Aktuell: Phishing-Mails in Umlauf

Was ist Phishing?

So funktionieren Phishing-Angriffe

Auf Ihrem Bank­konto gab es ungewöhnliche Aktivitäten, bitte loggen Sie sich ein. Solche und ähnliche Phishing E‑Mails landen immer wieder im Post­fach. Hierbei bedienen sich Internet­kriminelle sogenannter Social-Engineering-Techniken — sie manipulieren die menschliche Psychologie und nutzen unser Vertrauen aus.

Denn Phishing Mails werden zumeist als Nach­richten von vertrauens­würdigen Institutionen und Firmen wie Banken oder Logistik­unter­nehmen getarnt. Dies erhöht die Glaub­würdig­keit, dass der bei­gefügte Link oder das angehängte Dokument wichtig und legitim sind. Aber auch angehängte virale Katzen­videos wurden bereits als Lock­mittel verwendet — nutzbar ist alles, was das Interesse des Empfängers wecken könnte.

Sobald der Empfänger auf den Anhang klickt, wird das Gerät mit einem Trojaner infiziert, ein Schad­programm, das ungefragt weitere unerwünschte Malware installiert und so persön­liche Daten ausspäht.

Phishing kann zudem dafür ein­gesetzt werden, Sie über einen E‑Mail-Link auf eine falsche Web­site zu locken, die als legitime Web­site getarnt ist. So werden Sie dazu verleitet, Ihre Anmelde­informationen ein- und damit an Kriminelle weiter­zugeben. Mit diesen persön­lichen Daten können Unbefugte Ihr Konto leer­räumen oder Ihre Identität stehlen.

Übrigens sind nicht nur Privat­personen hiervon betroffen, viele Unter­nehmen fallen Phishing zum Opfer. Schließlich ist der Empfang von E‑Mails mit Anhängen im Arbeits­alltag üblich. Als Rechnung oder Geschäfts­angebot getarnt, erwecken sie nur selten Miss­trauen.

Arten von Phishing

Die klassischen Phishing E‑Mails werden oft an Tausende Empfänger gesendet. Vielen Menschen dürfte die Mail des nigerianischen Prinzen bekannt sein. In dieser Phishing Mail wird dem Empfänger glaub­haft gemacht, dass er das Vermögen des nigerianischen Prinzen geerbt hat und hierzu seine Konto­informationen teilen muss — in über 200 Fällen war die Betrugs­masche erfolgreich!

Spear Phishing

Doch es geht auch spezifischer: Beim sogenannten Spear Phishing werden gezielte Gruppen oder Einzel­personen angegriffen, um an bestimmte Firmen­informationen zu kommen, wie bei­spiels­weise IT-Administratoren. Wenn der CEO oder ein Mitglied der Geschäfts­leitung ausgewählt werden, wird dies als Whaling bezeichnet — hier stehen die großen Fische im Fokus, um an sensible Firmen­daten zu kommen.

Smishing

Smishing setzt sich aus den Wörtern SMS und Phishing zusammen. Hier wird der Empfänger per SMS aufgefordert, Bank­daten preis­zugeben oder einen Link zu einer betrügerischen Web­site zu öffnen.

Vishing

Ein Vishing-Angriff erfolgt über das Telefon. Das V steht hier für das englische Wort Voice (Stimme). Bei einem beliebten Vishing-Betrug gibt sich der Anrufer als Micro­soft-Vertreter aus. Das Opfer wird darüber informiert, dass sein Computer Malware enthält und der Anrufer die Kredit­karten­daten benötigt, um eine aktualisierte Anti­viren-Soft­ware zu installieren. Am Ende ist der Angerufene im schlimmsten Fall nicht nur seine Kredit­karten­daten los, sondern um eine installierte Malware reicher.

So schützen Sie sich gegen Phishing

Für Laien ist es nicht immer einfach, einen Phishing-Angriff als solchen zu erkennen. Die folgenden Tipps sollen Ihnen dabei helfen.

