Ein junger Mann telefoniert mit einem Smartphone und fasst sich nach einer erfolgreichen Phishing-Attacke mit der rechten Hand an die Stirn.

Phishing-Attacken

Der unbedachte Klick mit Folgen

EWE business Magazin / IT-Security / Phishing
IT-Security
Digitalisierung
03.03.2022  6 Min.
Autor: Team EWE business

Phishing zählt weiter zu den größten Gefahren aus dem Netz

Wer die wichtigsten Grundlagen beachtet, kann großen Schaden abwenden

Phishing zählt seit Jahren zu einer der beliebtesten und leider auch effizientesten Form von Cyberkriminalität. Ein unbedachter Klick, die IT-Sicherheit wird umgangen und schon sind persönliche Daten für unbefugte Dritte zugänglich. Daher gilt: Wer Phishing-Attacken rechtzeitig erkennt, schützt sich und seinen Arbeitgeber vor größeren Schäden.

 

Das passiert beim Phishing

Die Abfolge beim sogenannten Phishing läuft eigentlich immer identisch ab: Sie bekommen eine E-Mail von einem im ersten Moment vertrauenswürdigen und bekannten Absender. Beispielsweise von einer Bank, PayPal, Amazon, Ebay oder der Deutschen Post. In dieser Mail werden Sie aufgefordert, schnell zu handeln und einen Button anzuklicken. „Ihre Bestellung verzögert sich“, „Es gibt Änderungen beim Datenschutz. Bitte bestätigen Sie diese mit einem Klick“ oder „Bei Ihrer letzten Bestellung kam es zu einem Problem“ sind häufig verwendete Aufforderungen. Hinter dem Link verbirgt sich eine Fake-Webseite – in einem ähnlichen Design wie die Originalseite. Wer dort seine persönlichen Daten eingibt, ist dem Cyberkriminellen ins Netz gegangen.

 

Darum erkennt man die Fake-Seiten so schwer

Die Cyberkriminellen, auch Phisher genannt, bedienen sich im Allgemeinen eines einfachen Tricks. Die nachgebaute und schädliche Webseite bekommt dasselbe Erscheinungsbild wie das Original und die Domain lautet auch sehr ähnlich. Ein Beispiel. Die richtige Website lautet: qualitaetslogistiker.de und die gefälschte Seite lautet qualitätslogistiker.de. Dieser kleine Unterschied reicht aus, um den User auf eine falsche Seite zu lotsen. Auch der Einsatz von ähnlich aussehenden Buchstaben aus anderen Alphabeten ist bei Cyberkriminellen sehr beliebt. Zum Beispiel unterscheidet sich das kyrillische „а“ kaum vom lateinischen „a“. Technisch gesehen unterscheidet sich die Website „bank.de“ (Schreibweise mit einem lateinischen a) von der „bank.de“ (Schreibweise mit einem Kyrillischen a). Das Netz ist ausgeworfen.

 

Bild: Westend61 / Getty Images

 

Typische Erkennungsmerkmale von Phishing-E-Mails

Die Wahrscheinlichkeit einer Phishing-E-Mail ist groß, wenn Sie oder Ihre Mitarbeiterinnen und Mitarbeiter eine E-Mail erhalten, auf die eines der folgenden Merkmale zutrifft:

 

