Gruppe Mitarbeiter, die wegen eines Phishing-Angriffs verzweifelt sind

Phishing-Attacken

Wer die Basics beachtet, kann großen Schaden abwenden.

Telekommunikation / IT-Security

Phishing: die wahrscheinlich größte Gefahr im Internet

Phishing zählt seit Jahren zu einer der beliebtesten und leider auch effizientesten Form von Cyberkriminalität. Ein unbedachter Klick und schon sind persönliche Daten für unbefugte Dritte zugänglich. Daher gilt: Wer Phishing-Attacken rechtzeitig erkennt, schützt sich und seinen Arbeitgeber vor größeren Schäden.

Das passiert beim Phishing

Ein vermeintlich bekannter Absender lotst Sie auf eine gefakte Internetseite.

Die Abfolge beim sogenannten Phishing läuft eigentlich immer identisch ab: Sie bekommen eine E-Mail von einem im ersten Moment vertrauenswürdigen und bekannten Absender. Beispielsweise von einer Bank, PayPal, Amazon, Ebay oder der Deutschen Post. In dieser Mail werden Sie aufgefordert, schnell zu handeln und einen Button anzuklicken. „Ihre Bestellung verzögert sich“, „Es gibt Änderungen beim Datenschutz. Bitte bestätigen Sie diese mit einem Klick“ oder „Bei Ihrer letzten Bestellung kam es zu einem Problem“ sind häufig verwendete Aufforderungen. Hinter dem Link verbirgt sich eine Fake-Website – in einem ähnlichen Design wie die Originalseite. Wer dort seine persönlichen Daten eingibt, ist dem Cyberkriminellen ins Netz gegangen.

Blonde Frau vor Laptop, die sich über einen Phishing-Angriff ärgert und die Hände vors Gesicht schlägt
Mann telefoniert und rauft sich die Haare, als ihm die Ausmaße eines Phishing-Angriffs klar werden

Warum erkennt man Fake-Seiten so schwer?

Meist sind es nur Kleinigkeiten, die das Original von der nachgebauten Seite unterscheidet.

Die Cyberkriminellen, auch Phisher genannt, bedienen sich im Allgemeinen eines einfachen Tricks. Die nachgebaute und schädliche Website bekommt dasselbe Erscheinungsbild wie das Original und die Domain lautet auch sehr ähnlich. Ein Beispiel. Die richtige Website lautet: qualitaetslogistiker.de und die gefälschte Seite lautet qualitätslogistiker.de. Dieser kleine Unterschied reicht aus, um den User auf eine falsche Seite zu lotsen. Auch der Einsatz von ähnlich aussehenden Buchstaben aus anderen Alphabeten ist bei Cyberkriminellen sehr beliebt. Zum Beispiel unterscheidet sich das kyrillische „а“ kaum vom lateinischen „a“. Technisch gesehen unterscheidet sich die Website „bank.de“ (Schreibweise mit einem lateinischen a) von der „bank.de“ (Schreibweise mit einem Kyrillischen a). Das Netz ist ausgeworfen.

Kein Kreditkarteninstitut und kein seriöser Anbieter fordert Sie per E-Mail auf, vertrauliche Zugangsdaten preiszugeben.

Typische Merkmale für Phishing-Angriffe:

Zwei junge Männer, die auf einen Bildschirm gucken, auf dem ein Phishing-Angriff stattfindet

Die Anrede ist unpersönlich

Schaden wird angekündigt

Drohungen

Drohungen werden konkret beschrieben. Beispielsweise: „Wenn Sie nicht sofort handeln, gehen wichtige Kontoinformationen verloren."

Eine junge Frau, die auf einen Bildschirm guckt

Bisher keinerlei Geschäftsbeziehung zum Absender

Persönliche Zugangsdaten werden abgefragt

PIN eingeben

Sie werden aufgefordert, vertrauliche Daten wie die PIN für Ihren Online-Bankzugang oder eine Kreditkartennummer einzugeben.

