Wie erkennt man Phishing? 9 Tipps zum Erkennen von Phishing
Die Phishing-Mail-Checkliste. 9 Tipps zum Erkennen von Phishing.
Wir alle haben fast täglich damit zu tun: Phishing-Mails im Posteingang. Im Geschäfts- und Privatleben ist Phishing immer noch die größte digitale Bedrohung. Um ein Bild zu zeichnen: 90 % aller erfolgreichen Cyberangriffe auf Unternehmen werden durch eine Phishing-E-Mail verursacht. Die direkten Folgen können enorm sein. Denken Sie an Ransomware-Infektionen, die ganze Organisationen zum Stillstand bringen, und an Hacks, die zu gigantischen Datenlecks führen. Vergessen Sie dabei nicht die indirekten Folgen, wie z. B. den finanziellen Schaden, um Systeme wieder zum Laufen zu bringen, tagelang nicht geschäftsfähig zu sein sowie auch den nachhaltigen Imageschaden. Auf persönlicher Ebene wird es Sie vor allem eine Menge Geld kosten, da die meisten Angriffe darauf abzielen, Zugang zu Ihrem Bankkonto zu erhalten. Ein Moment der Unachtsamkeit und schon ist ein Fehler gemacht, besonders im Eifer des Gefechts. Es ist wichtig, sich der roten Flaggen in einer E-Mail bewusst zu sein, die alle Alarmglocken auslösen sollten. Verwenden Sie daher eine Checkliste, um Phishing-E-Mails schnell zu erkennen und echte von gefälschten zu unterscheiden. Wir haben 9 Tipps zum Erkennen von Phishing-Mails zusammengestellt. Das kann Ihnen eine Menge Ärger ersparen.
15 jul
1) Trauen Sie dem als Absender angegebenen Namen nicht
Der Absendername zeigt nicht immer die (echte) E-Mail-Adresse an. Klicken oder doppelklicken Sie auf den Absendernamen, um die E-Mail-Adresse anzuzeigen. Aber Vorsicht: Kriminelle lassen oft eine E-Mail-Adresse wie eine legitime aussehen, indem sie zum Beispiel nur einen Buchstaben ändern oder löschen.
Wie stellen Sie die Legitimität einer E-Mail-Adresse fest? Der Teil nach dem @-Zeichen muss mit dem Domainnamen enden. Jeder Text vor dem Domainnamen muss durch einen Punkt getrennt werden.
Korrekt: kundenservice@mail.sparkasse.de
Falsch: newsletter@emaillogin-sparkasse.de
Eine korrekte E-Mail Adresse ist keine Garantie. Die E-Mail-Adresse wurde möglicherweise gefälscht oder das E-Mail-Konto wurde gehackt. Letzteres war der Fall, als holländische Online-Betreiber eine E-Mail von einem Lieferanten erhielt, in der sie aufgefordert wurden, eine Kontonummer zu ändern. In diesen Fällen ist die E-Mail-Adresse allein kein Merkmal für Phishing.
2) Prüfen Sie alle Links, aber klicken Sie nicht darauf
Klicken Sie nur auf einen Link, wenn Sie sich zu 100 % sicher sind, dass dem Absender und der Nachricht vertraut werden kann. Fahren Sie mit der Maus über den Link in der E-Mail und überprüfen Sie, ob der Domainname in der URL legitim ist. Auch hier sollte der Teil nach dem @-Symbol mit dem Domainnamen enden. Jeder Text vor dem Domainnamen muss mit einem Punkt getrennt werden.
Auf einem Smartphone oder Tablet können Sie den vollständigen Link sehen, indem Sie eine Zeit lang auf den Link drücken, bis ein Fenster mit der Webadresse erscheint.
3) Achten Sie auf die Dringlichkeit
Beim Phishing wird oft mit großen Konsequenzen ("Überweisen Sie schnell Geld, sonst verlieren wir das Geschäft") oder hohen Kosten gedroht, wenn Sie nicht schnell handeln. Beim CEO-Fraud, einer Form des Phishings, bei der der Kriminelle vorgibt, eine hochrangige Person innerhalb des eigenen Unternehmens zu sein, werden die Anfragen oft am Ende des Tages verschickt, um die Dringlichkeit besonders überzeugend darzustellen. Seien Sie also besonders aufmerksam, wenn eine Nachricht eine hohe Dringlichkeit oder einen gewissen Zeitdruck enthält.
