Auf Ihrem Bankkonto gab es ungewöhnliche Aktivitäten, bitte loggen Sie sich ein.
Solche und ähnliche Phishing E‑Mails landen immer wieder im Postfach. Hierbei bedienen sich Internetkriminelle sogenannter Social-Engineering-Techniken — sie manipulieren die menschliche Psychologie und nutzen unser Vertrauen aus.
Denn Phishing Mails werden zumeist als Nachrichten von vertrauenswürdigen Institutionen und Firmen wie Banken oder Logistikunternehmen getarnt. Dies erhöht die Glaubwürdigkeit, dass der beigefügte Link oder das angehängte Dokument wichtig und legitim sind. Aber auch angehängte virale Katzenvideos wurden bereits als Lockmittel verwendet — nutzbar ist alles, was das Interesse des Empfängers wecken könnte.
Sobald der Empfänger auf den Anhang klickt, wird das Gerät mit einem Trojaner infiziert, ein Schadprogramm, das ungefragt weitere unerwünschte Malware installiert und so persönliche Daten ausspäht.
Phishing kann zudem dafür eingesetzt werden, Sie über einen E‑Mail-Link auf eine falsche Website zu locken, die als legitime Website getarnt ist. So werden Sie dazu verleitet, Ihre Anmeldeinformationen ein- und damit an Kriminelle weiterzugeben. Mit diesen persönlichen Daten können Unbefugte Ihr Konto leerräumen oder Ihre Identität stehlen.
Übrigens sind nicht nur Privatpersonen hiervon betroffen, viele Unternehmen fallen Phishing zum Opfer. Schließlich ist der Empfang von E‑Mails mit Anhängen im Arbeitsalltag üblich. Als Rechnung oder Geschäftsangebot getarnt, erwecken sie nur selten Misstrauen.
Die klassischen Phishing E‑Mails werden oft an Tausende Empfänger gesendet. Vielen Menschen dürfte die Mail des nigerianischen Prinzen bekannt sein. In dieser Phishing Mail wird dem Empfänger glaubhaft gemacht, dass er das Vermögen des nigerianischen Prinzen geerbt hat und hierzu seine Kontoinformationen teilen muss — in über 200 Fällen war die Betrugsmasche erfolgreich!
Spear Phishing
Doch es geht auch spezifischer: Beim sogenannten Spear Phishing werden gezielte Gruppen oder Einzelpersonen angegriffen, um an bestimmte Firmeninformationen zu kommen, wie beispielsweise IT-Administratoren. Wenn der CEO oder ein Mitglied der Geschäftsleitung ausgewählt werden, wird dies als Whaling bezeichnet — hier stehen die großen Fische im Fokus, um an sensible Firmendaten zu kommen.
Smishing
Smishing setzt sich aus den Wörtern SMS und Phishing zusammen. Hier wird der Empfänger per SMS aufgefordert, Bankdaten preiszugeben oder einen Link zu einer betrügerischen Website zu öffnen.
Vishing
Ein Vishing-Angriff erfolgt über das Telefon. Das V
steht hier für das englische Wort Voice
(Stimme). Bei einem beliebten Vishing-Betrug gibt sich der Anrufer als Microsoft-Vertreter aus. Das Opfer wird darüber informiert, dass sein Computer Malware enthält und der Anrufer die Kreditkartendaten benötigt, um eine aktualisierte Antiviren-Software zu installieren. Am Ende ist der Angerufene im schlimmsten Fall nicht nur seine Kreditkartendaten los, sondern um eine installierte Malware reicher.
Für Laien ist es nicht immer einfach, einen Phishing-Angriff als solchen zu erkennen. Die folgenden Tipps sollen Ihnen dabei helfen.
Sie tragen die Verantwortung
Niemand wird Phishing-Opfer ohne eigene Mitwirkung. Ein Phishing-Angriff ist nur dann erfolgreich, wenn Sie die Phishing E‑Mail öffnen, auf einen Link klicken oder einen Anhang öffnen. Oft müssen Sie in einem weiteren Schritt z. B. auf Inhalte aktivieren
klicken und zulassen, dass der Trojaner oder die Ransomware Ihr Gerät infiziert. Auch bei Formularen, in die Sie persönliche Daten eingeben müssen, sollten Sie stutzig werden.