Sie tragen die Verantwortung

Niemand wird Phishing-Opfer ohne eigene Mitwirkung. Ein Phishing-Angriff ist nur dann erfolgreich, wenn Sie die Phishing E‑Mail öffnen, auf einen Link klicken oder einen Anhang öffnen. Oft müssen Sie in einem weiteren Schritt z. B. auf Inhalte aktivieren klicken und zulassen, dass der Trojaner oder die Ransom­ware Ihr Gerät infiziert. Auch bei Formularen, in die Sie persön­liche Daten eingeben müssen, sollten Sie stutzig werden.

Achten Sie auf die Recht­schreibung und Individualisierung

Werden Sie in der E‑Mail direkt mit Ihrem Namen angesprochen? Da Phishing Mails zumeist an Tausende Empfänger gleich­zeitig gesendet werden, verzichten diese häufig auf die direkte Anrede. Bei allgemeinen Floskeln wie Sehr geehrte/r Kunde/Kundin sollten Sie miss­trauisch sein.

Das gleiche gilt für eine mangel­hafte Recht­schreibung. Kriminelle aus dem Ausland greifen oft auf Soft­ware-generierte Über­setzungen zurück. Stimmt Sie die Grammatik nach­denklich oder finden sich im Text diverse Recht­schreib­fehler? Eine vertrauens­würdige Organisation würde sich einen solchen Fauxpas mit großer Wahr­schein­lichkeit nicht leisten!

Über­prüfen Sie den Absender

Alles, was zur Glaub­würdig­keit eines Phishing-Angriffs beiträgt, erhöht die Erfolgs­aussichten des Betrugs. Deshalb wird bei Phishing E‑Mails häufig das Erscheinungs­bild bekannter vertrauens­würdiger Marken wie Amazon, Ihrer Bank, DHL oder eines anderen Logistik-Dienst­leisters nach­geahmt, von denen Sie Sendungen erwarten.

Über­prüfen Sie unbedingt die Absender-Adresse: Während E‑Mail-Adressen von legitimen Absendern meist einem klaren Schema folgen wie etwa info@firmen­name.de, enthalten Phishing-Adressen oftmals Nummern, Buch­staben oder Recht­schreib­fehler in den Firmen­namen.

Insbesondere auf dem Handy sollten Sie Vorsicht walten lassen: Durch das kleine Display werden die E‑Mail-Adressen nur angezeigt, wenn Sie gezielt drauf­klicken. Ein Blick und Klick lohnen sich immer!

Vorsicht bei Dringlichkeit

Phishing E‑Mails versuchen oft durch Dringlichkeit zum Handeln zu verleiten. Beliebt ist hierbei zum Bei­spiel die Aussicht, dass das Bank­konto gesperrt wird, wenn Sie nicht sofort auf den Link klicken. Bedenken Sie: Wenn es wirklich dringend wäre, würden Sie nicht nur eine E‑Mail erhalten. Banken würden Sie außerdem niemals dazu auf­fordern, sensible Daten wie Kredit­karten­daten oder eine TAN per E‑Mail zu verifizieren.

Bewahren Sie Ruhe und klicken Sie nicht. Greifen Sie statt­dessen zum Telefon und rufen Sie den Absender über die offizielle Telefon­nummer an, um heraus­zufinden, ob die Nach­richt echt ist.

Vertrauen Sie Ihren Instinkten

Es mag zunächst komisch klingen, aber letztlich müssen Sie Ihrer Intuition vertrauen. Schließlich ist nicht alles im Internet ein einziger Betrugs­versuch. Die Schwierigkeit besteht darin, echten Betrug zu erkennen. Und das ist Ihre Aufgabe. Jedes Mal, wenn Sie auf etwas Verdächtiges stoßen, müssen Sie sich fragen: Habe ich das erwartet? Vertraue ich dieser Quelle? Können Sie das über­prüfen? Bei­spiels­weise durch eine Internet­recherche oder einen Anruf beim Absender? Falls nicht, gehen Sie lieber auf Nummer sicher.