4) Achten Sie besonders auf Anhänge, die mitgeschickt werden
Anhänge sind eine Quelle für Malware-Infektionen. Achten Sie besonders auf Anhänge, die mit .zip, .docm oder .xlsm enden. Anhänge, die Sie niemals öffnen sollten, sind Dateien, die auf .js .lnk .scr .jar enden. Öffnen Sie Anhänge nur, wenn Sie diese erwarten und über zuverlässige Anhänge verfügen. Seien Sie besonders aufmerksam, wenn Sie keinen Anhang erwarten.
5) Achten Sie auf die Begrüßung
Beim Phishing wird oft eine allgemeine Anrede (Sehr geehrter Kunde) statt einer persönlichen Anrede (Guten Morgen [Ihr Name]) verwendet. Aber auch hier ist Vorsicht geboten. Kriminelle nutzen oft persönliche Daten, die bei einem Hack gestohlen wurden. In diesen Fällen werden sie eine persönliche Anrede verwenden. Diese persönliche Form des Phishings wird auch Spear-Phishing genannt.
6) Werden Sie nach Anmeldedaten gefragt?
Echte Unternehmen fordern Sie niemals auf, Ihre Anmeldedaten per E-Mail, SMS oder Telefon weiterzugeben. Wenn möglich, gehen Sie selbst mit Ihren bekannten Anmeldedaten auf die legitime Website und melden Sie sich an, um die Meldung zu überprüfen.
7) Achten Sie auf Rechtschreib- und Grammatikfehler
Bei einer Phishing-Nachricht wird oft nicht so streng auf Rechtschreibung und Grammatik geachtet. Aber Vorsicht: Heutzutage wird Phishing immer raffinierter. Die Zeiten, in denen alle Phishing-Nachrichten voller Sprachfehler waren, sind vorbei.
8) Sieht es zu gut aus, um wahr zu sein?
Das ist oft der Fall! Mega-Rabatte, kostenlose Produkte oder hohe Renditen werden oft angeboten, um Sie zum Klicken oder zum Hinterlassen von Daten zu verleiten.
Der "klassischste" Fall ist der des Nigerianischen Prinzen, der Sie in seinem Testament erwähnt hat und der Sie über Nacht zum Millionär machen soll.
9) Im Zweifelsfall immer prüfen
Zweifeln Sie an der Authentizität einer Nachricht? Nehmen Sie dann telefonisch Kontakt mit dem Absender auf. Verwenden Sie nicht einfach die Nummer in der Nachricht, sondern schlagen Sie sie selbst nach. Sie können sich auch an einen Kollegen oder den Service Desk in Ihrer Organisation wenden.
Die Verantwortung von Organisationen
Es liegt in der Verantwortung von Organisationen, das "Phishing-Bewusstsein" ihrer Mitarbeiter stets hoch zu halten. Schulen Sie die Mitarbeiter regelmäßig im Erkennen von Phishing und führen Sie auch Phishing-Simulationen durch, um festzustellen, wie anfällig das Unternehmen ist. Neben der Ermittlung des aktuellen Risikos stellen Simulationen – wenn sie richtig durchgeführt werden – ein perfektes Mittel dar, um Bewusstsein zu schaffen und die Mitarbeiter resistent gegen zukünftige Phishing-Angriffe zu machen.
Es ist wichtig, dass die Mitarbeiter zu jeder Zeit so aufmerksam wie möglich sind. Dies kann nur durch einen prozessorientierten Ansatz erreicht werden. Bei Awaretrain helfen wir Ihnen gerne dabei. Werfen Sie einen Blick auf unsere Produkte und Dienstleistungen oder kontaktieren Sie uns für weitere Informationen.
Testen Sie unsere Phishing-Simulationsplattform kostenlos!
Möchten Sie mehr über die kostenlose Nutzung unserer Phishing-Plattform erfahren oder Ihren kostenlosen Zugang anfordern? Verwenden Sie dazu die unten stehende Schaltfläche.
Phishing beginnen!
Laden Sie unser kostenloses Poster herunter
Klicken Sie hier oder auf die Vorschau unten, um das Poster im A2-Format herunterzuladen.
Was ist Phishing?
