Phishing Mail geöffnet?

Phishing

Unzählige E-Mails werden tagtäglich verschickt, die Empfänger zum Öffnen eines Anhangs, Anklicken eines Links oder Eingabe von Daten auffordern. Phishing Mail geöffnet? Diese E-Mails sind sogenannte Phishing Mails. Sie suggerieren dem Empfänger, sie stammen von einem Vertragspartner wie etwa dem Telekommunikationsunternehmen oder der Bank des Empfängers.

Die meisten Leute beachten diese Versuche eines Phishing nicht weiter. Sie löschen die jeweilige E-Mail, oft landen solche Mails direkt im Spam-Ordner. Allerdings passiert es dennoch, nicht zuletzt aufgrund der täuschend echten Aufmachung dieser Phishing-Mails, dass Betroffene die darin enthaltenen Links anklicken oder den Anhang öffnen. Ist dies passiert, kann von einer erhöhten Gefährdungssituation gesprochen werden. Betroffene sollten einige Sicherheitsmaßnahmen unternehmen, um nicht Opfer von Phishing zu werden.

Update 03.03.2024 – 15,5 Millionen Euro durch Phishing verloren

Die Gruppe Pepco wurde kürzlich zum Ziel eines ausgeklügelten Phishing-Betrugs, bei dem sie einen finanziellen Schaden von 15,5 Millionen Euro erlitt. Dieser Vorfall ereignete sich im Rahmen ihrer Geschäftstätigkeiten in Europa, wobei speziell die Einheit in Ungarn betroffen war. Es ist derzeit noch offen, ob es der Gruppe möglich sein wird, einen Teil der verlorenen Gelder zurückzuerhalten.

In einer offiziellen Erklärung gab Pepco bekannt, dass ihre ungarische Division von einer hochentwickelten Phishing-Attacke heimgesucht wurde, die zu einem Geldverlust von etwa 15,5 Millionen Euro führte. Die Möglichkeit einer Rückerstattung dieser Summe bleibt ungewiss, während das Unternehmen gemeinsam mit seinen Bankpartnern und der Polizei verschiedene Rückgewinnungsstrategien erkundet.

Keine Kundendaten abhandengekommen

Bezüglich des Datenaustausches versichert Pepco, dass nach aktuellem Stand keine Daten von Kunden, Lieferanten oder Mitarbeitern kompromittiert wurden. Unmittelbar nach Bekanntwerden des Vorfalls wurden Maßnahmen zur Überprüfung und Reaktion eingeleitet, um die Sicherheit der IT-Infrastruktur und der Finanzkontrollsysteme des Unternehmens zu gewährleisten.

Darüber hinaus hat die Gruppe Maßnahmen zur Überprüfung und Stärkung ihrer Sicherheitsrichtlinien und -verfahren eingeleitet. Trotz des Vorfalls bleibt die finanzielle Lage der Gruppe stabil, unterstützt durch eine solide Bilanz mit über 400 Millionen Euro an verfügbaren liquiden Mitteln und einem weiterhin starken Cashflow aus dem operativen Geschäft. Pepco betont die ernsthafte Behandlung von Finanzmanagement und IT-Sicherheit und unternimmt eine umfassende Überprüfung aller Systeme und Verfahren, um zukünftige Geschäftsabläufe sicherer zu gestalten.

Das Unternehmen hält sich mit Details zum genauen Ablauf des Phishing-Angriffs zurück, es liegt jedoch nahe, dass es sich um eine Form des Spear-Phishing handelte. Bei dieser Methode zielen die Angreifer speziell auf Mitarbeiter ab, indem sie gefälschte E-Mail-Adressen verwenden, die auf dem Prinzip des Typosquatting beruhen, und die Opfer mittels Social Engineering dazu bringen, Geld auf von den Betrügern kontrollierte Konten zu überweisen oder, wie es in diesem Fall zu sein scheint, Bargeld direkt zu übergeben.