Was ist Phishing? Schutz vor Phishing – unsere Tipps

Die Abzocke per Phishing-E-Mails oder gefälschter Webseiten wird nicht weniger, ganz im Gegenteil. Im Kalenderjahr 2022 gab es so viele Angriffsversuche wie noch nie zuvor. Aber was ist Phishing genau?

Wir beantworten diese wichtige Frage und geben dann wertvolle Tipps, wie Sie sich effektiv vor Phishing-Angriffen schützen können.

Was ist Phishing?

„Was ist Phishing?“ – diese Frage haben Sie sich bestimmt schon einmal gestellt – wir geben die Antwort. Phishing ist wie eine Grippe: Sie verändert sich ständig und entwickelt ihre Angriffstechnik weiter, um an möglichst viele Opfer zu gelangen.

Sie können Phishing auch mit dem echten Fischen vergleichen. Allerdings sind die Internet-Betrüger nicht mit Angel und Haken und Köder hinter Fischen her. Ziel der fiesen Betrüger sind stattdessen Login-Daten, Passwörter und Account-Infos.

Beim Phishing handelt es sich also um eine spezielle Internetkriminalität, bei der die Angreifer, also cyberkriminelle Hacker versuchen, an persönliche Daten, Bankdaten und andere Infos zu kommen. Phishing ist nichts anderes als der Diebstahl der Internet-Identität mittels Kaperung von persönlichen und sensiblen Daten durch die Versendung sogenannte Phishing-E-Mails.

Außerdem geht es beim Phishing geht darum, Konten zu plündern oder Schadsoftware zu verbreiten. Da die Gutgläubigkeit der Opfer ausgenutzt wird, zählt Phishing zum Social Engineering bzw. Social Hacking. Eine neuere Phishing-Methode, die nicht auf die Masse sondern ein individuelles Opfer abzielt, ist das sogenannte Spear-Phishing.

Was ist Phishing – Begriffsklärung

Was ist Phishing oder woher kommt der Begriff? Bei dem Begriff Phishing handelt es sich um einen sogenannten Neologismus. Ursprung ist der englische Begriff „fishing“ für Angeln, da die Betrüger buchstäblich nach den Informationen fischen/angeln.

Und auch wenn man es denken könnte: Beim Phishing handelt es sich nicht um ein Phänomen des 21. Jahrhunderts. Schon früher versuchten Betrüger den Bürgern Daten zu entlocken, um sie zu missbrauchen. Was vor dem digitalen Zeitalter per Telefon und/oder Brief geschah, läuft heute über das Versenden sogenannter Phishing-E-Mails.

Große Gefahren birgt das besonders für Angestellte und Unternehmen. Betrüger nutzen den Leichtsinn der PC-Nutzer, um die Firma auszuspionieren und bloßzustellen. Hier sei als Beispiel der CEO-Betrug genannt, bei dem sich Angreifer als Vorgesetzter ausgeben. Wichtig ist deshalb, dass Sie Ihren Mitarbeitern immer wieder Awareness-Schulungen anbieten, um die Schwachstelle Mensch zu schließen.

Wie leicht man auf Phishing-E-Mail hereinfällt

Was ist Phishing? Das wissen Sie jetzt. Aber vermutlich glauben Sie nicht, wie leicht ein jeder auf Phishing-E-Mails hereinfällt. Infizieren kann man sich leicht: Durch den Zugriff auf öffentliches WLAN, durch Einloggen auf gefälschten Webseiten oder durch Klicken auf dubiose Links. Angreifer locken dabei mit Angeboten oder Geschenken, die zu schön sind, um wahr zu sein. Diesen Köderversuch bezeichnet man als Baiting. Zu den neueren Tricks der Kriminellen gehören Phishing-Anrufe via VoIP, das sogenannte Vishing, und Phishing-SMS, das sogenannte Smishing.