Einige Spear-Phishing-E-Mails versuchen, noch mehr Informationen zu sammeln, um einen großangelegten Angriff vorzubereiten. Beispielsweise kann eine Spear-Phishing-Nachricht einen CEO auffordern, die Anmeldeinformationen seines E-Mail-Kontos zu aktualisieren, die während eines kurzen Ausfalls verloren gegangen sind, aber stattdessen einen Link zu einer böswilligen gefälschten Website bereitstellen, die darauf ausgelegt ist, diese Anmeldeinformationen zu stehlen. Mit diesen Zugangsdaten hat der Angreifer vollen Zugriff auf das Postfach des CEO – der Angreifer kann die E-Mail-Nachrichten des CEO nach noch mehr Informationen durchsuchen und eine überzeugende, betrügerische Nachricht direkt vom E-Mail-Konto des CEO senden, indem er die tatsächliche E-Mail-Adresse des CEO verwendet.
Dies ist ein Beispiel für Business Email Compromise (BEC) – eine besonders gefährliche Art von Spear-Phishing-Angriff, der entwickelt wurde, um Unternehmensmitarbeiter dazu zu bringen, sehr große Geldsummen oder wertvolle Vermögenswerte an einen Angreifer zu senden. BEC-E-Mails werden von den E-Mail-Konten der ranghöchsten Mitglieder des Unternehmens – oder von hochrangigen Mitarbeitern des Unternehmens, wie Anwälten, wichtigen Geschäftspartnern oder großen Anbietern – gesendet oder scheinen von diesen gesendet zu werden, und enthalten genügend Details, um sehr glaubwürdig zu erscheinen.
Spear-Phishing ist nicht die einzige Taktik, um die Informationen zu erhalten, die für einen erfolgreichen BEC-Angriff erforderlich sind. Hacker können auch Malware einsetzen oder Systemschwachstellen ausnutzen, um Zugriff auf E-Mail-Kontodaten zu erhalten. Oder, wenn sie keinen Zugriff auf Kontodaten erhalten, können Hacker versuchen, die Adresse des Absenders zu fälschen – indem sie eine E-Mail-Adresse verwenden, die der tatsächlichen Adresse des Absenders so ähnlich ist, dass der Empfänger den Unterschied nicht bemerkt.
Unabhängig von der Taktik gehören erfolgreiche BEC-Angriffe zu den teuersten Cyberangriffen. In einem der bekanntesten Beispiele von BEC überredeten Hacker, die sich als CEO ausgaben, die Finanzabteilung seines Unternehmens, fast 50 Millionen Euro auf ein betrügerisches Bankkonto zu überweisen.
Phishing mit E-Mails erkennen und Angriffe abwehren
Jeder dürfte sie schon im privaten oder beruflichen Posteingang gefunden haben: Phishing-E-Mails, mit denen Hacker sich persönliche Informationen oder Zugangsdaten verschaffen wollen. Ihr Ziel ist der direkte Zugriff auf Accounts oder das Sammeln von Interna, um eine Social-Engineering-Attacke besser vorbereiten zu können. Deshalb sollten Unternehmerinnen und Unternehmer ihre Beschäftigten für die Gefahr sensibilisieren und am besten entsprechende Schulungen organisieren. Die wichtigsten Inhalte: Was sind Phishing-Mails, wie lassen sie sich erkennen, wie sehen Beispiele für Phishing aus – sowohl erfolgreiche wie gescheiterte Versuche? Die Bedeutung des Themas Phishing ist nicht zu unterschätzen – per Phishing-Mail sind schon viele Informationen gestohlen, eigentlich nicht authorisierte Geldüberweisungen veranlasst und Firmendaten verschlüsselt worden, auf die sich erst nach Zahlung eines Lösegelds wieder zugreifen ließ. Deshalb sollten alle im Unternehmen nicht nur die Definition von Phishing kennen, sondern auch Hinweise auf eine Phishing-Mail entdecken sowie angemessen reagieren können.
Was ist Phishing – nicht nur per Mail – laut Definition?
Der Begriff Phishing stammt aus dem Englischen, zusammengesetzt aus mehreren Elementen. Fishing steht für das Ködern von Fischen, Passwort Harvesting das Ernten von Passwörtern. Die Schreibweise kommt aus der Hacker-Sprache, die häufig das Ph nutzt. Phreaking etwa bezeichnet schon lange das Entern von Telefonsystemen durch IT-Fans, sogenannte Freaks, deren übergroße Begeisterung auch Schrecken verbreiten kann. Qua Definition ist die Bedeutung von Phishing, dass sich jemand den Zugang zu persönlichen Informationen oder Account-Daten verschafft. Häufig kommen beim Phishing E-Mails zum Einsatz. Das erklärt auch, was Phishing-Mails sein sollen: Für die Empfänger überzeugend wirkende Köder, die zum Anbeißen animieren. Anbeißen bedeute, zu tun, was der Absender will, etwa Links der Phishing-Mail anklicken. Die bekanntesten Beispiele für Phishing-E-Mails sind Nachrichten, die zum Bestätigen von Account-Daten auffordern, tatsächlich aber nicht wie vorgetäuscht vom Onlineshop oder Finanzinstitut kommen, sondern von unbefugten Dritten, die das Konto damit kapern könnten. Deshalb ist es wichtig, Phishing-Mails zu erkennen.
