Was zu tun ist, wenn Ihre E-Mail-Adresse durchgesickert ist?
Es besteht die Tendenz, die Kompromittierung Ihrer E-Mail-Adresse herunterzuspielen. Schließlich verwenden Sie es wahrscheinlich ziemlich oft, geben Sie es an Online-Shops und -Dienste, es kann sogar auf Ihren Visitenkarten gedruckt werden. Es ist nicht wirklich ein Geheimnis. Wenn Betrüger Ihre Adresse erhalten, gibt es jedoch etwas Unfug, in den sie geraten können.
Was können sie mit Ihrer E-Mail-Adresse tun?
Auf einer grundlegenden Ebene können Betrüger, die Ihre E-Mail-Adresse erhalten, zu einem Anstieg der Spamnachrichten in Ihrem Posteingang führen. Besorgniserregender ist, dass ein Teil dieses Spams tatsächlich immer komplexere Betrugsversuche oder Phishing sein kann. Zusätzlich zu den lästigen diesen Betrügereien müssen Sie ein wenig mehr Warnung sein, um versehentlich auf einen böswilligen Link zu klicken oder sich mit einem Betrüger zu beschäftigen.
Kriminelle, die Ihre E-Mail-Adresse haben, könnten sie potenziell verwenden, um sich als Sie zu imitieren, um Betrugsversuche oder Phishingangriffe gegen Ihre Freunde, Familie oder Kollegen auszuführen. Insbesondere, wenn die E-Mail-Adresse, die sie erhalten haben, Ihre Geschäftliche Adresse ist.
Sie könnten beispielsweise eine Nachricht an eine andere Person in Ihrem Unternehmen senden, sie aber so aussehen lassen, als ob die Nachricht von Ihnen stammt. Wenn Ihr Kollege nicht am besten an diesem Tag ist, könnten sie getäuscht werden, zumindest lange genug, um vertrauliche Informationen preiszugeben oder in einen anderen Betrug geraten.
Bedenklich ist, dass Ihre E-Mail-Adresse zunehmend als Benutzer-ID auf vielen Websites, Geschäften und Onlinedienste verwendet wird. Wenn Kriminelle Ihre E-Mail-Adresse haben, ist dies die Hälfte dessen, was sie benötigen, um sich bei diesen Websites als Sie anzumelden. Kriminelle könnten versuchen, Ihr Kennwort zu erraten, es brute erzwingen (Hier versuchen sie einfach jede Kombination aus Buchstaben und Zahlen, bis sie über die richtige stoßen) oder ein Kennwort von Ihnen verwenden, das in einer anderen Verletzung kompromittiert wurde. Wenn sie Glück haben, können sie sich bei Ihnen anmelden und andere Probleme verursachen.
7 Wege, eine Phishing-Website zu erkennen
7 Wege, eine Phishing-Website zu erkennen
Vom 3-jährigen Kind bis zur Oma – jeder nutzt das Internet aus dem einen oder anderen Grund. Unabhängig von Alter und Zweck sollte jedoch jeder, der das Internet nutzt, wissen, wie man eine Phishing-Website erkennt. Dies bewahrt sie davor, in die Falle des Einwilligung-Phishings und anderer Phishing-Angriffe zu tappen.
Laut dem Internet Crime Report 2019 des FBI haben Cyberattacken und Betrügereien einen Gesamtschaden von 57 Millionen US-Dollar verursacht. Das zeigt, wie alarmierend die Situation ist und wie wichtig es ist, einen Link auf Phishing zu überprüfen. E-Mails sind einer der häufigsten Einstiegspunkte für Betrüger; daher sollten Sie wissen, was zu tun ist, wenn Sie auf einen Phishing-Link klicken.
Lesen Sie weiter, um zu verstehen, wie Sie Phishing-URLs erkennen können, und geben Sie die Informationen auch an Ihre Kollegen, Freunde und Familienmitglieder weiter. Lesen Sie also bis zum Ende, um alles zu erfahren.
Was sind die gemeinsamen Merkmale von Phishing-Websites?
Im März 2022 wurde Hapag-Lloyd, eines der weltweit führenden Unternehmen in der Containerschifffahrt, Opfer von Cyberkriminalität. Die Kunden des Unternehmens wurden aufgefordert, sich auf einer kopierten Website anzumelden, die genauso aussah wie die offizielle Website. Auf diese Weise erhielten die Cyberkriminellen Zugang zu einigen äußerst vertraulichen Daten.