Update 29.02.2024 – Polizei nimmt Phishing-Bande fest

Vier Personen stehen unter Verdacht, durch den Versand von betrügerischen Textnachrichten, in denen sie sich entweder als nahe Verwandte oder Mitarbeiter von Banken ausgaben, Bürger getäuscht und finanziell geschädigt zu haben. Diese Festnahmen erfolgten in Bremen durch Einsatzkräfte, nachdem bekannt wurde, dass die Betrüger durch ihre SMS und WhatsApp-Nachrichten beträchtliche Summen, im Bereich von mehreren Zehntausend Euro, erlangt haben sollen. Dies wurde von der Staatsanwaltschaft und der Polizei Leipzig berichtet, wobei der Zugriff auf die Verdächtigen Anfang Februar stattfand, als sie bei der Ausübung ihrer kriminellen Aktivitäten erwischt wurden. Nun wird nach weiteren Opfern gesucht.

Die Verdächtigen gerieten ins Visier der Ermittler, nachdem ein Fall in Leipzig gemeldet wurde, bei dem jemand im Januar durch eine dieser Maschen um eine Summe im vierstelligen Bereich erleichtert wurde. Die Betrüger hatten sich als Familienmitglied des Opfers ausgegeben und um Geld für eine vermeintlich offene Rechnung gebeten. Dies ist nur eine von mehreren Methoden, die die Kriminellen anwendeten, um an das Geld ihrer Opfer zu gelangen.

Ein anderer Betrugsversuch involvierte das Versenden von Phishing-Links via SMS, welche die Empfänger auf gefälschte Bankwebseiten führten. Um die dort erlangten Zugangsdaten für Transaktionen nutzen zu können, nahmen die Betrüger anschließend direkten Kontakt mit den Opfern auf und gaben sich als Bankangestellte aus, um die Freigabe von Überweisungen zu erwirken. Am Tag ihrer Festnahme hatten die Verdächtigen etwa 2300 solcher SMS versendet.

Die Täter wurden zunächst von der Ermittlungsgruppe „Schock“ der Leipziger Kriminalinspektion im Ausland lokalisiert. Unter den Festgenommenen befanden sich drei junge Erwachsene aus den Niederlanden und eine 18-jährige Unterstützerin aus Deutschland. Ihre Festnahme erfolgte in Bremen, nachdem die Polizei informiert wurde, dass sie sich dort aufhalten.

Die Durchsuchung ihrer Geräte liefert den Ermittlern nun Aufschluss über das Ausmaß ihrer Aktivitäten, wobei die genaue Anzahl der versendeten SMS und die Fälle von tatsächlicher Kontaktaufnahme und erfolgten Überweisungen noch untersucht werden. Der bisher festgestellte Schaden beläuft sich auf mindestens 33.000 Euro. Die Verdächtigen wurden in Untersuchungshaft genommen. Der Fall zeigt, dass nicht nur Personen, die mit digitalen Medien weniger vertraut sind, wie ältere Menschen, sondern auch juristisch und finanziell gebildete Personen, wie im Fall eines Anwalts und Steuerberaters, der kürzlich fast 50.000 Euro verlor, Opfer solcher Betrügereien werden können.

Update 20.02.2024 – Haftet die Bank bei Phishing?

Ein Rechtsanwalt und Steuerberater soll gleich zweimal Opfer von Onlinebetrügern geworden sein. Das Oberlandesgericht Frankfurt hat entschieden, dass seine Bank die gestohlenen 50.000 Euro nicht erstatten muss (Az.: 3 U 3/23).

Der Geschädigte, der den Kriminellen scheinbar leichtfertig Zugriff auf sein Bankkonto gewährte und darüber hinaus eine Erhöhung des Überweisungslimits autorisierte, muss nach dem Urteil des Oberlandesgerichts Frankfurt den Verlust von 50.000 Euro selbst tragen. Trotzdem fordert der Geschädigte die Rückzahlung des Geldes von seiner Bank.

Phishing-SMS bekommen

Laut Aussage des Klägers erhielt er im September 2021 eine SMS, die scheinbar von einer für die Kundenkommunikation genutzten Telefonnummer seiner Bank gesendet wurde. Diese Nachricht informierte ihn über eine Einschränkung seines Kontos und forderte ihn auf, sich für ein neues Verfahren zu registrieren, indem er einem Link folgt. Nachdem er dem Link gefolgt war, kontaktierte ihn ein Mann telefonisch. Während dieses Gesprächs gab der Anwalt an, auf Anweisung des Anrufers eine Aktion in der Push-TAN-App seiner Bank bestätigt zu haben. Noch am selben Tag wurde eine Überweisung von 49.999,99 Euro von seinem Konto getätigt.

