![](\"https:\/\/sophos.files.wordpress.com\/2019\/08\/shutterstock_1283371768.jpg\"\/)
<\/p>\nIn den Anfangszeiten der Phishing-Welle konzentrierten sich die Cyberkriminellen mit ihren Attacken auf die vermeintlich lukrativste Quelle: Bankkonten. So erhalten Nutzer bis heute dubiose, und oftmals fehlerhafte Warnmeldungen von Finanzinstituten, mit denen sie noch nie zu tun hatten. Damals wie heute gilt es also, aufmerksam zu sein. Denn auch wenn es schon \u00a0schlimm genug ist, \u00fcberhaupt Opfer eines Phishing-Angriffs zu werden, ist es noch viel \u00e4rgerlicher, wenn der folgenschwere Log-in aus Unachtsamkeit bei der \u201eDeutschenn Bank\u201c oder der \u201eVolcksbank\u201c erfolgte.<\/p>\n
Heute besonders wertvoll: Passw\u00f6rter f\u00fcr Instagram, Facebook und Co. Aber auch Passw\u00f6rter f\u00fcr soziale Medien sind f\u00fcr Betr\u00fcger ein beliebtes Ziel. Denn die Inhalte dieser Konten offenbaren den Kriminellen weit mehr Informationen als sie mit einer simplen Online Recherche je erfahren k\u00f6nnten. Dabei sind die Folgen mehrfach gemein: sie sind sehr pers\u00f6nlicher Natur und sie treffen zudem Dritte. So vermag der Betr\u00fcger beispielsweise auch den Account von Freunden oder Familienmitgliedern zu manipulieren. Tats\u00e4chlich verzeichnen die Sophos Labs mittlerweile mehr Phishing-Mails, die Passw\u00f6rter f\u00fcr E-Mail- und Social-Media-Accounts klauen wollen als jene, die \u201enur\u201c hinter Bankzug\u00e4ngen her sind.<\/p>\n Die Betr\u00fcger werden immer besser \u2013 und perfider Wird der Link tats\u00e4chlich aktiviert, kommt im Browser beim Blick auf den Domainnamen ein weiterer Hinweis auf eine nicht legitime Nachricht hinzu: Es ist eine Seite mit der Domainendung \u201ecf\u201c f\u00fcr Centralfrique, eine der vielen aufstrebenden Volkswirtschaften, die Domains f\u00fcr wenig Geld vergeben, in der Hoffnung, m\u00f6glichst viele User zu k\u00f6dern. Wahrscheinlich waren in diesem Fall die glaubw\u00fcrdigeren Domainendungen bereits vergeben. Dennoch ist diese Phishing-Seite selbst ein nahezu perfekter und glaubw\u00fcrdiger Nachbau der echten Instgram-Sign-In-Seite und verf\u00fcgt sogar \u00fcber ein valides HTTPS-Zertifikat. Wer sich die Screens dazu anschauen m\u00f6chte, kommt per Klick hier<\/a> zu den Kollegen von Naked Security.<\/p>\n Web-Zertifikate sichern die Verbindung zu einer Webseite und verhindern, dass Antworten angeschaut oder manipuliert werden k\u00f6nnen. Sie b\u00fcrgen jedoch nicht f\u00fcr den tats\u00e4chlichen Inhalt der Webseiten oder der dort verf\u00fcgbare Dateien. Mit anderen Worten: einer Webseite ohne \u201eVorh\u00e4ngeschloss\u201c ist definitiv nicht zu trauen, ebenso wenig wie einer mit Tipp- und Grammatikfehlern. Doch auch bei Webseiten mit dem Schloss-Symbol und scheinbar fehlerfreier Umsetzung gilt grunds\u00e4tzlich immer, Vorsicht walten zu lassen.<\/p>\n Pr\u00e4vention ist wichtig
<\/strong>Heutzutage sind nach wie vor Phishing-E-Mails im Umlauf, die versuchen, Bank-Zugangsdaten zu erbeuten. Hinzu kommen aber immer mehr Nachrichten, die auf ganz andere Account-Zug\u00e4nge zielen. E-Mail-Konten etwa sind der Hauptgewinn f\u00fcr Betr\u00fcger. Sie dienen h\u00e4ufig als Referenzadresse zur Wiederherstellung vergessener Passw\u00f6rter. Gelangt ein Cyberkrimineller an einen E-Mail-Account, kann er damit diverse andere Konten wie Paypal, Facebook oder Instagram ins Visier nehmen und sich \u00fcber \u201ePasswort zur\u00fccksetzen\u201c oder \u201ePasswort vergessen\u201c dauerhaften Zugang zu vielen anderen Accounts verschaffen. Besonders gemein: das Opfer merkt davon oft gar nichts bis etwas passiert.<\/p>\n
<\/strong>Es f\u00e4llt schwer es zuzugeben, aber die Betr\u00fcger arbeiten mittlerweile sehr gut und \u00fcberlegt, wie ein aktuelles Beispiel zu einer Instagram-Phishing-Attacke zeigt: Abgesehen von vereinzelten Interpunktionsfehlern ist diese Nachricht kaum als Fake zu erkennen. Sie ist klar und unauff\u00e4llig genug, um unterhalb des menschlichen Alarmradars zu bleiben. Die Verwendung einer Zahlenreihe am Ende der Nachricht, die auf den ersten Blick wie ein 2FA-Code (Zwei-Faktor-Authentifizierung) erscheint, ist ein cleverer Schachzug. Sie impliziert, dass der Nutzer kein Passwort verwenden muss, sondern stattdessen einfach nur per Code best\u00e4tigen muss, dass ihn die E-Mail erreicht hat. Der 2FA-Code t\u00e4uscht Sicherheit vor und animiert so zum \u201eschnellen Klick\u201c.<\/p>\n
<\/strong>Wie macht sich eine Phishing-Seite, die glaubhaft wirkt und ein HTTPS-Vorh\u00e4ngeschloss mitbringt, verd\u00e4chtig? Obwohl die Betr\u00fcger in diesem Beispiel einen ungew\u00f6hnlich glaubw\u00fcrdigen Fake kreiert haben, gibt es verr\u00e4terische Anzeichen von Phishing-Attacken, auf die Nutzer achten sollten:<\/p>\n\n