Phishing zu Weihnachten

Wie Sie sich gegen Datendiebe schützen

Vor Weihnachten ist es besonders übel: Cyberkriminelle versuchen, Nutzern die Daten für Paypal oder das Online-Konto zu stehlen. Zwischen den vielen Angeboten sind gefälschte Mails kaum zu erkennen. Wie man sich schützt.
Kommentieren

Online-Shopping: Vorsicht bei zu günstigen Angeboten!

Online-Shopping: Vorsicht bei zu günstigen Angeboten!

DüsseldorfAls Christina D. die E-Mail öffnete, bekam sie einen Schock: Es habe „verdächtige Aktivitäten“ auf ihrem Paypal-Konto gegeben, sie müsse umgehend ihre Daten verifizieren, lautete die Warnung. Es sah so aus, als habe jemand mit russischem Namen versucht, sich bei ihr zu bedienen. „Im ersten Moment wollte ich es gleich durchführen“, berichtet die Handelsblatt-Leserin. Als sie den Link auf dem Firmenrechner anklickte, meldete sich jedoch das Anti-Virus-Programm. Die E-Mail war gefälscht – Kriminelle wollten offenbar die Daten von Christina D. stehlen.

Es ist ein Fall, wie er im Moment häufiger vorkommen dürfte. „Online-Shopping ist gerade in der Vorweihnachtszeit sehr beliebt – auch bei Cyber-Kriminellen“, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Viele Postfächer seien voll mit Gutscheinen und Angeboten, die so eine perfekte Tarnung für Phishing-E-Mails bieten. Wie im Fall von Christina D. versuchen die Angreifer, mit solchen gefälschten Nachrichten die Zugangsdaten zu Online-Banking, Bezahldiensten oder E-Mail-Konto zu stehlen.

Die Methoden der Kriminellen werden dabei immer ausgefeilter. Welche Warnzeichen es gibt und wie Nutzer sich schützen können:

Die dümmsten Passwörter der Welt
Hacker
1 von 19

Obwohl Daten- und Identitätsdiebstähle ständig Schlagzeilen machen, benutzen viele Internetnutzer weiterhin unsichere Passwörter. Das beliebteste Passwort der Welt sei nach wie vor „123456“, teilte das Potsdamer Hasso-Plattner-Institut für Softwaresystemtechnik (HPI) am Dienstag auf Grundlage einer Analyse gestohlener Datensätze mit. Die HPI-Forscher stützten ihre Angaben auf die Analyse von mehr als 215 Millionen geraubten Identitätsdaten, die sie seit 2011 im Netz entdeckt hatten. Allein in diesem Jahr untersuchten sie nach eigenen Angaben fast 35 Millionen Datensätze, die von Cyberkriminellen in speziellen Internetforen veröffentlicht wurden. Diese Daten stammten demnach aus 15 verschiedenen Quellen, darunter einem Hackerangriff auf das Seitensprungportal Ashley Madison.

Jahreswechsel
2 von 19

Simple Zahlenfolgen

Unter den mehr als 3,3 Millionen Passwörtern, die 2014 geknackt wurden, sind simple Zahlenreihen besonders häufig vertreten. Auf dem ersten Platz landet "123456". Auch wenn die Länge variiert wird, hilft das nicht: Auf dem dritten und vierten Platz finden sich "12345" und "12345678". "123456789" landet auf Rang sechs, gefolgt von "1234" auf Platz sieben. Auf Rang elf liegt "1234567".

Datenquelle: SplashData, Liste von "Time" veröffentlicht

Cyberkriminalität
3 von 19

Passwort: "Password"

Wer sich für ganz schlau hält und einfach "password" als Zugangscode verwendet sei hiermit gewarnt: Die vermeintlich simple und sichere Lösung liegt auf Rang zwei der meistgeknackten Passwörter.

Nicht gerade kreativ
4 von 19

Fantasiewörter

Sie denken sich, kein Mensch weiß was "qwerty" ist? Falsch gedacht. Die Buchstabenfolge, die auf einer amerikanischen Tastatur nebeneinander liegt, landet auf Platz fünf. Auf deutschen Tastaturen wäre es übrigens "qwertz".