Das Gericht schenkte der Darstellung der Bank Glauben, die angab, zwei Autorisierungen registriert zu haben. Vor der vom Kläger beschriebenen Bestätigung sei bereits eine Push-TAN-Freigabe für ein temporäres Überweisungslimit von 50.000 Euro angefordert und mittels Gesichtserkennung erteilt worden. Das Gericht befand daher die Behauptung des Klägers, lediglich einmal eine Aktion in seiner App bestätigt zu haben, als unglaubwürdig und sah darin eine grobe Fahrlässigkeit.

Angesichts seiner beruflichen Erfahrung wurde dem Kläger unterstellt, dass er grundsätzlich mit geschäftlichen Angelegenheiten vertraut sei. Er gab selbst an, Online- und Telefonbanking bei verschiedenen Banken zu nutzen und mit den wesentlichen Funktionen der entsprechenden Apps vertraut zu sein. Durch die Bestätigung der Push-TAN habe der Kläger gegen seine Pflicht verstoßen, Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen, und somit die Kontrolle über das Sicherheitsfeature effektiv an den Anrufer übergeben. Das Urteil ist noch nicht endgültig. Der Kläger hat eine Nichtzulassungsbeschwerde eingelegt und beabsichtigt, in Revision vor den Bundesgerichtshof zu gehen.

Update 31.01.2024 – Landgericht Köln sieht bei Phishing Schuld der Sparkasse

Am 8. Januar fällte das Landgericht Köln ein Urteil, das die Sparkasse Köln Bonn verpflichtet, einem ihrer Kunden einen Betrag von 9.933,38 EUR zu erstatten. Diese Summe war durch kriminelle Aktivitäten von seinem Girokonto entwendet worden.

Zum Sachverhalt:

Der betroffene Kunde machte Gebrauch vom Online-Banking der Sparkasse und autorisierte Transaktionen mittels der pushTAN-App auf seinem Mobiltelefon, indem er einen roten Balken wegwischte. Im September 2023 bekam er einen Anruf, der scheinbar von der Sparkasse Köln Bonn kam. Der Anrufer informierte sich, ob der Kunde unlautere Anrufe oder auffällige Kontobewegungen bemerkt habe. Nach Verneinung durch den Kunden behauptete der Anrufer, das Konto vorsichtshalber wegen aktueller Betrugsversuche gesperrt zu haben, bot jedoch an, es wieder zu entsperren, da der Kunde angeblich nicht betroffen sei. Zur Bestätigung der Freischaltung sollte der Kunde eine Aktion in seiner pushTAN-App durchführen. Kurz darauf erhielt er eine Push-Mitteilung mit dem Titel „Registrierung Karte“, die er bestätigte, wodurch er unwissentlich die Registrierung seiner Debitkarte für Apple Pay auf einem Gerät der Betrüger autorisierte, die daraufhin Einkäufe tätigten.

Rechtlicher Hintergrund:

Gemäß § 675u BGB ist eine Bank verpflichtet, unbefugt abgebuchte Beträge unverzüglich dem Konto des Kunden wieder gutzuschreiben, es sei denn, der Kunde hat grob fahrlässig gehandelt, beispielsweise durch sorglosen Umgang mit seinen Online-Banking-Zugangsdaten oder pushTANs. Da unklar blieb, wie die Betrüger an die Zugangsdaten gelangten, war entscheidend, ob dem Kunden grobe Fahrlässigkeit vorzuwerfen war, weil er nicht erkannte, dass der Anruf nicht von seiner Bank stammte und die pushTAN nicht zur Kontofreischaltung diente.

Urteilsbegründung:

Das Landgericht Köln urteilte, dass dem Kunden keine grobe Fahrlässigkeit anzulasten ist. Die Täter hatten die Telefonnummer manipuliert, sodass der Kunde nicht erkennen konnte, dass der Anruf nicht authentisch war. Zudem konnte dem Kunden nicht vorgeworfen werden, dass er aus der Bezeichnung „Registrierung Karte“ in der pushTAN-App nicht schlussfolgerte, dass es sich nicht um die Freischaltung seines Kontos handelte. Die Sparkasse hätte eine eindeutigere Bezeichnung, wie „Freischaltung der Debitkarte für Apple Pay“, wählen müssen, um ihren Kunden angemessen zu warnen.

