Cookie Consent
Diese Seite verwendet Cookies, um die Nutzererfahrung zu verbessern. Indem Sie auf Zustimmen klicken, erlauben Sie den Einsatz von Cookies. Mit Klick auf Ablehnen, werden die Cookies deaktiviert. Mehr Details finden Sie in unserer Datenschutzerklärung.
Checkliste zum Erkennen von Phishing-E-Mails
Lisa Figas. Marketing Manager bei Boxcryptor
Lisa Figas | Marketing Manager
@meet_lisa
Tuesday, November 12, 2019

Phishing – Login-Daten nicht leichtfertig irgendwo eintragen

Dieser Artikel wurde überarbeitet

Drilling, Teleskop-Rute, Angelstuhl – wenn die Ausrüstung passt, braucht man nur noch das passende Gewässer und der Fisch kommt von allein. Wer im Internet einen Köder auswirft, bzw. Phishing betreibt, hat es noch leichter – man muss nach einem Fang schließlich niemandem den Darmtrakt entfernen. Ganz im Gegenteil: Das Opfer eines Internetbetruges merkt oft nicht einmal, dass es am Haken hängt…

Was ist Phishing?

Phishing ist Internetbetrug. Es geht darum, durch Vorspiegelung falscher Tatsachen sensible Daten zu erschleichen. In sehr vielen Fällen von Phishing versuchen die Angreifer mit gefälschten E-Mails an Benutzerdaten zu kommen.

Das läuft dann zum Beispiel so ab: Im E-Mail-Postfach erscheint eine E-Mail mit einem Betreff, der Aufsehen erregt, wie zum Beispiel: „Ihr Konto wurde aus Sicherheitsgründen gesperrt!“ oder „Automatische Überprüfung Ihres Onlinebanking“. Oft handelt es sich dabei um angebliche Nachrichten von Banken, in denen um Verifizierung gebeten wird. Auch gefälschte PayPal-E-Mails und E-Mails von anderen Zahlungsdiensten sind sehr häufig. Das Ziel der Betrüger ist, die Empfänger der E-Mail dazu zu bringen, eine Webseite zu besuchen und dort ihre Login-Daten anzugeben.

Oft sehen die E-Mails und auch die Webseiten, die besucht werden sollen, dem echten Angebot des angeblichen Absenders optisch sehr ähnlich. Das ist das Perfide daran. Genau so sind die Betrüger damals beim Netflix Phishing vorgegangen. Mit gefälschten E-Mails wurden Nutzer auf nachgebaute Seiten gelockt. Ziel des Betruges war das Abgreifen von Kreditkarten-Daten. Es ist unklar, wie viele Kontodaten die Kriminellen damals erbeutet haben. Für die einzelnen Betroffenen ist so eine Attacke jedenfalls mit viel Ärger und oft auch mit Geldeinbußen verbunden.

Ist ein Empfänger oder eine Empfängerin auf so eine Phishing-Mail hereingefallen und hat Daten in das dafür vorgesehene Feld eingetippt, erhalten die Betrüger Zugriff auf das Onlinebanking oder den PayPal-Account (oder was auch immer abgegriffen wurde). Dass man damit viel Schaden anrichten kann, kann sich jeder vorstellen, der Onlinebanking oder PayPal nutzt. Angreifer könnten einerseits Geld entwenden, andererseits aber auch im Namen der oder des Geschädigten Einkäufe abwickeln und so zum Beispiel den Kreditrahmen oder den Ruf nachhaltig beschädigen.

Es gibt auch Phishing-E-Mails, die einen Virus oder andere Schadsoftware enthalten. Diese versteckt sich dann im Anhang. Das Öffnen von E-Mail-Anhängen sollte also ebenso überlegt erfolgen wie das Anklicken von Links, die einem unaufgefordert zugeschickt werden.

Woran erkennen Sie Phishing E-Mails?

