E-Mail-Sicherheit
Was ist Phishing?
Spam verstopft nicht nur E-Mail-Postfächer und bahnt Betrugsversuche an, sondern infiziert oft auch das Empfängersystem mit einem Schadprogramm zum Ausspionieren persönlicher Daten: Phishing heißt diese Cybercrime-Spielart – ein Kunstwort, das sich aus Passwort und Fishing zusammensetzt. Das Fischen nach Passwörtern hört sich harmloser an, als es in der Realität tatsächlich ist. Denn Phishing steht am Anfang verschiedenartiger Delikte, die vom "einfachen" Datendiebstahl über illegale Kontoabbuchungen bis hin zu Angriffen auf kritische Infrastrukturen reicht.
Wie erkenne ich Phishing E-Mails?
Wenn Sie eine E-Mail erhalten, auf die eines der folgenden Merkmale zutrifft, sollten Sie misstrauisch werden. Denn dann handelt es sich mit hoher Wahrscheinlichkeit um eine Phishing-Mail:
- Die Anrede ist unpersönlich, ohne Ihren Namen zu nennen:
"Sehr geehrter Kunde …". - Der Text der Mail schützt dringenden Handlungsbedarf vor, etwa:
"Wenn Sie Ihre Daten nicht umgehend aktualisieren, dann gehen sie unwiederbringlich verloren …". - Drohungen kommen zum Einsatz:
„Wenn Sie das nicht tun, müssen wir Ihr Konto leider sperren …". - Sie werden aufgefordert, vertrauliche Daten wie die PIN für Ihren Online-Bankzugang oder eine Kreditkartennummer einzugeben.
- Die E-Mail enthält Links oder Formulare.
- Der Nachrichtentext ist in schlechtem Deutsch verfasst.
- Der Text enthält kyrillische Buchstaben, falsch aufgelöste oder gänzlich fehlende Umlaute – zum Beispiel a oder "ea" statt ä.
Bei einer Phishing-Mail im HTML-Format verbirgt sich hinter dem angezeigten Absender oft eine andere E-Mail-Adresse. Ob dem so ist, können Sie auf verschiedene Weise feststellen: Wenn Sie Ihre E-Mails mit einem Browser verwalten, werfen Sie einen Blick auf den sogenannten Quelltext der HTML-Mail. In einem gängigen E-Mail-Programm können Sie den Cursor einfach mit der Maus über die Absenderzeile führen, aber ohne darauf zu klicken. Dann sehen Sie die, ob in der Absenderzeile eine andere Adresse eingebettet ist.
Schauen Sie sich das Video an, dort erfahren Sie, an welchen 3 Punkten Sie betrügerische E-Mails erkennen können.
Wie erkenne ich Phishing Webseiten?
Vielleicht haben Sie früher einmal gehört oder gelesen, dass die Abkürzung "https://" im Internetadressfeld Ihres Browsers für eine gesicherte Verbindung und folglich für eine vertrauenswürdige Website steht. Tatsächlich signalisiert die Abkürzung, dass der Betreiber ein sogenanntes SSL-Zertifikat für seine Seiten erworben hat. Genau dies tun aber auch immer mehr Phishing-Betrüger, um den Anschein der Vertrauenswürdigkeit zu erwecken. "https://" bedeutet heute also keine Entwarnung mehr.
- Prüfen Sie jeden Link in E-Mails und sozialen Netzen vor dem Aufruf sorgsam. Stutzig sollten Sie werden, wenn die Internetadresse zwar den Namen der jeweiligen Institution enthält, aber in Verbindung mit ungewöhnlichen Zahlen oder Zeichenkombinationen wie in "www.135x-Bank.de".
- Auch die Abfrage beispielsweise einer TAN, ohne dass Sie irgendeine Transaktion ausgelöst haben, ist ein klares Indiz für gefälschte Phishing-Seiten.
- Misstrauisch sollten Sie dann werden, wenn Sie nach der Anmeldung etwa bei Ihrer Bank aufgefordert werden, bekannte Daten wie Name, Adresse oder IBAN erneut einzugeben.
