Phishing-Angriffe bleiben in Deutschland weiterhin ein großes Problem

Mehrere bekannte Finanzinstitute und selbst die KfW Bank warnen vor gefälschten Webseiten und Phishing-Mails

[datensicherheit.de, 04.06.2024] Immer wieder wird vor Phishing-E-Mails und SMS-Mitteilungen im Namen verschiedener Banken gewarnt. Aktuell sind demnach gefälschte Nachrichten unter anderem im Namen der Volksbank Raiffeisenbank, der Targobank oder der comdirect im Umlauf – und selbst die KfW Bank warnt vor gefälschten Webseiten und Phishing-Mails. Dass Phishing-Angriffe in Deutschland nach wie vor erfolgreich seien, belegten aktuelle Studien: Laut einer aktuellen Kaspersky-Umfrage sollen bereits 17 Prozent aller Deutschen auf entsprechende Attacken hereingefallen sein. Aktuelle Ergebnisse von BioCatch zeigten zudem, dass Deutschland im Vergleich zu anderen europäischen Ländern nach wie vor ein größeres Problem mit Phishing habe.

Abbildung: BioCatch

BioCatch beschreibt die typische Anatomie eine Phishing-Angriffs

Phishing-Angriffe aus Basis von Social Engineering

Phishing gilt als eine Form von „Social Engineering“: Dabei werden schriftliche Nachrichten – meist E-Mails – verschickt, die scheinbar von seriösen Quellen stammen. So erhalten potenzielle Opfer beispielsweise eine Nachricht, die vorgibt, von ihrer Bank zu stammen. Diese enthält dann einen Text, welcher die Empfänger dazu verleiten soll, auf einen integrierten Link zu klicken, um bestimmte Aktionen mit ihrem Konto durchzuführen.

So werden Nutzer beispielsweise aufgefordert, ein Sicherheitsupdate einzuleiten, um weiterhin Online-Banking nutzen zu können, ihre Kontodaten zu aktualisieren, um den AML-Vorschriften zu entsprechen, oder sie werden darüber informiert, dass eine dringende Steuerzahlung erforderlich ist, um eine Geldstrafe zu vermeiden…

Phishing-Webseite sieht imitierter echter Homepage täuschend ähnlich

Gelingt es, die Empfänger glauben zu machen eine echte E-Mail vor sich zu haben, klicken diese auf den Link und gelangen dann auf eine Phishing-Website, welche der täuschend echt imitierten Website sehr ähnlich sieht. Auf dieser Website werden dann persönliche Daten abgefragt – und sobald die Nutzer diese eingegeben haben, sind die Betrüger im Besitz ihrer Zugangsdaten und können online auf ihr Bankkonto zugreifen, um nach Belieben Transaktionen durchzuführen und Zahlungen zu veranlassen. In anderen Fällen können sie im Namen ihrer Opfer sogar Kredite aufnehmen und erhalten so zusätzliche finanzielle Mittel, welche sie sich auszahlen lassen können.

Manche Betrüger nutzen erbeutete Zugangsdaten sogar in Echtzeit. Dies geschieht laut BioCatch vor allem dann, wenn eine Zwei-Faktor-Authentifizierung (ZFA) erforderlich ist: „Die betrügerischen Akteure nutzen die Phishing-Website, um von den Opfern diese zusätzlichen Informationen wie Einmalpasswörter (OTPs) zu erhalten.“

Empfehlungen zum Erkennen eines Phishing-Angriffs

„Vorsicht ist besser als Nachsicht!“, rät BioCatch. Auch wenn es unvermeidlich sei, irgendwann Phishing-E-Mails zu erhalten, könnten die Empfänger durch richtiges Verhalten verhindern, Opfer eines Betrugs zu werden. Bestimmte Merkmale der Nachricht sollten zumindest misstrauisch machen – beispielsweise wenn sie vorgibt, dringend handeln zu müssen und mit harten Konsequenzen droht, wenn sie zur Eingabe vertraulicher Daten wie PINs auffordert oder wenn das Anliegen des Absenders ungewöhnlich erscheint.

Viele Behörden und Organisationen seien sich bewusst, dass Aufklärung „die beste Waffe“ sei, und arbeiteten daran, das Bewusstsein für diese betrügerischen Kampagnen zu schärfen. So habe beispielsweise der deutsche Zoll einen Ratgeber für deutsche Bürger herausgegeben, welcher beschreibt, wie man sich schützen kann. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert ausführlich über Phishing-Angriffe, unter anderem auf einer Webseite mit Beispielen für Phishing-E-Mails.

Mittels KI erreicht Phishing-Betrug eine neue Dimension

„Nicht zuletzt durch KI erreicht Betrug eine neue Dimension: Im vergangenen Jahr haben wir gesehen, wie Betrüger KI genutzt haben, um sehr gezielte und personalisierte Videos, Sprachnachrichten, E-Mails, ,WhatsApp’-Nachrichten und SMS zu erstellen. Ihr Ziel ist es, die Sicherheitsvorkehrungen der Banken zu umgehen und noch mehr Menschen in die Falle zu locken“, so Tom Peacock, „Director, Global Fraud Intelligence“ bei BioCatch, in seinem warnenden Kommentar.

Er führt weiter aus: „Das ist keine Bedrohung, die erst in der Zukunft auf uns zukommt. Sie existiert bereits. Banken müssen nun handeln, um sich und ihre Kunden zu schützen.“ Aber auch die Kunden selbst müssten ihre Sinne schärfen und wachsam sein, um nicht auf Phishing-Angriffe hereinzufallen. Peacock rät Kunden, sich im Zweifelsfall lieber an die Bank wenden, bevor sie auf Handlungsaufforderungen reagieren und im schlimmsten Fall viel Geld verlieren.

Weitere Informationen zum Thema:

ZOLL
Achtung vor Phishing-Mails und gefälschten Steuerbescheiden der Zollverwaltung

KfW Bank aus Verantwortung
Warnung vor Fake-Websites und Phishing-Mails

Bundesamt für Sicherheit in der Informationstechnik
Wie erkenne ich Phishing-E-Mails und -Webseiten? / Fälschungen von E-Mails und Webseiten sehen immer professioneller aus

biallo.de, Franziska Baum, 03.06.2024
Geld in Gefahr / Volksbank Raiffeisenbank Phishing: Diese E-Mails und SMS sind Spam + Betrug

biallo.de, Franziska Baum, 03.06.2024
Gefährliche E-Mails / Comdirect Phishing: Diese E-Mails und SMS sind Spam, Fake, Betrug

biallo.de, Franziska Baum, 31.05.2024
Targobank-Spam / Targobank Phishing: Diese E-Mails und SMS sind Betrug

datensicherheit.de, 28.05.2024
Kaspersky-Umfrage: Bereits 17 Prozent aller Deutschen auf Phishing-Attacken reingefallen / 13 Prozent haben trotz Phishing-Vorfall Zugangsdaten nicht geändert

BioCatch, 10.04.2024
BioCatch Releases Comprehensive Analysis of Banking-Fraud and Financial-Crime Trends in Germany