Erhältst Du öfter komische Emails von Firmen und bist Dir unsicher, ob das ein Betrugsversuch oder eine echte Nachricht ist? Gefahren im Internet sind überall.
Ich zeige Dir woran Du gefälschte Nachrichten erkennst und vor allem, woran nicht. Vor allem aber erhältst Du Tipps, wie Du Dich vor betrügerischen Emails schützen kannst.
Am Ende ist es wirklich nur eine Verhaltensweise, die Du Dir aneignen solltest, um Dich vor Phishing zu schützen.
Phishing – Wir sind die Beute
Der Begriff lässt es schon fast ein bisschen vermuten, es geht hier tatsächlich um Angeln, und zwar wenn Betrüger ihre Angel auswerfen, um uns mit so komischen E-Mails zu ködern.
Was wir uns im Folgenden anschauen, ist,
- was ist denn überhaupt Phishing,
- wo kommt das überall vor und
- wie kann man sich davor schützen.
Was ist Phishing?
Phishing, das ist eine Art des Social Engineerings [1].
Da geht es da drum, dass etwas vorgetäuscht wird, um sich etwas zu erschleichen. Typischerweise geht es dann da drum, dass jemand von euch persönliche Daten abgreifen möchte, eure Zugangsdaten zum Beispiel oder am Ende geht’s halt irgendwie auch immer um Geld.
Beispiel: der Enkeltrick
Ein Beispiel aus dem Offline-Leben ist zum Beispiel dieser bekannte Enkeltrick, wenn irgendein Verschollener, also eigentlich bis dahin noch überhaupt nicht bekannter Enkel, ganz aufgeregt bei Oma anruft und Oma irgendwie bequatscht, dass irgendeine Katastrophe im Gange wäre und Oma müsste jetzt irgendwie mal ein bisschen Geld für diesen lieben Enkel, den gerade wiedergewonnenen, losmachen. Und dann die ältere Dame sich leider Gottes damit dann irgendwie auch bequatschen lässt, diesem vermeintlichen Enkel das Geld gibt, der natürlich sich über alle sieben Berge wegmacht und das einzige, was der nicht war, war natürlich ein Enkel und hat jetzt die Kohle.
Das ist Phishing im realen Leben, aber das gibt es halt entsprechend auch online.
Wo kommt Phishing überall vor?
Das kommt in relativ vielen Formen vor, die gebräuchlichste ist aber tatsächlich via E-Mail. Ihr bekommt also von irgendeinem bekannten Unternehmen eine E-Mail, wo irgendwie eine kritische Situation beschrieben wird, da wird Druck aufgebaut und da wird gesagt, ihr müsst jetzt das und das machen, um den Schaden abzuwenden, um die Situation zu korrigieren. Dann sollt ihr auf einen Link klicken und entsprechend da eure Zugangsdaten eingeben.
Jetzt könnt ihr euch natürlich vorstellen, da stimmt kein einziges Wort von, der Absender ist gefälscht, der Link führt euch auf eine gefälschte Webseite und das mag alles komplett original und gut aussehen, wenn ihr dann auf dieser gefälschten Webseite eure Zugangsdaten eingebt, dann sind natürlich die Zugangsdaten bei dem Kriminellen und der kann damit natürlich dann machen, was er will.
Die Situation: Es wird Druck aufgebaut
Wenn jetzt also zum Beispiel ihr eine Mail von PayPal bekommt, wo drinsteht, ihr müsst ganz, ganz dringend irgendwas machen, weil sonst wird euer Konto gesperrt oder es wäre eine Riesenüberweisung, Riesenlastschrift meinetwegen, eingegangen, Geld würde von eurem Konto abgezogen, wenn ihr nicht sofort reagiert und diesen Link anklickt, dann hat das schon alles, was es braucht, um zu glauben, dass es da eine Phishing-Mail gibt.
vermeintlich bekannte Absender
Jetzt kann man sich natürlich fragen, wie werden diese E-Mails denn verschickt? Werden die einfach so mit der Gießkanne weltweit verschickt und irgendjemand wird schon zufällig einen PayPal-Account haben? Das mag bei solchen Sachen wie PayPal auch durchaus funktionieren, weil es viele haben, aber manchmal ist das auch gezielt.
auch für Phishing werden geklaute Zugangsdaten verwendet
Wenn Daten geklaut wurden zum Beispiel und wir haben ja in der Vergangenheit schon öfter darüber gesprochen, dann haben die Kriminellen natürlich jetzt vielleicht eure PayPal-Zugangsdaten und selbst, wenn ihr euer Passwort geändert habt, wissen die ja, bei der E-Mail-Adresse, da gab es ein PayPal-Konto. Also schicke ich dem vermeintlich als PayPal jetzt eine E-Mail, sage ihm, er muss ich dringend einloggen, vielleicht macht er es ja, dann habe ich wieder sein aktuelles Passwort.