Besonders beliebt sind aber nach wie vor E-Mails, die augenscheinlich von Banken stammen, wie der ING oder der Sparkasse, von PayPal, von Amazon usw. Noch mehr Infos über Phishing-Betrug gibt es bei uns im Blog. Der Phantasie der Kriminellen sind keine Grenzen gesetzt und mittlerweile sind die Phishing-E-Mails gar nicht mehr so leicht zu erkennen.

Galt noch bis vor wenigen Jahren die Aussage, dass Phishing-Mails häufig in schlechtem und fehlerhaftem Deutsch verfasst sind, ist das heute kein Merkmal mehr. Gemein ist allen Phishing-E-Mails, dass Sie sie dazu verleiten wollen, den mitgesendeten Link anzuklicken. Tun Sie das, ist das Kind schon beinahe in den Brunnen gefallen.

Wie Sie nicht auf Phishing hereinfallen

Die gute Nachricht lautet: Genauso leicht, wie es ist, auf eine Phishing-E-Mail hereinzufallen, genauso leicht ist es auch, die Kriminellen zu durchschauen. Wichtig ist, dass Sie sich bei allem, was Sie am PC, Laptop oder Handy tun, stets der Gefahr bewusst sein sollten, dass es Betrüger auf Ihre Daten abgesehen haben. Grundsätzlich gilt:

keine Links aus E-Mails anklicken

keine Daten herunterladen

keine E-Mail-Anhänge öffnen, wenn man der Quelle nicht vertraut.

Neben dem Wissen um die Gefahr ist die beste Schutzmaßnahme und absolut unverzichtbar ein aktuelles Virenprogramm auf dem Rechner und Handy. Gute Programme mit hohem Schutz und einer ausgezeichneten Virenerkennung bekommen Sie bei Ihrem PC-SPEZIALIST vor Ort – auch für Ihr Diensthandy.

Was ist Phishing? Wie erkennen Sie Phishing?

Auch wenn die Frage „Was ist Phishing?“ geklärt ist, bleibt die Frage, woran man Phishing-E-Mails zuverlässig erkennen kann. Doch das ist gar nicht so schwer, wenn man sich seine E-Mails aufmerksam anschaut.

Ein klassisches Erkennungsmerkmal ist die unpersönliche Anrede in der E-Mail. „Sehr geehrte Kundin/sehr geehrter Kunde“ oder ähnliches – so würde keine Bank ein ernstgemeintes Schreiben beginnen. Doch auch wenn der korrekte Namen in der E-Mail enthalten ist, heißt es, vorsichtig sein.

Der Name kann beispielsweise mithilfe von Dumpster Diving ergaunert werden oder aus einem vorherigen Datenpanne bekannt sein. So geschehen beispielsweise beim Twitch-Datenleak, dem E-Mail-Verifizierer oder LinkedIn-Hack. Was Sie tun können, wenn Sie gehackt wurden und Ihre persönlichen Daten oder Teile davon öffentlich sind, erfahren Sie bei uns im Blog.

Hinweise auf Phishing-Versuche

Ein weiterer Hinweis, dass es sich um eine Phishing-E-Mail handelt, liegt im Inhalt begründet: Der ist oftmals unglaubwürdig oder zumindest fragwürdig. Als Beispiel sie genannt, dass die Bank Ihre Autorisierung benötigt, um irgendwas zu tun. Nein, so etwas würde ein Bank nicht schreiben und schon gar nicht einen Login und die Passworteingabe verlangen!

Oftmals wird in solchen E-Mail eine kurze zeitliche Frist gesetzt. Diese dienst dazu, Sie unter Druck zu setzen, damit Sie nicht lange nachdenken, sondern sofort Ihre Login-Daten über den Link eingeben und so direkt den Kriminellen überlassen.

