Betrüger machen vor niemandem Halt und nutzen das fehlende Know-How im schnell wachsenden digitalen Umfeld schamlos aus. Hier erfährst du, worauf du bei verdächtigen E-Mails achten solltest.
Was ist Phishing?
Phishing bezeichnet die Absicht, sich persönliche Informationen und / oder Zugangsdaten auf täuschende Art und Weise zu beschaffen. Emails sind dabei das wahrscheinlich am häufigsten verwendete Kommunikationsmittel. SMS oder Anrufe werden jedoch teilweise auch genutzt. In den meisten Fällen vermittelt eine solche Nachricht das Gefühl von Dringlichkeit, indem finanzieller Druck in Form einer Rechnung oder das Sperren eines Accounts aufgesetzt wird.
Cyberkriminelle setzen Phishing ein, da die Digitalisierung es ermöglicht, mit geringem finanziellen Aufwand relativ grossen Schaden anzurichten. Da dies in den meisten Fällen aus monetärer Motivation geschieht, stehen Unternehmen aufgrund sensibler persönlicher Daten oder Zugangsdaten zu digitalen Plattformen als Ziel im Vordergrund.
Wie erkenne ich Phishing?
Absenderadressen
Betrüger können ihre Absenderadresse so anpassen, dass sie einem bekannten Kunden oder Lieferanten sehr ähnlich sieht. So kann es vorkommen, dass ein grosses „I“ als kleines „L“ dargestellt wird. Hier hilft es, die Absenderadresse in eine andere Schriftart umzuwandeln, um sicher zu gehen, dass keine falschen Buchstaben versteckt wurden.
Hier ein Beispiel: Info@talfrisch.ch / lnfo@talfrisch.ch
Die zweite Adresse beginnt mit einem kleinen „L“.
Externe Links
Links können sehr leicht getarnt werden. Entweder wird, wie zuvor erwähnt, mit ähnlich aussehenden Buchstaben und Zeichen gespielt, oder der Link führt zu einer anderen Adresse als angezeigt wird. Diese scheinbar korrekten URLs führen teilweise zu gut gefälschten Anmeldeseiten grosser Unternehmen wie Google, Facebook etc.
Wenn du mit der Maus über den Link fährst, wird der Link in der E-Mail angezeigt. Überprüfe verdächtige Links daher vor dem Öffnen.
Hier ein Beispiel: website-agentur.ch
Dateianhänge
Bei der angehängten Datei kann es sich um einen versteckten Link zu einer Website, ein auszuführendes Skript (z.B. PowerShell) oder ein Dokument mit versteckten schädlichen Makros handeln. Verdächtige Dateien solltest du im Zweifelsfall nie öffnen.
Social Engineering
Social Engineering beschreibt die Aktivität, sich als jemand auszugeben, der man nicht ist. Dies geschieht hauptsächlich aus den gleichen Gründen wie bei den anderen Phishing-Methoden. Die Angreifer geben sich beispielsweise als IT-Support aus und fordern den Nutzer auf, sein Passwort preiszugeben oder Schadsoftware auf dem Computer zu installieren. Vergewissere dich im Zweifelsfall als immer, ob der Anrufer vertrauenswürdig ist und teile auf keinen Fall dein Passwort offenkundig mit.
Echtes Phishing Beispiel
Als Digitalagentur reservieren und mieten wir Domains für unsere Kunden. Im Beispiel haben wir offenbar eine E-Mail zur Verlängerung einer Domain erhalten. Schnell fällt auf, dass als Absender „Metnät“ statt „Metanet“ verwendet wurde. Ein Klick auf den Namen zeigt die Absenderadresse, die offensichtlich nicht von Metanet stammen kann.