Die Qualität der gefälschten Mails wird immer besser: Mein eigenes Beispiel
Manche von diesen E-Mails sind wirklich verdammt gut. Ich habe zum Beispiel mal von meinem Hoster, wo ich eine meiner Domains hoste, eine Phishing-Mail gekriegt und muss echt sagen, das hat mich sehr beeindruckt. Gutes Deutsch, alles okay, las sich alles komplett sinnig, meine Abrechnungsdaten müssten aktualisiert werden. Als ich dann auf den Link geguckt habe, habe ich halt gesehen, gut, geht halt nicht zu dem Hoster, sondern geht woanders hin.
Woran kannst Du Phishing erkennen? Woran nicht?
Da kommen wir dann nämlich genau zu dem Punkt, wie kann man es erkennen oder fast besser, wie kann man es halt leider nicht erkennen?
Der Absender sagt nichts aus
Eine Sache ist ganz klar, der Absender. Den Absender könnt ihr komplett knicken. Da kann drinstehen, das kommt von Angie Merkel, da kann drinstehen, das kommt vom Papst, da kannst du reinschreiben, was du lustig bist, das sagt überhaupt gar nichts aus.
Und ja, man kann über den Quelltext der E-Mail sich anschauen, kommt die Mail wirklich vom Kanzleramt oder kommt die Mail wirklich aus dem Vatikan, aber das ist ja nicht der Level, den wir hier als praxistauglich uns angucken wollen. Also Absender kannst du knicken.
https ist wichtig, aber bei Phishing keine Hilfe
Wenn der Link, der da in der Textnachricht drinsteht, in der E-Mail drinsteht, den ihr anklicken sollt, mit https anfängt, dann heißt das in dem Zusammenhang leider gar nichts. Es heißt ja immer, https wäre sicher, weil ist verschlüsselt, in dem Fall heißt das aber leider nur, dass dann der Kriminelle eine verschlüsselte Nachricht bekommt beziehungsweise eine verschlüsselte Webseite und andere Kriminelle können dann nicht mitlesen. Das hilft dem einen Kriminellen, da haben die anderen Kriminellen dann Pech gehabt, aber ihr habt auf jeden Fall so oder so Pech, also https in dem Link auch kein Indikator.
Der Link führt zu einer gefälschten Webseite
Was aber bei dem Link helfen kann, ist, wenn ihr nicht draufklickt, sondern mit der Maus über diesen Link drüber geht. Dann seht ihr unten auf der Seite in euerm E-Mail-Programm zum Beispiel so noch mal eine Zeile aufgehen, wo drinsteht, wohin der Link wirklich führt. Weil das, was im Text steht, das kannst du komplett wahlfrei irgendwie eingeben, aber wenn da jetzt zum Beispiel im Text steht, das geht nach paypal.com und unten auf der Seite steht paypall.com mit zwei L am Ende zum Beispiel, dann weiß man, da ist was im Argen. So habe ich das damals mit meinem Hoster auch erkannt, aber es gibt gute Tricks, um das so zu machen, dass man das fast nicht mehr mit dem Auge erkennen kann. Nennt sich URL- oder Link-Spoofing, ist also auch kein sicheres Indiz. Aber wenn ihr da was Komisches seht, dann wisst ihr auf jeden Fall, es ist irgendwie eine Phishing-Mail, das ja, bloß, wenn ihr nichts seht, heißt das nicht, dass es keine ist.
die klassischen Anzeichen: Sprache, Grammatik …
Und da gibt’s natürlich noch die klassischen Anzeichen, gebrochenes Deutsch, schwachsinniger Inhalt. Meine Personalabteilung schickt mir auf einmal eine echt gut gemachte E-Mail, bloß auf Englisch und ich denke mir, sind da jetzt nur noch Kappen oben unterwegs oder ist es dann vielleicht doch eine Phishing-Mail? An solchen Sachen kann man es natürlich auch prima erkennen.
Zusammengefasst: Es gibt viele Möglichkeiten Phishing-Mails zu erkennen, aber es ist schwer zu sagen, dass eine Mail wirklich keine Phishing-Mail ist.
neue Technologien machen immer bessere Phishing-Mails
Es wird immer schwieriger, weil mittlerweile werden auch künstliche Intelligenzen eingesetzt, um diese E-Mails noch überzeugender zu machen. Es gibt zum Beispiel diese Malware Emotet, wer die auf seinem Rechner hat, da wird dann entsprechend das Outlook gescannt nach Gesprächsverläufen und dann wird Malware, da werden Phishing-Nachrichten von diesem Rechner verschickt, und die sind dann so authentisch, weil die sich auf echte stattgefundene Konversationen beziehen, dass man fast keine Chance hat mehr, das nicht für bare Münze zu nehmen.
Spear-Phishing, wenn gezielt geangelt wird
Die Steigerung davon ist das sogenannte Spear-Phishing, also Speerfischen, wo wirklich gezielt auf einen Fisch gegangen wird. Das heißt, jemand schreibt wirklich eine Phishing-Mail nur für diese eine Person, um die dazu zu bringen, was zu machen. Das ist eine Situation, die kommt vor, wenn es auf Unternehmen abgesehen wurde.
