Phishing ist eine Art von Betrug, bei der Betrüger versuchen, vertrauliche Informationen wie Benutzernamen, Passwörter und Kreditkarteninformationen von Internetnutzern zu erlangen, indem sie sich als vertrauenswürdige Personen oder Unternehmen ausgeben.
Dies geschieht in der Regel über E-Mails, die gefälschte Links enthalten, die zu gefälschten Websites führen, die wiederum wie echte Websites aussehen und sich verhalten, um Nutzer dazu zu bringen, ihre Informationen einzugeben. Der Link kann aber auch per SMS, Whatsapp oder einen anderen Kanal gesendet werden. Es ist wichtig, vorsichtig zu sein, wenn man im Internet unterwegs ist, und im Zweifelsfall immer den Rat von vertrauenswürdigen Quellen einholen, bevor man vertrauliche Informationen weitergibt.
Wie schützt man sich vor Phishing?
Um sich vor Phishing zu schützen, gibt es einige einfache Schritte, die man beachten kann:
- Absender: Seien Sie misstrauisch gegenüber E-Mails, die von unbekannten Absendern stammen oder merkwürdig aussehen. Ignorieren Sie solche E-Mails oder löschen Sie sie, ohne auf den Link zu klicken.
- Klicken Sie nicht auf Links in E-Mails, die verdächtig erscheinen, sondern geben Sie stattdessen die URL-Adresse der Website manuell in die Adresszeile Ihres Browsers ein. So stellen Sie sicher, dass Sie tatsächlich die Website besuchen, die Sie besuchen möchten.
- Achten Sie auf die URL-Adresse der Website, die Sie besuchen. Gefälschte Websites können zwar wie echte Websites aussehen, aber ihre URL-Adresse wird oft anders lauten. Vergleichen Sie die URL-Adresse mit der echten Adresse der Website, um sicherzustellen, dass Sie tatsächlich auf der richtigen Seite sind.
- Installieren Sie eine vertrauenswürdige Antivirus-Software und halten Sie sie immer auf dem neuesten Stand. Solche Software kann erkennen, ob eine E-Mail oder eine Website gefälscht ist, und Sie vor möglichen Bedrohungen schützen.
- Geben Sie niemals vertrauliche Informationen wie Benutzernamen, Passwörter oder Kreditkarteninformationen auf verdächtigen Websites ein, auch wenn sie echt aussehen. Wenn Sie dazu aufgefordert werden, solche Informationen einzugeben, verlassen Sie die Seite und informieren Sie das Unternehmen, das die Website betreibt, um sicherzustellen, dass es sich nicht um eine gefälschte Seite handelt.
- Informieren Sie sich über die neuesten Phishing-Methoden und -Techniken, damit Sie immer auf dem Laufenden sind und wissen, worauf Sie achten müssen, um sich vor Betrügern zu schützen.
Video: So erkennen Sie Phishing E-Mails
Beispiele für bekannte Phishing-Angriffe und -Kampagnen
In den letzten Jahren gab es zahlreiche Phishing-Angriffe, die immer wieder für Aufsehen sorgten. Im folgenden einige anschauliche Beispiele:
- Google Docs Phishing-Angriff: Im Jahr 2017 wurde eine Phishing-Kampagne veröffentlicht, bei der Nutzer dazu aufgefordert wurden, auf einen Link zu klicken, der sie zu einer gefälschten Google Docs-Seite führte. Sobald sie sich auf der Seite anmeldeten, wurden ihre Anmeldeinformationen gestohlen. Gerade bei Cloud-Formularen, egal ob von Google oder Microsoft, sollte immer der Urheber klar ersichtlich und nachvollziehbar sein.
- Netflix Phishing-Angriff: Im Jahr 2018 wurde eine Phishing-Kampagne veröffentlicht, bei der Nutzer dazu aufgefordert wurden, ihre Netflix-Anmeldeinformationen auf einer gefälschten Netflix-Website einzugeben. Sobald sie ihre Anmeldeinformationen eingaben, wurden sie gestohlen.
