CityHost.UA
  • Русский
  • Українська
  • English
  • Polski

  • Kyiv

    (044)3-777-4-88

  • Kyivstar

    (096) 365-38-58

  • Lifecell

    (093) 170-17-68

  • Vodafone

    (066) 922-59-58
Hilfe und Unterstützung

Phishing – wie man nicht auf die Tricks von Betrügern hereinfällt und gefälschte Websites erkennt

 21667
29.10.2021
article

Phishing — ist eine der beliebtesten und weit verbreiteten Arten von Betrug im Internet. Betrüger erstellen Phishing-Webseiten, um persönliche Informationen von Nutzern zu erhalten. Am meisten interessieren sie sich für Daten von Bankkarten.

Es werden beliebige Webseiten gefälscht, über die man Geld von Karten stehlen kann — Buchungsdienste, Jobsuchseiten, Kleinanzeigen, Online-Shops, Bank- und Kreditinstitutsseiten und sogar staatliche Institutionen. 

In ihre Falle tappen unaufmerksame oder unzureichend informierte Besucher. Daher ist eine der wichtigsten Methoden im Kampf gegen Phishing — die Internetnutzer zu warnen, wie sie kein Opfer von Betrügern werden. 

Unter Phishing leiden nicht nur die Besucher, sondern auch die Website-Besitzer, deren Seiten gefälscht wurden. Dies schadet dem Ruf des Unternehmens, außerdem muss es das Problem lösen, das beim Kunden entstanden ist, manchmal sogar den ihm entstandenen Schaden ersetzen. 

Phishing im Internet gibt es seit den 1980er Jahren. Und obwohl es so alt ist wie die Welt, gibt es immer Menschen, die auf die klassischen Tricks hereinfallen.

 

 

Wie funktionieren Phishing-Webseiten? 

Es wird eine Seite erstellt, die identisch mit der Webseite einer beliebten Ressource ist. Sie sind absolut identisch — Schriftarten, Anordnung der Elemente, Farben. Das Design kann geringfügig abweichen, aber um das zu erkennen, muss man beide Seiten aufmerksam vergleichen. 

Selbst die Domainnamen sind ähnlich — der Unterschied kann nur in einem Buchstaben liegen. Viele achten normalerweise nicht einmal auf so eine Kleinigkeit. Die Webseite wird auf Hosting hochgeladen und beginnt, "Fische zu fangen". 

Aber es reicht nicht aus, sie einfach ins Internet zu schicken — man muss aktiv nach Opfern suchen. 

Es gibt viele solcher Methoden, und einige existieren seit Jahren und zeigen weiterhin ihre schwarze Effektivität. In der Regel handelt es sich um Spam-E-Mails und SMS oder Briefe von gehackten Konten von Freunden. Sie enthalten Links zu Kopien von Webseiten, auf denen der Nutzer freiwillig Benutzernamen und Passwörter eingibt, ohne den Betrug zu vermuten. 

Die Lebensdauer einer Phishing-Webseite beträgt nur wenige Tage, aber in dieser Zeit schaffen es Betrüger, eine gute Ernte an persönlichen Daten zu sammeln. 

Zum Beispiel erschien im April 2021 im Netz eine Webseite, die im Stil von "Diia" gestaltet war. Den Nutzern wurde angeboten zu überprüfen, ob eine Auszahlung von 8.000 UAH, die an Mitarbeiter von Unternehmen gezahlt wurde, die unter dem Lockdown gelitten haben, für sie verfügbar ist. Dazu mussten sie die Daten ihrer Bankkarte eingeben. Selbst wenn der Besucher im letzten Moment umstimmte und nicht auf die Schaltfläche "Senden" klickte, wurden die eingegebenen Daten trotzdem von einem speziellen Scanner erfasst. Die Webseite existierte nur 5 Tage, aber das reicht aus, um eine runde Summe zu "verdienen". 

Beachten Sie, dass die Phishing-Webseite die Adresse diia8000gov.me hatte, während das echte "Diia" auf der staatlichen Domain diia.gov.ua untergebracht ist. 

Domain kaufen

Wonach suchen Betrüger? 