Beispiel: der wütende Kunde
Das habe ich bei einem Kunden erlebt, wo die Mitarbeiterin entsprechend dann eine wütende Mail von einem vermeintlichen Kunden gekriegt hat, wo er sich halt beschwerte, eine vermeintliche Rechnung im Anhang war, sie klickt halt auf, macht es auf und es war halt ein infiziertes Dokument und damit nimmt dann das Schicksal seinen Lauf. Da kann man der Mitarbeiterin auch keinen Vorwurf machen und das ist da auch nicht geschehen. Die Situation ist halt einfach, das ist zum Teil so gut gemacht, da ist nur die Frage, wann man drauf reinfällt, nicht ob man drauf reinfällt.
technische Lösungen gibt es nicht
Deshalb gibt es da auch keine wirklich technische Lösung, sondern man muss das Verständnis bei den Mitarbeitern erzeugen oder jetzt in euerm Fall, ihr müsst verstehen, wie diese Gefahren funktionieren und dann müsst ihr an euerm Verhalten was ändern, um wirklich zu gucken, okay, das klingt jetzt so als will einer was von mir. Erst denken, dann klicken.
Phishing kommt in vielen Varianten
Whatsapp-Gutscheine
Jetzt kommen Phishing-Mails nicht nur unbedingt via E-Mail, das ist vielleicht das Gebräuchlichste, aber ihr könnt sie euch via WhatsApp zum Beispiel auch einfangen. Das sind dann diese Gutscheine, die rumgeschickt werden wegen Schokolade oder irgendeinem Kram. Ihr sollt dann auf die Webseite gehen und dann eure persönlichen Daten eintragen. Da könnt ihr von ausgehen, ihr kriegt keinen Gutschein am Ende, aber irgendjemand hat eure persönlichen Daten und kann damit alles Mögliche machen. Er kann damit dann irgendwie versuchen gegen Lastschrift auf eure Kappe einzukaufen, das wird für irgendwelche kriminellen Geschichten benutzt, vielleicht genau für solche Betrugsversuche mit Phishing-Mails. Das geht halt auch via WhatsApp und das geht auch via SMS und das geht auch über soziale Netzwerke, das gibt’s in jeder Ausprägung.
Willst Du wissen wie Du Dich schützen kannst?
Und wie schon gesagt, wie könnt ihr euch schützen? Technische Maßnahmen sind schwierig, damit könnt ihr überprüfen vielleicht, ob es eine Phishing-Mail ist, aber ihr könnt euch nicht hundertprozentig sicher sein.
Die eine Verhaltensweise, die Du Dir aneignen solltest ist
Nie auf den Link klicken ohne vorher nachzudenken!
Was hundertprozentig hilft, ist, wenn ihr euer Verhalten überdenkt und nicht einfach nur blind klickt, sondern nachdenkt, da kommt jetzt eine E-Mail, ich soll auf irgendwas draufklicken und dann macht es euch einfach zur guten Regel nicht zu klicken auf eine E-Mail, ohne zumindest mal drüber nachgedacht zu haben, im Idealfall gar nicht.
Händisch die Seite ansurfen und dort einloggen
Das heißt, was macht ihr jetzt, wenn die Postbank sagt, ihr müsst irgendwie eure Abrechnungsdaten ändern? Dann steht da ein Link drin, da freut ihr euch dann, dass der da drinsteht, dann geht ihr ganz normal im Browser auf die Postbank, öffnet die Seite, loggt euch da ein, dann seid ihr auf der richtigen Seite, weil das habt ihr geöffnet. Dann macht ihr vielleicht das, was in dieser E-Mail steht, wenn ihr das für sinnvoll haltet.
Nachfragen via Email oder Telefon
Wenn ihr Zweifel habt, dann könnt ihr auch da anrufen, dann könnt ihr auch eine E-Mail hinschreiben. Ihr nehmt aber auf keinen Fall die E-Mail oder die Telefonnummer aus der E-Mail, die euch geschickt wurde, sondern ihr nehmt die E-Mail, die Telefonnummer von der Webseite der Bank. Weil die E-Mail-Adresse ist sowieso gefälscht, das ist klar, die Telefonnummern, absolut gängige Praxis, dass Kriminelle auch Callcenter für sowas aufmachen. Da ist Kohle hinter, da darf auch Aufwand für betrieben werden. Also ihr dürft rückfragen, das ist absolut sinnvoll, aber guckt, dass ihr bei den richtigen Stellen rückfragt und nicht bei den Kriminellen.
2FA hilft, wenn Euer Passwort geklaut wurde
Eine technische Maßnahme gibt es tatsächlich noch, die hilfreich ist und das ist diese Zwei-Faktor-Authentifizierung. Die sorgt nämlich tatsächlich dafür, dass selbst, wenn euer Passwort geklaut wurde und eure Zugangsdaten, dass dann immer noch mal ein zweiter Faktor abgefragt werden muss.
Das ist gut, wenn ihr das habt, nur alleine darauf verlassen, wäre jetzt halt auch nicht so schön, ihr solltet wirklich auf euer Verhalten gucken, aber mit dieser Verhaltensänderung seid ihr auf einer verdammt guten Spur.