Die Definition von Phishing geht über E-Mails aber weit hinaus. Zwar hat die Mail beim Phishing enorme Bedeutung, wie immer wieder neue Beispiele für den Versuch des Informationsdiebstahls zeigen. Deshalb ist es auch so wichtig, Phishing-Mails zu erkennen. Aber Phishing-Mails sind nicht die einzige Bedrohung. Es gibt auch andere Methoden als die E-Mail, um jemanden im Internet zur Preisgabe von vertraulichen Daten zu bewegen. Dazu zählen etwa gefälschte Webseiten oder auf echten Webseiten eingeschmuggelte Schadprogramme, aber auch SMS-Nachrichten oder manipulierte WLAN-Zugänge. Hierbei ist das Ziel der Attacken stets gleich. Es geht darum, Zugangsdaten und/oder persönliche Informationen der Opfer zu erbeuten. Damit können Cyber-Kriminelle auf einzelne Accounts und schlimmstenfalls auf komplette Firmen-IT-Netzwerke zugreifen – falls sie einen IT-Administrator überlisten. Oder sie nutzen erbeutete persönliche Informationen etwa aus dem E-Mail-Verkehr für Social-Engineering-Attacken auf Beschäftigte, die in der Hierarchie höher stehen. Erst gewinnen Hacker deren Vertrauen, dann versuchen sie, dadurch Geldüberweisungen zu veranlassen.
Warum nimmt die Bedeutung von Phishing zu?
Die Bedeutung von Phishing war schon immer groß – dass Cyber-Kriminelle ein Unternehmen mit Phishing-E-Mails angreifen, ist nicht neu. Doch die Angreifer gehen zunehmend geschickter vor, wenn sie jemanden attackieren. Manche Phishing-Mails lassen sich kaum noch erkennen, weil sie so gut gemacht sind. Auch einige gefälschte Webseiten, auf denen Internetnutzer und -nutzerinnen landen, unterscheiden sich nur in Nuancen vom Original. Es lässt sich manchmal kaum noch sagen, was Phishing-Mails sind und was authentische elektronische Nachrichten. Das liegt daran, dass sich Hacker mit Recherchen in offiziellen Quellen – etwa sozialen Netzwerken oder der Firmenwebsite – aktuelle Informationen besorgen. Sich gegebenenfalls ins Vertrauen ausgewählter Beschäftigter einschleichen, um an Details zu kommen. Sich von einem Unternehmen zum nächsten vorarbeiten und dabei Besonderheiten über die Zusammenarbeit erfahren. Und diese Interna inhaltlich so gut aufbereiten sowie optisch derart überzeugend im (gefälschten) Unternehmensdesign umsetzen, dass man Angriffsversuche kaum erkennt. Deshalb ist Phishing eine größere Bedrohung als je zuvor.
Technologien und Arbeitsweisen laden zu Angriffen ein
Zudem profitieren die Hacker von technischen und arbeitsorganisatorischen Veränderungen – auch daher wächst die Bedeutung von Phishing als Bedrohung. Neue digitale Lösungen erleichtern die Zusammenarbeit in Teams, deren Mitglieder räumlich weit voneinander entfernt sind. Und die Corona-Pandemie hat zahlreiche Unternehmen regelrecht dazu gezwungen, mehr Homeoffice oder mobiles Arbeiten zuzulassen. Nicht überall haben die technischen Sicherheitsvorkehrungen hier allerdings Schritt gehalten mit dem Umbau des IT-Netzwerks für Arbeiten aus der Distanz oder über Cloud-Lösungen. Oder es fehlt an fundierten Schulungen, was Phishing-Mails sind und wie man sie erkennen kann. Dabei dürfte jedem klar werden, wie gefährlich solche E-Mails sind, wenn die Definition einer Phishing-Mail inklusive verständlicher Beispiele für Phishing besprochen wird. Die Dimension des Problems zeigen aktuelle Daten, nach denen sich die Zahl der E-Mail-Bedrohungen 2021 im Vergleich zum Vorjahr verdoppelt haben. Konkret ging es hier um Angriffe in Cloud-basierten Systemen, die abgeblockt wurden. Als Hauptziel solcher Attacken erwiesen sich dabei hybride Arbeitsmodelle.
