Phishing-Betrügereien gibt es praktisch seit den Anfängen des Internets, und sie werden auch in nächster Zeit nicht verschwinden. Nach wie vor erzielen Cyberkriminelle mit Phishing-E-Mails große Gewinne. Zum Glück gibt es jedoch Möglichkeiten, um zu vermeiden, selbst Opfer zu werden. In diesem Artikel zeigen wir dir 10 Merkmale von Phishing-Mails.
Phishing ist alles andere als eine perfekte Wissenschaft. Wer sich einen Moment Zeit nimmt, um verdächtige E-Mails auf Hinweise und Ungereimtheiten hin zu analysieren, kann sich eine Menge Kopfzerbrechen ersparen.
Was sind Phishing-Mails?
Phishing ist eine Art von Internetbetrug, bei dem Angreifer versuchen, persönliche Informationen wie Benutzernamen, Passwörter, Kreditkartennummern und andere vertrauliche Daten von Nutzern zu stehlen. Dies wird typischerweise durch gefälschte E-Mails oder Websites erreicht.
Eine Phishing-Mail ist eine gefälschte E-Mail, die von einem Betrüger erstellt wurde, um die Empfänger dazu zu verleiten, auf einen bösartigen Link zu klicken oder vertrauliche Informationen preiszugeben. Diese E-Mails sehen oft täuschend echt aus und können sogar Logos und andere Markenzeichen von legitimen Unternehmen enthalten. Dadurch soll der Eindruck erweckt werden, dass die vermeintlich echten E-Mails von einer vertrauenswürdigen Quelle stammen.
Die E-Mail-Nachrichten können auch bedrohlich oder dringlich formuliert sein, um Nutzer dazu zu bringen, schnell zu handeln, ohne vorher darüber nachzudenken.
Sobald ein Nutzer auf einen bösartigen Link klickt oder vertrauliche Informationen preisgibt, können die Betrüger diese Daten verwenden, um Identitätsdiebstahl zu begehen, Geld von Konten abzuziehen oder andere schädliche Aktivitäten durchzuführen. Es ist daher wichtig, auf verdächtige E-Mails zu achten und immer vorsichtig zu sein, bevor man auf Links klickt oder persönliche Daten im Internet preisgibt.
Weitere wertvolle Informationen zu Phishing-E-Mails sind unter anderem bei dem BSI, dem Bundesarmt für Sicherheit in der Informationstechnik, zu finden.
Was ist Social Engineering?
Social Engineering ist ein Begriff, der Techniken zusammenfasst, bei denen Hacker oder Betrüger versuchen, menschliche Schwächen auszunutzen, um an Informationen zu gelangen oder unberechtigt Zugriff auf Systeme zu erhalten.
Im Kontext von Phishing-Mails beschreibt Social Engineering die manipulativen Techniken in den Formulierungen und der Aufmachung.
Eine Phishing-Mail selbst ist oft so gestaltet, dass sie legitim aussieht und dazu verleitet, auf einen Link oder Anhang zu klicken. Kombiniert man das auf den ersten Blick vertrauenswürdige Erscheinungsbild mit einer persönlichen Ansprache oder dringlichen Formulierungen, die zum sofortigen Handeln auffordern, sind einige Empfänger schnell verunsichert und überfordert.
Social Engineering kann auch auf anderen Kanälen wie Telefonanrufen, SMS-Nachrichten oder persönlichen Kontakten stattfinden. Das Ziel ist jedoch immer dasselbe: den Nutzer zu täuschen, um an sensible Informationen zu gelangen. Es ist daher wichtig, vorsichtig zu sein und die Identität von Absendern und Links immer sorgfältig zu überprüfen, insbesondere wenn es um vertrauliche Informationen geht.
Auch zu dem Thema Social Engineering hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) umfangreiche Informationen und Tipps zusammengetragen.
10 Merkmale von Phishing-Mails
1. Verdächtige Links
Wenn es um einen Link in einer E-Mail geht, ist es ratsam, sich an die Regel zu halten: „Erst schweben, dann klicken“. Das bedeutet, dass der Mauszeiger zunächst lediglich über den Link positioniert werden sollte, da dadurch die Internetadresse, die sich dahinter verbirgt, angezeigt wird – beispielsweise unten links im Browserfenster.
Auf Smartphones werden Links geprüft, indem für ein paar Sekunden auf diese gedrückt werden. Dadurch öffnet sich ein Fenster, das die reale Adresse hinter dem Link anzeigt.