Definition und Erkennung von Phishing-Mails

Definition von Phishing

Phishing ist eine Art von Cyberangriff, bei dem Betrüger versuchen, sensible Informationen wie Benutzernamen, Passwörter und Kreditkartendetails zu erlangen. Dies geschieht, indem sie sich als vertrauenswürdige Einheiten ausgeben, in der Regel über E-Mail, aber auch über andere Kommunikationswege wie Telefonanrufe oder Textnachrichten.

Erkennung von Phishing-Mails

Phishing-E-Mails können durch verschiedene Merkmale identifiziert werden:

  1. Verdächtige E-Mail-Adressen: Überprüfen Sie den Absender. Oft verwenden Phishing-E-Mails Adressen, die legitimen Unternehmen ähneln, aber geringfügige Abweichungen aufweisen. Zum Beispiel könnte eine Adresse wie „support@amaz0n.com“ statt „support@amazon.com“ verwendet werden.
  2. Grammatik- und Rechtschreibfehler: Professionelle Unternehmen lassen ihre Kommunikation in der Regel von Korrekturlesern überprüfen. Auffällige Grammatikfehler und Tippfehler sind häufige Indikatoren für Phishing.
  3. Unaufgeforderte Anhänge und Links: Seien Sie vorsichtig mit E-Mails, die Sie zur Öffnung von Anhängen oder Klicken auf Links auffordern, besonders wenn Sie diese nicht erwartet haben. Diese können Malware enthalten oder Sie auf betrügerische Websites leiten.
  4. Dringlichkeits- oder Angstappelle: Phishing-E-Mails erzeugen oft ein Gefühl der Dringlichkeit oder Angst. Sie können beispielsweise behaupten, dass Ihr Konto gesperrt wird, wenn Sie nicht sofort handeln, oder dass verdächtige Aktivitäten festgestellt wurden.
  5. Anfragen nach persönlichen Informationen: Seien Sie misstrauisch gegenüber E-Mails, die Sie direkt nach sensiblen Informationen wie Passwörtern, Kreditkartennummern oder Sozialversicherungsnummern fragen. Legitime Unternehmen fordern diese Informationen in der Regel nicht per E-Mail an.
  6. Ungewöhnliche Gestaltung: Achten Sie auf ungewöhnliche Layouts, schlechte Bildqualität oder andere gestalterische Aspekte, die von den üblichen E-Mails des vermeintlichen Absenders abweichen.

Das bloße Öffnen einer Phishing Mail

Wer lediglich eine Phishing Mail geöffnet hat, ist noch nicht akut gefährdet. Dadurch wird weder ein Link angeklickt, noch automatisch der Anhang geöffnet . Der bloße Textinhalt einer Mail ist derzeit nicht geeignet, eine Infizierung des Endgeräts mit einem Trojaner oder einer Schadsoftware zu verwirklichen.

Anders sieht die Sache schon aus, wenn das benutzte Mailprogramm automatisch die Bilder herunterlädt, die in einer Mail mitgeschickt werden. Die allermeisten Anbieter von Email-Services blocken solche Bildinhalte jedoch zunächst präventiv.

Wer also eine Phishing Mail geöffnet hat, sprich lediglich die Email angeklickt hat, ist in den allermeisten Fällen dadurch noch nicht Opfer von Phishing geworden. Nichtsdestotrotz sollte ein aktuelles Antivirenprogramm eingerichtet sein, um auf Nummer sicher zu gehen.

Wer nicht nur eine Phishing Mail geöffnet, sondern auch einen darin enthaltenen Link angeklickt ist, ist bereits gefährdet. Der Link kann zu einer manipulierten Website führen. Diese suggeriert dem Betroffenen, es handele  sich um die Website eines seiner Vertragspartner wie etwa einer Onlinebanking-Website zum Login. Oder es werde eine Website zu einem Onlineshop bereitgestellt, den der Betroffene häufig nutzt.

Aber nicht nur dadurch ist eine akute Gefährdung im Sinne von Phishing gegeben. Der angeklickte Link kann auch das Infizieren mit einer Schadsoftware zum Ergebnis haben. Diese Infizierungen über Websites erfolgen beispielsweise nicht selten über Java-Scripte oder veraltete Adobe-Programmversionen.

