Eine fingierte Mail, eine Fake-SMS oder ein manipulierter QR-Code: Jeder dritte Internetnutzer beobachtet derartige Dinge täglich. Und die Gefahr, Opfer von Phishing zu werden, nimmt weiter zu – auch durch generative KI. Die gute Nachricht: Die Mehrheit der Menschen hierzulande gibt an, selbst noch nicht auf die Masche hereingefallen zu sein. Oder hat es vielleicht einfach nicht bemerkt, wie eine Umfrage der Initiative Sicher Handeln (ISH) vermuten lässt.
Fischen ist ein entspanntes Hobby. Zumindest für Angler, die mit Rute, Schnur und Schwimmer am Wasser sitzen. Im Digitalen verhält es sich etwas anders: Auch hier wird gefischt – doch geht es um Daten. Experten sprechen von Phishing. Und die Angler, also Täter, agieren perfider: Sie fälschen Nachrichten vertrauter Absender und rufen per Link zur Eingabe von Daten auf. Diese Daten fangen sie ab und missbrauchen sie.
Phishing ist die gängigste Betrugsmasche im Internet. Mehr als 34 Millionen Angriffe allein in Deutschland hat das Softwareunternehmen Kaspersky in seinem Spam- und Phishing-Report 2023 gezählt. Das bleibt auch von Internetnutzern nicht unbemerkt. Mehr als die Hälfte (58 %) von ihnen beobachtet Phishing mindestens einmal pro Woche, jeder Dritte (31 %) erhält mittlerweile täglich derartige Nachrichten. Das hat die Initiative Sicher Handeln (ISH) in einer YouGov-Befragung herausgefunden. Zwar glaubt die Mehrheit der Befragten (70 %), bisher von Folgen verschont geblieben zu sein, doch lässt die Studie auch andere Schlüsse zu.
Viele Phishing-Merkmale bleiben unerkannt
Ein Indiz dafür sind die Antworten auf die Frage, welche Merkmale auf eine Phishing-Nachricht schließen lassen. So werden nur zwei Drittel der Befragten skeptisch, wenn die Nachricht zur Angabe oder Prüfung von Konto- oder Zugangsdaten aufruft. Folglich hätte jeder Dritte dies offenbar nicht als Hinweis auf Betrug gedeutet. Schnelles Handeln oder hohe Dringlichkeit stimmen 64 Prozent der Menschen misstrauisch. Ähnlich sieht es bei Gewinnversprechen (61 %), Rechtschreibfehlern oder Website-Links (je 60 %) aus. Auf unverlangt zugesandte Anhänge würde potenziell die Hälfte der Befragten reinfallen.
Auffällig ist zudem, dass sich junge Internetnutzer sorgloser im Netz bewegen als ältere: Von den 18- bis 24-Jährigen hat im Schnitt nur jeder Zweite die Phishing-Indizien als solche gedeutet, gefakte Anhänge sogar nur jeder Dritte. Mit zunehmendem Alter steigt offenbar die Vorsicht: So werden acht von zehn der Über-55-Jährigen skeptisch, wenn sie in einer Mail zur Angabe oder Überprüfung ihrer Daten aufgefordert werden.
„Das Perfide am Phishing ist, dass es die Opfer meist unvorbereitet trifft“, sagt Harald Schmidt von der Stiftung Deutsches Forum für Kriminalprävention und Sprecher der ISH. „Oft kennen sie den vermeintlichen Absender und vertrauen ihm. Also hinterfragen sie die Nachricht seltener. Das Vertrauen nutzen Hacker aus.“ Seit kurzem haben Kriminelle zudem einen Partner: Künstliche Intelligenz (KI). Mithilfe generativer KI werden ihre Nachrichten immer besser – und damit schwerer zu entlarven. Außerdem ermöglicht die Technologie, Angriffe zu skalieren: Hacker können mit einer Attacke in kürzester Zeit viel mehr Opfer erreichen. Laut einer Studie von SlashNext ist die Menge an Phishing-Mails 2023 weltweit gestiegen – um 1.265 Prozent.