Sie brauchen alles, was für illegale Gewinne nützlich sein kann:

  • Kartendaten und Kontoinformationen, Benutzernamen und Passwörter von Bankkonten, die es ermöglichen, Geld auf ihr Konto zu überweisen. 
  • Zugriff auf die Kontaktdatenbank, was die Möglichkeit bietet, "Glücksbotschaften" an Freunde zu versenden und deren Daten zu stehlen.
  • Zugriff auf Konten von Online-Shops, in denen Kunden häufig über E-Mail und soziale Netzwerke autorisiert sind. Dort sind bereits die Kartendaten gespeichert. 
  • Zugriff auf persönliche Informationen des Nutzers, die für Erpressung genutzt werden können. 

Die Informationen werden den Nutzern durch ausgeklügelte Schemen entlockt, die darauf abzielen, dass das Opfer die Wachsamkeit verliert. Wir werden Ihnen von einigen der häufigsten Schemen erzählen, deren Kenntnis Ihnen helfen wird, sich vor Datendiebstahl zu schützen.

Lesen Sie auch: Fakes und Desinformation — lernen Sie, falsche Daten im Netz zu erkennen

Sicherheitsbriefe

Es werden E-Mail- oder SMS-Verteiler erstellt, deren Text so verfasst ist, dass er den Leser maximal erschreckt: ":Ihre Karte ist gesperrt und in zwei Stunden werden alle Mittel annulliert. Klicken Sie auf den Link, um den Zugang wiederherzustellen". 

In der Nachricht befindet sich ein Link zur Phishing-Webseite, und es wird angeboten, die Kartendaten zur Wiederherstellung einzugeben. Manchmal sind die Links auch versteckt: Der Anker zeigt die echte Adresse, aber der Link führt zu einer gefälschten Webseite. 

Zum Beispiel schlagen wir vor, dass Sie die Webseite google.com. besuchen. Wenn Sie tatsächlich auf den Link klicken, gelangen Sie auf die Hauptseite unserer Webseite. Natürlich ist diese nicht phishend — wir wollten nur zeigen, wie man einen Besucher mit einem gefälschten Anker überlisten kann.  

Es gibt eine mobile Form dieser Betrugsart, sie wird Vishing genannt. Der Abonnent erhält eine SMS auf sein Handy mit der Nachricht, dass seine Karte gesperrt ist, und dem Angebot, die Telefonnummer anzurufen oder dem Phishing-Link zu folgen. Wenn man den "Manager" anruft, wird er sofort nach der Kartennummer, dem Ablaufdatum und dem CVV fragen. Manchmal schreiben die Betrüger nicht einmal, von welcher Bank die Karte gesperrt ist, und versuchen, diese Information im Gespräch herauszufinden. 

Was tun? Überprüfen Sie die Adresse des erhaltenen Links mit der Domain der offiziellen Webseite. Sie befindet sich oben in der Adresszeile. 

Wenn Sie befürchten, dass es tatsächlich ein Problem gibt, rufen Sie die offizielle Hotline an oder schreiben Sie den technischen Support, indem Sie die echte Webseite selbst in einer Suchmaschine finden. Dort können Sie auch die Kontaktdaten der Betrüger melden und deren Aktivität anzeigen. 

Aktionen und Boni von bekannten Geschäften

Sie finden in Ihrem Postfach eine Nachricht von einem bekannten Online-Shop mit einem verlockenden Angebot: "Du hast 10.000 UAH gewonnen! Hol sie dir!"

Der Shop hat einen guten Ruf und erweckt keinen Verdacht. Sie klicken auf den Link und gelangen auf eine Kopie der Webseite, auf der Ihnen angeboten wird, die Kartennummer einzugeben. Danach müssen Sie eine Testzahlung von ein paar UAH vornehmen, das Ablaufdatum der Karte und den CVV eingeben, um den Rabatt zu erhalten.

Es kann auch angeboten werden, sich über soziale Netzwerke oder E-Mail zu registrieren, wenn sie an Ihrer Kontaktdatenbank und anderen persönlichen Informationen interessiert sind. 