Wie können Sie sich schützen?
Was Sie beachten sollten, wenn Sie Daten- oder Passwortdiebstahl entgehen möchten:
- Überprüfen Sie stets die Adressleiste in Ihrem Browser. Am besten tragen Sie die Adressen zu häufig besuchten Login-Seiten in die Favoritenliste Ihres Browsers ein.
- Klicken Sie niemals auf Links in einer dubiosen E-Mail. Versuchen Sie im Zweifelsfall stattdessen, die im E-Mail-Text genannte Seite über die Startseite der betreffenden Organisation zu erreichen – also ohne den angegebenen Link in die Adresszeile des Browsers einzutippen.
- Wenn Sie sich nicht sicher sind, ob eine E-Mail vielleicht berechtigter Weise nach vertraulichen Daten fragt, fragen Sie am besten telefonisch bei dem genannten Anbieter nach.
- Geben Sie keinesfalls persönliche Daten wie Passwörter, Kreditkarten- oder Transaktionsnummern via E-Mail preis – egal, wie vertrauenserweckend die betreffende E-Mail erscheint.
- Geben Sie persönliche Informationen nur in der gewohnten Weise etwa auf der Online-Banking-Website ein. Sobald Ihnen irgendetwas seltsam vorkommt, beenden Sie die Verbindung sofort und kontaktieren Sie den regulären Website-Betreiber.
- Starten Sie niemals einen Download-Link direkt aus einer E-Mail heraus, auf deren Echtheit Sie sich nicht hundertprozentig verlassen können. Starten Sie, wenn möglich, einen Download stets direkt von der Anbieter-Website.
- Öffnen Sie insbesondere niemals Dateien im Anhang einer verdächtigen E-Mail.
- Beenden Sie jede Online-Session durch einen regulären Log-out – statt einfach nur das Browserfenster zu schließen.
- Kontrollieren Sie regelmäßig den Saldo Ihres Bankkontos sowie Umsätze zum Beispiel von Internetzahlungsdienstleistern. So können Sie bei unbefugten Abbuchungen schneller reagieren.
- Geben Sie niemals persönliche Daten auf Webseiten mit unverschlüsselter Verbindung ein. Ob eine Website verschlüsselt mit Ihrem Browser kommuniziert, erkennen Sie an der Abkürzung "https://" in der Adresszeile sowie an dem kleinen Vorhängeschloss- Symbol neben der Adresszeile des Browsers.
- Achten Sie stets darauf, dass Ihre Antivirus-Software aktuell und die Firewall aktiv ist.
Beispiele von Phishing E-Mails
"Ihre Daten sind veraltet": Mit fast 40 Millionen Kundenkonten sind die deutschen Sparkassen als gefälschter Absendername für Phishing-Betrüger besonders attraktiv. Bei einer Phishing-Kampagne unter Sparkassenlabel gingen die Täter sehr raffiniert vor. Als Empfänger werden Sie hier namentlich angesprochen.
E-Mail vom Onlinehändler: "Ihr Konto wurde eingeschränkt!" – mit dieser Botschaft kursieren Phishing-E-Mails, die scheinbar von Amazon stammen. Unter dem Vorwand, Ihre Daten vor Missbrauch zu schützen, versuchen Kriminelle, Sie zur Eingabe vertraulicher Daten zu bewegen. Denn damit können sie auf fremder Leute Kosten Waren bestellen. Wiederum droht bei Nichteingabe angeblich eine Kontosperrung.
Angeblich wegen Datenschutz: Nach dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Frühjahr 2018 haben auch Cyberkriminelle dieses Thema für sich entdeckt. Unter der falschen Flagge des Internetzahlungsdienstleisters PayPal versenden sie immer wieder massenhaft Phishing-Mails, in denen sie behaupten, der Gesetzgeber verpflichte sie zur regelmäßigen Überprüfung sämtlicher Kundendaten. Komme ein Kunde der Aufforderung zur Eingabe seiner Daten nicht nach, werde das Konto gemäß DSGVO sofort gesperrt.