Um sich vor solchen betrügerischen Handlungen zu schützen, muss man E-Mail-Phishing erkennen und vermeiden, da man es sich nicht leisten kann, seine personenbezogenen Daten oder sein Geld zu verlieren.
Bevor wir nun zum Hauptthema kommen, sollten wir uns kurz die allgemeinen Merkmale einer Phishing-Website anschauen.
Eine Phishing-Website sieht der Original-Website ähnlich, da die Cyberkriminellen das Thema, die Informationen, die Grafiken und andere komplizierte Details kopieren.
Einige der Seiten (z. B. „Kontakt“ oder „Karriere“) können mit denen der Original-Website verlinkt sein.
Oft wird der Name der Original-Website verwendet.
In der Regel enthält sie ein ähnlich aussehendes Formular, um personenbezogene Daten zu sammeln.
Wie überprüft man einen Link auf Phishing?
Wissen Sie, wie Sie einen Link auf Phishing überprüfen können? Die meisten von uns wissen leider nicht, wie sie solche Cyberbedrohungen erkennen und verhindern können.
Cybersecurity Ventures prognostiziert, dass das globale Cybersicherheitsbudget zwischen 2021 und 2025 jährlich um 15% wachsen wird.
Phishing-Angriffe werden nicht verschwinden. Aber kein Grund zur Sorge. Wir zeigen Ihnen, wie Sie erkennen können, ob ein Link eine Phishing-URL ist. Im heutigen digitalen Zeitalter ist es ein Muss, sich im Internet auszukennen. Sehen wir uns also an, was Sie tun können, um sich vor Schaden zu bewahren.
1. Überprüfen Sie die URL
Um zu lernen, wie man Phishing-URLs erkennt, müssen Sie die Echtheit der Webadresse überprüfen. Wenn sie mit „http://“ statt mit „https://“ beginnt, sollten Sie vorsichtig sein. Das zusätzliche „S“ bedeutet, dass die Website verschlüsselt und mit einem SSL-Zertifikat gesichert ist. Ein SSL-Zertifikat ist wie ein Code, der zusätzliche Sicherheit für die Online-Kommunikation bietet.
Heutzutage haben jedoch auch Phisher begonnen, „https://“ zu verwenden, so dass dieser Aspekt kein sicheres Zeichen ist.
Eine weitere Möglichkeit, Phishing-Links zu erkennen, ist, genau hinzuschauen:
Ob die Schreibweise korrekt ist. Gefälschte Websites haben in der Regel einen zusätzlichen Buchstaben „S“ oder „A“ in der Schreibweise. Zum Beispiel: oder
Ob das „O“ durch eine „0“ (Null) ersetzt wurde. Zum Beispiel:
Ob die URL zusätzliche oder fehlende Zeichen oder Symbole enthält. Eine legitime URL lautet beispielsweise (mit Bindestrich), aber die gefälschte URL kann (ohne Bindestrich) lauten.
Es gibt kostenlose Tools wie unseren Phishing-URL-Checker, der mithilfe von fortschrittlichem maschinellem Lernen solche Unstimmigkeiten erkennt.
2. Vergleichen Sie die Qualität der Inhalte
Die Inhalte der Original-Website sind klar, gut geschrieben und frei von Grammatik-, Interpunktions- und Rechtschreibfehlern. Selbst wenn die gefälschte Website eine Kopie der Original-Website ist, kann die visuelle Darstellung eine geringere Auflösung aufweisen.
3. Prüfen Sie, ob Inhalte fehlen
Wissen Sie, wie Sie Phishing-URLs mit nur einem Klick erkennen können? Gehen Sie einfach auf die Seite „Kontakt“. Wenn es keine glaubwürdigen Kontaktangaben gibt, handelt es sich wahrscheinlich um eine Phishing-Website.
4. Werden personenbezogene Daten abgefragt?
Wir erhalten oft E-Mails, in denen wir aufgefordert werden, auf einen bestimmten Link zu klicken. Wenn ein Pop-up-Fenster erscheint, in dem nach persönlichen Daten wie Telefonnummer, E-Mail-Adresse, Kennwort, Wohnanschrift, Bankverbindung, Ausweisnummer usw. gefragt wird, ist dies ein Warnsignal.