Ein Mann mit Brille, der auf einen Bildschirm guckt und eine Mail mit Rechtschreibfehlern liest

Im Text kommen Rechtschreibfehler vor

Falsche oder zusätzliche Ergänzungen

Kyrillische Buchstaben

Der Text enthält kyrillische oder andere ausländische Buchstaben anstelle von Umlauten oder in der Domain kommen Zusätze wie Zahlen oder unnötige Ergänzungen vor.

Eine junge Frau im Büro, die telefoniert

: E-Mail enthält Links für Eingabe persönlicher Daten

Kein Sicherheitszertifikat

SSL fehlt

Das Sicherheitszertifikat (kurz SSL) auf der verlinkten Website fehlt (keine verschlüsselte https-Verbindung) oder ist fehlerhaft.

Text der E-Mail fordert zu schnellem Handeln auf

Mann vor Bildschirm, der Schäden durch Phishing realisiert

Vor Phishing-Schäden schützen

So reagieren Sie richtig beim Verdacht, eine schädliche E-Mail erhalten zu haben:

  1. Klicken Sie niemals auf Links in einer dubiosen E-Mail.
  2. Wenn Sie sich unsicher sind, hilft ein Anruf beim Absender.
  3. Geben Sie keinesfalls persönliche Daten wie Passwörter, Kreditkarten- oder Transaktionsnummern via E-Mail preis.
  4. Geben Sie persönliche Informationen nur in der gewohnten Weise etwa auf der Online-Banking-Website ein.
  5. Starten Sie niemals einen Download-Link direkt aus einer E-Mail heraus, wenn Sie sich nicht zu 100 % sicher sind und dem Absender vertrauen.
  6. Öffnen Sie niemals Dateien im Anhang einer verdächtigen E-Mail.
  7. Beenden Sie jeden Log-in durch einen regulären Log-out.
  8. Haben Sie stets ein Blick auf Ihre Kontobewegungen.
  9. Vertrauen Sie niemals Websites ohne Verschlüsselung.
  10. Achten Sie stets darauf, dass Ihre Antivirus-Software aktuell und die Firewall aktiv ist.

Weitere Informationen zum Thema Phishing finden Sie auch beim Bundesamt für Sicherheit in der Informationstechnik.

Maximaler Schutz für Ihr Firmennetzwerk – weitere EWE Produkte für noch mehr Sicherheit

Nur wer seine IT-Infrastruktur ganzheitlich schützt, schützt sein Unternehmen vor Cyberkriminellen.

Frau guckt auf Bildschirm, auf dem eine Verschlüsselung die Managed Firewall symbolisiert

Managed Firewall

Die Digitalisierung macht Sie für Ihre Kunden und Partner jederzeit erreichbar – aber leider auch zur Zielscheibe von Kriminellen. Die EWE Managed Firewall verhindert unerwünschte Zugriffe auf Ihr Netzwerk. Wir passen die Firewall an Ihre Bedürfnisse an und kümmern uns um Betrieb und Wartung.

Mann sitzt auf Schreibtisch und guckt auf sein Mobiltelefon, das mit Mailscan+ gesichert ist

Mailscan+

Wie wir verhindern, dass Viren, Trojaner, Spam- und Phishing-Mails Ihre IT-Systeme gefährden? Ganz einfach: Indem wir die Schadsoftware abfangen, noch bevor sie das Netzwerk Ihres Unternehmens erreicht. Genau nach diesem Prinzip funktioniert unsere bewährte EWE business Mailscan+ Software.

Person beobachtet DDoS-Angriff auf Laptop-Bildschirm

DDoS-Schutz

Mit sogenannten DDoS-Attacken legen Cyberkriminelle Unternehmenswebseiten und Server lahm. Und oft folgt darauf eine kostspielige Erpressung. Unser DDoS-Schutz wehrt Attacken rechtzeitig ab. Für Ihre Kunden bleiben Sie und Ihre Website damit immer erreichbar, für Cyberkriminelle nicht.

Lassen Sie sich beraten

Möchten Sie Ihr Unternehmen gegen Phishing schützen? Wir freuen uns auf Ihren Kontakt und beraten Sie gerne.