Christian Olbrich, Developer und Software Security Advisor bei Boxcryptor, hat eine Checkliste zum Erkennen von Phishing-E-Mails zusammengestellt:

1. Achten Sie auf den Absender. Wenn dieser seltsam wirkt, sollten Sie vorsichtig sein. Aber Achtung: Absender können leicht gefälscht werden. Ein bekannter Absender ist also auch keine Garantie dafür, dass die E-Mail harmlos ist.

2. Klicken Sie nicht auf Links, die Ihnen unaufgefordert zugesendet wurden. Im Zweifelsfall können Sie die genannte Webseite über den Browser ansteuern (ohne den Link zu klicken). Wenn das Unternehmen tatsächlich eine Warnung per E-Mail verschickt hat, wird dieses Thema auch auf der Webseite zu finden sein.

3. Achten Sie darauf, ob sich die fragliche E-Mail wirklich an Sie als Empfänger richtet. Bei E-Mails ohne persönliche Ansprache sollten Sie misstrauisch werden. Ein positives Zeichen wäre es, wenn in der Mail Informationen enthalten sind, die nur innerhalb der Absender-Webseite bekannt sind. Das können zum Beispiel der Nutzername oder kürzlich durchgeführte Aktionen sein.

4. Achten Sie auf die Schreibweise. Große Unternehmen wie PayPal versenden in der Regel E-Mails mit korrekter Rechtschreibung und Grammatik. Hacker oft nicht. Schlechtes Deutsch ist ein wichtiger Hinweis auf Phishing. Banken schicken in der Regel überhaupt keine E-Mails. Und wenn, dann nur im Namen Ihres persönlichen Beraters oder Ihrer Beraterin. Achten Sie außerdem auch auf den Tonfall. Ein seriöser Anbieter wird in offiziellen E-Mails keine Drohungen aussprechen.

5. Ignorieren Sie E-Mails, die von Banken kommen, bei denen Sie kein Konto haben. Gleiches gilt für PayPal, Amazon und Facebook: Dienste, die Sie nicht nutzen, können (und dürfen) Ihnen auch keine E-Mail schreiben.

Haben Sie die oben genannten Punkte geprüft und sind zu dem Schluss gekommen, dass Sie dem Absender vertrauen, dann gibt es noch einen weiteren, relevanten Aspekt: Können Sie die Aktion, die von Ihnen verlangt wird, durchführen, indem Sie die Webseite manuell ansteuern? Wenn ja – fein, dann handelt es sich höchstwahrscheinlich um eine berechtigte Mail.

Bitte beachten Sie trotzdem noch Folgendes:

  1. Stellen Sie sicher, dass das Protokoll https verwendet wird (das bedeutet, dass die Verbindung zwischen Computer und Server verschlüsselt ist). Sie können das leicht mit einem Blick in die Adresszeile Ihres Browsers überprüfen.
  2. Stellen Sie sicher, dass die Domain in der URL tatsächlich die der legitimen Webseite ist (und nicht etwa eine ähnlich klingende/aussehende).
  3. Achten Sie darauf, dass die Webseite "SSL verifiziert" ist (grünes Schloss in der Adresszeile des Browsers).
  4. Alle großen IT Unternehmen und Firmen, die Ihre Dienste im Internet anbieten, haben einen Support. Das sind Mitarbeiter und Mitarbeiterinnen, die sich ausschließlich um die Belange von Kunden und Kundinnen kümmern. Hier kann man auch immer nachfragen, ob eine E-Mail wirklich von dort kommt oder nicht.

Grundsätzlich gilt: Seien Sie sich stets bewusst, was Sie gerade tun. Viele Gefahren im Internet kann man erkennen, wenn man sensibilisiert ist. Dadurch unterscheiden wir uns ganz erheblich von den ahnungslosen Fischen, die von niemandem vor Ködern gewarnt wurden.

Gefallen Ihnen unsere Artikel?

Dann melden Sie sich doch für unseren kostenlosen Newsletter an und erhalten Sie weitere Cloud-Geschichten, Sicherheitstipps und Berichte von unseren Krypto-Experten.

Mit der Eingabe Ihrer E-Mail-Adresse stimmen Sie unserer Datenschutzbestimmung zu.
Beitrag teilen