Phishing ist längst kein neumodisches Buzzword mehr. Und betrifft nicht nur Medien- und Internetgiganten. So fand 2015 eine Phishing-Attacke auf den Bundestag statt. Selbst die IT-Experten der betroffenen Fraktionen hätten es damals nicht geschafft, den Datenabfluss zu stoppen. Der pfälzische Energie- und Wasserversorger Technische Werke Ludwigshafen (TWL) wurde im Mai 2020 von Hackern erpresst. Die Forderung: Millionenbeträge für entwendete Kundendaten der 100.000 versorgten Haushalte. Und auch die Versicherungsbranche ging nicht leer aus.
So ergaunerten sich im Juli 2021 Hacker personenbezogene Daten der Haftpflichtkasse. Das Unternehmen reagierte und musste teilweise seinen gesamten Internetauftritt abschalten. Damit es nicht soweit kommt, gibt es Tipps und Tricks, um Phishing-Mails nicht auf den Leim zu gehen.
Phishing-Mails: Digitales Angeln
Der Begriff Phishing ist angelehnt an fishing (engl. für Angeln, Fischen) in Kombination mit dem „P“ aus Passwort. Es bezeichnet das bildlich gesprochene Angeln nach Passwörtern mit Ködern. Dabei werden Daten von Internetnutzern beispielsweise über gefälschte Internetadressen, E-Mails oder SMS abgefangen. Die Absicht: persönliche Daten zu stehlen und Inhaber zu schädigen. Sei es mit Lösegeldforderungen oder anderen Erpressungsversuchen. Begriffstypisch ist dabei die Nachahmung des Designs einer vertrauenswürdigen Website oder einer E-Mail-Struktur.
Merkmale von Phishing
Laut Verbraucherzentrale weisen Phishing-Mails oftmals eines oder mehrere der folgenden Merkmale auf:
Grammatik- und Orthographie-Fehler
Das erste Merkmal ist auch das am einfachsten zu durchschauende. Es sind E-Mails, die grammatikalische oder orthographische Fehler aufweisen. Oft wurden sie nicht in Deutsch verfasst, sondern sind mit einem gewöhnlichen Übersetzungsdienst aus einer anderen Sprache übersetzt. Ein weiterer Hinweis: Satzzeichenfehler. Wie beispielsweise kyrillische Buchstaben, asiatische Zeichen oder auch fehlende Umlaute.
Fremdsprache
Nebst schlechter deutscher Rechtschreibung und Grammatik sind Phishing-Mails zu betrachten, die ganz in einer Fremdsprache wie Englisch oder Französisch verfasst sind. Hier ist dringend nach weiteren Phishing-Merkmalen Ausschau zu halten.
Fehlender Name
Banken, Dienstleister und andere Geschäftspartner sprechen in E-Mails üblicherweise Kunden mit ihrem Namen an und niemals mit “Sehr geehrter Kunde” oder “sehr geehrter Nutzer“.
Dringende Angelegenheit
E-Mails mit einer dringlichen Aufforderung, äußerst rasch und innerhalb einer bestimmten zeitlichen Frist zu handeln, sind verdächtig. Insbesondere, wenn diese Aufforderung mit einer Drohung verbunden ist, wie beispielsweise, dass ansonsten Kreditkarten oder Online-Zugänge gesperrt werden.
Aufforderung zur Datenübermittlung
Die Aufforderung, persönliche Daten wie PINs, TANs oder Einlog- und Verifizierungsdaten einzugeben, ist ein weiterer Hinweis. Banken und Online-Zahlungsdienste bitten um solche Daten grundsätzlich nicht per E-Mail.
Aufforderung zur Öffnung einer Datei
Weiterhin sind Phishing-Mails mit eingebauten Verlinkungen oder angehängten Dateien, die das Opfer anklicken soll, ein beliebter Trick. In unerwarteten E-Mails dürfen grundsätzlich keine Dateien heruntergeladen oder gar geöffnet werden. Denn in der Regel beinhaltet diese ein schädliches Programm wie etwa Viren oder einen Trojaner.
Maßnahmen gegen Phishing-Mails
- Immer die Adressleiste im Browser überprüfen. Am besten die Adressen zu häufig besuchten Login-Seiten in die Favoritenliste einfügen.
- Niemals auf Links in einer fragwürdigen E-Mail klicken. Im Zweifelsfall die im E-Mail-Text genannte Seite über die Startseite der betreffenden Organisation erreichen.
- Falls Zweifel aufkommen, ob eine E-Mail berechtigterweise nach vertraulichen Daten fragt, lohnt sich immer der Griff zum Hörer und einer direkten Nachfrage beim Anbieter. Bei Banken ist die Regel klar: Niemals fragen diese nach persönlichen Daten wie Passwörtern, Kreditkarten- oder Transaktionsnummern via E-Mail.
- Persönliche Informationen nur in der gewohnten Weise auf den Online-Banking-Webseiten oder Apps eingeben. Sobald irgendetwas verdächtig erscheint, die Verbindung sofort trennen und den regulären Website-Betreiber kontaktieren.
- Niemals Download-Links direkt aus einer E-Mail heraus starten. Denn auf deren Echtheit gibt es keine hundertprozentige Verlässlichkeit. Stattdessen, wenn möglich, den Download direkt von der Anbieter-Website starten.
- Niemals Dateien im Anhang einer verdächtigen E-Mail öffnen.
- Jeder Online-Login, egal ob beim Banking, Einkauf oder Mailpostfach, sollte immer durch das reguläre Log-out-Verfahren beendet werden und nicht nur über das Schließen des Browserfensters.
- Niemals persönliche Daten auf Webseiten mit unverschlüsselter Verbindung eingeben. Ob eine Website verschlüsselt mit dem Browser kommuniziert, ist an der Abkürzung “https://” in der Adresszeile sowie an dem Vorhängeschlosssymbol neben der Adresszeile des Browsers zu erkennen.
- Immer eine aktuelle Antivirus-Software und die Firewall aktivieren.
- Manche Phishing-Mails sind höchst professionell aufgebaut. Die Absender-E-Mail-Adresse scheint vertrauenswürdig. Trotzdem muss diese E-Mail nicht echt sein. Um letzte Zweifel auszuräumen, kann der Mail-Header überprüft werden. Dort steht die IP-Adresse des Absenders. Nur diese ist fälschungssicher und gibt Aufschluss über den tatsächlichen Absender.
Fazit
Weiterführende Informationen, wie Sie sich vor Phishing und den davon ausgehenden Gefahren schützen können, finden Sie im Sicherheitskompass der Polizei und des BSI.
Wer sich zusätzlich gegen Cyber-Risiken schützen will, findet in der Die R+V-CyberRisk Police einen verlässlichen Partner. Für Unternehmen bis zu einem Umsatz von zehn Millionen Euro eignet sich der Standardtarif, für größere Unternehmen kommt das Individualprodukt infrage. Die CyberRisk Police bietet eine umfassende Absicherung für alle Gefahren, die aus der Nutzung von elektronischen Daten auf Informations- und Telekommunikationsgeräten entstehen. Gegenstand der Versicherung ist die Verletzung der Vertraulichkeit, Integrität sowie Verfügbarkeit von Daten. Sie ersetzt Eigenschäden sowie welche bei Dritten, etwa Vertragspartnern und Kunden.
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
