Meine Finanzen, meine Projekte, mein Leben
April 19, 2024

Phishing-Versuche rechtzeitig erkennen

  Delphine Dard-Pourrat, Gründer von Kensho Advisory me&myFAMILY Mai 26, 2023 645

Haben Sie schon einmal von Phishing gehört? Denken Sie, dass Sie aufmerksam genug sind, um nicht auf solche betrügerischen Versuche hereinzufallen, mit denen man an sensible Informationen oder gar an Ihr Geld kommen will? Überschätzen Sie sich nicht: Jeder kann Opfer von Phishing werden! Denn Phishing-Betrüger machen sich starke psychologische Automatismen zunutze, denen wir alle unterliegen.

Übersicht

    • Phishing ist eine Form des Online-Betrugs, bei der personenbezogene Daten von Nutzern gestohlen werden sollen, um diese anschließend missbräuchlich zu verwenden.
    • Phishing kann auf verschiedene Arten erfolgen: per E-Mail, SMS, über Online-Nachrichtendienste sowie Coworking- oder Videokonferenz-Plattformen.
    • Beim Phishing wird versucht, unsere Emotionen auszunutzen, um unser Urteilsvermögen auszuschalten und uns zu unüberlegten Handlungen zu bewegen. In der Regel nutzen Phishing-Betrüger sechs grundlegende Emotionen aus: Wut, Neugier, Belohnung, Verwirrung, Angst und Habgier.
    • Den Betrügern gelingt es, selbst für gewöhnlich wachsame Personen zu überlisten, indem sie sich unser soziales Wesen und unsere Neugier zunutze machen.
    • Versenden Sie grundsätzlich keine Nachrichten mit persönlichen Informationen, klicken Sie nicht auf verdächtige Links und überprüfen Sie immer die vollständige Adresse des Absenders.

Zwar wissen wir heute mehr über Phishing als noch vor einigen Jahren, doch auch die Online-Betrüger werden immer kreativer und nutzen immer ausgefeiltere Taktiken, um uns zu ködern. Während wir früher Nachrichten erhielten, die aufgrund von schlechter Grammatik und vulgären Fälschungen sofort als Spam erkennbar waren, setzen die Betrüger heute auf ein sorgfältiges Design und haben gelernt, erfolgreicher mit unseren Emotionen zu spielen, um unser kritisches Urteilsvermögen auszuschalten. Höchste Zeit also, Ihre emotionale „Firewall“ zu stärken! Zu diesem Zweck erklären wir Ihnen die Mechanismen, mit denen Phishing-Betrüger Sie in die Falle locken wollen.

Phishing und kognitive Überlastung in einer digitalisierten Welt

Verglichen mit den Generationen vor uns spielt sich unser Leben heute verstärkt im Digitalen ab. Täglich erhalten und versenden wir Dutzende von Mitteilungen per E-Mail, SMS oder über verschiedene Plattformen und Apps. Zwar sind die meisten Mitteilungen und Werbeanzeigen echt, doch befinden sich regelmäßig auch betrügerische und potenziell gefährliche Nachrichten darunter. Unter normalen Umständen können wir diese zwar erkennen. Unsere Wachsamkeit kann jedoch durch starke Emotionen, Neugier oder eine erhebliche kognitive Überlastung beeinträchtigt werden, sodass wir schließlich doch darauf hereinfallen. Genau darin besteht das Ziel von Phishing.

Phishing ist eine Form des Online-Betrugs, bei der personenbezogene Daten von Nutzern gestohlen werden sollen. Phishing kann in verschiedenen Formen erfolgen: per E-Mail, SMS (smishing) oder über Online-Nachrichtendienste. Die Betrüger versuchen in der Regel, sich als vertrauenswürdige Person auszugeben, die bei der Bank, bei einem Telefonanbieter, bei der Post usw. tätig ist. Meistens werden Sie aufgefordert, auf einen Link zu klicken, der Sie auf eine gefälschte Website weiterleitet, die der Originalseite ähnlich ist. Dort sollen Sie Ihre Daten angeben.