Wer einen Link in einer Phishing Mail angeklickt hat, sollte umgehend sein Endgerät mittels aktualisierter Antivirensoftware überprüfen. Sicherheitshalber ändern Betroffen die Passwörter zum Onlinebanking und anderen wichtigen Accounts. Solange nicht geklärt ist, ob das Endgerät, mittels welchem der Link angeklickt wurde „safe“ ist, sollten von diesem Endgerät auch nicht mehr Logins in relevante Accounts betrieben werden. Nutzen Sie erst einmal andere Endgeräte.

Anhang angeklickt

Die höchste Gefährdungsstufe erreicht derjenige, der eine Phishing Mail nicht nur geöffnet und einen Link angeklickt, sondern den in der Mail beigefügten Anhang geöffnet hat. Der Anhang tarnt sich meist als „Rechnung“ oder anderes Textdokument Er ist in Wirklichkeit jedoch Schadsoftware, die sich per Klick durch den Empfänger auf dem Endgerät des Empfängers installiert und verbreitet.

Ein aktualisiertes Antivirenprogramm verhindert, dass der verhängnisvolle Klick auf den Anhang einer Phishing Mail tatsächlich zur Installation der Schadsoftware führt. Die Antivirensoftwares reagiert auf Basis bisherigen Erfahrungen der Softwarehersteller. Aller neuste Schadsoftware erkennt die Software nicht in 100% der Fälle.

Sollten Sie in der Phishing Mail den Anhang geöffnet haben, ist zu empfehlen, das Endgerät nicht mehr zu benutzen, bis Sie sichergestellt haben, dass es frei von Schadsoftware ist. Ändern Sie von einem „sauberen“ Endgerät aus Ihre wichtigen Login-Daten wie beispielsweise jene zum Onlinebanking und zu den Onlineshops, die Sie nutzen.

Identifizierung von Phishing-Mails

Es ist wichtig zu wissen, wie man eine Phishing-Mail identifiziert. Einige Anzeichen können darauf hinweisen, dass eine E-Mail nicht von einer legitimen Quelle stammt:

  1. Schlechte Grammatik und Rechtschreibung: Viele Phishing-Mails sind schlecht geschrieben oder enthalten Rechtschreibfehler. Dies kann ein Hinweis darauf sein, dass die E-Mail nicht von einem professionellen Unternehmen stammt.
  2. Ungewöhnliche Absenderadresse: Wenn die Absenderadresse nicht mit der offiziellen Website des Unternehmens übereinstimmt, von dem die E-Mail angeblich stammt, könnte es sich um eine Phishing-Mail handeln.
  3. Aufforderung zur Eingabe persönlicher Daten: Legitime Unternehmen fragen Sie normalerweise nicht per E-Mail nach persönlichen Informationen. Wenn eine E-Mail Sie auffordert, Ihre Kontoinformationen, Passwörter oder andere persönliche Daten einzugeben, handelt es sich wahrscheinlich um eine Phishing-Mail.

Was sollte ich tun, wenn ich eine Phishing-Mail geöffnet habe?

Schritt 1: Vermeiden Sie das Klicken auf verdächtige Links

Vermeiden Sie es, auf verdächtige Links zu klicken und löschen Sie die E-Mail, während Sie Screenshots zur Referenz behalten.

Schritt 2: Überprüfen Sie Ihre Konten

Überprüfen Sie die mit der E-Mail verbundenen Konten auf verdächtige Aktivitäten und ändern Sie Ihre Passwörter umgehend, einschließlich Ihres E-Mail-Kontos.

Schritt 3: Melden Sie die Phishing-E-Mail

Melden Sie Phishing-E-Mails an die behauptete Organisation oder die zuständigen Behörden.

Schritt 4: Scannen Sie Ihre Geräte

Verwenden Sie Antivirensoftware, um Ihre Geräte zu scannen, und ziehen Sie in Betracht, wichtige Dateien zu sichern und Ihren Computer zurückzusetzen.

Wie kann ich mich vor Phishing schützen?

Tipp 1: Seien Sie vorsichtig mit E-Mails von unbekannten Absendern

Seien Sie vorsichtig mit E-Mails von unbekannten Absendern und installieren Sie regelmäßig Sicherheitsupdates.

