Was ist Phishing?

Phishing ist ein gefährlicher Cyberangriff, der emotionale Reaktionen wie Neugier, Dringlichkeit oder die Aussicht auf Gewinn ausnutzt. Indem sie vertrauenswürdige Organisationen wie Banken imitieren, versuchen Hacker, persönliche Informationen, finanzielle Daten oder Zugangsdaten zu stehlen. Da Kryptowährungen immer mehr Menschen anziehen, oft Anfänger, nehmen diese Betrugsversuche besorgniserregend zu. Dieser praktische Leitfaden erklärt die Mechanismen von Phishing und gibt konkrete Ratschläge um dich davor zu schützen.

Phishing: Definition und Mechanismen

Der Begriff „Phishing“ ist eine Kombination aus „password“ und „fishing“. Er bezieht sich auf eine Technik, bei der durch die Imitation eines vertrauenswürdigen Dritten „nach“ vertraulichen Daten „gefischt“ wird. Ziel ist es, Informationen zu stehlen, die den Zugriff auf Konten (Benutzernamen, Passwörter) oder Bankdaten ermöglichen. Heute ist es ein Haupttreiber der Cyberkriminalität. Ein Phishing-Angriff nutzt psychologische Auslöser, um das Opfer zu einem schnellen Handeln zu bewegen:

• Imitieren bekannter Institutionen: Vortäuschen, das Backoffice einer Bank oder ein Mitarbeiter einer Behörde zu sein

• Alarmistische Vorwände: Ein Sicherheitsproblem oder ein buchhalterisches Problem

• Verlockende Versprechen: Versprechen von Geschenken oder Rückerstattungen auf einen kürzlich getätigten Kauf

Wie funktioniert ein Phishing-Angriff?

Eine Phishing-E-Mail enthält typischerweise:

• Einen scheinbar legitimen Absender: oft mit subtilen Anomalien in der E-Mail-Adresse

• Eine Nachricht, die schnelles Handeln erfordert: durch emotionale Hebel wie Angst, Dringlichkeit und Gewinnversprechen

• Einen Link zu einer gefälschten Webseite: die eine vertrauenswürdige Seite wie eine Bank oder einen öffentlichen Dienst imitiert

• Ein Formular, das dazu einlädt, sensible Informationen einzugeben: wie Zugangsdaten und Bankinformationen

Beispiel einer Nachricht:

Betreff: [DRINGEND] Verdächtige Aktivität in Ihrem Konto!
Sehr geehrter Kunde,

Wir haben einen verdächtigen Anmeldeversuch in Ihrem persönlichen Konto festgestellt. Aus Sicherheitsgründen haben wir Ihr Konto vorübergehend gesperrt.
Um es wieder zu aktivieren, identifizieren Sie sich bitte über diesen sicheren Link: http://www.bankXYZ-verification.fr/auth?user=29387642

Das Sicherheitsteam von BankXYZ

Eine Phishing-E-Mail kann jedoch mehr als nur eine einfache Falle sein, die zum Anklicken eines Links verleitet. Solche E-Mails können auch folgende gefährliche Elemente enthalten:

• Infizierte Anhänge: PDF- oder Office-Dokumente, Bilder, ZIP-Dateien mit Malware

• Sekundäre Links: Links, die zu infizierten Webseiten führen und Malware-Downloads auslösen

Das Gefährlichste ist, dass diese Elemente oft ohne das Wissen des Benutzers aktiviert werden können. Sogar das Vorschauen der E-Mail (insbesondere unter Windows) kann manchmal ausreichen, um den Computer zu infizieren.

Welche Varianten von Phishing gibt es?

Obwohl E-Mails der dominierende Vektor bleiben, hat sich Phishing weiterentwickelt. Betrüger haben ihre Kontaktpunkte vervielfacht, um möglichst viele Opfer zu erreichen. Zu den häufigsten Varianten gehören:

Smishing

Eine Kombination aus „SMS“ und „Phishing“, bei der Betrüger sich als Unternehmen oder Behörde ausgeben (z. B. Telekommunikationsanbieter oder Finanzamt). Der SMS-Text nutzt alarmierende Vorwände („Ihr Abonnement läuft aus“, „Ein Dokument muss geregelt werden“), um zum Anklicken eines infizierten Links zu verleiten. Diese Technik ist besonders gefährlich, da Nutzer oft den Reflex haben, eine SMS sofort zu überprüfen. Das mobile Format nimmt ihnen zudem einige visuelle Hinweise zur Erkennung von Anomalien.