In diesem Fall sollten Sie auf keinen Fall irgendwelche Informationen preisgeben. Sie können diesen Ratschlag an Bekannte, Arbeitskollegen und Mitarbeiter weitergeben, die lernen möchten, wie man eine Phishing-Website erkennt.
Sehen Sie sich einige Beispiele für Phishing-E-Mails aus dem wirklichen Leben an und lernen Sie, die Warnsignale zu erkennen.
5. Handelt es sich um eine nicht gesicherte Website?
Manchmal versuchen wir, eine Website zu besuchen, erhalten aber eine Sicherheitswarnung: „Die Verbindung ist nicht sicher.“ In einer solchen Situation ist es wichtig, zu wissen, wie man Phishing-Links erkennt. Klicken Sie zunächst auf das Vorhängeschloss-Symbol, das links neben der URL erscheint.
Auf diese Weise können Sie die Informationen über Sicherheitszertifikate und Cookies abrufen. Bei einem Cookie handelt es sich um eine Datei, in der die Daten eines Benutzers gespeichert und an den Eigentümer der Website gesendet werden.
In den meisten Fällen wird dadurch die Benutzerfreundlichkeit verbessert, doch neigen Phisher oft dazu, diese Informationen zu missbrauchen.
6. Verwenden Sie ein falsches Passwort
Wenn eine verdächtige Website nach einem Passwort fragt, geben Sie das falsche ein. Wenn Sie trotzdem angemeldet werden oder einen Punkt sehen, der anzeigt, dass Sie das richtige Kennwort eingegeben haben, handelt es sich zu 100% um eine gefälschte Website. Mit diesem Trick können Sie diesen Social-Engineering-Angriffen entgehen.
7. Überprüfen Sie die Zahlungsmethode
Wenn eine Website eine direkte Banküberweisung anstelle von Debitkarten, Kreditkarten und Zahlungsoptionen wie PayPal verlangt, sollten Sie vorsichtig sein. Dies kann darauf hindeuten, dass keine Bank Kreditkarteneinrichtungen für die Domain der Website zugelassen hat, und sie könnten bösartige Aktivitäten durchführen.
So melden Sie eine Phishing-Website
Jetzt, da Sie wissen, woran Sie erkennen können, ob es sich bei einem Link um eine Phishing-URL handelt, sollten Sie auch lernen, wie Sie eine Phishing-Website einfach melden können.
Die weltweite Pandemie, eine Reihe von Lockdowns und die steigende Arbeitslosigkeit haben die Zahl der Betrüger weiter erhöht. Google meldete für das Jahr 2020 durchschnittlich 46.000 neue Phishing-Websites pro Woche.
Wenn Sie auf solche verdächtigen Websites stoßen, gehen Sie auf die Seite „Phishing melden“ von Google. Fügen Sie einfach die URL ein und geben Sie eventuelle Zusatzinformationen an.
Wie googeln in die Phishing-Falle führen kann
Zu den altbekannten Phishing-Methoden gehört, dass Kriminelle „gewinnversprechende“ Webseiten täuschend echt fälschen; sie veranlassen die Menschen mit unterschiedlichen Tricks zum Besuch ihrer betrügerischen Internetseite, um dort sensible Daten abzufischen. Mehrfach hat kartensicherheit.de schon darauf hingewiesen. Jetzt ist das Prinzip in einer neuen Variation aufgetaucht. Gefährdet sind besonders diejenigen, die digitales Banking hastig, mit halber Aufmerksamkeit nebenbei betreiben und vor allem: in Unkenntnis solcher kriminellen Möglichkeiten!
Google & Co. Grundwissen oder: So funktioniert das neue betrügerische Geschäftsmodell
Wussten Sie, dass Ihnen für Ihre Fragen ans Internet mehr als 40 Suchmaschinen zur Wahl stehen? Die gewaltige Marktmacht der populärsten Suchmaschinen – allen voran Google, das seit Jahren zu den drei wertvollsten Marken der Welt zählt – wird zusätzlich durch ein eigenes Werbesystem untermauert. Zu Google Ads beispielsweise kann sich jede:r kostenlos anmelden, um Anzeigen zu veröffentlichen. Die Inserent:innen sprechen potenzielle Kund:innen an, die in der Google-Suche oder auf Google Maps nach Angeboten ihres Interesses forschen. Ganz oben in der Google Suche ist dann das Inserat zu finden, klar gekennzeichnet als Werbung mit dem Wort „Anzeige“, bevor darunter die eigentlichen Suchergebnisse gelistet werden.