Die E-Mail-Verschlüsselung ist ein probates Mittel gegen Phishing, wie dieses Video zeigt.
Welche Arten von Phishing gibt es neben der Mail?
eim Phishing geht der erste Gedanke oft in Richtung Mail. Tatsächlich dienen als Ausgangspunkte für Angriffe zum Abgreifen von persönlichen Informationen und Account-Daten häufig Phishing-E-Mails. Deshalb ist es so wichtig, zu wissen, was Phishing-Mails sind, und sie erkennen zu können. Aber es ist ebenso wichtig, das Konzept hinter dem Phishing und die Bedeutung der Schulung von Beschäftigten zu begreifen. Denn qua Definition zielt Phishing stets darauf ab, etwas zu erbeuten – Adresse, Geburtsdatum, Kontoverbindung, idealerweise die Kombination aus Zugangsdaten und Passwörtern. Aber dies geschieht dann meistens nicht direkt mit der E-Mail. Sie ist beim Angriff nur das Mittel zum Zweck, die Empfänger zu bestimmten Aktionen zu bringen. Etwa einen Link anzuklicken, Software zu installieren oder eine Geldüberweisung zu veranlassen. Das tatsächliche Daten-Abgreifen findet nicht per E-Mail statt, sondern auf einer Internetseite oder nach der Überredung, (Schad-) Software herunterzuladen. Deshalb sollten möglichst viele Beschäftigte die per E-Mail oft nur angestoßenen Betrugstechniken verstehen.
Echte Webseiten oder WLANs können manipuliert sein
Phishing beginnt also qua Definition meistens per Mail. Nur wer weiß, was Phishing-E-Mails sind, und sie erkennen kann, kann der darin vorbereiteten Falle ausweichen. Hilfreich dafür ist natürlich, mit den Beschäftigten diverse Beispiele für Phishing beziehungsweise die dahinterstehenden Abgreifmethoden zu besprechen. Zu den gängigsten Angriffen auf Daten gehören derzeit folgende Methoden, wobei stets neue Tricks hinzukommen können:
Link-Manipulation. In der Phishing-Mail befindet sich ein Link zum Anklicken – vermeintlich geschickt von einer Organisation, bei der man einen Account hat. Der Klick führt zu einer Webseite, die aussieht wie die offizielle Homepage des Unternehmens, tatsächlich aber von Cyber-Kriminellen gefälscht wurde. Wer hier seine Zugangsdaten – Kontokennung und Passwort – eingibt, hat sie freiwillig Hackern überlassen.
In der Phishing-Mail befindet sich ein Link zum Anklicken – vermeintlich geschickt von einer Organisation, bei der man einen Account hat. Der Klick führt zu einer Webseite, die aussieht wie die offizielle Homepage des Unternehmens, tatsächlich aber von Cyber-Kriminellen gefälscht wurde. Wer hier seine Zugangsdaten – Kontokennung und Passwort – eingibt, hat sie freiwillig Hackern überlassen. Content-Injection. Manchmal gelingt es Hackern, offizielle Webseiten mit schädlichen Inhalten zu infizieren. Wer über einen Link oder direkt ankommt, landet zwar auf der Originalseite – aber ein manipuliertes Pop-Up-Fenster bittet um Dateneingabe oder leitet zu einer manipulierten Webseite weiter.
Manchmal gelingt es Hackern, offizielle Webseiten mit schädlichen Inhalten zu infizieren. Wer über einen Link oder direkt ankommt, landet zwar auf der Originalseite – aber ein manipuliertes Pop-Up-Fenster bittet um Dateneingabe oder leitet zu einer manipulierten Webseite weiter. Spear-Phishing/Whaling. Bei derartigen Angriffen zielen Phishing-E-Mails nicht per Schrotschuss auf eine große Menge von Adressen, sondern chirurgisch wie mit einer Harpune auf besonders wichtige Personen, eben einen dicken Fisch – den Wal. Der könnte in der Geschäftsleitung sein oder als Administrator in der IT – deren Passworte zu erhalten, wäre für Hacker der Jackpot. Diese Phishing-Mails zu erkennen, ist eine echte Herausforderung, denn sie sind mit Worten und Inhalten speziell auf die Adressaten zugeschnitten.
