WAS IST PHISHING? „Phishing“ ist ein Kunstwort, welches aus den Wörtern „Password“ und „Fishing“ zusammengesetzt ist. Meist erfolgt die Manipulation des Opfers per E-Mail, es kann jedoch auch per Telefon (Vishing) oder SMS (Smishing) geschehen. Für das Ausführen eines Phishing-Angriffs bedarf es heutzutage keiner technischen Kenntnisse mehr, da verschiedene Attacken am Schwarzmarkt als „Crime as a Service“ erworben werden können.

VORGEHENSWEISE Eine Phishing-Mail gaukelt dem Empfänger vor, von einem vertrauenswürdigen Absender bzw. einer Institution zu stammen (Bank, PayPal, Post, DHL, …) und versucht, die Zugangsdaten zum Portal dieser Institution herauszulocken oder den Empfänger dazu zu bringen, eine Schadsoftware herunterzuladen.

Zu den möglichen Merkmalen einer Phishing Mail gehören:

n Unpersönliche Anrede

n Inkorrekt dargestellte Sonderzeichen und Umlaute

n Zweifelhafte Rechtschreibung und Grammatik

n Drohender Tonfall („Wenn Sie nicht Folge leisten, dann fallen Gebühren an!“)

n Verlangen von persönlichen Daten

BEISPIELE FÜR PHISHING-MAILS Ein neutrales Beispiel aus 2018/2019:

Phishing-Mails werden an Massen von Menschen aus riesigen Verteilerpaketen versendet, ungeachtet dessen, bei welcher Bank die Empfänger tatsächlich Kunden sind. Hier geht man nach dem Prinzip „Irgendwer wird schon darauf reinfallen.“ vor und behält damit meistens Recht.

Leider gibt es auch gezieltere Attacken, die sich auf technische Umstände beziehen, die für den Kunden wiedererkennbar sind, wie dieses ältere Beispiel zeigt.

Mit den Zugangsdaten (Verfüger + PIN) ausgestattet, machen sich die Täter nun daran, auch tatsächliche Zahlungen herbeizuführen. Dies kann folgendermaßen geschehen:

n Verleiten des Opfers zum Download einer vermeintlichen „Sicherheitssoftware“, welche dann eine TAN-SMS weiterleitet oder dem Betrüger ermöglicht, alles auf dem Gerät des Kunden mitzulesen

n Telefonische Kontaktaufnahme mit dem Kunden, wobei der Betrüger sich als helfender Bankmitarbeiter vorstellt und unter dem Vorwand einer „Verifizierung“ dem Opfer TAN-Codes entlockt

n Weitergabe einer TAN zur Umstellung des TAN-Verfahrens seitens des Opfers an den Betrüger – damit besitzt der Betrüger alle TAN-Codes nach der Umstellung

WARUM ES FUNKTIONIERT Ist das Opfer einmal überzeugt, dass es mit einer offiziellen Instanz Kontakt aufgenommen hat (Polizei, Bank, Post), teilt es unbegrenzt Informationen und Zugriffsdaten. Oftmals will man auch beweisen, „dass man sich mit der ganzen Technik auskennt" und leistet den Forderungen Folge, um nicht als unwissend wahrgenommen zu werden.

Meist begegnen Empfänger E-Mails der Bank mit einer Scheu vor Details und „überfliegen“ den Inhalt, um herauszufinden, ob sie einer Forderung nachkommen müssen. Ist diese Forderung gefunden, werden Absender, Wortlaut, Sprache und Inhalt nicht weiter auf Sinnhaftigkeit hinterfragt.

Da diese Betrugsmasche so authentisch wirkt, ist manchen Kunden gar nicht klar, dass sie aktiv vertrauliche Daten an Fremde weitergegeben haben.

SO KÖNNEN SICH KUNDEN SCHÜTZEN n Bei E-Mails von offiziellen Institutionen immer den gesamten Text lesen und den Inhalt auf korrekte, persönliche

Anrede, plausiblen Inhalt sowie korrekten Sprachgebrauch prüfen.

n Niemals unter Druck setzen lassen! Droht eine E-Mail mit anfallenden Gebühren, wenn man den Anweisungen nicht folgt, ist der Hintergrund unseriös.

n Immer darauf achten, dass die Login-Seite auch tatsächlich die verschlüsselte Bank Austria-Login-Seite ist, beginnend mit https://banking.bankaustria.at/.

n MitarbeiterInnen der Bank Austria fordern Kunden niemals auf, vertrauliche Daten per E-Mail oder per Telefon bekanntzugeben (z.B. Zugangsdaten zum Online Banking, Durchgabe von TANs, PIN Codes, Ausweisdaten, etc.).

n Das regelmäßige Installieren von Updates schließt Sicherheitslücken und schützt vor Viren, Würmern und anderen Bedrohungen.

n Die regelmäßige Aktualisierung der Antivirussoftware ist für die Sicherheit des Heimrechners ebenfalls essenziell.

n Die Installation von Apps sollte nur aus offiziellen Stores (Google Play Store, App Store) stattfinden. Die Bank Austria Apps sind alle aus diesen Quellen erhältlich.

n Die Just-In-Case Versicherung bietet, sollte tatsächlich etwas passieren, einen umfassenden Schutz vor finanziellem Schaden bis zu EUR 50.000 - auch bei grober Fahrlässigkeit.