Wie man seine Passwörter verliert – Phishing im Internet
Montagabend, ihr kommt von einem harten Arbeitstag nach Hause, setzt euch auf euer heiss geliebtes Sofa und möchtet einfach nur ein bisschen durch Facebook scrollen und abschalten. Nach ein paar Werbeanzeigen, die euch mehr oder weniger interessieren, Ferienfotos von flüchtigen Bekannten und ein paar lustigen 9GAG Memes, poppt auf einmal das Zeichen für eine neue Direktnachricht auf. Eure etwas in die Jahre gekommenen Nachbarin, mit der ihr eigentlich keinen Kontakt habt, schreibt:
«Mit dieser Methode siehst du, wer dein Facebook-Profil angeschaut hat. Bitte klicke hier»
Etwas angetan von der Vorstellung, sehen zu können, wer immer mal wieder euer Profil besucht hat, schaut ihr die Nachricht an. In den kommenden Sekunden entscheidet sich nun, ob ihr daraufklickt und die Zukunft eures Profils besiegelt oder die Nachricht einfach ignoriert.
Obwohl die Neugier noch immer da ist, ignoriert ihr natürlich die Nachricht und scrollt dann einfach weiter. Später am Abend als ihr die Nachricht schon wieder vergessen habt und bereits schon bettfertig seid, erscheint ein Statusupdate eurer Nachbarin:
«Mein Facebook-Account wurde gehackt, bitte klickt keine Nachrichten von mir an!»
Ihr fragt euch jetzt vielleicht, wie diese Personen das immer wieder schaffen?
Peter, genau das habe ich mich schon öfters gefragt! Und was ist die Antwort?
Nun ja, es gibt die verschiedensten Angriffsszenarien. Von schlechten Passwörtern, die mit Software geknackt wurden, über heruntergeladene Malware, welche die Tastaturanschläge an einen Angreifer sendet oder das klassische Phishing-Szenario. Sofern ihr meine früheren Blogposts mit den jeweiligen Ratschlägen dazu befolgt habt, wird die Wahrscheinlichkeit von den Szenarien «schlechte Passwörter» und «Malware» gegen 0 gehen.
Hier könnt ihr gerne nochmals die Tipps und Tricks nachlesen:
Versucht ihr euch noch immer 100 Passwörter zu merken?
2-Faktor-Authentifizierung – Gewisse Dinge gehören einfach zusammen!
Was ist dieser «Malware»-Virus?
Dann bleibt noch Phishing.. Und was ist Phishing?
Wikipedia hat eine sehr gute Beschreibung für Phishing:
Unter dem Begriff Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den entsprechenden Personen zu schaden. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird. Der Begriff ist ein englisches Kunstwort, das sich aus password harvesting (Passworte sammeln) und fishing (Angeln, Fischen) zusammensetzt und bildlich das Angeln nach Passwörtern mit Ködern verdeutlicht.
Also eigentlich genau, was die Person, die den Account eurer Nachbarin übernommen hat, mit euch machen wollte. Hinter dem Link findet ihr normalerweise eine relativ gute Nachbildung von Facebook, bei der ihr dann Benutzernamen und Passwort eingeben müsst. Einmal eingegeben, verschwinden eure Daten in die Abgründe des Internets und sehr wahrscheinlich seid ihr dann diejenigen Nachbarn, welche plötzlich Direktnachrichten an alle senden.
Ojeee… Wie kann ich das verhindern?
Phishing-Versuche kann man in den meisten Fällen relativ einfach erkennen. Als allererstes würde ich mir immer die Frage „Wieso?“ stellen.
Wieso schickt mir jemand mit dem ich keinen Kontakt habe eine Nachricht?
Wieso bekomme ich mitten in der Nacht eine Nachricht von Bekannten?
Wieso sind in der Nachricht so viele Rechtschreibfehler?
Wieso sollte ich mich nochmals auf Facebook einloggen, obwohl ich bereits eingeloggt bin?
Diese Liste ist natürlich absolut nicht abschliessend. Bleibt einfach immer leicht kritisch bzw. setzt euren gesunden Menschenverstand ein.
Kann ich nur auf Facebook gephished werden?
Leider nein! Phishing funktioniert über SMS, in sozialen Medien, über Gespräche und noch immer am allermeisten per Email.
Mit „Wieso?“ kommt ihr jedoch auch hier sehr weit.
Bei Emails wie diesem…
…findet man noch weitere Hinweise.
- Komische bzw. unpassende Absender bzw. nicht die richtige Domain (outlook.com).
- „Undisclosed recipient“ weist auch darauf hin, dass das Mail nicht nur an euch gesendet wurde.
- Keine direkte Anrede.
- Wenn man mit der Maus über den Link fährt OHNE zu klicken, sieht man, dass die Internetseite dahinter sehr komisch heisst. -> goonswiss.t15.org
- Wörter wie „respektvoll“, welche in so einem Kontext in der deutschen Sprache nicht gebraucht werden.
Und ganz wichtig! Banken und ähnliches werden euch niemals in einer Email auffordern, das Passwort einzugeben.
Wenn ihr euch nach diesen Tipps noch immer nicht sicher seid, dann würde ich persönlich einfach die betroffene Seite wie üblich im Browser aufrufen und überprüfen, ob die Meldung im Mail mit einer Meldung im Portal übereinstimmt.
Hier noch zwei weitere Beispiele
Phishing übers Telefon:
Phishing auf der Strasse:
Oder auch auf einer Parkbank:
Peter, ich hab schon geklickt und meine Daten eingegeben… Was kann ich tun?
Ganz einfach! Logg dich nochmal ein, ändere dein Passwort, aktiviere die Zwei-Faktor-Authentifizierung, benutze einen Passwortmanager und lerne daraus.
Die Phishing-Angriffe werden immer besser und professioneller. Es sollte nicht, aber es kann vorkommen, dass man doch mal auf eine Mail oder ähnliches hereinfällt.
Bleibt sicher,
euer Peter