Nur jeder Dritte fühlt sich gegen Phishing-Attacken gewappnet
Entsprechend groß ist der entstandene Schaden. Laut ISH-Umfrage ist bereits jeder Vierte auf die Tricks der Betrüger reingefallen. Jedem Zehnten ist dabei sogar ein Schaden zwischen 500 und mehr als 10.000 Euro entstanden. Das nährt die Angst unter den Befragten. Selbst jene, die sich gut informiert fühlen, sind besorgt, Phishing-Opfer zu werden (45 %). Nur ein Drittel fühlt sich dagegen gewappnet, während sich ganze 14 Prozent der Befragten sogar als unzureichend informiert bezeichnen.
Genau das zu ändern ist das Ziel der Initiative Sicher Handeln. „Wir wollen Menschen fit für den Umgang mit Cyber-Risiken machen. Denn: Phishing kann jeden treffen – private Nutzer, Unternehmen und sogar staatliche Institutionen“, sagt Schmidt. Insbesondere Verbrauchern rät der Experte zur sogenannten SHS-Regel: Stoppen, Hinterfragen und Schützen.
Stoppen heißt, bei Auffälligkeiten kurz inne zu halten und das Risiko der geforderten Aktion abzuwägen. Hinterfragen meint, diese Aktion nicht ohne weiteres hinzunehmen: Wenn etwas zu gut scheint, um wahr zu sein – ist es nicht wahr! Schützen bezieht sich auf den eigenen Schutz, aber auch auf den anderer: Wenn die Aktion verdächtig erscheint, soll sie dem Plattformbetreiber gemeldet werden. Außerdem sollte man in der Familie und Bekanntenkreis über Erlebtes sprechen. Und wenn die Attacke dennoch gelingt: Tipps für den Ernstfall geben das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Polizei-Beratung. „Beim Phishing kommt es viel mehr als bei anderen Methoden auf eine gesunde Skepsis der Nutzer an“, so Schmidt.
Phishing, Smishing, Quishing: Attacken haben viele Gesichter
Das ist gerade deshalb schwierig, weil sich die gefälschten Nachrichten oft kaum von echten unterscheiden. Betrüger fingieren etwa Mails von Banken, Gewinnspielanbietern, dem Arbeitgeber, Kollegen oder anderen Institutionen. In der Regel fordern sie darin auf, auf einen Link zu klicken und auf der Website, zu der weitergeleitet wird, Daten einzugeben. Diese Daten machen sie zu Geld oder nutzen sie selbst für Betrügereien. So ist Phishing nicht nur eine fiese Masche, sondern Startpunkt weiterer Vergehen. Auch hat Phishing viele Gesichter. Eine gefakte Nachricht kann per Mail, aber genauso gut auch als SMS verschickt werden. Dann ist von Smishing die Rede. Beliebtes Mittel: Kurznachrichten vermeintlicher Paketdienste, die per Link auf eine Sendungsverfolgung hinweisen. Beim Quishing führen Links hinter QR-Codes auf manipulierte Webseiten. Diese QR-Codes landen auf Flyern oder Briefen sogar im Briefkasten potenzieller Opfer.
Wie bei vielen anderen Cyber-Gefahren sind der Kreativität der Täter also auch beim Phishing keine Grenzen gesetzt. An dieser Stelle schließt sich der Kreis zum Angeln: Auch hier gibt es viele verschiedene Köder – Hauptsache der Fisch beißt am Ende an.
Über die Initiative Sicher Handeln
Sicher Handeln ist eine gemeinsame Initiative der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK), der Stiftung Deutsches Forum für Kriminalprävention (DFK), Deutschland sicher im Netz e. V. (DsiN), RISK IDENT und Kleinanzeigen, die 2023 ins Leben gerufen wurde. Mit dem Ziel, der wachsenden digitalen Kriminalität entgegenzuwirken, setzt sich die Initiative für mehr Aufklärung beim Thema Online-Betrug ein. Ziel ist die Vermittlung digitaler Basiskompetenzen – unter anderem mit der „SHS-Regel“ (Stoppen, Hinterfragen, Schützen). Weitere Informationen unter www.stark-gegen-betrug.de.
Pressemitteilung Kleinanzeigen.de. Titelbild: DALL-E
Schreibe einen Kommentar