Vishing

Eine Kombination aus „Voice“ und „Phishing“. Vishing ist ein telefonischer Betrug, bei dem sich Betrüger als Bankberater, Steuerbeamte oder IT-Techniker ausgeben. Sie nutzen Vertrauen und Autorität, um das Opfer während des Gesprächs zu beruhigen, oft mit tadellosem Fachjargon, professionellem Tonfall und Verweisen auf online gesammelte persönliche Daten. Häufig wird ein dringender Vorwand genannt (z. B. „Datei aktualisieren“, „Störung vermeiden“), um die Offenlegung von Informationen zu erzwingen.

Spear-Phishing

Die personalisierteste Form des Phishings. Der Betrüger zielt auf ein Unternehmen über einen bestimmten Mitarbeiter, nachdem er möglichst viele Informationen über sein Ziel gesammelt hat, z. B. Position im Organigramm, Beziehungen und Gewohnheiten. Mit diesen Informationen erstellt er ein maßgeschneidertes Szenario, um Vertrauen zu schaffen: sich als Kollege oder Partner ausgeben, Bezug auf ein laufendes Projekt oder aktuelle Nachrichten nehmen usw.

Kombinierte Angriffe

Die Gefahr wird noch größer, wenn Angreifer ihre Angriffswinkel kombinieren. Beispiele:

• Eine E-Mail, die Druck ausübt („Ihr Konto muss aktualisiert werden“) und zu einem gefälschten telefonischen Dienst weiterleitet

• Eine SMS, die dazu auffordert, eine Nummer anzurufen, bei der ein falscher Berater das Opfer anleitet, Malware zu installieren

Welche Folgen hat ein Phishing-Angriff?

Phishing kann Opfer schwerwiegend schädigen: finanzieller Betrug, Identitätsdiebstahl, Zugang zu wichtigen Diensten verlieren und mehr. Es dauert oft Monate, den Schaden zu reparieren.

Können Smartphones Ziel von Phishing werden?

Ja, besonders durch unbewusste Malware-Installationen.

Kann Phishing 2FA umgehen?

Ja, mit Echtzeit-Phishing können Hacker 2FA-Codes direkt verwenden, wenn sie eingegeben werden.

Wie erkennt man einen Phishing-Versuch?

Um nicht in die Falle zu tappen, sollten Sie bei einer E-Mail systematisch die folgenden Punkte überprüfen:

• Absender der Nachricht: Jede Anomalie (Fehler, zusätzliche Zeichen) ist verdächtig. Im Zweifelsfall kontaktieren Sie die Organisation über einen anderen Kanal

• Inhalt der Nachricht: Vorsicht bei formalen Aufforderungen, alarmistischen Formulierungen, offensichtlichen Fehlern und fehlender Personalisierung

• Links: Bevor Sie klicken, fahren Sie mit der Maus über den Link, um das tatsächliche Ziel anzuzeigen. Gibt es Unstimmigkeiten, führen Sie die Aktion nicht aus

• Unerwartete Anhänge: Öffnen Sie niemals ein Dokument, dessen Name mit einer ungewöhnlichen Erweiterung endet (.exe, .vbs, .js). Überprüfen Sie auf einer Webseite immer die URL in der Adressleiste, insbesondere den Domainnamen und das Vorhandensein des Sicherheitsschlosses (HTTPS). Bei geringstem Zweifel verlassen Sie die Seite sofort

Was tun bei einer Phishing-E-Mail?