Bei derartigen Angriffen zielen Phishing-E-Mails nicht per Schrotschuss auf eine große Menge von Adressen, sondern chirurgisch wie mit einer Harpune auf besonders wichtige Personen, eben einen dicken Fisch – den Wal. Der könnte in der Geschäftsleitung sein oder als Administrator in der IT – deren Passworte zu erhalten, wäre für Hacker der Jackpot. Diese Phishing-Mails zu erkennen, ist eine echte Herausforderung, denn sie sind mit Worten und Inhalten speziell auf die Adressaten zugeschnitten. CEO-Betrug. Spear-Phishing und Whaling können auch Bestandteil des Social Engineering sein. Dann dienen die erbeuteten Informationen dazu, Phishing-Mails insbesondere an Personen im Finanzbereich glaubwürdiger erscheinen zu lassen. Als Geschäftsführer auftretend, schaffen es Hacker dann, per E-Mail-Korrespondenz eine Überweisung zu ihren Gunsten zu veranlassen.
Spear-Phishing und Whaling können auch Bestandteil des Social Engineering sein. Dann dienen die erbeuteten Informationen dazu, Phishing-Mails insbesondere an Personen im Finanzbereich glaubwürdiger erscheinen zu lassen. Als Geschäftsführer auftretend, schaffen es Hacker dann, per E-Mail-Korrespondenz eine Überweisung zu ihren Gunsten zu veranlassen. WLAN-Zwilling. Zunehmend überlisten Cyber-Kriminelle auch Menschen, die ein kostenloses WLAN-Netz nutzen wollen. Sie bringen sie dazu, sich mit einem manipulierten Hotspot zu verbinden. Dann lassen sich über diesen schädlichen Router wertvolle Daten abgreifen.
Phishing als Vehikel zum Einschleusen von Malware
Um sich bestmöglich zu schützen, sollte die Definition von Phishing keinesfalls zu eng sein. Es geht nicht nur darum, mithilfe von Phishing-E-Mails direkt Informationen zu erbeuten. Oft reicht es den Angreifern, mit ihrer Phishing-Mail zu einer bestimmten Handlung zu bewegen, durch die man sich dann erst richtig in die Bredouille bringt. Dazu kann das Herunterladen von Schadprogrammen ebenso gehören wie die direkte Kontaktaufnahme mit Betrügern.
Malware-Download. Phishing hat auch eine große Bedeutung beim Verbreiten von Schadsoftware. Oft soll es nicht zum Anklicken eines Links motivieren, sondern zum Herunterladen einer Software. Beispiele dafür sind Schadprogramme, die ungefährlich aussehen, aber nach der Installation im Hintergrund nach Daten suchen und das Unternehmen ausspionieren. Aber auch Schadprogramme in Form von Ransomware, die möglichst viele Daten auf den Firmenrechnern verschlüsselt. Erst nach Zahlung eines Lösegelds erhalten die betroffenen Unternehmen den Code zur Entschlüsselung, um wieder ihre Daten nutzen zu können. Die Sicherheitsbehörden warnen dringend davor, das geforderte Lösegeld – meist in Form einer Kryptowährung – zu zahlen. Erstens sei nie klar, ob man den Code zur Freigabe tatsächlich erhält. Zweitens finanziere man damit künftige, vielleicht noch ausgefeiltere Attacken und schade langfristig allen Unternehmen, die Ziel solcher Angriffe werden könnten.
Phishing hat auch eine große Bedeutung beim Verbreiten von Schadsoftware. Oft soll es nicht zum Anklicken eines Links motivieren, sondern zum Herunterladen einer Software. Beispiele dafür sind Schadprogramme, die ungefährlich aussehen, aber nach der Installation im Hintergrund nach Daten suchen und das Unternehmen ausspionieren. Aber auch Schadprogramme in Form von Ransomware, die möglichst viele Daten auf den Firmenrechnern verschlüsselt. Erst nach Zahlung eines Lösegelds erhalten die betroffenen Unternehmen den Code zur Entschlüsselung, um wieder ihre Daten nutzen zu können. Die Sicherheitsbehörden warnen dringend davor, das geforderte Lösegeld – meist in Form einer Kryptowährung – zu zahlen. Erstens sei nie klar, ob man den Code zur Freigabe tatsächlich erhält. Zweitens finanziere man damit künftige, vielleicht noch ausgefeiltere Attacken und schade langfristig allen Unternehmen, die Ziel solcher Angriffe werden könnten. Smishing/Vishing. Beim Smishing kommen SMS-Nachrichten zum Einsatz, die zum Öffnen schädlicher Seiten auf dem Smartphone animieren sollen, ähnlich wie bei den klassischen Phishing-E-Mails. Beim Vishing werden Nachrichten hinterlassen, man solle eine bestimmte Telefonnummer anrufen. Mit der Kontaktaufnahme wird erstens die Existenz beziehungsweise Attraktivität von Zielpersonen bestätigt und zweitens der konkrete Betrugsversuch gestartet.