Mark Reynolds
5 von 19

Das sportliche Passwort

Sport-Fans müssen sich etwas besseres einfallen lassen, als nur den Namen ihrer Lieblingssportart: Auf Platz acht der meistgeknackten Passwörter landet "baseball".

Fabelwesen
6 von 19

Mystische Gestalten

Auch Drachen-Fans gibt es einfach zu viele. Das Passwort "dragon" ist jedenfalls alles andere als originell. Es findet sich auf Rang neun.

Super Bowl Football
7 von 19

Sport, die zweite

Anhänger des Football sind auch nicht besser dran als Baseball-Freunde: Das Passwort "football" findet sich auf Rang zehn der gehackten Zugangsdaten.

Erste Regel: Absender anschauen

Wollen die schon wieder Geld haben! Josef K. ärgerte sich mächtig über Amazon. Gerade erst hatte er die Prime-Mitgliedschaft gekündigt, nun meldete eine E-Mail eine weitere Abbuchung. Doch ein genauer Blick zeigte, dass die Nachricht nicht vom Online-Händler stammte: Die Adresse gehörte offenbar einer Privatperson, hinter dem @ stand die Domäne me.com von Apple. Und im Anhang war garantiert keine Abrechnung.

Ob bei Rechnungen oder Warnungen, der erste Blick sollte immer dem Absender gelten. Häufig verwenden Kriminelle gekaperte E-Mail-Konten von Privatnutzern wie in diesem Fall. Oder sie legen Adressen an, die nach der Firma klingen sollen. Dabei verändern sie Details und ersetzen Buchstaben durch kyrillische Zeichen oder ein O durch eine Null. Oder sie hängen an den Namen der Bank einen offiziösen Zusatz an.

Daher sollten Nutzer auch bei einer plausibel klingenden Adresse nicht gleich Vertrauen fassen. Wenn die Bank niemals E-Mails schickt oder sich ein Händler meldet, der gar nicht die E-Mail-Adresse haben dürfte, ist höchste Vorsicht angebracht.

Zweite Regel: Anmutung prüfen

Schon die Anrede ist eine Warnung. „Lieber Kunde“, hieß es in einer Phishing-Mail, die im November kursierte. Und weiter: „Bitte beachten Sie, dass Ihre Apple ID wird in weniger als 48 Stunden ablaufen“. Deshalb: „Es muss eine Prüfung durchzuführen Ihrer Daten.“ Die unpersönliche Anrede und die holprige Sprache zeigen, dass diese Nachricht nicht vom iPhone-Hersteller stammen kann. Auch die Anmutung einer E-Mail sagt viel aus – würde sich eine Bank so amateurhaft präsentieren?

Allerdings ist es nicht immer so einfach. Auch wenn es immer noch Phishing-Versuche gibt, die nach Google Translate klingen und wenig offiziell aussehen: Die Fälscher haben in den vergangenen Jahren viel dazugelernt. „Beim Phishing geht es um sehr viel Geld, teilweise steckt die Organisierte Kriminalität dahinter“, erklärt Martin Gaedke, Professor für Informatik an der Universität Chemnitz. Schließlich versuchten die Kriminellen, sich Geld zu überweisen oder auf Kosten des Nutzers Produkte zu bestellen. Weil der Ertrag lohnenswert sei, werde auch in die Qualität der Fälschungen investiert.

So gebe es nachgemachte Webseiten, die legitimen Online-Shops verblüffend ähneln, samt Produkten und Nutzerbewertungen. „Dann fühlt man sich erstmal sicher“, sagt Gaedke – zu Unrecht natürlich. Werkzeuge erleichtern es den Kriminellen, solche Köder zu erstellen – auch in der Cyberkriminalität beweist die Arbeitsteilung ihre Stärken.

Durchatmen und Virenscanner nutzen
Seite 12Alles auf einer Seite anzeigen

Mehr zu: Phishing zu Weihnachten - Wie Sie sich gegen Datendiebe schützen

0 Kommentare zu "Phishing zu Weihnachten: Wie Sie sich gegen Datendiebe schützen"

Dieser Beitrag kann nicht mehr kommentiert werden. Sie können wochentags von 8 bis 18 Uhr kommentieren, wenn Sie angemeldeter Handelsblatt-Online-Leser sind. Die Inhalte sind bis zu sieben Tage nach Erscheinen kommentierbar.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%