Sie haben eine verdächtige E-Mail analysiert und sind sicher, dass es sich um einen Phishing-Versuch handelt. Hier sind die nächsten Schritte:

• Klicken Sie niemals auf Links und öffnen Sie keine Anhänge. Das ist die goldene Regel. Auch nicht aus Neugier, um zu sehen, was passiert. Das Risiko, Ihr Gerät zu gefährden, ist zu hoch

• Melden Sie das Problem Ihrer IT-Abteilung, wenn es sich um eine berufliche E-Mail handelt. Diese kann den Vorfall analysieren und unternehmensweite Maßnahmen ergreifen (Absender blockieren, Kollegen warnen)

• Leiten Sie die E-Mail an Ihren E-Mail-Anbieter weiter. Die meisten Anbieter haben eine Funktion „Als Spam/Phishing melden“. Dies hilft, deren Erkennungssysteme zu verbessern und andere Nutzer zu schützen

• Löschen Sie die Nachricht aus Ihrem Postfach. So vermeiden Sie, sie versehentlich zu öffnen, und verhindern unnötigen Speicherverbrauch

• Ändern Sie sofort Ihre Passwörter, wenn Sie Zweifel haben. Wenn Sie glauben, Ihre Zugangsdaten auf einer betrügerischen Seite eingegeben zu haben, ändern Sie diese umgehend auf der offiziellen Seite. Nutzen Sie ein starkes und einzigartiges Passwort

• Führen Sie Ihren Virenscanner aus. Einige Phishing-E-Mails nutzen Software-Schwachstellen aus, um Ihren Computer zu infizieren, selbst ohne Klicks. Bei Verdacht ist ein gründlicher Scan notwendig

Welche Phishing-Szenarien gibt es im Krypto-Bereich?

Phishing-Szenarien im Bereich Kryptowährungen lassen sich in drei Kategorien unterteilen, je nach Ziel der Betrüger. In jedem Fall erleiden Investoren erhebliche Verluste. Das @Scam Sniffer-Portal, spezialisiert auf Kryptosicherheit, verfolgt Phishing-Angriffe: Im September 2024 verzeichnete ihr Tool beispielsweise 10.805 Opfer mit Schäden von über 46 Millionen Dollar.

Diebstahl von Zugangsdaten auf Börsenplattformen

Das ist das häufigste Szenario. Der Angreifer versucht, die Zugangsdaten (E-Mail + Passwort) zu erlangen, um das Konto des Opfers auf einer Börsenplattform zu übernehmen. Anschließend können alle gespeicherten Kryptowerte auf externe Adressen übertragen werden.

Beispiele für Vorgehensweisen:

• Der Angreifer sendet eine gefälschte E-Mail von der Plattform. Unter dem Vorwand verdächtiger Aktivitäten wird das Opfer aufgefordert, über einen Link das Passwort zu ändern. Der Link führt zu einer perfekten Kopie der echten Seite, die dazu dient, Zugangsdaten zu stehlen

• Der Betrüger erstellt gefälschte mobile Apps, die legitime Börsen-Apps imitieren. Beim Einloggen gibt der Nutzer unwissentlich seine Zugangsdaten preis. Diese werden abgefangen und verwendet, um das echte Konto zu plündern. Ein solcher Fall ereignete sich im Oktober 2024 mit der Metamask-Wallet, bei der gefälschte Anzeigen auf Google Play Nutzer zu einer geklonten App weiterleiteten

Diebstahl privater Schlüssel

Ziel ist es, die privaten Schlüssel zu stehlen, die den Besitz von Krypto-Adressen beweisen. Wer diese Schlüssel besitzt, kontrolliert die zugehörigen Assets.

Beispiele für Vorgehensweisen:

• Der Betrüger sendet eine manipulierte E-Mail mit Malware (einen „Keylogger“). Wird sie geöffnet, installiert sich der Virus unbemerkt und zeichnet alle Tastatureingaben auf, insbesondere private Schlüssel

• Der Angreifer erstellt eine gefälschte Webseite oder Browsererweiterung, die eine legitime Wallet-Lösung imitiert (z. B. Metamask oder Ledger Live). Wenn der Nutzer seinen Schlüssel importiert, wird dieser in Echtzeit abgefangen

Betrug mit falschen Projekten oder Investitionen

Anstatt Zugangsdaten zu stehlen, bewegen einige Betrüger ihre Opfer dazu, ihre Krypto-Assets selbst zu übertragen. Sie nutzen klassische Betrugsmechanismen wie Investitionsdruck, künstliche Verknappung oder astronomische Renditeversprechen.