Tipp 2: Verwenden Sie Antivirensoftware und eine Firewall

Verwenden Sie Antivirensoftware und eine Firewall, überwachen Sie regelmäßig Log-Daten, erstellen Sie regelmäßig Backups und laden Sie Daten und Programme nur von vertrauenswürdigen Quellen herunter.

Tipp 3: Deaktivieren Sie Makros und verwenden Sie Klartext statt HTML in E-Mails

Es wird auch empfohlen, Makros zu deaktivieren und Klartext statt HTML in E-Mails zu verwenden.

Prävention von Phishing

Es gibt mehrere Maßnahmen, die Sie ergreifen können, um sich vor Phishing zu schützen:

  1. Aktualisieren Sie Ihre Software: Halten Sie Ihr Betriebssystem, Ihren Browser und Ihre Sicherheitssoftware auf dem neuesten Stand. Viele Phishing-Angriffe nutzen bekannte Sicherheitslücken in Software, die durch Updates behoben wurden.
  2. Verwenden Sie Zwei-Faktor-Authentifizierung: Zwei-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene für Ihre Online-Konten. Selbst wenn ein Phisher Ihr Passwort erhält, kann er ohne den zweiten Faktor (wie einen Sicherheitscode, der an Ihr Telefon gesendet wird) nicht auf Ihr Konto zugreifen.
  3. Seien Sie vorsichtig mit E-Mail-Anhängen und Links: Öffnen Sie keine Anhänge oder Links in E-Mails, die Sie nicht erwartet haben, insbesondere wenn sie von Absendern stammen, die Sie nicht kennen.

Langzeitmaßnahmen zur Sicherung der Daten

Die langfristige Sicherung Ihrer Daten und Konten ist ein entscheidender Bestandteil der Cybersicherheit. Hier sind einige wichtige Strategien, die Sie anwenden können:

1. Zwei-Faktor-Authentifizierung (2FA)

Zwei-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene, indem sie verlangt, dass Nutzer zwei verschiedene Authentifizierungsfaktoren vorlegen, um Zugang zu erhalten. Dies könnte eine Kombination aus etwas sein, das Sie wissen (wie ein Passwort), etwas, das Sie besitzen (wie ein Smartphone, auf das ein Sicherheitscode gesendet wird), oder etwas, das Sie sind (wie ein Fingerabdruck).

2. Regelmäßige Passwortänderungen

Ändern Sie Ihre Passwörter regelmäßig, vorzugsweise alle drei bis sechs Monate. Verwenden Sie starke, einzigartige Passwörter für jedes Konto und vermeiden Sie einfache, leicht erratbare Passwörter. Ein Passwortmanager kann dabei helfen, komplexe Passwörter zu erstellen und sicher zu speichern.

3. Verwendung von Antiviren-Software

Installieren Sie eine zuverlässige Antiviren-Software auf allen Ihren Geräten und halten Sie diese stets auf dem neuesten Stand. Regelmäßige Scans können helfen, Schadsoftware und Viren zu identifizieren und zu entfernen, bevor sie Schaden anrichten.

4. Regelmäßige Updates

Halten Sie Ihr Betriebssystem, Ihre Anwendungen und Ihre Sicherheitssoftware immer auf dem neuesten Stand. Viele Cyberangriffe nutzen bekannte Sicherheitslücken, die durch Updates bereits behoben wurden.

5. Datensicherung

Führen Sie regelmäßige Backups Ihrer wichtigen Daten durch. Bewahren Sie diese Backups an einem sicheren Ort auf, vorzugsweise an mehreren Orten, einschließlich einer Offline-Option wie einer externen Festplatte.

6. Vorsicht bei öffentlichem Wi-Fi

Seien Sie vorsichtig bei der Nutzung öffentlicher Wi-Fi-Netzwerke. Vermeiden Sie die Durchführung sensibler Transaktionen über ungesicherte Netzwerke und erwägen Sie die Verwendung eines VPN (Virtual Private Network) für zusätzliche Sicherheit.

7. Bildung und Bewusstsein

Bleiben Sie über aktuelle Sicherheitsrisiken und Phishing-Taktiken informiert. Bildung und Bewusstsein sind mächtige Werkzeuge im Kampf gegen Cyberkriminalität.

8. Einschränkung des Datenzugriffs

Begrenzen Sie den Zugriff auf Ihre sensiblen Daten. Nur Personen, die diese Daten für ihre Arbeit benötigen, sollten Zugang haben.