Links in Phishing-Mails haben in den meisten Fällen nichts mit den Absendern, von denen sie vorgeben zu stammen, gemein. Erhältst du in etwa eine E-Mail von der Sparkasse, doch der Link, der sich in der Nachricht verbirgt, führt zu einer kryptischen Adresse wie „dkw4xa.yxz“ , handelt es sich definitiv um eine Fälschung.
Heutzutage können die Internetadressen in Phishing-Mails jedoch auch täuschend echt aussehen, indem in etwa nur wenige Buchstaben verdreht oder ersetzt werden. Die Zeichenfolge „5parkasee“ sieht bei flüchtigem Lesen so aus wie das Wort „Sparkasse“.
2. Falsche Rechtschreibung oder Grammatik
Dieser Fehler ist in verdächtigen E-Mails leicht zu erkennen – vor allem in solchen, die Links enthalten. Überprüfe Betreffzeilen, den Text, die Links und die Signaturen auf Rechtschreib- und Grammatikfehler. Im Allgemeinen versenden seriöse Unternehmen nur selten, wenn überhaupt, E-Mails mit solchen Fehlern.
Wenn im Posteingang eine E-Mail von einem vermeintlich seriösen Unternehmen eingegangen ist, die eklatante Rechtschreib- oder Grammatikfehlern enthält, sollten alle Alarmglocken schrillen.
3. Diskrepanzen zwischen dem Absendernamen und der E-Mail-Adresse
Glücklicherweise ist dies ein weiteres rotes Fähnchen, das relativ leicht identifiziert werden kann. Während der Name des Absenders als eine seriöse Organisation erscheinen mag, ist die E-Mail-Adresse möglicherweise nicht so seriös.
So kann es beispielsweise sein, dass du eine E-Mail erhältst, deren Absendername mit dem deiner Bank identisch ist, die E-Mail-Adresse jedoch als Gmail- oder Yahoo-Konto erscheint. Wenn solch eine Diskrepanz in einer E-Mail festgestellt wird, handelt es sich höchstwahrscheinlich um einen Phishing-Versuch.
4. Verdächtige Anhänge
Unerwünschte Anhänge sind in der Regel eine Seltenheit in E-Mails, die von seriösen Organisationen stammen, da Unternehmen in der Regel stattdessen Download-Link beifügen.
Wenn bei einem E-Mail-Anhang auch nur der kleinste Verdacht besteht, dass er nicht echt sein könnte, sollte er gar nicht erst geöffnet werden, da er schädliche Malware oder andere Schadprogramme enthalten könnte.
5. Fehlende oder fehlerhafte Kontaktinformationen
Jede legitime E-Mail enthält am Ende Kontaktinformationen und eine Signatur – unabhängig davon, ob es sich um eine direkte Nachricht an dich oder um allgemeine Werbung handelt.
Wenn in der Mail seltsamerweise keine Kontaktinformationen enthalten sind, oder diese nicht sinnvoll erscheinen, da die Adressen nicht existieren oder im Ausland angesiedelt sind, ist dies ein weiterer Grund, misstrauisch zu sein.
6. Ersuchen um Informationen
Ähnlich wie bei unaufgeforderten Anhängen ist es selten, dass Unternehmen per E-Mail um Informationen bitten.
Wenn du in Form einer E-Mail dazu aufgefordert wirst, vertrauliche Daten wie Zahlungsinformationen, Antworten auf Sicherheitsfragen, Passwörter oder ähnliches anzugeben, solltest du in keinem Falle darauf eingehen oder reagieren.
Seriöse Unternehmen werden hochsensible Kundendaten unter keinen Umständen auf digitalem Wege einfordern, sondern per Brief Kontakt aufnehmen.
7. Aufforderung zu einer emotionalen Reaktion
Es ist wichtig zu betonen, dass Phishing fast immer durch Social Engineering möglich gemacht wird (zur Begriffsdefinition „Social Engineering“ scrolle etwas weiter nach oben).
Einige Phishing-Mails tarnen sich als legitime Anfragen, andere wiederum sind als Warnungen oder Drohungen formuliert, um bei ihren Opfern ein Gefühl der Dringlichkeit oder Panik hervorzurufen, mit dem Ziel, Sie zu einer schnellen (und potenziell schlechten) Entscheidung zu zwingen.
Ein Krimineller, der sich als eine Bank ausgibt, kann potentiellen Opfern beispielsweise damit drohen, dass Konten eingefroren oder gesperrt werden, falls wichtige, persönliche Informationen nicht umgehend über einen weiterführenden Link übermittelt werden.
