Phishing, also der Versuch an Daten einer Person, wie zum Beispiel Kreditkartennummern oder E-Banking-Login, zu kommen, ist grundsätzlich ja nichts neues.

Schon vor dem Internetzeitalter haben Gauner versucht, an solche Daten zu kommen. Damals nutzten Sie für ihre Versuche vorwiegend das Telefon und gaben sich beispielsweise als Supporter aus, der vertrauliche Logindaten für das Firmennetzwerk benötigt. Diese Art der persönlichen Kontaktaufnahme und das Erschleichen des Vertrauen der Person wird in Fachkreisen mit „Social Engineering“ umschrieben.

Ricardo oder nicht Ricardo?
Auch wenn Social Engineering für Angriffe auf Firmen auch heute noch seine Bedeutung hat, kommt der normale Internetnutzer damit kaum in Berührung. Ganz anders jedoch beim Phishing, wo ebenfalls darauf abgezielt wird, an vertrauliche Daten von Internetnutzern zu gelangen. In grossem Masse werden dazu Phishing-Mails verschickt und dem Nutzer vorgegaukelt, das Mail würde etwa von seiner Bank, der Post oder seinem Kreditkartenherausgeber stammen. Erst im Januar wurden zum Beispiel wieder Phishing-Mails versandt, die vorgaben, vom Auktionsanbieter ricardo.ch zu stammen:

Ricardo Phishing
shadow

Wie schütze ich mich vor Phishing-Mails?
Auch die Cyberkriminellen haben aufgerüstet und so ist es schwieriger als auch schon, solche Mails zu erkennen. Phishing-Mails werden immer professioneller gestaltet, mit einem regionalen Bezug versehen und auch Rechtschreibefehler haben deutlich abgenommen (auch wenn es noch genügend betrügerische E-Mails in haarsträubendem Deutsch gibt, wie das Mail oben). Trotzdem gibt es ein paar einfache Punkte, um sich vor Phishing zu schützen. So sind Mails, in denen Sie nicht persönlich angesprochen werden („Lieber Kunde von Y“) und zur Eingabe von Daten aufgefordert wird, sicherlich als suspekt einzustufen. Einige weitere Anhaltspunkte finden Sie in der untenstehenden Liste:

Wie erkenne ich Phishing-Mails
shadow

  • Geben Sie keine persönlichen Daten preis!
    Weder Banken noch Kreditkartenunternehmen verschicken Mails, in denen Sie aufgefordert werden, ihre Kontodaten oder andere persönliche Daten auf einer Webseite einzugeben. Löschen Sie das Mail vielmehr und klicken Sie nicht auf den darin enthaltenen Links. Sonst kann es passieren, dass ihr Computer mittels einer „Drive-by-Infektion“ mit einem Computervirus infiziert wird.
     
  • Lassen Sie sich nicht unter Druck setzen!
    Wird Ihnen die Sperrung Ihres Kontos, zum Beispiel bei der Bank, der Kreditkarte oder auch bei Diensten wie Facebook, angedroht, lassen Sie sich nicht beunruhigen. Auch wenn ein zeitlicher Druck aufgebaut wird, indem verlangt wird, Sie müssten Ihre privaten Daten in den nächsten 24 Stunden eingeben um eine Sperrung zu verhindern – bleiben Sie cool. Konten werden normalerweise nämlich ohne Vorwarnung gesperrt und erst bei Kontaktaufnahme durch den Kunden wieder freigegeben. Und selbst wenn die angedrohte Sperrung echt wäre: Lieber ein gesperrtes Konto als Cyberkriminelle, die auf das private Konto zugreifen können.
     
  • Achten Sie auf die URL!
    Phisher spielen gerne mit Domainnamen und nutzen Domains, die der echten URL eines Unternehmens ähnlich sind. Achten Sie darum immer auf die Schreibweise der im Mail genannten URLs. Überprüfen Sie, welche URL das Unternehmen normalerweise nutzt und vergleichen Sie diese auch mit der im E-Mail-Absender genannten Domain.
     
  • Überprüfen Sie die Art der verlangten Daten!
    Werden Sie aufgefordert, beispielweise das Login zusammen mit dem Passwort und dem Sicherheitscode Ihres E-Banking-Kontos einzugeben, ist höchste Vorsicht geboten. Ebenfalls, wenn verlangt wird, dass Sie neben der Kreditkartennummer sowohl die Prüfzahl als auch ihre 3D-Secure-ID einzugeben. Seriöse Webseiten verlangen nie die Eingabe beider Daten. Rufen Sie zudem beispielsweise URL ihres E-Bankings immer direkt ein, anstatt auf einen Link zu klicken. Nur so können Sie sicher sein, auf der richtigen, also offiziellen, Seite ihres E-Banking-Anbieters zu sein.
     

Dies sind nur einige Punkte, wie Sie überprüfen können, ob es sich beim erhaltenen E-Mail um ein Phishing-Mail handelt. Den grössten Teil solcher Phishing-Mails bekommen Sie als Hostpoint-Kunde allerdings gar nicht zu Gesicht, denn unsere Spamfilter fangen diese Art von Mails natürlich ab. Ein 100-prozentiger Schutz ist aber leider nicht möglich. Grundsätzlich gilt deshalb auch beim E-Mail-Empfang: Den gesunden Menschenverstand einsetzen und lieber einmal zuviel telefonisch beim (vermeintlichen) Absender nachfragen…

Wie erkenne ich Phishing-Mails?

Thomas Brühwiler

Tom Brühwiler ist bei Hostpoint Head of Communication und zudem verantwortlich für die Aktivitäten im Social-Media-Bereich. Er tippte schon als Jugendlicher auf einem Commodore 64 und schrieb seitenweise Basic-Code aus Heften ab. Meist aber nur, um danach festzustellen, dass sich im Zeichensalat ein Fehler eingeschlichen hat – und das Programm gar nicht läuft. Trotzdem kann er sich heute ein Leben ohne Computer nicht mehr vorstellen.

0