9. Überwachung und Überprüfung

Überwachen Sie regelmäßig Ihre Konten auf verdächtige Aktivitäten. Wenn Sie etwas Ungewöhnliches bemerken, handeln Sie schnell, um potenzielle Probleme zu beheben.

Durch die Anwendung dieser Strategien können Sie Ihre Daten und Konten wirksam schützen und das Risiko von Datenverlusten oder -diebstahl minimieren.

Fallbeispiele und Statistiken

Im Jahr 2023 gab es mehrere bedeutende Datenverletzungen, die die Bedeutung der Sicherheit gegen Phishing-Angriffe unterstreichen:

  1. Bryan Cave/Mondelez Datenverletzung: Die Snack- und Süßwarenherstellerin Mondelez International, zu der bekannte Marken wie Oreo und Cadbury gehören, informierte ihre Mitarbeiter über eine Datenverletzung bei der Anwaltskanzlei Bryan Cave. Diese Verletzung betraf die persönlichen Informationen von etwa 51.110 Mitarbeitern. Obwohl der Vorfall bereits im Februar auftrat, wurde er erst im Mai entdeckt.
  2. Reddit Datenverletzung: Hacker, die behaupteten, zur BlackCat-Ransomware-Gruppe zu gehören, drohten damit, 80 GB vertraulicher Daten, die sie im Februar von den Servern von Reddit gestohlen hatten, zu veröffentlichen. Sie forderten eine Zahlung von 4,5 Millionen Dollar und verlangten von Reddit, seine neue Preispolitik zurückzunehmen.
  3. Intellihartx Datenverletzung: Die Firma Intellihartx, die im Gesundheitsmanagement tätig ist, bestätigte, dass Hacker medizinische Details von über einer halben Million Patienten, einschließlich Sozialversicherungsnummern, gestohlen hatten. Der Vorfall ereignete sich im Januar, wurde jedoch erst im April entdeckt.
  4. Activision Datenverletzung: Activision, der Hersteller von Call of Duty, erlitt einen Datenverlust, bei dem sensible Mitarbeiterdaten und Inhaltspläne aus den Computersystemen des Unternehmens entwendet wurden. Ein Phishing-Angriff ermöglichte den Erhalt der Anmeldedaten eines Mitarbeiters, die dann verwendet wurden, um in das System einzudringen.
  5. Reddit Datenverletzung: Reddit bestätigte eine Datenverletzung am 5. Februar, bei der ein Angreifer Zugang zu einigen internen Dokumenten, Code sowie internen Dashboards und Geschäftssystemen erlangte, nachdem er erfolgreich die Anmeldeinformationen eines Mitarbeiters erhalten hatte.
  6. PayPal Datenverletzung: Am 20. Dezember 2022 gelang es unbefugten Parteien, mithilfe gestohlener Anmeldeinformationen auf PayPal-Kundenkonten zuzugreifen. Es gibt keine Hinweise darauf, dass diese persönlichen Informationen missbraucht wurden oder dass unbefugte Transaktionen auf Kundenkonten stattgefunden haben.

Diese Beispiele zeigen, wie Phishing-Angriffe Unternehmen unterschiedlicher Branchen betreffen können und unterstreichen die Bedeutung von Vorsichtsmaßnahmen und der Sensibilisierung für Cyber-Sicherheit.

Rechtliche Aspekte

Die rechtlichen Konsequenzen von Phishing-Angriffen sind sowohl für die Angreifer als auch für die Opfer von Bedeutung und werden von verschiedenen Gesetzen und Vorschriften abgedeckt.

Rechtliche Konsequenzen für Täter

In Deutschland fallen Phishing-Angriffe unter mehrere Paragraphen des Strafgesetzbuchs. Täter machen sich strafbar, wenn sie unbefugt Daten abfangen oder sich unbefugten Zugang zu einem geschützten System verschaffen. Allerdings ist die Durchsetzbarkeit dieser Rechte oft schwierig, da viele Phishing-Angreifer international agieren und schwer zu identifizieren sind, was die Strafverfolgung erschwert.

Rechtliche Schritte für Opfer

Opfer von Phishing-Angriffen sollten den Vorfall dokumentieren und umgehend Anzeige bei der Polizei erstatten. Zusätzlich kann eine rechtliche Beratung hilfreich sein, um weitere Schritte zu klären und eventuelle Ansprüche zu sichern.