Und nun stellen Sie sich als Inserent:innen die Phishing-Bande vor: Deren betrügerische Werbeanzeige für eine Bank oder Sparkasse führt scheinbar zur Banking-Seite. Die Kund:innen, die die Webseite ihres Instituts gegoogelt hatten, gehen in Wirklichkeit auf einen betrügerischen Link ein. Mit einem fatalen Klick landen sie auf der Phishing-Seite, wo sie ihre Online-Banking Zugangsdaten eingeben sollen, teils auch noch weitere persönliche Informationen, und zur Phishing-Beute werden.
Technische Details oder: Wie die Täter:innen die Ausbeute für sich optimieren
Wer Anzeigen bei einem Suchmaschinenanbieter schalten will, der muss auch die Suchbegriffe vorgeben, mit denen die Menschen bei ihrer Recherche auf die Inserent:innen stoßen sollen. Das machen die Inserent:innen mit betrügerischen Absichten nicht anders; sie geben zum Beispiel den Namen eines großen Instituts als Suchbegriff an. Damit wird die Phishing-Seite der Betrüger:innen „angesprochen“, „gefunden“, sie wird vor den regulären Suchtreffern in der Ergebnisliste angezeigt. Im Grunde eine übliche Werbemechanik zur Steigerung der Wahrscheinlichkeit, dass der oben platzierte Link in der Liste aller Suchergebnisse bevorzugt angeklickt wird.
Die angebundenen Phishing-Seiten gestalten die Täter:innen in der bekannten Optik des jeweils gesuchten Instituts, so dass sich Opfer auf der originalen Instituts-Webseite wähnen. Verstärkt wird dieser Eindruck teilweise noch dadurch, dass die Täter:innen für ihre Phishing-Seiten eigene Internetadressen anlegen, fachsprachlich: Domänen registrieren. Diese Adressen sehen den Original-Domänen des betreffenden Instituts sehr ähnlich; häufig sind es sog. Vertipperdomänen, abweichend durch leicht zu übersehende Schreibfehler und andere Endungen als „.de“ (beispielsweise
Was konkret passiert oder: Bundesweit sind bereits zahlreiche Institute betroffen
Cyberkriminelle haben schon für eine ganze Reihe von Instituten in Deutschland entsprechende Suchmaschinen-Anzeigen geschaltet, um die Kund:innen zu diesen gefährlichen Webseiten zu lenken. In der Folge ist es leider auch schon zu Schadensfällen gekommen. Doch wie geht der Raubzug eigentlich genau weiter, wenn die Opfer zu einer dieser Phishing-Seiten gelangt sind? Es sind verschiedene kriminelle Gruppen aktiv, die im weiteren Verlauf ihrer Angriffe unterschiedliche Vorgehensweisen an den Tag legen.
• Szenario 1:
Gibt jemand seine Banking-Zugangsdaten auf der Köder-Webseite ein, wird ein Fehlercode und eine vermeintliche Instituts-Telefonnummer eingeblendet, an die sich das Opfer wenden soll. In Wirklichkeit führt diese Rufnummer jedoch zu einer Art Call-Center der Kriminellen. Nun soll das Opfer erst einmal den Fehlercode ablesen. Dieser Fehler erweist sich freilich als so brenzlig, dass das Opfer die „hilfsbereiten“ Fachleute zur Fernwartung auf seinen Rechner lassen soll. Folgt das Opfer dieser Aufforderung, übernehmen die Täter:innen vollends die Steuerung. Sie starten den Webbrowser, rufen die Webseite einer Kryptobörse auf und legen dort im Namen des Opfers ein Bitcoin-Konto an. Anmeldename und Passwort geben die Betrüger:innen ein, die Eingabefelder für die weiteren persönlichen Daten darf dann das Opfer ausfüllen. Auf diese Weise erhalten die Täter:innen die Kontrolle über dieses Bitcoin-Konto, das sie nun als ihr Geldbotenkonto verwenden. Außerdem gibt es auch Hinweise, dass die Opfer dazu verleitet werden, Gutscheine zu kaufen, die dann von den Kriminellen eingelöst werden.
