Phishing-Attacken 11.11.2014, 13:14 Uhr

Hacker-Angriffe: 45 % geben ihre Zugangsdaten zum E-Mail-Konto preis

Auf eine gut gemachte Phishing-Seite fällt fast jeder Zweite rein. Das ist das Ergebnis einer Google-Studie über die feindliche Übernahme von E-Mail-Konten. Cyberkriminelle bringen E-Mail-Konto-Besitzer dazu, ihre Zugangsdaten auf gefälschten Webseiten einzugeben. Einmal im gekidnappten Postfach drin können die Betrüger in kürzester Zeit erheblichen Schaden anrichten.

Besonders gerne und häufig werden die Seiten von Banken gefälscht, um an die Kontodaten zu kommen.

Besonders gerne und häufig werden die Seiten von Banken gefälscht, um an die Kontodaten zu kommen.

Foto: Wikipedia

Für die Studie beobachteten Mitarbeiter des US-amerikanischen Internet-Konzerns Betrugsversuche im eigenen E-Mail-Dienst Google Mail. Mittels Phishing, was im Hacker-Jargon für Passwortangeln steht, beschaffen sich Cyberkriminelle Zugangsdaten zu E-Mail-Konten. Per E-Mail, die sie ihren Opfern schicken, locken die Betrüger Kontoinhaber auf gefälschte Webseiten, auf denen sie Benutzernamen, Passwörter und andere geheime Daten eingeben sollen.

Solche gefälschten Webseiten ähneln denen von echten und seriösen Anbietern oft bis ins kleinste Detail. Doch die dort von ahnungslosen Usern eingegeben Zugangsdaten gelangen direkt in die Hände der Fälscher.

3 von 100 Usern vertrauen sogar schlecht gemachten Fakes

Je besser eine falsche Login-Seite gemacht ist, umso mehr User tappen in die Falle. Wie die Google-Studie belegt, fielen 45 von 100 Attackierten auf gut gemachte Phishing-Seiten herein und gaben freiwillig ihre Zugangsdaten ein. Auf einer durchschnittlichen Fake-Seite gaben immerhin noch 14 Prozent der Benutzer ihre geheimen Daten preis. Selbst bei schlecht nachgeahmten Seiten verraten noch 3 von 100 Angeschriebenen ihre persönlichen Zugangsdaten.

45 Prozent der Nutzer von E-Mail-Diensten fallen auf gut gemachte Pishing-Seiten rein und geben ihre sensiblen Daten preis.

45 Prozent der Nutzer von E-Mail-Diensten fallen auf gut gemachte Pishing-Seiten rein und geben ihre sensiblen Daten preis.

Foto: Google

Wie die Google-Mitarbeiter weiter beobachten konnten, verschafften sich die Betrüger zu 20 Prozent der E-Mail-Konten, deren Zugangsdaten sie abgegriffen hatten, innerhalb von 30 Minuten Zugang. Als „Manual Hijacking“ bezeichnet Google, was die Cyberkriminellen in den einzelnen Postfächern anrichten.

Postfächer werden meistens nach Bankdaten durchsucht

Im Durchschnitt agieren die Betrüger laut Google-Studie 20 Minuten auf dem E-Mail-Konto, zu dem sie sich Zugriff verschafft haben. Häufig ändern sie zunächst das Passwort und schließen damit den rechtmäßigen Besitzer vom Zugang aus. Das verschafft ihnen Zeit für ihre Machenschaften: Die Postfächer des Opfers werden nach anderen persönlichen Zugangsdaten durchsucht – hauptsächlich nach Bankverbindungen, aber auch zu Social-Media- oder Shopping-Konten wie Facebook oder Amazon.

Pishing-Seite: Auch Facebook-Seiten werden gefälscht, um an die Nutzerdaten heran zu kommen.

Pishing-Seite: Auch Facebook-Seiten werden gefälscht, um an die Nutzerdaten heran zu kommen.

