Phishing und woran man es erkennt

Phishing

Immer wieder ist von Phishing-E-Mails und Phishing-Angreifern im Internet die Rede. Aber was ist Phishing überhaupt? Und wie erkennt man es und schützt sich dagegen? Wir verraten es Ihnen in diesem Artikel.

Was ist Phishing?

Der Begriff Phishing klingt nicht zufällig, als würde jemand angeln gehen. Es handelt sich um eine Kombination aus „Passwort“ und „Fishing“. Jemand will sich beim Phishing also im Grunde Passwörter angeln. Mit diesen Passwörtern erhalten Betrüger dann Zugriff auf die entsprechenden Accounts von Benutzern und können dort jede Menge Unfug treiben, der im schlechtesten Fall sehr teuer für den Benutzer werden kann.

Phishing wird in der Regel über E-Mail betrieben. Somit wissen Sie also schon mal, wo Sie auf die Passwortangler achten müssen. Allerdings sind diese nicht immer leicht zu erkennen. Phishing-Mails sind meistens kein reiner Spam mit Themen, die Sie eigentlich nicht interessieren.

Phishing-Mails sind in der Regel so konzipiert, dass Sie aussehen, als kämen Sie von echten Unternehmen. Meistens handelt es sich dabei um Seiten, bei denen Sie angemeldet sind oder sogar um Mails von Ihrem Chef oder Arbeitskollegen.

Die Idee dahinter ist so simpel wie einfallsreich: Sie werden aufgefordert, schnell zu handeln und sich auf einer Seite einzuloggen. Dafür ist in der Mail direkt ein Link vorhanden. Gehen Sie über diesen Link und loggen sich entsprechend ein, angeln sich die Betrüger Ihre Zugangsdaten.

Eine weitere Variante sind E-Mails mit Anhängen, die bei Öffnung Schadsoftware auf dem Computer installiert, die Informationen ausliest oder direkt teure Abos abschließt.

Die goldene Regel im E-Mail-Postfach lautet also immer: Öffnen Sie nichts, dem Sie nicht zu 100 Prozent vertrauen. Lieber zweimal nachfragen, als in die Falle zu tappen.

Generell ist es immer schlau, statt über einen Link in einer E-Mail manuell eine Internetseite anzusteuern. Bekommen Sie beispielsweise eine E-Mail, in der angeblich einer Ihrer Accounts gesperrt wurde und Sie sollen sich neu einloggen, folgen Sie nicht dem Link.  Gehen Sie stattdessen separat auf die entsprechende Seite und schauen Sie nach, ob tatsächlich eine Sperrung vorliegt. In 99 Prozent der Fälle ist das nicht der Fall.

Woran erkennt man Phishing-Mails?

Varianten von Phishing-Mails gibt es einige, aber die gängigsten sind Ihnen vermutlich bereits begegnet: „Ihr Account wurde gesperrt“, „Sie haben gewonnen“, „Attraktives Angebot“. Das erste Indiz, dass es sich um Phishing handeln kann, ist ein Titel, der Aufmerksamkeit erregt. Das nächste Indiz ist, dass in der Mail ein Link angegeben ist, auf den Sie unbedingt klicken sollen.

Um Phishing zu erkennen, ist es also zum Beispiel sinnvoll, sich mit den echten Mails von Unternehmen vertraut zu machen. Schauen Sie sich beispielsweise mal genau an, wie eine E-Mail von Amazon tatsächlich aussieht. Die Phishing-Mails sind selten 1:1 so aufgebaut und so kann man bereits die Unterschiede erkennen.

Erkennungsmerkmale von Phishing

  • fehlende Anrede – persönliche Mails von Unternehmen beginnen immer mit einer Anrede
  • schlechtes Deutsch – ja, kleine Fehler sind immer möglich, aber Phishing-Mails strotzen häufig davon
  • sofortige Handlungsaufforderung im Betreff – wenn schon der Betreff nur darauf aus ist, dass du deine Daten angibst, ist das ein recht eindeutiges Zeichen auf Phishing
  • Links, bei denen du Daten angeben sollst – Unternehmen fordern in der Regel nicht dazu auf, einem Link zu folgen und dort Daten anzugeben
  • falscher Absender – Phishing-Mails kommen logischerweise nicht von den offiziellen Firmen-Mails, deshalb ist ein genauer Blick auf Absender sinnvoll
  • falsche URL – gleiches gilt für die URL im Link, die vermutlich seltsame Zeichen enthält oder vom Aufbau nicht so ist, wie man es gewohnt ist
  • kein Schlosssymbol – auch abseits von Phishing ein guter Tipp: hat eine Seite kein Schlosssymbol in der Adresszeile, ist es eher unsicher, darauf Daten anzugeben
  • fehlendes oder falsches Impressum – stimmt das Impressum nicht, ist eindeutig klar, dass es sich um keine seriöse Anfrage handelt

Ansonsten gilt wie üblich der Leitsatz: „Vorsicht ist besser als Nachsicht.“ Seien Sie also grundsätzlich misstrauisch. Wenn Sie eine Mail von einer Arbeitskollegin bekommen, die Ihnen seltsam vorkommt, fragen Sie lieber persönlich nach, ob die Mail tatsächlich von ihr stammt. Öffnen Sie keine Anhänge, denen Sie nicht vertrauen und klicken Sie nie auf Links in E-Mails, wenn Sie stattdessen auch einfach manuell die Seite ansteuern können.

Fazit

Phishing ist eigentlich ein alter Hut und man sollte denken, dass es keinen Erfolg hat. Tatsächlich werden aber täglich noch Passwörter und andere Informationen auf diese Weise von ahnungslosen Opfern geangelt. Eine gesunde Portion Misstrauen schützt Empfänger davor, selbst in diese Falle zu tappen. Außerdem bietet eine Zwei-Faktor-Authentisierung Schutz davor, dass mit gefischten Zugangsdaten Unfug angestellt werden kann.