Konkret kann ein Phishing-Opfer eine E-Mail erhalten, die warnt, dass seine Kreditkarten gesperrt werden oder dass sein Facebook- oder E-Mail-Konto deaktiviert wird. Um die angebliche Sperrung zu verhindern, soll der Empfänger auf einen Link in der E-Mail klicken, über den er dann auf eine (gefälschte) Website gelangt. Um nachzuweisen, dass die Person tatsächlich der Inhaber der betreffenden Karte bzw. des betreffenden Kundenkontos ist, soll sie ihre personenbezogenen Daten eingeben. Wurden die Daten einmal mitgeteilt, können sie missbräuchlich verwendet werden.

In letzter Zeit gehen Phishing-Betrüger immer raffinierter vor und versuchen, selbst sachkundige Nutzer zu täuschen. Man kann auch auf betrügerische Nachrichten hereinfallen, die denen von Videokonferenz- oder Coworking-Plattformen täuschend ähnlich sind.

Besonders gut vernetzte Personen sind nicht zugleich besonders gut geschützt, im Gegenteil: Gerade sie werden oftmals Opfer von Phishing.

Phishing ist nicht selten erfolgreich: Laut dem Data Breach Investigations Report 2022 von Verizon beruhen fast 82 % aller Datenleaks auf einem Vorfall, dem ein menschlicher Faktor zugrunde liegt. Zu den Top 5 dieser menschlichen Fehler zählt die freiwillige Angabe von Daten durch Opfer von Phishing! Man könnte meinen, dass besonders gut vernetzte Personen auch besonders gut geschützt sind. In Wirklichkeit fallen jedoch diejenigen, die in der digitalen Welt besonders aktiv sind, auch am ehesten Phishing zum Opfer.

Warum sind die Betrüger trotz regelmäßiger Warnungen und Aufklärungskampagnen über diese Art des digitalen Betrugs weiterhin so erfolgreich? Um diese Frage zu beantworten, ist es nötig, die Mechanismen des Phishing zu verstehen. Verantwortlich sind psychologische und emotionale Automatismen, die Phishing-Betrüger ausnutzen.

Phishing-Mechanismen

Phishing ist der Masse an täglichen Mitteilungen schwer erkennbar

Wir alle erhalten zahlreiche E-Mails. Da digitale Kommunikation inzwischen die Norm ist, ist es ziemlich einfach, zwischen echten Nachrichten auch betrügerische zu verstecken. Eines der Merkmale einer Phishing-Nachricht besteht nämlich darin, dass sie rechtmäßig wirkt. Sie sieht den zahlreichen E-Mails, die von echten Institutionen oder Unternehmen stammen, zum Verwechseln ähnlich. Oftmals geht es darin um Themen mit einem direkten Bezug zu Ihrer Person, Ihrer Arbeit oder Ihren Interessen.

Wir sind so sehr daran gewöhnt, durch unsere Mitteilungen zu scrollen und die für uns interessanten zu öffnen, dass unsere Wachsamkeit bisweilen zu schnell nachlässt. Leider steckt hinter manchen Nachrichten, die auf den ersten Blick interessant scheinen, in Wirklichkeit eine betrügerische Absicht. Sie können beispielsweise Links oder Anhänge enthalten, die uns dazu veranlassen, gefälschte Websites aufzurufen, Informationen preiszugeben, Geld zu senden oder Malware herunterzuladen.