Achten Sie auf die Rechtschreibung und Individualisierung
Werden Sie in der E‑Mail direkt mit Ihrem Namen angesprochen? Da Phishing Mails zumeist an Tausende Empfänger gleichzeitig gesendet werden, verzichten diese häufig auf die direkte Anrede. Bei allgemeinen Floskeln wie Sehr geehrte/r Kunde/Kundin
sollten Sie misstrauisch sein.
Das gleiche gilt für eine mangelhafte Rechtschreibung. Kriminelle aus dem Ausland greifen oft auf Software-generierte Übersetzungen zurück. Stimmt Sie die Grammatik nachdenklich oder finden sich im Text diverse Rechtschreibfehler? Eine vertrauenswürdige Organisation würde sich einen solchen Fauxpas mit großer Wahrscheinlichkeit nicht leisten!
Überprüfen Sie den Absender
Alles, was zur Glaubwürdigkeit eines Phishing-Angriffs beiträgt, erhöht die Erfolgsaussichten des Betrugs. Deshalb wird bei Phishing E‑Mails häufig das Erscheinungsbild bekannter vertrauenswürdiger Marken wie Amazon, Ihrer Bank, DHL oder eines anderen Logistik-Dienstleisters nachgeahmt, von denen Sie Sendungen erwarten.
Überprüfen Sie unbedingt die Absender-Adresse: Während E‑Mail-Adressen von legitimen Absendern meist einem klaren Schema folgen wie etwa info@firmenname.de, enthalten Phishing-Adressen oftmals Nummern, Buchstaben oder Rechtschreibfehler in den Firmennamen.
Insbesondere auf dem Handy sollten Sie Vorsicht walten lassen: Durch das kleine Display werden die E‑Mail-Adressen nur angezeigt, wenn Sie gezielt draufklicken. Ein Blick und Klick lohnen sich immer!
Vorsicht bei Dringlichkeit
Phishing E‑Mails versuchen oft durch Dringlichkeit zum Handeln zu verleiten. Beliebt ist hierbei zum Beispiel die Aussicht, dass das Bankkonto gesperrt wird, wenn Sie nicht sofort auf den Link klicken. Bedenken Sie: Wenn es wirklich dringend wäre, würden Sie nicht nur eine E‑Mail erhalten. Banken würden Sie außerdem niemals dazu auffordern, sensible Daten wie Kreditkartendaten oder eine TAN per E‑Mail zu verifizieren.
Bewahren Sie Ruhe und klicken Sie nicht. Greifen Sie stattdessen zum Telefon und rufen Sie den Absender über die offizielle Telefonnummer an, um herauszufinden, ob die Nachricht echt ist.
Vertrauen Sie Ihren Instinkten
Es mag zunächst komisch klingen, aber letztlich müssen Sie Ihrer Intuition vertrauen. Schließlich ist nicht alles im Internet ein einziger Betrugsversuch. Die Schwierigkeit besteht darin, echten Betrug zu erkennen. Und das ist Ihre Aufgabe. Jedes Mal, wenn Sie auf etwas Verdächtiges stoßen, müssen Sie sich fragen: Habe ich das erwartet? Vertraue ich dieser Quelle? Können Sie das überprüfen? Beispielsweise durch eine Internetrecherche oder einen Anruf beim Absender? Falls nicht, gehen Sie lieber auf Nummer sicher.
Jeder kann online Fehler machen und zum Phishing-Opfer werden. Um das Risiko zu minimieren, sollten Sie sich die Unterstützung einer guten Software holen. Mit F‑Secure Total bewegen Sie sich sicher im Internet und werden vor Viren, Ransomware, bekannten Phishing-Websites und weiteren Online-Bedrohungen geschützt.