Was tun? Offizielle Unternehmen führen niemals Aktionen durch und gewähren keine Rabatte, bei denen Sie eine Testzahlung vornehmen und Ihre Daten hinterlassen müssen. In der Regel bieten sie an, bestimmte Produkte zu einem reduzierten Preis zu kaufen oder einen Rabattcode zu erhalten, aber sie beschäftigen sich sicher nicht mit der Verteilung großer Geldsummen an ihre Kunden. Wenn Ihnen angeboten wird, irgendwelche Testfinanztransaktionen durchzuführen — das ist bereits ein alarmierendes Signal. 

Und wir wiederholen: Überprüfen Sie die Adresse der Seite, auf die Sie gelangt sind, mit der Domain des echten Unternehmens. 

Betrüger auf Kleinanzeigen-Webseiten

Sie suchen gerne nach Opfern unter Verkäufern und Käufern auf großen Plattformen für private Anzeigen.

Mit der Einführung der Option "Sichere Zahlung" ist auch ein neues Schema entstanden. Der Betrüger gibt sich als interessierter Käufer aus und möchte Geld über die "Sichere Zahlung" überweisen. Er sendet einen Link zu einem angeblich bereits erstellten Kauf, wo in einem Formular die Kartendaten, das Ablaufdatum und der CVV eingegeben werden müssen.

Wenn das Opfer Zweifel hat, kann der Betrüger sogar einen Link zur Support-Seite mit Adressen und Telefonnummern senden. Wenn der Verkäufer die Nummer anruft, hört er die Zusicherungen des falschen Managers, dass alles in Ordnung ist.

Was tun? Betrüger ziehen es oft vor, das Opfer in Messenger wie Viber oder Telegram zu locken. Angeblich ist es ihnen so bequemer zu kommunizieren oder die Anwendung hängt. Man sollte das Gespräch nicht aus der Seite heraus verlassen — dort kann der Gesprächspartner keine Nachrichten löschen, die Beweise für sein Handeln sein könnten. 

Verwenden Sie keine Links, die der Kunde sendet. Führen Sie alle Transaktionen nur in Ihrem Konto durch. 

Verkäufer sollten unter keinen Umständen das Ablaufdatum der Karte und den dreistelligen Code auf der Rückseite eingeben — zur Bezahlung reicht nur die Kartennummer aus. 

Es gibt viele Betrüger, die OLX nutzen. Zur Unterstützung ihrer Kunden hat das Unternehmen eine spezielle Anleitung zu Phishing in OLX-Lieferungen erstellt.

Nachricht von einem "Freund"

Ein Freund schickt eine Nachricht, in der er darum bittet, für ihn bei einem Wettbewerb zu stimmen, eine Petition zu unterschreiben oder einen Link zu einer tollen Aktion zu teilen. Nachdem er das Konto gehackt hat, hatte der Betrüger die Möglichkeit, den Austausch zu lesen und kommuniziert im Stil eines Freundes, sodass die Nachricht keine Zweifel weckt.

Dann geht alles nach dem bekannten Szenario weiter — in der Nachricht befindet sich ein Phishing-Link und wartet darauf, dass Sie auf den Köder klicken. 

Was tun? Rufen Sie den Freund an und fragen Sie, ob er eine solche Nachricht gesendet hat. Wenn nicht — dann wurde er gehackt. 

Achten Sie darauf, ob sich die Verhaltensweise, Gewohnheiten oder die Kommunikation unterscheiden. Zum Beispiel wissen Sie, dass eine Person völlig gleichgültig gegenüber Verkäufen ist — und plötzlich sendet sie einen Link mit der Aufforderung, beim Angebot zuzuschlagen. Das ist auch ein Grund zum Anrufen. 

Eigenes Geschäftsprojekt

Betrüger können sogar einen einzigartigen "Online-Shop" oder eine andere Ressource erstellen, auf der sie Verlosungen durchführen und Waren verkaufen. Natürlich werden ihre Kunden keine Geschenke oder Käufe sehen.

In diesem Fall wäre der Link zur Zahlungsplattform phishing. Diejenigen, die eine Belohnung erhalten oder einen Kauf tätigen möchten, geben die Kartendaten in die Felder der gefälschten Seite ein — das Geschäft ist erledigt. 

Was tun? Arbeiten Sie nur mit vertrauenswürdigen Geschäften und suchen Sie, bevor Sie in einem neuen Shop kaufen, nach Bewertungen im Internet. Vertrauen Sie persönlichen Daten nicht wenig bekannten Ressourcen. 

