Phishing: Mit diesen Tipps vom Cybersecurity-Experten schützen Sie sich
Der Cybersecurity-Experte und Ethical Hacker Ivan Bütler kennt sich aus mit Phishing. Im Interview verrät er, wie Phishing funktioniert und wie Sie dagegen gefeit sind. Ausserdem erfahren Sie im Video weitere Fakten und erhalten Tipps rund um diese Betrugsmasche.
Phishing wird immer professioneller. Doch wenn Sie ein paar Regeln befolgen, sind Sie schon gut geschützt vor Datenklau und Kreditkartenmissbrauch. Ivan Bütler ist Experte auf dem Gebiet der Cybersecurity. Im Video-Interview verrät er alles zu Phishing und erklärt, wie Sie sich davor am besten schützen.
Ivan Bütler, was genau ist Phishing?
Phishing ist ein Kunstwort, das aus den Wörtern Passwort und Fishing gebildet ist. Beim Phishing geht es im Wesentlichen darum, dass Cyberkriminelle versuchen, an das Passwort von jemandem heranzukommen, indem sie eine Webseite optisch gleich gestalten wie die Original-Website und das potenzielle Opfer auffordern, auf dieser Phishing-Webseite sein Passwort einzugeben. Fällt jemand auf den Trick herein, kennt der Angreifer das gültige Passwort und nutzt es für das Login auf der Original-Website.
Wieso aber gibt es Phishing?
Der Angreifer hat das Bedürfnis, Mails von jemandem zu lesen oder an Kreditkartendaten zu gelangen, kennt aber das dazu nötige Passwort nicht. Würde der Angreifer sehr viele bekannte Passwörter mit einem Hacker-Tool durchprobieren, würde dies entdeckt und der Account (temporär) gesperrt werden. Denken Sie einmal an Ihr Tablet oder Smartphone: Wenn Sie zehnmal das Passwort falsch eingeben, werden Sie zeitlich gesperrt. Um einer Sperrung zu entkommen, haben Hacker Phishing-Webseiten «erfunden».
Seit wann gibt es Phishing?
Die ersten Phishing-Attacken wurden 1995 bekannt. Ich selbst habe im Jahr 2002 in einem Penetration Test die erste Phishing-Attacke auf ein E-Banking-System durchgeführt. Damals waren E-Banking-Systeme noch angreifbar, heute setzen sie auf Mehrfachauthentifizierung. Ein Passwort allein reicht nicht, um sich anzumelden.
So schützen Sie sich vor Phishing
Da der Angriff beim Phishing auf die Leichtgläubigkeit von Menschen abzielt, sollten Sie auf die Website von Viseca oder einer Bank nie über einen Link in einer E-Mail oder SMS zugreifen. Tippen Sie die entsprechende Adresse besser immer selbst im Browser ein.
- Wenn eine Warnung wie oben erscheint, sollten Sie auf keinen Fall weiter klicken. Das könnte ein Phishing-Versuch sein.
- Achten Sie immer auch auf das «s» in https://. Bei einer Webseite mit http:// (ohne s) handelt es sich bestimmt um Phishing.
- Verwenden Sie unterschiedliche Passwörter für unterschiedliche Systeme. Am besten organisieren Sie diese über einen Passwort-Manager.Sie brauchen weder Karte noch Bargeld hervorzukramen.
- Viseca fragt niemals via E-Mail oder SMS nach Passwörtern oder anderen sensiblen Kreditkartendaten.
Wie verbreitet ist Phishing?
Phishing ist eine der wichtigsten Arbeitsmethoden von Cyberkriminellen. Oft verkaufen sie die abgefischten Login-Daten an Dritte – zum Beispiel an Firmen, die Ransomware-Attacken durchführen. Dabei versuchen die Angreifer, die Daten der Opfer zu verschlüsseln und sie anschliessend zu erpressen. 85% der Ransomware-Attacken basieren auf gestohlenen Login-Daten. Phishing ist insofern eher ein Tool, das es den Cyberkriminellen ermöglicht, weiter in ein Netzwerk einzudringen oder Personen zu erpressen.
