Phishing zählt zu den größten Bedrohungen, denen E-Mail-Nutzer nahezu täglich ausgesetzt sind. Dies rührt daher, dass immer mehr Menschen bequem über das Internet einkaufen oder etwa Bankgeschäfte online abwickeln. Für Trickbetrüger ist das ein gefundenes Fressen: Sie senden gefälschte Nachrichten im Namen von seriösen Institutionen aus, um Malware zu verbreiten oder Datendiebstahl zu begehen.
Die Angst vor Phishing ist weit verbreitet, da es derartige Mails oftmals an den Spamfiltern vorbei schaffen. Es liegt also größtenteils in der Verantwortung der E-Mail-Nutzer, Phishing-Mails zu erkennen. In diesem Bericht verraten wir Ihnen, welche Indizien darauf hinweisen, dass eine E-Mail nicht das ist, was sie zu sein scheint.
Was ist Phishing?
Das Wort “Phishing” leitet sich vom englischen Begriff fishing (Angeln) ab. Denn beim Phishing nutzen Trickbetrüger gefälschte Mails als Köder, um nach Login-Daten oder Kontodaten zu “angeln”. Die E-Mail-Absender nehmen die Identitäten von weit verbreiteten, seriösen Onlinediensten (Amazon, PayPal, ebay, Sparkasse, Telekom…) an, sind aber in Wahrheit Cyberkriminelle, die es auf Ihre Daten abgesehen haben.
In den Nachrichten werden die nichtsahnenden Leser dazu aufgefordert, Formulare auszufüllen, Anhänge zu öffnen oder einem Link zu folgen. Oftmals ist dies mit Warnungen der Kontoschließung oder mit Zahlungsaufforderungen verbunden, um Panik zu verbreiten. In vielen Fällen werden die Leser darum gebeten, Ihre Nutzerdaten zu aktualisieren, wobei sie auf gefälschte Webseiten zur Eingabe weitergeleitet werden.
Das Ziel der Betrüger ist es, die Leser dazu zu bringen, ihre Benutzernamen, Passwörter, PINs und TANs preiszugeben. Diese Daten werden dann genutzt, um sich beim realen Online-Dienst einzuloggen und Buchungen, Geldtransaktionen oder Warenbestellungen im Namen des Nutzers zu tätigen. Im schlimmsten Fall wird das komplette Konto leergeräumt, ohne, dass jemand Verdacht schöpft.
Beispieltext Phishing Amazon Sehr geehrter Kunde,Wir sahen uns dazu gezwungen, Ihr Amazon-Konto aufgrund von mehreren fehlgeschlagenen Anmeldeversuchen sowie ungewöhnlichen Kontoaktivitäten vorübergehend zu deaktivieren.Wir nehmen Ihre Sicherheit sehr ernst. Um die Sperrung Ihres Kontos aufzuheben, möchten wir Sie darum bitten, binnen 48 Stunden Ihre Kundendaten zu verifizieren.“Link” zur vermeintlichen Login-Seite |
Beispieltext Phishing Postbank
Die technische Abteilung der Deutschen Postbank führt zurzeit eine geplante Software-Aktualisierung durch, um die Qualität des Online-Banking-Services zu verbessern. Wir möchten Sie bitten, auf den untenstehenden Link zu klicken, um Ihre Kundendaten zu bestätigen. “Link” zur vermeintlichen Login-Seite Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe. |
So erkennen Sie Phishing-Mails
Es ist gar nicht so schwierig, Phishing-Mails auszumachen, sofern Sie stets einen aufmerksamen Blick bewahren und E-Mails im Posteingang kritisch analysieren. Natürlich stimmt es, dass die Betrüger immer ausgefeiltere Tricks bereithalten – doch mit dem richtigen Verhalten können Sie den Kriminellen stets einen Schritt voraus sein.
1. Adresse des Absenders überprüfen
Wenn Sie eine vermeintlich offizielle E-Mail Ihres Geldinstituts oder eines Online-Dienstleisters erhalten haben, sollten Sie sich zunächst fragen: Bin ich Kunde bei dem Anbieter bzw. besteht eine Geschäftsbeziehung mit diesem? Habe ich dem Anbieter jemals meine E-Mail-Adresse mitgeteilt? Lassen Sie sich die komplette Absenderadresse anzeigen und gleichen Sie diese mit vorangegangenen Nachrichten ab. Stimmen die Adressen nicht überein, ist Vorsicht geboten.
Scheint die Adresse legitim zu sein, können Sie noch einen Schritt weitergehen und die erweiterten Angaben im E-Mail-Header analysieren. Achten Sie auf die Received-Einträge mit der E-Mail- und IP-Adresse des (wahren) Absenders.
2. Anredeform überprüfen
Professionelle Dienstleister, die Ihre Kunden anschreiben, verwenden in der Regel eine persönliche Anrede und nennen die Empfänger bei ihrem Namen. Phishing-Absendern sind die Namen jedoch nicht immer bekannt, weshalb die Nachrichten oft mit “Sehr geehrte Damen und Herren”, “Verehrte Kunden” oder anderen Standardfloskeln beginnen.