Phishing baut auf die Macht sozialer Normen

Phishing-Mails erfolgen fast immer unter einem sozialen Deckmantel, mit dem sich die Betrüger als rechtmäßige Organisationen oder Kontakte ausgeben, denen wir vertrauen. Hierbei kann es sich beispielsweise um eine URL handeln, die mit der einer bekannten Website fast identisch ist (etwa www.luxtrast.lu statt www.luxtrust.lu). Indem sie die visuellen Elemente eines legitimen Absenders kopieren oder Domains verwenden, die echten Domains ähnlich sehen, nutzen Betrüger unsere Neigung aus, dem optischen Erscheinungsbild zu sehr zu vertrauen.

Phishing-Betrüger wissen auch, dass wir geneigt sind, einer bekannten Autoritätsperson zu „gehorchen“. Daher stammen solche Nachrichten häufig vermeintlich von hochrangigen Personen wie einem „Bankdirektor“, einem „Personalchef“, einem „Verantwortlichen“ oder sogar von Ihrem CEO persönlich.

Phishing-Betrüger wissen, dass der Mensch als soziales Wesen dazu neigt, so zu handeln, wie er es von den anderen vermutet.

Schließlich wissen Phishing-Betrüger, dass der Mensch als soziales Wesen eher kooperiert, wenn er glaubt, dass andere in der Mehrheit ebenso gehandelt haben. Auf sozialem Druck basierende Phishing-Nachrichten behaupten oft, dass andere Mitglieder einer Gruppe bereits „mitmachen“, zum Beispiel: „90 % der Mitarbeiter Ihres Unternehmens haben sich bereits angemeldet“. Diese Techniken können äußerst wirkungsvoll sein, da sie damit spielen, dass wir soziale Normen als Indikator für die richtige Vorgehensweise in einer neuen Situation ansehen.

Phishing weckt unsere Neugier

Unsere Neugier ist eine starke Impulsgeberin für unser Handeln. Sie treibt uns an, Neues zu erfinden, Fortschritte zu machen und mehr Wissen zu erlangen. Sie fesselt unsere Aufmerksamkeit, wobei wir eine Art Tunnelblick entwickeln können, der uns blind macht für alles außer dem Objekt unseres Interesses. Dies kann uns beispielsweise dazu verleiten, gedankenlos einen Anhang zu öffnen, der uns eine einmalige Gelegenheit verspricht … Wenn Phishing-Opfer gefragt werden, warum sie diese E-Mails geöffnet haben, geben die meisten zu, neugierig gewesen zu sein, obwohl sie ahnten, dass es sich um Betrug handelt. Neugier ist ein starker Anreiz, den es zu kontrollieren gilt!

Beim Phishing werden unsere primären Notfallreflexe ausgenutzt

Zahlreiche Phishing-Mails setzen auf den Dringlichkeitsfaktor. Seien Sie bei Mitteilungen, die ein „zeitlich begrenztes Angebot“, einen „einmaligen Rabatt“, eine „gerichtliche Vorladung“ oder eine „drohende Sperrung“ ankündigen, auf der Hut.

Dringlichkeit bewirkt Stress und aktiviert unser Stirnhirn, das in den „Alarmmodus“ schaltet. In diesem Modus werden in der Regel alle anderen Denkmechanismen abgeschaltet, damit wir uns so schnell wie möglich und ohne nachzudenken mit dem scheinbar akuten Notfall befassen. Handeln ohne nachzudenken – genau diese Reaktion erhoffen sich die Kriminellen, die hinter dem Betrugsversuch stecken. Fallen Sie nicht darauf herein!

Phishing spielt mit unseren Gefühlen

Wir wissen, welche Rolle der Affekt bei der Entscheidungsfindung spielt. Als treuer Leser von myLIFE wissen Sie sicher, dass sie sich bei Entscheidungen keinesfalls von Ihren Gefühlen leiten lassen sollten. Wenn wir emotionsgeladen sind, kann dies unser Urteilsvermögen beeinträchtigen und uns zu impulsivem Verhalten verleiten.

In der Regel nutzen Phishing-Betrüger sechs grundlegende Emotionen aus: Wut, Neugier, Belohnung, Verwirrung, Angst und Habgier.

