Phishing-Nachrichten: Was ist Phishing und wie kann ich mich davor schützen?

Als Phishing bezeichnet man betrügerische Nachrichten mit der Absicht, personenbezogene Daten abzugreifen oder Login-Daten zu Banken, Cloud-Speichern oder Marktplätzen wie Amazon zu erhalten. Phishing wird oftmals in Form von E-Mails verbreitet, aber auch per SMS, Post oder über gefälschte Websites, die wie die „echten“ Seiten aussehen.

Immer mehr Privatpersonen und Unternehmen werden Opfer von sogenannten Phishing-Angriffen. Aber was ist Phishing eigentlich? Phishing ist eine Art von Internetbetrug, bei dem Angreifer versuchen, sensible Daten wie Benutzernamen, Passwörter oder Kreditkartendaten zu stehlen, indem sie sich als vertrauenswürdige Organisation ausgeben. Bei dieser Art von Cyberangriff wird der Empfänger dazu verleitet, auf einen Link zu klicken oder auch Anhänge herunterzuladen, die Malware enthalten. Oft werden Phishing-E-Mails von Unternehmen oder Organisationen verschickt, die dem Opfer bekannt sind, wodurch sie glauben, dass die E-Mail legitim ist – beispielsweise der Bank, dem Cloud-Anbieter, Amazon, DHL etc. Die Angreifer hoffen, dass die Opfer die falsche Website oder den Link anklicken und ihre sensiblen Daten eingeben. Nachdem der Benutzer seinen Benutzernamen und sein Kennwort eingegeben hat, verwendet der Betrüger die Anmeldeinformationen, um auf sein Online-Konto zuzugreifen und ihn auszusperren.

Phishing-Angriffe sind eine ernsthafte Bedrohung für Unternehmen, insbesondere für kleine und mittelständische Unternehmen, die weniger Ressourcen zur Verfügung haben, um sich gegen diese Art von Bedrohungen zu schützen. Die Folgen von Phishing-Angriffen können verheerend sein und reichen von finanziellen Schäden bis hin zu reputationsschädigenden Enthüllungen. Laut Microsoft wurden im Jahr 2017 mehr als 12 Milliarden US-Dollar durch Phishing-Angriffe weltweit gestohlen – Tendenz steigend.

Wie kann man Phishing erkennen?

Folgende Inhalte in Nachrichten, vor allem in E-Mails, sollten einen aufhorchen lassen:

• Rechtschreibung und Grammatik: Seriöse Anbieter senden in der Regel fehlerfreie Nachrichten. Erhalten Sie eine Mail, die vermeintlich von der Bank kommt, aber voller Fehler ist, dann ist Achtsamkeit geboten. Gleiches gilt auch für ganze Absätze, die aus Kauderwelsch bestehen – hierbei handelt es sich meist um Übersetzungsfehler. Aufmerksam werden sollte man auch bei Texten mit fremdsprachigen Buchstaben oder fehlenden Umlauten.
• Name und Adresse des Absenders: Hier lohnt sich immer ein genauer Blick, um herauszufinden, ob der Absender der ist, der er vorgibt zu sein. Betrüger nutzen zum Beispiel gerne Adressen mit minimalischen Abweichungen vom Original, die auf den ersten Blick nicht auffallen.
• Keine persönliche Anrede: Schreibt Amazon Sie plötzlich mit „Sehr geehrte Damen und Herren“ an und weiß nicht mehr, wie Sie heißen? Dann ist Vorsicht geboten! Anbieter schreiben ihre Kunden, zu denen sie eine vertragliche Beziehung haben, in der Regel immer mit persönlichem Namen an.
• Links prüfen: Bevor Sie einen Link anklicken, sollten Sie immer prüfen, wohin dieser führt. Dazu einfach mit der Maus über den Link fahren und die Webadresse anschauen, die unten angezeigt wird. Stimmt diese mit dem Anbieter überein? Ist der Link https-verschlüsselt? Bei Unsicherheiten lieber nicht anklicken, sondern die im Nachrichtentext angezeigte Webadresse manuell eintippen – so kann man sicher sein, auch wirklich beim richtigen Anbieter zu landen.
• Achtung, Anhänge: Bei Anhängen gilt die Faustregel – nur öffnen, wenn der Absender bekannt ist. Andernfalls sollte ein Dateianhang nicht heruntergeladen und geöffnet werden. Denn über Anhänge können Viren und Trojaner versendet werden, die den PC infiltrieren.

Was tun, wenn ich eine Phishing-Mail erhalten habe?

Online-Dienste senden oftmals E-Mails, um Nutzer zu benachrichtigen, wenn jemand versucht hat, sich von einem neuen Gerät oder Standort aus anzumelden. Dies ist ein wichtiger Sicherheitsmechanismus – der allerdings von Hackern missbraucht wird, indem Fake-Hinweise versendet werden. Bei solchen ist allgemeine Vorsicht geboten. Aber was tun, wenn ich eine solche Nachricht erhalten habe, aber unsicher bin, ob sie echt ist?

Wenn Sie den Verdacht haben, dass Sie eine Phishing-E-Mail erhalten haben, sollten Sie diese unbedingt löschen und nicht auf den Link klicken oder den Anhang herunterladen. Geben Sie Ihrer IT-Abteilung Bescheid – sie wird Ihnen zweifelsfrei sagen können, ob es sich tatsächlich um Phishing handelt. Sie werden die Mail endgültig löschen können und die Absenderadresse sperren sowie ggfs. den Spam-Filter anpassen, damit solche Mails in Zukunft bereits im Vorfeld erkannt werden und gar nicht erst im Postfach landen.

Alternativ können Sie auch beim Anbieter, also dem Absender der Mail direkt, nachhaken, ob die E-Mail echt ist – aber Achtung: Dazu nicht auf die Mail antworten, sondern zum Telefonhörer greifen!