Beispiele für Vorgehensweisen:

• Ein bekannter Influencer kündigt auf Twitter einen Überraschungs-Airdrop an. Ein Airdrop, bei dem kostenlose Token an Follower vergeben werden. Die Registrierungsseite ist jedoch eine Falle, die Krypto-Assets einsammelt, die als „Bearbeitungsgebühr“ überwiesen werden

• Eine angebliche Berühmtheit lanciert einen eigenen Token mit großer Ankündigung und viralem Marketing. Der Preis steigt rasant, tausende Investoren steigen ein. Dann verschwindet das Team plötzlich mit der Kasse, und der Token ist wertlos

Welche Maßnahmen schützen vor Phishing-Risiken?

Stärke deine Passwörter

Wähle lange Passwörter (>12 Zeichen) mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Jedes Passwort sollte einzigartig sein. Ein Passwort-Manager kann dir helfen, sichere Passwörter zu erstellen und zu speichern.

Nutze Multi-Faktor-Authentifizierung
Aktiviere 2FA (zum Beispiel einen temporären Code per SMS/App zusätzlich zu Login und Passwort) oder sogar MFA (drei oder mehr unabhängige Faktoren). Es mag etwas umständlich sein, bietet dir aber einen hohen Schutz.

Halte deine Software auf dem neuesten Stand
Installiere Sicherheitsupdates immer sofort, um Schwachstellen zu schließen, die von Phishing-E-Mails ausgenutzt werden könnten.

Praktiziere digitale Hygiene
Öffne niemals Anhänge oder Links von unbekannten Absendern – und auch bei bekannten Absendern nur, wenn du dir sicher bist. Überprüfe immer die Identität des Absenders.

Hinterfrage verlockende Angebote
Wenn ein Angebot zu gut klingt, um wahr zu sein, dann ist es das wahrscheinlich auch!

Nutze nur vertrauenswürdige Plattformen
Lang etablierte Plattformen wie Bitpanda investieren viel in Sicherheit. Hier wird:

• Multi-Faktor-Authentifizierung verpflichtend eingesetzt

• Anomalien werden schnell erkannt und kommuniziert

Fazit

In den letzten Monaten hat der Aufstieg von KI bei Cybersicherheitsexperten Besorgnis ausgelöst. Deepfakes werden zunehmend in Phishing-Kampagnen eingesetzt, mit ultrarealistischen Videos, um Dritte zu imitieren. Zum Glück bringt KI auch neue Verteidigungstools mit sich. Algorithmen zur Anomalieerkennung, E-Mail-Analyse-Systeme und Sicherheitsautomatisierung machen ebenfalls Fortschritte. KI ermöglicht die Echtzeitanalyse enormer Datenmengen.

Das Kryptowährungs-Ökosystem ist aus mehreren Gründen das bevorzugte Jagdrevier für Phishing-Enthusiasten: Nutzer ohne Fachkenntnisse, die Angst haben, etwas zu verpassen, digitale Assets, die auf Online-Plattformen gespeichert sind, und Unsicherheiten bezüglich der Speichertools (Hot/Cold Wallets). Der Hauptgrund liegt jedoch in der Unwiderruflichkeit von Kryptowährungstransaktionen, die durch die Natur der Blockchain bedingt ist. Es ist unmöglich, eine Überweisung zu stornieren, selbst wenn sie betrügerisch ist.

Letztendlich bleibt der Mensch das entscheidende Glied. Kein Sicherheitsgerät kann individuelle Wachsamkeit und Risikobewusstsein ersetzen – und das gilt besonders für Krypto-Investoren.

Bleib sicher und informiert mit der Bitpanda Academy

Krypto-Betrügereien entwickeln sich ständig weiter, aber Wissen ist deine beste Verteidigung. Die Bitpanda Academy bietet dir viele Ressourcen, um in der Krypto-Welt sicher zu bleiben. Erfahre mehr über gängige Krypto-Betrügereien, die größten Risiken beim Investieren und vieles mehr.