Und ein letzter Tipp: Fahren Sie mit der Maus über den Absender und lassen Sie sich die E-Mail-Absenderadresse anzeigen. Meistens ist es ein kryptische Aneinanderreihung mehrere Zeichen und somit eindeutig ein Absender, der nicht der ist, der er vorgibt zu sein.

Vorsicht vor Phishing-Websites

Neben den kryptischen E-Mail-Absenderadresse enthalten Phishing-E-Mails auch oftmals Links, die auf scheinbar vertrauenswürdige Webseiten führen. Bevor Sie nun leichtfertig auf die URL klicken, positionieren Sie den Mauszeiger auf dem Link ohne zu klicken.

Bei den meisten Browsern erscheint unten links die URL, auf die Sie beim Anklicken geleitet werden. Achtung: Auch die URL kann natürlich gefälscht sein. Hier ist ebenfalls Vorsicht geboten. Cyberkriminelle benutzen gern Dienste wie bit.ly oder goo.gl, um einen seriösen Link vorzutäuschen. Doch beim Anklicken werden Sie sofort auf eine schädliche Seite geleitet. Auf Nummer sicher gehen Sie, wenn Sie den vorhandenen Link in der E-Mail und auch die URL unten links ignorieren und Ihrem eigenen Lesezeichen folgen.

Was ist Phishing – Gefahr für Zugangsdaten

Phishing-Betrug kommt oftmals per E-Mail daher. Alle Alarmglocken sollten bei Ihnen sofort schrillen, wenn in der Nachricht Bedrohungen oder dringend einzuhaltende Zeiten und Tage enthalten sind. Auch, wenn die Frist kurz ist, sollten Sie sich dennoch nicht unter Druck setzen lassen.

Seriöse Unternehmen weisen immer wieder darauf hin, dass sie weder Passwörter noch andere Zugangsdaten per E-Mail abfragen. Erhalten Sie eine E-Mail, in der genau das passiert, können Sie die Nachricht getrost ignorieren und löschen.

Sind Sie sich nicht sicher, ob die E-Mail echt ist, hilft ein Anruf bei der augenscheinlichen Absenderfirma, wie beispielsweise der eigenen Bank. In manchen Phishing E-Mails ist als sogenannter „Service“ eine E-Mailadresse für Rückfragen hinterlegt. Doch die führt sicherlich nicht zum Unternehmen. Die persönliche Nachfrage per Telefon ist in diesem Fall der sicherste Weg, nicht in die Phishing-Falle zu tappen.

Sichere Internetseiten – Abzocke im Internet vermeiden

Um eine Abzocke im Internet zu vermeiden, sollten Sie nur auf sicheren Internetseiten surfen. Erkennbar sind die am HTTPS und dem Schloss vor der Adressleiste. Bei Banken sind sie absoluter Standard. Auch Google, Facebook und viele andere Firmen nutzen die sichere Verbindung zwischen Server und Client.

Natürlich gibt es mittlerweile auch gefälschte Internetseiten. Dabei wird die Originalseite kopiert, sodass der Besucher den Eindruck erhält, er sei auf der gewünschten Seite, beispielsweise auf der der Bank oder des Onlineshops. Früher oder später werden Sie auf gefälschten Seiten immer nach privaten Daten und Passwörtern gefragt.

Auch hier gilt: Seriöse Unternehmen fragen nicht nach privaten Zugangsdaten. Sie sollten also niemals Ihre Daten preisgeben. Wie Sie im Nachhinein einen Internetbetrug anzeigen und womöglich geflossenes Geld zurückfordern können, erfahren Sie bei uns im Ratgeber.

Eine große Schwachstelle für sicheres Surfen sind freie WLANs mit einer ungesicherten Verbindung. Auf Online-Banking oder -Shopping sollten Sie hier unbedingt verzichten. Die bessere Alternative ist hier das Surfen mit dem Smartphone über den Mobilfunkbetreiber. Das geht zwar auf Kosten des Datenvolumens, ist aber auf jeden Fall sicherer.