• Szenario 2:
Die Opfer werden auf der Phishing-Seite aufgefordert, neben den Online-Banking-Anmeldedaten (Anmeldename und PIN) auch ihr Geburtsdatum und ihre Kartennummer einzugeben. Außerdem wird der Anruf vorgeblicher Institutsmitarbeiter:innen angekündigt.
Wenn Kund:innen diesen Aufforderungen nachkommen, können fortan von fremder Hand Anmeldungen beim Online-Banking stattfinden, gefolgt von Überweisungen oder Änderungen des Online-Banking-Limits – alles scheinbar im Namen des Opfers. Parallel können die Betrüger:innen Kontakt mit dem Opfer aufnehmen, um die Person zur Freigabe der Transaktion per pushTAN-App zu verleiten oder sich eine smsTAN bzw. chipTAN nennen zu lassen.
Insbesondere pushTAN-Nutzer:innen werden gerne ins Visier genommen, um die vollständige Kontrolle über das Generierungsverfahren zu erlangen. Die Betrüger:innen bestellen dazu im Online-Banking neue pushTAN-Registrierungsdaten, die per SMS an die Mobilfunknummer des Opfers gesendet werden. Dann kontaktieren sie das Opfer und verleiten es dazu, ihnen die Registrierungsdaten bzw. den entsprechenden Link weiterzugeben.
Einfache 10 Sicherheitsregeln für Ihr Online-Banking
1. Nutzen Sie die Adressleiste Ihres Browsers und nicht das Suchfeld, um die Webadresse Ihrer Bank oder Sparkasse einzugeben.
2. Installieren Sie einen bestimmten Browser ausschließlich fürs Online-Banking, während Sie zum täglichen Surfen einen anderen Browser einsetzen.
3. Schließen Sie zuerst alle anderen Browser, bevor Sie mit dem Online-Banking beginnen. Allein Ihr (exklusiver) Banking-Browser sollte dann geöffnet sein.
4. Während des Online-Bankings sollten Sie niemals parallel eine andere Webseite öffnen.
5. Melden Sie sich erst von der Banking-Seite ab und danach schließen Sie den Browser. Niemals die Banking-Sitzung durch Beenden des Browsers verlassen!
6. Man kann es nicht oft genug betonen: Bitte achten Sie auf ein aktuelles Antiviren-Programm auf ihrem Gerät! Bitte wählen Sie sich nicht im öffentlichen WLAN-Bereich in Ihren Online-Banking-Account.
7. Verwenden Sie einen Browser ohne installierte Erweiterungen (Add-Ons).
8. Checken Sie die Sicherheitseinstellungen Ihres Browsers (in den „Einstellungen“ unter „Datenschutz & Sicherheit“). Folgende Häkchen sollten aktiv sein: Bei „Berichtigungen“ das Merkmal „Warnen, wenn Websites versuchen, Add-Ons zu installieren“. Im Bereich „Sicherheit“ die folgenden drei Merkmale: „Gefährliche Inhalte blockieren“, „Gefährliche Downloads blockieren“, „Vor unerwünschter und ungewöhnlicher Software warnen“.
9. Haben Sie bereits Daten auf der Phishingseite eingegeben oder mit vermeintlichen Institutsmitarbeiter:innen telefoniert? Veranlassen Sie sofort die Sperrung Ihres Online-Banking-Zugangs. Dazu melden Sie sich entweder direkt beim Ansprechpartner Ihres kontoführenden Instituts oder Sie nutzen den kostenfreien Rund-um-die-Uhr-Service des Sperr-Notruf 116 116.
Im Schadensfall erstatten Sie bitte bei der Polizei Anzeige; das Aktenzeichen sollte Ihrem Institut mitgeteilt werden.
10. Falls Sie im Banking-Kontext auf eine betrugsverdächtige Suchmaschinen-Anzeige oder Webseite stoßen, machen Sie bitte einen Screenshot. Selbst wenn Sie diesen Nachweis nicht in eigener Sache brauchen, helfen Sie bei der Schadensbegrenzung und Aufklärung mit, wenn Sie solche Beweismittel an Ihre Bank oder Sparkasse weiterleiten.