Grundlegende Sicherheitsmaßnahmen, die immer beachtet werden sollten

  1. Wir haben bereits gesagt, aber wir sagen es noch einmal — überprüfen Sie immer die Adresse des erhaltenen Links mit der Adresse der echten Webseite. Aber im Allgemeinen ist es besser, Links in verdächtigen E-Mails gar nicht zu öffnen — sie können Viren enthalten.

  2. Alle Browser haben einen Schutz vor Phishing-Angriffen. Wenn die Seite unsicher ist, wird der Browser melden: "Achtung! Schadsoftware!" oder "Potenzielle Phishing-Bedrohung". Wenn eine solche Nachricht erscheint, sollten Sie dort wirklich nicht hingehen. Auch in der E-Mail gibt es eigene Filter. Wenn der E-Mail-Dienst die Nachricht als gefährlich einstuft, sollten Sie darauf hören. 

  1. Installieren Sie ein gutes Antivirusprogramm. Neben dem Schutz vor Phishing-Angriffen bietet es viele nützliche Funktionen zum Schutz persönlicher Daten — es verhindert, dass Betrüger Nachrichten mit Codes abfangen, schließt den Zugang zu Programmen, die Daten aus Online-Banking stehlen usw. 

  2. Richten Sie die Zwei-Faktor-Authentifizierung auf allen wichtigen Ressourcen ein — in Bankanwendungen, E-Mails, sozialen Netzwerken. So können Betrüger nicht auf das Konto zugreifen, selbst wenn sie den Benutzernamen und das Passwort haben, denn das System sendet eine Benachrichtigung an das Mobiltelefon des Eigentümers, wenn ein Anmeldeversuch von einer anderen IP-Adresse unternommen wird. Nur nach Eingabe des Codes von einem bestätigten Gerät kann man sich in das Konto einloggen.

  3. Achten Sie auf das Vorhandensein eines SSL-Zertifikats auf der Webseite. Betrüger erstellen ihre Seite nicht lange und kümmern sich möglicherweise nicht um das Vorhandensein eines Zertifikats. In diesem Fall sehen Sie in der Adresszeile neben dem Domainnamen die Aufschrift "Nicht sicher!", durchgestrichene rote Buchstaben https, ein Ausrufezeichen in einem Dreieck oder ein durchgestrichenes Schloss. Allerdings kann auch eine Phishing-Webseite ein Sicherheitszertifikat haben, da es einfach ist, eines kostenlos zu bekommen. Aber wenn Sie eine Warnung in der Adresszeile sehen — seien Sie vorsichtig. 

  4. Viele verwenden dasselbe Passwort für alle Konten. Nachdem sie in ein soziales Netzwerk eingebrochen sind, ist es für Betrüger nichts leichter, in alle anderen Konten zu gelangen. Versuchen Sie, unterschiedliche Passwörter zu verwenden.

  5. Melden Sie entdeckte Phishing-Webseiten an das Unternehmen oder die Webressource, die kopiert wurde, oder an die Cyberpolizei. Je schneller die Phishing-Webseite geschlossen wird, desto weniger Menschen werden auf die Machenschaften hereinfallen. 


Hat Ihnen der Artikel gefallen? Erzählen Sie Ihren Freunden davon:

Author: Bohdana Haivoronska

Journalist (since 2003), IT copywriter (since 2013), content marketer at Cityhost.ua. Specializes in articles about technology, creation and promotion of sites.

Author: Oleh Rivtin

CEO of Cityhost.ua. Specializes in marketing, search engine optimization, public relations.

Vorheriger Artikel

Millionen von Websites funktionieren nicht mehr wegen Lets Encrypt, was tun?

Nächster Artikel

Virusse auf der Website - wie man sie findet und sich vor einer Infektion schützt
Ähnliche Artikel
Unsere Dienstleistungen

Virtuelles Hosting

Domainregistrierung

Virtuelle Server

Dedizierte Server

SSL-Zertifikate

Registrierung der Marke

SMS Versand

Kostenloser Rückruf-Service

CityHost

Dienstleistungen

2004 - 2025 "CityHost" – professionelles
kostenpflichtiges Hosting in der Ukraine.