Sie haben Sorge, Opfer eines Phishing-Betrugs geworden zu sein? Dann lassen Sie von PC-SPEZIALIST in Ihrer Nähe einen PC-Check und – wenn nötig – eine professionelle Virenentfernung durchführen.

_______________________________________________

Aktuell: Phishing-Mails in Umlauf

Aktuell kursieren Mails, die angeblich von WEB.DE stammen. Doch Achtung: Es handelt sich dabei um Phishing! Wir klären Sie auf, damit Sie nicht in die Falle tappen.

Wie sieht so eine Phishing-E-Mail aus?

Beispiel einer aktuellen Phishing-Mail, die angeblich von WEB.DE stammt.

Wie erkennen Sie diese gefälschten Mails?

Bereits beim Abgleich von Absendernamen und dahinterliegender E-Mail-Adresse können Sie die oben gezeigte Phishing-Mail enttarnen:

Im Beispiel ist zwar "WEB.DE Management" als Absendername zu sehen (diesen verwenden wir übrigens gar nicht) – wenn Sie jedoch mit dem Cursor/mit der Maus darüberfahren, zeigt sich dahinter eine völlig andere E-Mail-Adresse. In der Mail App können Sie die E-Mail-Adresse durch langes Antippen mit dem Absendernamen abgleichen. Der Inhalt der E-Mail: Irgendetwas mit Ihren E-Mails und Ihrem WEB.DE Konto stimmt nicht, durch Schlagworte wie "Identität" und "Konto" wird Druck auf Sie ausgeübt:

Sie sollen Ihr Konto durch Klick auf einen Link (hier rot markiert) bestätigen. Tun Sie dies bitte auf keinen Fall! Sie würden sonst auf eine neue Seite gelangen, auf der Sie dann Ihre Daten und Ihr WEB.DE Passwort eingeben sollen. Und genau das ist das Ziel der Kriminellen: Ihnen Ihre Zugangsdaten entlocken.

Merke: Wir von WEB.DE versenden keine E-Mails mit derartigen Aufforderungen. Und auch andere Anbieter/Unternehmen, bei denen Sie ein Konto haben, tun dies nicht. Rechtschreibung: In der Mail fehlen Satzzeichen wie z. B. das Komma nach der Anrede, das "Wir" danach ist großgeschrieben und an einigen Satzenden fehlt der Punkt. Und zuletzt: In der E-Mail fehlt neben dem Absender das E-Mail-Siegel:

Das E-Mail-Siegel.

Kriminelle versenden momentan betrügerische E-Mails, die sich. Der Absendername lautet z. B. "WEB.DE Management" oder "WEB.DE Konto- Team". Doch diese E-Mails stammen nicht von uns, sondern sindEs handelt sich um sogenannte Phishing-Mails , die von Kriminellen unter dem Namen von WEB.DE versendet werden und Sie zurbewegen wollen. Leisten Sie dem Folge und geben z. B. Ihr Passwort und andere sensible Daten ein, kann das schwere Konsequenzen für Sie haben. Denn sind die Hacker einmal im Besitz Ihrer Zugangsdaten für Ihr E-Mail-Postfach, können sie dieses in Ihrem Namen missbrauchen.Damit Sie nicht auf den Betrug hereinfallen, haben wir hier ein Beispiel für eine solche gefälschte Mail:Schaut man sich das im Detail an, sind folgendeerkennbar, die zeigen: Diese Mail ist einSie finden es als Erkennungsmerkmal seriöser E-Mails in jeder unserer WEB.DE E-Mails.Alles Wissenswerte rund um das Thema Phishing erfahren Sie in diesem Artikel Wenn Sie den Artikel hilfreich fanden, teilen Sie ihn gerne auch per E-Mail Wenn Ihnen WEB.DE gefällt, geben Sie uns auch gerne positives Feedback auf der Bewertungsplattform Trustpilot

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels