zeitdruck bringen. Sie sollen innerhalb weniger Stunden oder Tage eine Zahlung leisten oder Angaben zu ihrer Person machen, ansonsten droht ein massiver finanzieller Schaden, eine Verhaftung oder Ähnliches. Je weniger Zeit der Absender Ihnen lässt, desto höher ist die Wahrscheinlichkeit, dass es sich um eine Phishing-Mail handelt.
- Achten Sie auf die Absenderadresse. Eine E-Mail, die angeblich von DHL kommt, sollte auch eine Adresse mit der Domain dhl.de tragen. Geht es um eine Meldung des Finanzamts zu Ihrer elektronischen Steuererklärung, sollte sie von einer Adresse mit elster.de stammen. Unternehmen und Behörden benutzen niemals E-Mail-Adressen von Diensten wie gmail.com oder gmx.de.
- Enthält die Mail einen Button oder einen Link, zeigen Sie mit der Maus darauf (nicht klicken!) und lesen Sie die Adresse ab, zu der er führt. Handelt es sich nicht um eine Seite des angeblichen Absender-Unternehmens, haben Sie es vermutlich mit einer Phishing-Nachricht zu tun.
- Geben Sie die Betreffzeile einer verdächtigen Mail bei Google ein und sehen Sie nach, ob andere Personen die gleiche Nachricht bekommen haben.
Falls Sie den Verdacht haben, dass es sich um eine Phishing-Nachricht handelt, sollten Sie die Mail sofort löschen – und auf keinen Fall darauf reagieren.
Autor: Roland Freist, Autor, PC-WELT
Roland Freist bearbeitet als freier IT-Fachjournalist Themen rund um Windows, Anwendungen, Netzwerke, Security und Internet.