Foto: Blog Technical-Life

Der Postfach-Kidnapper hat außerdem die Möglichkeit, Phishing-E-Mails an die persönlichen Kontakte im Adressbuch des Opfers zu schicken und sich damit besonders leicht Zugriff zu vielen weiteren E-Mail-Konten zu verschaffen. Denn die E-Mail eines Bekannten ist glaubwürdiger als die eines Unbekannten, der den Adressaten auffordert, einen Link anzuklicken und Zugangsdaten preiszugeben. Auch persönliche Informationen, die sich in E-Mails haufenweise finden, werden dabei von den Betrügern ausgenutzt.

User können sich selbst vor Phishing schützen

Neun Fälle von Manual Hijacking kommen laut Google pro Tag auf eine Millionen User. Eine verschwindend geringe Zahl, doch den – häufig finanziellen – Schaden, den erfolgreiche Phishing-Attacken anrichten, hält man bei Google für immens.

Innerhalb von 20 Minuten verändern die Hacker die Daten eines E-Mail-Accounts, so dass der eigentliche Inhaber nicht mehr auf sein Postfach zugreifen kann.

Innerhalb von 20 Minuten verändern die Hacker die Daten eines E-Mail-Accounts, so dass der eigentliche Inhaber nicht mehr auf sein Postfach zugreifen kann.

Foto: Google

Dabei ist es recht einfach, sich zu schützen. Regel Nummer eins: Skeptisch bleiben. E-Mails, deren Inhalte einem spanisch vorkommen oder deren Absender man nicht kennt, sollten ignoriert oder auf anderem Weg überprüft werden – zum Beispiel durch einen Telefonanruf. Häufig verrät sich der Betrüger schon durch diverse Rechtschreibfehler in seiner Nachricht oder durch eine leicht abgewandelte Adresse des echten Anbieters, zum Beispiel @ihre-bank, statt @ihrebank. Grundsätzlich sollte man keine Links in E-Mails anklicken, die angeblich auf Login-Seiten verweisen.

Google rät, die entsprechende Webseite direkt zu besuchen, also über die Eingabe der Webadresse in die Adresszeile seines Browsers. Und wer fürchtet, Opfer von Datendieben geworden zu sein, sollten die betreffenden Passwörter umgehend ändern!

Top Stellenangebote

SIG Combibloc Systems GmbH-Firmenlogo
SIG Combibloc Systems GmbH Food Processing Expert (f/m) Linnich
PWK IBEX GmbH-Firmenlogo
PWK IBEX GmbH Leiter Engineering (m/w) Produkt- und Verfahrensentwicklung Gelenau
Kistler Instrumente GmbH-Firmenlogo
Kistler Instrumente GmbH Prozessingenieur (m/w) Elektronik Lorch
HEROSE GMBH ARMATUREN UND METALLE-Firmenlogo
HEROSE GMBH ARMATUREN UND METALLE Entwicklungsingenieur (m/w) Industriearmaturen Bereich Innovation & Entwicklung Bad Oldesloe
Air Liquide Deutschland GmbH-Firmenlogo
Air Liquide Deutschland GmbH Projektingenieur (m/w) Elektrotechnik Krefeld
ENTECCOgroup gmbh & Co. KG-Firmenlogo
ENTECCOgroup gmbh & Co. KG Bauleiter / Obermonteure für industriellen Rohrleitungsbau/Lüftungstechnische Montagen (m/w) Lahr
Landeshauptstadt Wiesbaden-Firmenlogo
Landeshauptstadt Wiesbaden Bauingenieur / Bauingenieurin / Architekt / Architektin Wiesbaden
Jungheinrich Aktiengesellschaft-Firmenlogo
Jungheinrich Aktiengesellschaft Ingenieur Mechatronik / Maschinenbau (m/w) Li-Ionen-Ladegeräte/Ladesysteme Norderstedt
THOST Projektmanagement GmbH-Firmenlogo
THOST Projektmanagement GmbH Projektmanager/in Leipzig, Nürnberg
TÜV SÜD Gruppe-Firmenlogo
TÜV SÜD Gruppe Ingenieur (w/m) als Sachverständiger für den Bereich Anlagensicherheit Dresden