Wenn du eine E-Mail mit dieser Art von Sprache erhältst, solltest du misstrauisch werden und vor allem Ruhe bewahren. Es handelt sich mit höchster Wahrscheinlichkeit um eine Phishing-Mail.
8. Seltsame oder unpersönliche Grüße, Sprache oder Tonfall
Wenn eine E-Mail seltsam unpersönlich, allgemein oder trocken klingt, könnte dies ein weiteres Warnsignal sein. Unspezifische Formulierungen wie „Sehr geehrter Kunde“, „Hallo Herr/Frau“ oder „An die Empfänger dieser E-Mail“ sind einige Beispiele für seltsame Sprache.
Auch der Tonfall sollte nicht außer Acht gelassen werden. Spricht dich der Absender mit deinem Vornamen oder einem Spitznamen an, obwohl du ihn nicht kennst?
Dies ist zwar nicht so auffällig wie ein Rechtschreib- oder Grammatikfehler, aber wenn sich eine E-Mail sprachlich seltsam liest, solltest du auf der Hut sein.
9. Betrug durch „Geschäftsführer-Trick“
Immer öfter versuchen Cyberkriminelle, an Informationen über dich und deinen Arbeitgeber zu gelangen, indem sie sich in einer E-Mail als leitender Angestellter des Unternehmens ausgeben, z. B. als Geschäftsführer oder Abteilungsleiter.
Es handelt sich um E-Mails, in denen augenscheinlich der Geschäftsführer oder dein Vorgesetzter unter höchster Geheimhaltung bestimmte Informationen einfordert, beispielsweise wichtige Telefonnummern, Dokumente oder Kontodaten. Unter Umständen werden auch hohe Überweisungen auf Konten, die der Firma nicht zuzuordnen sind, verlangt. In jedem Falle wird mehrmals unterstrichen, dass auf gar keinen Fall mit den Kollegen über das Thema der E-Mail gesprochen werden dürfe.
Der im Englischen „CEO Fraud“ genannte Trick ist eine klassische Phishing-Methode. Diese E-Mails fliegen sofort auf, wenn der vermeintliche Vorgesetzte oder Geschäftsführer telefonisch kontaktiert wird, um nachzufragen, ob die Nachrichten tatsächlich legitim sind – in 99,9% der Fällen sind sie es nicht.
10. Als etwas Erwartetes getarnter Inhalt
Dies ist auf den ersten Blick etwas schwieriger zu erkennen, aber eine Phishing-Mail kann sich manchmal als etwas tarnen, das du in deinem Posteingang erwartest.
So kann es beispielsweise vorkommen, dass du eine E-Mail erhältst, die bis auf den Wortlaut und den Schriftzug genau wie dein normaler Kontoauszug aussieht. Der Anhang kann jedoch möglicherweise bösartig und schadhaft sein. Um einen Phishing-Versuch zu erkennen, der sich auf diese Weise tarnt, solltest du auf die oben aufgeführten Hinweise sowie auf kleinere Details wie Absatzabstände, die Platzierung von Logos und Farben achten.
Privatsphäre und persönliche Informationen im Internet schützen
Wichtige Aktivitäten wie Bankgeschäfte, Shopping oder soziale Kontaktpflege spielen sich heutzutage im Internet ab. Online-Dienste, Unternehmen und Behörden haben ein großes Interesse an den Daten der Menschen, um sie für ihre eigenen Zwecke weiterzuverarbeiten. Es ist wichtig zu verstehen, dass die Privatsphäre im Internet genauso schützenswert ist wie die Privatsphäre in der „echten Welt“.
Überlege dir genau, welche Informationen du über dich im Internet preisgibst, da sie in der Regel von jeder wildfremden Personen gesehen und genutzt werden können. Bevor die wichtige Daten wie deine Anschrift, Kontonummern oder Passwörter übermittelst, solltest du genau prüfen, ob die entsprechende Internetseite seriös und echt ist.
Es gibt einige einfache Maßnahmen, die ergriffen werden können, um die Privatsphäre im Internet zu erhöhen. So ist es ratsam, dass vertrauenswürdige Dienste für Suchanfragen, E-Mails und soziale Kontakte verwendet werden. Zudem kann es hilfreich sein, einen VPN-Anbieter zu nutzen, falls die Aktivitäten im Internet besonders geschützt werden sollen.