3. Rechtschreibung und Grammatik überprüfen
Oftmals sind Phishing-Mails fehlerbehaftet. Rechtschreibfehler, fehlende Umlaute und/oder unverständliche Text-Passagen sind ein klares Indiz dafür, dass kein hochrangiger Angestellter an der Tastatur saß. Vielmehr wurde die Nachricht in einer fremden Sprache verfasst und dann automatisch übersetzt.
4. Auf irreführende Links oder Dateianhänge achten
Links in E-Mails sind etwas Selbstverständliches. Doch sollten Sie sich immer vergewissern, dass der Link auch auf eine seriöse Seite führt. Wenn Sie mit der Maus über den Link-Text fahren, wird Ihnen links unten im Browserfenster die Zieladresse angezeigt. Überprüfen Sie, ob diese Webadresse mit der tatsächlichen Anbieter-URL übereinstimmt und ob die Adresse mit “https://” beginnt. Im Zweifelsfall sollten Sie den Link nicht anklicken und die angegebene Seite auch nicht manuell in die Adresszeile des Browsers eingeben.
Ebenso sollten Dateianhänge mit äußerster Skepsis behandelt werden. Laden Sie Anhänge von ominösen Anbieter-E-Mails niemals herunter, da diese Schadprogramme (Viren, Trojaner…) enthalten könnten.
5. Keine Daten per Mail weitergeben
Seriöse Anbieter werden Sie niemals dazu auffordern, Ihre persönlichen Daten per Mail weiterzugeben. Geben Sie daher niemals Ihre Login-Daten, Passwörter oder PINs in angehängten bzw. im Text eingebetteten Formularen preis. Derartige Informationen dürfen Sie nur auf Anbieterseiten eingeben, deren Authentizität durch bestehende Sicherheitszertifikate bestätigt werden konnte (vergewissern Sie sich, dass die Verbindung sicher ist, indem Sie auf das kleine Schloss in der Adresszeile im Browser klicken).
6. Auf Mechanismen zur Unterdrucksetzung achten
Wenn eine E-Mail von einem vermeintlichen Online-Dienstleister akuten Handlungsbedarf signalisiert, ist Vorsicht geboten. Die Trickbetrüger versuchen mit allen Mitteln, die Leser unter Druck zu setzen, zu verunsichern und zu unüberlegten Handlungen zu bewegen. In Phishing-Mails wird häufig mit Kontosperrungen, Kreditkartensperrungen, Strafzahlungen oder sonstigen schwerwiegenden und drastischen Maßnahmen gedroht. Bevor Sie in Panik geraten, sollten Sie sich an die Kunden-Hotline des tatsächlichen Anbieters wenden und die Sachlage aufklären.
7. Recherchieren
Denken Sie daran: Sie sind nicht die einzige Person, die ins Visier der Trickbetrüger geraten ist. Phishing-Mails, die sich aktuell im Umlauf befinden, werden schnell enttarnt und im Internet an den Pranger gestellt. Falls Sie Zweifel haben, ob eine Mail echt oder gefälscht ist, sollten Sie Ihre Suchmaschine zu Rate ziehen (suchen Sie z.B. nach “Phishing PayPal 2021” oder “Phishing Telekom aktuell”). Viele Seiten – z.B. von der Deutschen Verbraucherzentrale – klären über bekannte Betrugsversuche auf und stellen regelmäßig Warnungen aus.
Sie haben eine Phishing-Mail aufgedeckt… und nun?
Sobald Sie eine vermeintlich seriöse Mail als Phishing-Versuch enttarnt haben, sollten Sie die E-Mail in den Spamordner verschieben und die Absenderadresse blockieren bzw. auf die Blacklist setzen, um sich vor zukünftigen Angriffen desselben Absenders zu schützen. Zudem sollten Sie in Erwägung ziehen, den Dienstleister, in dessen Namen die Phishing-Mail versandt wurde, zu kontaktieren und über den Umstand aufzuklären. Mittlerweile bieten viele Onlinedienste unkomplizierte Kontaktwege für Kunden an, um Phishing-Angriffe zu melden.
Noch einmal zusammengefasst…
- Phishing ist eine reale Bedrohung, der Internet-Nutzer nahezu täglich ausgesetzt sind.
- Trickbetrüger zielen auf ahnungslose Kunden von Online-Diensten (Zahlungsdienstleistern, Online-Shops, Online-Banken etc.) ab, die dazu bewegt werden sollen, ihre Kontodaten per Mail oder auf einer unsicheren Webseite preiszugeben.
- Phishing-Mails werden immer ausgefeilter, aber auch immer schneller aufgedeckt.
Die Authentizität des Absenders lässt sich im Regelfall schnell überprüfen. Im Zweifelsfall sollten Sie der Handlungsaufforderung niemals nachgehen, bevor Sie nicht Rücksprache mit dem tatsächlichen Anbieter gehalten haben.