Was sind Beispiele für das Phishing mit E-Mails?
Die Beispiele für Phishing per Mail sind so zahlreich wie die Möglichkeiten, irgendwo einen Account zu eröffnen oder zu bestellen. Qua Definition geht es beim Phishing meistens darum, spezifische Informationen und/oder Zugangsdaten zu erbeuten. Daher lassen sich Phishing-Mails oft daran erkennen, dass sie Probleme mit einem Account thematisieren und als dringlich darstellen. Ohne Konto beim genannten Unternehmen ist es natürlich leicht, Phishing-E-Mails zu erkennen. Wer kein Kunde der Postbank, löscht deren vermeintliche Nachricht einfach. Zum allgemeinen Problem wird Phishing durch das Erwähnen von Dienstleistern, deren Angebote viele Menschen nutzen. Bei Paypal, Ebay, Amazon, Microsoft oder Google haben viele ein Konto, von DHL und Hermes bekommen sie Pakete. Ist man unkonzentriert, besteht gerade bei etablierten Marken die Gefahr, geistesabwesend Links anzuklicken, statt erst den Absender zu prüfen oder zu überlegen, ob man überhaupt etwas bestellt hat, das eine Sendungsverfolgung erfordert. Dies sind einige der gängigen Phishing-E-Mails:
Rechnungen. Per Phishing-Mail kommt eine Rechnung, die man bezahlen soll. Wer das Dokument anklickt, um den Betrag zuzuordnen, hat verloren.
Per Phishing-Mail kommt eine Rechnung, die man bezahlen soll. Wer das Dokument anklickt, um den Betrag zuzuordnen, hat verloren. Konto-Upgrade. Über echt aussehende Phishing-E-Mails erhält man das Angebot für ein Upgrade, eventuell von der vermeintlich eigenen IT mit dem Verweis auf Microsoft-Programme. Wer klickt, landet aber nicht auf einer geschützten Unternehmensseite, sondern bei Abzockern – und soll dort natürlich Zugangsdaten eingeben.
Über echt aussehende Phishing-E-Mails erhält man das Angebot für ein Upgrade, eventuell von der vermeintlich eigenen IT mit dem Verweis auf Microsoft-Programme. Wer klickt, landet aber nicht auf einer geschützten Unternehmensseite, sondern bei Abzockern – und soll dort natürlich Zugangsdaten eingeben. Dokumenten-Sharing. Google Docs, Teams oder Dropbox-Dienste – auch hinter der Aufforderung zur gemeinsamen Bearbeitung von Dateien stehen oft Hackerangriffe. Diese Beispiele zeigen, dass Phishing in jedem Gewand daherkommt und vor einem Klick die Absenderdaten stets genau zu prüfen sind.
Google Docs, Teams oder Dropbox-Dienste – auch hinter der Aufforderung zur gemeinsamen Bearbeitung von Dateien stehen oft Hackerangriffe. Diese Beispiele zeigen, dass Phishing in jedem Gewand daherkommt und vor einem Klick die Absenderdaten stets genau zu prüfen sind. Finanzkonten. Auch Konten bei Paypal oder Banken und Sparkassen sowie Onlineshops finden in solchen E-Mails häufig Erwähnung. Meistens heißt es, nur eine unverzügliche Verifizierung der Kontoinformationen verhindere die Sperrung. Oder es gelte, verdächtige Kontobewegungen sofort zu überprüfen und unlautere Abbuchung zu stornieren. Der Einfachheit halber ist der entsprechende – natürlich gefälschte – Link beigefügt.
Woran lassen sich Phishing-Mails leicht erkennen?