Wie hat sich Phishing in den letzten Jahren verändert?
Wo früher Phishing-Mails in schlechtem Deutsch gesendet wurden, nutzen Cyberkriminelle heute ChatGPT oder eine andere künstliche Intelligenz, um täuschend echte, in perfektem Deutsch erstellte Phishing-Attacken zu lancieren – auch per SMS und neuerdings sogar über Microsoft-Teams-Einladungen.
Auch das Smartphone ist vor Angriffen nicht 100% geschützt?
Smartphone-Nutzer werden immer wieder aufgefordert, eine «Sicherheits-App» zu laden, erst diese aber ermöglicht den Phishing-Angriff. Beim Smartphone hat der Angreifer den Vorteil, dass die URL von den Apps oft gar nicht dargestellt wird. So kann das potenzielle Opfer optisch nicht erkennen, dass die App mit einer betrügerischen Drittseite kommuniziert.
Wie erkenne ich Phishing(-Nachrichten) schnell und zuverlässig?
Phishing-Attacken versuchen, Sie auf eine fremde Webseite zu locken. Daher ist es essenziell, die Fake-Webseite von der echten Original-Website unterscheiden zu können. Wenn diese über eine E-Mail kommuniziert wird, beachten Sie Folgendes:
- Viseca oder eine Bank fordern ihre Kunden niemals per Mail auf, etwas zu tun. Auch nicht über einen Link auf eine Login-Seite zu gehen.
- Eine unnötige Dringlichkeit mit der Aufforderung, schnell zu handeln, weil zum Beispiel eine Sendung blockiert ist oder ein Konto gesperrt wurde/wird.
- Wenn Sie mit der Maus über einen Link in der E-Mail fahren, ohne zu klicken, wird die Adresse angezeigt. Phishing-Webseiten weisen eine seltsame URL auf.
- Eine erkannte Phishing-Webseite können Sie an das Bundesamt für Cybersicherheit (BACS) melden: www.antiphishing.ch
Was kann ich machen, wenn ich in die Phishing-Falle getappt bin?
Wenn Sie nicht nur auf einen vermeintlichen Phishing-Link geklickt haben, sondern auf der Phishing-Webseite tatsächlich auch ein Passwort eingegeben haben, müssen Sie sofort das Passwort ändern – am besten auf allen Systemen, wo Sie dieses Passwort benutzt haben. In einem zweiten Schritt sollten Sie die Phishing-Webseite dem Bundesamt für Cybersicherheit (BACS) melden, damit keine weiteren Opfer auf den Trick reinfallen.
Cybersecurity-Spezialist Ivan Bütler
Ivan Bütler ist Cybersecurity-Experte, Ethical Hacker und Mitbegründer der Compass Security AG, die seit dem Jahr 1999 auf Ethical Hacking, Penetration Testing und Incident Response spezialisiert ist. Er ist auch Gründer des Hacking-Lab, einer virtuellen Online-Hacking-Plattform mit über 100 000 Usern. Ausserdem unterrichtet er an verschiedenen Hochschulen zu Cybersecurity und Hacking.
Was genau ist Ethical Hacking?
Wenn eine Firma eine andere Firma beauftragt, ihr System auf Schwachstellen hin zu überprüfen, spricht man von Ethical Hacking. Dabei könnte der Hacker auf vertrauliche oder sogar geheime Dokumente stossen. Diese dann nicht zu stehlen und den Kunden über die Schwachstellen zu informieren, das macht den Hacker ethisch.
Gibt es einen aktuellen Cyberangriff, der selbst Sie als Experte erstaunt hat?
Technische Überraschungen gibt es wöchentlich. Insbesondere wie gut organisiert die Cyberkriminellen sind, wie deren Aufgaben aufgeteilt und professionalisiert werden. Phishing betreibt nicht der ungepflegte Nerd, der mit Cola und Cap im Keller vor dem Computer sitzt, vielmehr sind es professionelle Organisationen mit Spezialisten für jeden Aspekt des Betrugs.