- „Sie haben eine neue Sprachnachricht“ Phishing-Angriff: Diese Phishing-Kampagne fordert Nutzer auf, auf einen Link zu klicken, der sie zu einer gefälschten Voicemail-Anmeldeseite führt, auf der sie ihre Anmeldeinformationen eingeben sollen.
- „Aktualisieren Sie Ihre Kontoinformationen“ Phishing-Angriff: Diese Phishing-Kampagne fordert Nutzer auf, ihre Anmeldeinformationen auf einer gefälschten Website zu aktualisieren, indem sie vorgeben, dass das Konto des Nutzers deaktiviert wird, wenn sie nicht handeln. Bspw. sollten Sie niemals beim Online-Banking auf eine Mail mit der Aufforderung Daten einzugeben niemals eingehen. Löschen Sie die E-Mail einfach. Wenn Ihre Bank Daten benötigt, werden Sie schriftlich oder direkt im Portal informiert.
Unser Expertenwissen hilft Ihnen Gefahren für Ihre IT-Infrastruktur besser zu erkennen.
Wie wäre es aber, dieses Wissen deutlich entspannter mit einem Lächeln und dem Gedanken:
„Spannend – aber auch dagegen bin ich abgesichert“ zu lesen?
P.S. Brillieren können Sie im Meeting mit dem neuen Wissen trotzdem!
Die Arten der Phishing-Angriffe ähneln sich alle sehr stark. Mittlerweile erfolgt bei den meisten Anbietern eine zweistufige Verifikation vor der Eingabe von persönlichen Daten. Als Merksatz sollte für Endwender immer gelten: Wenn ein genutzter Online-Dienst, wie etwa ein Online-Shop, nach persönlichen Daten fragt, besuchen Sie immer direkt die Webseite und nicht über den Link in der E-Mail.
Beispiel für eine Phishing-Mail
Oben sehen Sie ein Beispiel für eine Phishing-Mail von Vodafone. Beim ersten Überfliegen sieht der Laie keine Auffälligkeiten. Beim genaueren Hinschauen sehen wir folgende Hinweise, dass es sich nicht um eine Mail von Vodafone handelt.
- Betreffzeile: Diese ist unspezifisch und allgemein gehalten
- Absender: Hier ist klar zu sehen, dass die E-Mail nicht von Vodafone stammt
- Inhalt der Mail: Oftmals sind Tippfehler oder sinnfreie Textpassagen enthalten.
- Impressum: Eine offizielle E-Mail eines großen Unternehmen enthält zwingend immer rechtliche Angaben. Auch diese fehlen hier.
Am Desktop sollte man immer den Mauszeiger über den Link halten, dann sieht am unteren Rand, wohin der Link verweist. Gern noch einmal der Hinweis: Im Zweifel die E-Mail einfach löschen.
Sind Sie trotzdem neugierig? Dann nutzen Sie bspw. einen Sandbox-Browser.
Eine Sandbox-Umgebung ist eine abgeschottete virtuelle Umgebung, in der Programme und Dateien ausgeführt werden können, ohne dass sie auf das eigentliche Betriebssystem zugreifen können. Das Öffnen von Phishing-E-Mails in einem Sandbox-Browser ist eine gute Möglichkeit, um sicherzustellen, dass Ihr System nicht durch bösartige E-Mails infiziert wird.
Sie können lokal einen Sandbox-Browser installieren oder nutzen eine Online-Umgebung zum Testen, wie beispielsweise browserling.com/browser-sandbox. Hier tragen Sie den aus der E-Mail kopierten Link (URL) ein, um zu sehen was auf der Zielseite angezeigt wird.
Indem Sie Phishing-E-Mails in einer Sandbox-Umgebung öffnen, können Sie Ihre Computerumgebung vor Malware-Angriffen schützen. Beachten Sie jedoch, dass dies keine Garantie dafür ist, dass Ihr System zu 100% sicher ist. Es ist immer ratsam, vorsichtig zu sein und verdächtige E-Mails zu vermeiden, insbesondere von unbekannten Absendern.