Wie kann man also Phishing-Mails erkennen und sie von authentischen Nachrichten unterscheiden? Natürlich gibt es technische Hinweise sowie entsprechende technische Möglichkeiten, um eine Mail genauer zu analysieren. Das erfordert aber spezielle Erfahrungen, die viele sich nicht aneignen wollen – und außerdem bliebe dafür in Arbeitsalltag kaum genug Zeit. Trotzdem ist niemand solchen Angriffen schutzlos ausgesetzt. Erstens treffen die gängigen Mail-Programme schon eine Vorauswahl, was möglicherweise Phishing-Mails sind, und markieren diese entsprechend. Zweitens ist zumindest ein Großteil der E-Mails zum allgemeinen Phishing leicht zu erkennen, wie Beispiele zeigen. Dies beginnt schon damit, dass man zuerst mit der Maus den Absender in der Kopfleiste der Mail anklickt. Meistens verbirgt sich hinter dem manipulierten Absender eines Unternehmens wie DHL eine kryptische E-Mail-Adresse aus Buchstaben sowie Ziffern, die dann gezeigt wird. Das dürfte eine Phishing-E-Mail sein. Mit solchen Tricks und etwas gesundem Menschenverstand beim Lesen lassen sich viele Phishing-Mails erkennen.
Das Erkennen von Phishing-Mails ist oft nicht schwer
Deshalb ist es wichtig, Beschäftigte nicht nur über die Bedeutung von Phishing aufzuklären, sondern in Schulungen für Merkmale einer klassischen Phishing-Mail zu sensibilisieren. Als Indikatoren gelten etwa:
Es geht ums Geld. Entweder gibt es tolle finanzielle Angebote, oder das eigene Geld ist gefährdet. Dies darf nicht blind machen und verhindern, dass man die Mail auf Echtheit überprüft.
Entweder gibt es tolle finanzielle Angebote, oder das eigene Geld ist gefährdet. Dies darf nicht blind machen und verhindern, dass man die Mail auf Echtheit überprüft. Es ist dringend. Oft, zeigen Beispiele, wird mit Fristen gearbeitet, um Empfänger unter Druck zu setzen. So soll etwa binnen 24 Stunden eine niedrige Summe bezahlt werden, weil danach eine massive Strafgebühr anfällt. Oder das Konto wurde mit hohen Beträgen belastet – wer nicht sofort die Geldbewegungen überprüft, kann Fehlbuchungen nicht zurückholen. Oder ein wertvoller Gutschein droht zu verfallen.
Oft, zeigen Beispiele, wird mit Fristen gearbeitet, um Empfänger unter Druck zu setzen. So soll etwa binnen 24 Stunden eine niedrige Summe bezahlt werden, weil danach eine massive Strafgebühr anfällt. Oder das Konto wurde mit hohen Beträgen belastet – wer nicht sofort die Geldbewegungen überprüft, kann Fehlbuchungen nicht zurückholen. Oder ein wertvoller Gutschein droht zu verfallen. Es klingt bedrohlich. Eine kleine Summe ist offen – wer nicht sofort bezahlt, sollte einen Schufa-Eintrag oder den Besuch von Inkasso-Fachleuten erwarten.
Eine kleine Summe ist offen – wer nicht sofort bezahlt, sollte einen Schufa-Eintrag oder den Besuch von Inkasso-Fachleuten erwarten. Es menschelt. Attraktive Frauen aus Asien oder Osteuropa lassen Männern aufreizende Bilder zukommen, schmeicheln ihnen, möchten sie kennenlernen, weil ihnen ein angeblicher Kontakt bei einer Party/im Cafe/auf dem Dating-Portal nicht mehr aus dem Kopf geht. Oder es wartet ein Gutschein für das neueste iPhone-Modell auf den Empfänger der E-Mail sowie einen Freund, der für beide ein Gewinnspiel ausgefüllt hat. Man muss den gemeinsamen Gewinn sofort per Klick auf den beigefügten Link bestätigen. Wer will einem Freund schon durch übertriebene Vorsicht die Chance auf ein iPhone vermasseln?
Viele Phishing-Mails lassen sich leicht erkennen, wenn man kurz über die Plausibilität des Inhalts nachdenkt und prüft, ob Orthografie und Formulierungen eventuell Fehler enthalten, die sich kein seriöses Unternehmen leisten würde. Also: Eine nach Phishing riechende Mail kurz prüfen und im Zweifelsfall lieber nichts anklicken, sondern den Kontakt zum vermeintlichen Absender erst auf einem anderen, gern klassischen Weg aufnehmen – am besten einfach direkt anrufen und fragen, ob die E-Mail tatsächlich von dort kommt.