In der Regel nutzen Phishing-Betrüger sechs grundlegende Emotionen aus: Wut, Neugier, Belohnung, Verwirrung, Angst und Habgier.

Betrüger können etwa einen finanziellen Vorteil oder einen attraktiven Preis versprechen, um bei ihrem Opfer eine emotionale Reaktion (z. B. Aufregung) hervorzurufen. Sie können auch auf Notfallsignale setzen, um ein Gefühl der Angst und der unmittelbaren Bedrohung zu erzeugen.

Phishing-Nachrichten suggerieren oft, dass Sie dringend handeln müssen, zum Beispiel: „Überprüfen Sie umgehend Ihre Daten, um die Löschung Ihres Kontos zu verhindern“ oder „Jemand ist im Besitz Ihres Passworts“. Solche Erregungs- oder Angstzustände erhöhen das Risiko irrationalen und impulsiven Verhaltens und können Sie dazu verleiten, personenbezogene Daten preiszugeben.

Halten Sie sich vor Augen, dass Phishing-Betrüger bestimmte technologische Firewalls umgehen können und nun ihre kognitive Firewall durchbrechen wollen, indem sie Ihre psychologischen Automatismen ausnutzen. Es genügt nicht, über geeignete Technologien zu verfügen und Phishing-Mechanismen zu kennen. Wir müssen darüber hinaus lernen, einen kühlen Kopf zu bewahren, um all die täglich eingehenden Mitteilungen nüchtern überprüfen zu können.

So schützen Sie sich vor Phishing

Klicken Sie niemals auf Hyperlinks, die Sie per SMS oder E-Mail von verdächtigen Absendern erhalten haben. Laden Sie auch keine Anhänge herunter.

    • Seien Sie bei Mitteilungen auf der Hut, die Sie zu einer schnellen Reaktion drängen bzw. in denen Sie zur Angabe personenbezogener Daten aufgefordert werden.
    • Geben Sie niemals Informationen und persönliche Daten preis, wenn Sie per E-Mail, SMS oder über andere Nachrichtendienste dazu aufgefordert werden. Seriöse Organisationen und Unternehmen werden Sie niemals dazu auffordern, personenbezogene Daten per E-Mail zu senden.
    • Speichern Sie Ihre Kartendaten niemals auf kommerziellen Websites: Sie könnten für betrügerische Zwecke abgegriffen werden.
    • Gestatten Sie niemals die Ferninstallation von Software auf Ihrem Computer oder Mobiltelefon, wenn Sie hierzu von einer fremden Person aufgefordert werden (Beispiel: Betrug über gefälschten EDV-Support).
    • Kontrollieren Sie immer, ob die Nachricht an Sie persönlich gerichtet ist bzw. ob sie Fehler oder falsche Übersetzungen enthält.
    • Achten Sie auch auf Abweichungen in der URL: Auf den ersten Blick scheint der angegebene Link echt zu sein. Schaut man jedoch genauer hin, erkennt man, dass die URL ungewöhnliche oder fehlerhafte Teile enthält, die auf eine falsche Adresse hindeuten (z. B. www.luxtrast.lu statt www.luxtrust.lu).
    • Bewegen Sie den Mauszeiger über den Link, bevor Sie ihn anklicken. Vorsicht, wenn die URL des Links nicht mit der Beschreibung übereinstimmt: Sie könnten auf eine Phishing-Seite weitergeleitet werden.
    • Überprüfen Sie, ob die E-Mail-Adresse und der Name des Absenders übereinstimmen. Überprüfen Sie ebenfalls, ob es sich um eine authentifizierte E-Mail handelt und ob der richtige Name im Header erscheint.

Weitere Informationen und nützliche Tipps finden Sie auf myLIFE, auf der Website Ihrer Bank und auf der Website von BEE SECURE, der staatlichen Initiative zur Sensibilisierung für Cybersicherheit.