  1. Schaden wird angekündigt. Typische Formulierungen sind: „Ihr Konto wird gelöscht, wenn Sie nicht gleich Ihren Account bestätigen“ oder „Wenn Sie nicht sofort handeln, gehen wichtige Kontoinformationen verloren."
  2. Sie haben bisher keinerlei Geschäftsbeziehung zum Absender. Sie erreicht eine E-Mail in einer wichtigen, geschäftlichen Angelegenheit. Und sie werden gebeten, Ihre Firmendaten zu aktualisieren. Allerdings: Sie haben bisher noch nicht mit dem vermeintlichen Absender gearbeitet.
  3. Persönliche Zugangsdaten werden abgefragt. Sie werden ohne großen Hintergrund und von einem bis dahin unbekannten Absender aufgefordert, vertrauliche Daten wie die PIN für Ihren Online-Bankzugang oder eine Kreditkartennummer einzugeben.
  4. Die Anrede ist unpersönlich. Sie sollten eine E-Mail mit einer allgemeinen Anrede wie „Lieber Geschäftspartner“ immer hinterfragen und sich den Absender oder die Domain des Absenders genau anschauen.
  5. Ein weiteres, typisches Merkmal für Phishing-E-Mails sind Schreibfehler in der E-Mail. Vor allem die Umlaute ä, ö und ü werden häufig falsch geschrieben oder falsch angezeigt.
  6. Und auch, wenn kyrillische oder andere ausländische Buchstaben anstelle von Umlauten in der Domain verwendet werden, sollten Sie lieber ein zweites Mal die Seriosität des Absenders prüfen. Ebenso sollten Sie bei unnötigen Zahlen in der Domain wachsam sein.
  7. Was heutzutage allerdings kein wirkliches Sicherheitsmerkmal eines Absenders mehr ist, ist das SSL-Zertifikat. Die sichere Verbindung, die mit „https://" im Internetadressfeld des Browsers beginnt, galt lange Zeit als eine Art Qualitätssigel für die Domain. Allerdings haben das Cyberkriminelle erkannt und nutzen diese auch zwischenzeitlich für ihre Phishing-Attacken.

 

Bild: Sestovic / E+ / Getty Images

Richtig reagieren beim Verdacht einer Phishing-E-Mail

So handeln Sie richtig, wenn Sie Zweifel haben:

  1. Klicken Sie niemals auf Links in einer dubiosen E-Mail.
  2. Wenn Sie sich unsicher sind, hilft ein Anruf beim Absender.
  3. Geben Sie keinesfalls persönliche Daten wie Passwörter, Kreditkarten- oder Transaktionsnummern via E-Mail preis.
  4. Geben Sie persönliche Informationen nur in der gewohnten Weise etwa auf der Online-Banking-Website ein.
  5. Starten Sie niemals einen Download-Link direkt aus einer E-Mail heraus, wenn Sie sich nicht zu 100 Prozent sicher sind und dem Absender vertrauen.
  6. Öffnen Sie niemals Dateien im Anhang einer verdächtigen E-Mail.
  7. Beenden Sie jeden Log-in durch einen regulären Log-out. Und löschen Sie anschließend den Cache ihres Computers. Beispielsweise durch das gleichzeitige Drücken der Tastenkombination [Strg], [Shift] und [Entf].
  8. Haben Sie stets ein Blick auf Ihre Kontobewegungen.
  9. Vertrauen Sie niemals Websites ohne Verschlüsselung.
  10. Achten Sie stets darauf, dass Ihre Antivirus-Software aktuell und die Firewall aktiv ist.

 

Und ein letzter Tipp zum Schluss

Kein Kreditkarteninstitut und kein seriöser Anbieter fordert Sie per E-Mail auf, vertrauliche Zugangsdaten preiszugeben.

Welche Leistungen bietet EWE rund um den Schutz Ihrer IT-Systeme?

Erfahren Sie mehr über unsere Produkte und Dienstleistungen und lassen sich gerne von uns beraten.

Frau guckt auf Bildschirm, auf dem eine Verschlüsselung die Managed Firewall symbolisiert

Managed Firewall

Wir managen Ihre Firewall und schützen Sie so effektiv gegen Cyberangriffe.

Mann sitzt auf Schreibtisch und guckt auf sein Mobiltelefon, das mit Mailscan+ gesichert ist

Mailscan+

Lassen Sie Ihre E-Mail-Kommunikation von unserer intelligenten Software scannen.

Academy

Trainieren Sie spielerisch Mitarbeitende und sensibilisieren diese für Gefahren aus dem Netz.

Ein Mann sitzt vor seinem Computer und kümmert sich um die IT-Sicherheit.

IT-Sicherheit

Verlassen Sie sich mit EWE auf die höchsten IT-Sicherheitsstandards zum Schutz Ihrer Systeme.

Interessante Artikel aus dem EWE business Magazin

Beitrag teilen

Mehr Datenschutz: Erst bei Klick auf einen Link werden Daten an Dritte übermittelt.