Google-Studie
11.11.2014, 07:03 Uhr
Phishing-Attacken erschreckend erfolgreich
Phishing-Attacken sind erfolgreicher als viele denken. Durchschnittlich geht den Betrügern jeder siebte Anwender auf den Leim. Besonders effektive Fakes erreichen Erfolgsquoten von bis zu 45 Prozent.
Eine von Google veröffentlichte Studie, die in Zusammenarbeit mit der University of California in San Diego entstanden ist, zeigt, dass Phishing-Attacken erfolgreicher sind als viele denken. In der Spitze erreichen gefälschte Websites, die speziell zum Abgreifen von Login-Daten präpariert wurden, demnach Erfolgsquoten von bis zu 45 Prozent. Durchschnittlich fallen immerhin 14 Prozent der Besucher auf die Fake-Websites herein und selbst die simpelsten Phishing-Versuche schaffen es, drei Prozent der Besucher erfolgreich zu täuschen.
Ein weiteres Ergebnis der Studie: Die Phishing-Betrüger agieren überaus schnell und flexibel. Bei 20 Prozent der erfolgreichen Phishing-Versuche nutzten sie die erbeuteten Login-Daten innerhalb von 30 Minuten. Laut Google haben die Betrüger rund 20 Minuten später dann meist schon das Passwort des Accounts geändert, weitere Konten des Opfers übernommen und dessen Kontakte mit Scam-Mails attackiert.
Die Scam-Mails, die in Deutschland auch unter der Bezeichnung Vorschussbetrug bekannt sind, verschicken die Betrüger von der gekaperten E-Mail-Adresse aus. Diese Fake-Mails sind deshalb noch brisanter als das Massen-Phishing, da sie für den Empfänger von einer vermeintlich bekannten Adresse stammen. Der Studie zufolge ist die Erfolgsquote der Betrüger bei Scam-Mails 36 mal höher als bei normalen Phishing-Mails.
So schützen Sie sich vor Phishing-Attacken
Phishing-Attacken erfolgen über Phishing-Mails. Deren Inhalt wirkt in vielen Fällen täuschend echt und man erkennt oft nur auf den zweiten Blick, dass es sich nicht um eine E-Mail von der Hausbank sondern um eine Fälschung von Betrügern handelt, die es es nur auf Ihre Daten abgesehen haben. Mails im HTML-Format zeigen dabei im E-Mail-Programm oft sogar den korrekten Link zur Bank an. Erst der Quelltext der Mail offenbahrt, dass der Link zu einer ganz anderen Webeite führt.
So erkennen Sie Phishing-Mails
- Gesunde Skepsis: Banken, Online-Shops und seriöse Online-Dienste fordern ihre Kunden nicht per Mail auf, irgendwo im Internet persönliche Daten preiszugeben oder gar per E-Mail zu versenden. Seien Sie daher skeptisch, wenn Sie eine Mail erhalten und Sie darin aufgefordert werden, persönliche Daten einzugeben, weil angeblich die Kreditkarten abläuft oder ein Passwort erneuert werden muss.
- Unbekannter Absender: Sie bekommen eine E-Mail einer Bank, eines Online-Shops oder einer Webseite, mit denen Sie noch nie etwas zu tun hatten? Dann brauchen diese auch nicht Ihre Daten und Sie können die Mail getrost löschen.
- Betreff-Zeile: Nicht alle Phishing-Versender können besonders gut deutsch. Dementsprechend schlecht ist auch die Grammatik in der Nachricht. Wenn Ihnen eine Bank eine E-Mail mit dem Betreff „Ueberprüefung_Konto_Sofort“ schickt, dann können Sie davon ausgehen, dass es sich nicht um Ihre Hausbank handelt.
- Persönliche Daten: Viele Unternehmen senden mit ihren Mails immer persönliche Daten mit, so dass sich die Nachricht auf einen Blick als echt erkennen lässt. So erhalten zum Beispiel E-Mails der Deutschen Telekom in der Betreffzeile stets die Buchungskontonummer – der eigentliche Nachrichtentext enthält hingegen keine Rechnungs- und Kundennummern. Zudem wird der Kunde immer persönlich mit dem Namen angesprochen.
- E-Mail-Adresse: Auch wenn viele Phishing-Versender den wahren Absender verschleiern und als Absender-Adresse die Mail-Adresse seriöser Unternehmen angeben – viele Kriminelle nutzen kryptische Mail-Adressen. Das ist ein deutlicher Hinweis auf einen Betrugsversuch.
Weitere Informationen und diverse Beispiele für Phishing-Angriffe finden Sie auf den Webseiten des Bundesamt für Sicherheit in der Informationstechnik (BSI).