Datenschutzgesetze und Meldepflichten

Unter der Europäischen Datenschutzgrundverordnung (DSGVO) haben Unternehmen im Falle einer Verletzung des Schutzes personenbezogener Daten bestimmte Pflichten. Dazu gehören die Meldepflicht gegenüber der Aufsichtsbehörde gemäß Art. 33 DSGVO und die Benachrichtigungspflicht gegenüber den Betroffenen gemäß Art. 34 DSGVO.

Unternehmen sind verpflichtet, jede Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde zu melden, und zwar unverzüglich und möglichst binnen 72 Stunden. Sollte die 72-Stunden-Frist nicht eingehalten werden können, muss eine Begründung für die Verzögerung beigefügt werden.

Zusätzlich müssen Unternehmen die betroffene Person unverzüglich benachrichtigen, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für deren persönliche Rechte und Freiheiten zur Folge hat.

Bei einem Verstoß gegen diese Pflichten aus Art. 33 und 34 DSGVO können Bußgelder von bis zu zwei Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden.

Diese rechtlichen Rahmenbedingungen zeigen, dass sowohl die Bekämpfung von Phishing-Angriffen als auch der Umgang mit ihren Folgen ernst genommen werden müssen, um rechtliche Konsequenzen zu vermeiden und die Sicherheit von personenbezogenen Daten zu gewährleisten.

Fazit Phishing Mail geöffnet

Phishing ist eine ernsthafte Bedrohung, aber mit den richtigen Kenntnissen und Vorsichtsmaßnahmen können Sie sich davor schützen. Wenn Sie eine Phishing-Mail geöffnet haben, geraten Sie nicht in Panik. Befolgen Sie die oben genannten Schritte und suchen Sie bei Bedarf professionelle Hilfe.

FAQ Phishing Mail geöffnet – Die wichtigsten Fragen

Wie kann ich feststellen ob ich einen Virus habe?

Das Antivirenprogramm erweist sich als ineffektiv oder erhält keine Aktualisierungen mehr. Es führt zu Abstürzen des Systems, unerwarteten Herunterfahren des Rechners oder einem Nicht-Starten. Außerdem wird die Prozessorauslastung durch Malware erhöht, was zu einer verlangsamten Arbeitsgeschwindigkeit des PCs führt.

Wie merkt man das man einen Virus auf dem Handy hat?

Die Kapazität des Akkus Ihres Handys ist deutlich herabgesetzt. Die Leistung Ihres Mobiltelefons hat nachgelassen. Ihr Smartphone sendet Nachrichten ohne Ihr Zutun. Auf Ihrem Handy sind Apps installiert, welche Ihnen unbekannt sind.

Welche Mails sind gefährlich?

E-Mails im reinen Text-Format sind ungefährlich, wenn sie im Browser oder mit einem E-Mail-Programm geöffnet werden. Bei E-Mails im HTML-Format ist das anders, da diese über Bilder oder Grafiken verfügen, die die Optik verbessern. Leider kann man in dessen Quellcode Schadprogramme verbergen, die dann durch Klicken auf ein Bild oder Logo aktiviert werden könnten.

Was tun, wenn ich eine Phishing-Mail geöffnet habe?

Lassen Sie das Virenschutzprogramm aktualisieren und durchsuchen sie dann den PC mithilfe des Programms. Nutzen Sie andere Endgeräte insbesondere für das Online-Banking. Haben Sie PIN und TAN auf einer falschen Internetseite angegeben, sollten Sie unverzüglich ihr Konto sperren. Dies auch, wenn Sie PIN und/oder TAN telefonisch weitergegeben haben.

Phishing Mail geöffnet? Und jetzt Ärger? Geld weg?

Suchen Sie recht freundlichen Beistand?

Rechtsanwalt
Thomas Feil

Phishing Mail geöffnet? Sollten Sie Probleme mit einer Phishing-Mail haben, kann ich Sie gern unterstützen. Ich berate seit Jahren Geschädigte bundesweit.

Rechtsanwalt Thomas Feil – Recht-freundlich.de
Fachanwalt IT-Recht Thomas Feil – 25 Jahre Erfahrung

Schreibe einen Kommentar

zwölf − elf =

Consent Management Platform von Real Cookie Banner