Phishing ist der Versuch Krimineller, mittels Social Engineering (gezielter Manipulation) an persönliche Daten oder an vertrauliche Firmenunterlagen zu gelangen. Der größte Risikofaktor ist hierbei der Mensch. In Eile, aus Neugier oder aufgrund von Hilfsbereitschaft, klickt man in dieser oder jenen E-Mail auf einen mit Viren oder Trojanern belasteten Anhang oder klickt auf einen Link zu einer Website und gibt dort persönliche Daten ein. Diese landen draufhin sofort bei den Betrügern.

In den E-Mails bauen die Kriminellen immer gezielter Druck auf. Sie geben sich als Bank aus und behaupten, das Konto sei gesperrt, es bestünde dringender Handlungsbedarf. Oder sie geben sich als Zoll aus und versenden Zahlungsaufforderungen, verbreiten Angst mit Strafandrohungen. Oder sie versenden E-Mails im Namen der Polizei, geben sich in SMS oder per Telefon als Polizei, zuletzt sogar als Europol aus. Oder, wie die Verbraucherzentrale aktuell berichtet, sie versenden vermeintlich geänderte Aktuelle Geschäftsbedingungen (AGB) als Anhang, denen man zustimmen müsse. Natürlich schaut man in diese herein. Man will ja wissen, was sich geändert hat. Leider fängt man sich so Schadsoftware ein.

Oder sie geben sich als Kolleg:in oder als Geschäftspartner aus, die oder der dringend Hilfe bei der Erstellung einer Rechnung oder bei der Programmierung einer Software braucht und nutzen die Hilfbereitschaft von Menschen aus. Möglicherweise missbrauchen sie gar den gehackten E-Mail-Account der oder des Kolleg:in oder des Geschäftspartners.

Social Engineerer werden auch immer raffinierter. So verwenden sie vermehrt als Absender eine E-Mail-Adresse, die denen bekannter E-Mail-Anbieter sehr ähnelt. Kennen Sie beispielweise den Unterschied zwischen @gmail.com und @gmaiI.com? Bei der letzteren Variante handelt es sich nicht um ein kleines "L", sondern um ein großes "i".

SiBa rät, Virenscanner und Firwalls zu nutzen, um vor Angriffen mit Schadsoftware geschützt zu sein, sofern man doch einmal auf einen schadhaften Anhang klickt. Außerdem gilt es, Vorsicht walten zu lassen, insbesondere dann, wenn in der E-Mail besonders viel Druck aufgebaut wird oder wenn die oder der Kolleg:in plötzlich etwas völlig Ungewöhnliches möchte. Lassen Sie sich davon nicht verunsichern. Kontaktieren Sie bekannte Absender per Messenger oder Telefon, wenn Sie Zweifel haben, ob diese von jenen wirklich stammen. Ähnliches gilt für Internet-Dienste oder Banken. Auch hier können Sie sich an die Kundenbetreuung wenden oder, statt auf den Link in der E-Mail zu klicken, loggen Sie sich einfach in das Online-Banking oder in das Online-Portal des Dienstes ein. Gibt es tatsächlich Unstimmgkeiten mit Ihrem Konto, tauchen diese dort auch auf.

Im Podcast "D wie Digital" des DsiN-Digitalführerscheins, in der aktuellen Folge "Wenn Menschen Menschen hacken" erfahren Sie mehr über Social Engineering. Den Link dazu finden Sie unten.