Phishing: So erkennt man gefälschte E-Mails und Webseiten
Viele IT-Sicherheitsangriffe starten mit einer gefälschten E-Mail, die Schadsoftware enthält oder Mitarbeiter auf gefälschte Webseiten lockt, sogenannte Phishing E-Mails und Webseiten. Der Angreifer versucht dabei, über gefälschte Webseiten, E-Mails oder Kurznachrichten an die persönlichen Daten eines Internetnutzers zu gelangen und diese für seine Zwecke meist zulasten des Opfers zu missbrauchen.
Doch mit ein paar einfachen Techniken kann man Phishing-Angriffe erkennen und sich davor schützen.
Phishing-E-Mail erkennen
Wenn Sie eine E-Mail erhalten, auf die eines der folgenden Merkmale zutrifft, sollten Sie misstrauisch werden. Denn dann handelt es sich mit hoher Wahrscheinlichkeit um eine Phishing-Mail:
Unpersönliche Anrede: Wenn die E-Mail Sie nicht beim Namen nennt, sondern stattdessen eine allgemeine Anrede wie „Sehr geehrter Kunde“ verwendet, ist Vorsicht geboten.
Dringender Handlungsbedarf: Phishing-E-Mails enthalten oft dringende Aufforderungen zum Handeln, wie zum Beispiel die Warnung, dass Ihre Daten verloren gehen, wenn Sie sie nicht sofort aktualisieren.
Drohungen: Seien Sie skeptisch gegenüber E-Mails, die mit Drohungen wie der Sperrung Ihres Kontos drohen, wenn Sie nicht bestimmte Maßnahmen ergreifen.
Aufforderung zur Weitergabe vertraulicher Informationen: Seriöse Unternehmen werden Sie niemals per E-Mail nach vertraulichen Informationen wie Passwörtern, PINs oder Kreditkartennummern fragen. Wenn Sie dazu aufgefordert werden, handelt es sich höchstwahrscheinlich um einen Phishing-Versuch.
Links und Formulare: Achten Sie besonders auf Links und Formulare in verdächtigen E-Mails. Diese könnten dazu dienen, Ihre Daten abzufangen, wenn Sie daraufklicken oder Ihre Informationen eingeben.
Sprachliche Unregelmäßigkeiten: Phishing-E-Mails sind oft in schlechtem Deutsch verfasst oder enthalten grammatikalische Fehler. Seien Sie besonders vorsichtig bei Nachrichten, die ungewöhnliche Satzkonstruktionen oder Rechtschreibfehler aufweisen. Z.B. der Text enthält kyrillische Buchstaben, falsch aufgelöste oder gänzlich fehlende Umlaute – zum Beispiel a oder „ea“ statt ä.
Überprüfe den Absender: Oft geben sich Phisher als legitime Unternehmen oder Organisationen aus. Überprüfe daher immer die E-Mail-Adresse des Absenders. Achte auf verdächtige oder ungewöhnliche Adressen, insbesondere wenn sie dir unbekannt sind oder seltsam erscheinen.
Phishing-Webseiten erkennen: So schützt du dich vor betrügerischen Websites
Phishing ist eine der häufigsten Methoden, um an persönliche Daten wie Benutzernamen, Passwörter und Kreditkarteninformationen zu gelangen. Eine beliebte Taktik der Phisher ist es, gefälschte Webseiten zu erstellen, die den Originalen täuschend ähnlichsehen. Doch mit ein paar einfachen Techniken kannst du Phishing-Websites erkennen und dich davor schützen.
Prüfen Sie die Internetadresse sorgfältig: Seien Sie besonders vorsichtig bei Internetadressen, die den Namen einer vertrauenswürdigen Institution enthalten, aber ungewöhnliche Zahlen oder Zeichenkombinationen aufweisen, wie z.B. „www.135x-Bank.de“. Legitime Websites verwenden in der Regel keine ungewöhnlichen Zeichen in ihren Internetadressen.
Überprüfen Sie das SSL-Zertifikat: Früher wurde angenommen, dass die Verwendung von „https://“ im Internetadressfeld auf eine sichere Verbindung hinweist. Heutzutage verwenden jedoch auch Phishing-Betrüger SSL-Zertifikate, um den Anschein von Sicherheit zu erwecken. Achten Sie also nicht nur auf „https://“, sondern überprüfen Sie auch das SSL-Zertifikat einer Website, indem Sie auf das Schlosssymbol in der Adressleiste Ihres Browsers klicken.
Sei misstrauisch bei unerwarteten Pop-ups: Phishing-Websites verwenden oft Pop-up-Fenster, um Benutzer zur Eingabe sensibler Informationen zu verleiten. Wenn ein Pop-up-Fenster unerwartet erscheint oder dich dazu auffordert, persönliche Daten einzugeben, schließe es sofort und verlasse die Webseite.
Seien Sie skeptisch bei unerwarteten Aufforderungen: Wenn Sie auf einer Website nach sensiblen Informationen gefragt werden, ohne dass Sie eine entsprechende Aktion ausgeführt haben, sollten Sie sofort misstrauisch werden. Insbesondere die Aufforderung zur Eingabe von vertraulichen Daten wie einer TAN oder persönlichen Informationen ohne ersichtlichen Grund ist ein deutliches Zeichen für eine Phishing-Website.
Überprüfen Sie die Konsistenz der Website: Vergleichen Sie die Website, auf der Sie sich befinden, mit der offiziellen Website der betreffenden Institution. Achten Sie auf Unstimmigkeiten in Bezug auf das Design, die Schreibweise und den Inhalt. Phishing-Websites können oft kleinere Abweichungen aufweisen, die darauf hinweisen, dass sie nicht echt sind.
Phishing-Mail geöffnet - was nun?
Nach dem Öffnen einer Phishing-Mail ist schnelles Handeln entscheidend. Wenn Sie erkennen, dass es sich um eine Phishing-Mail handelt, sollten Sie sie sofort löschen, um sich selbst zu schützen. Wenn Sie jedoch bereits Opfer einer Phishing-Attacke geworden sind, sollten Sie die E-Mail behalten, da sie ein wichtiges Beweismittel für die Strafverfolgungsbehörden sein kann.
Damit diese Gefahrenquellen nicht zum Problem werden, ist es sinnvoll das IT-Sicherheitsbewusstsein im Unternehmen zu steigern. Um das IT-Sicherheitsbewusstsein zu steigern, heißt es zunächst die Mitarbeiter zu sensibilisieren und Kompetenzen aufzubauen. Alle Beschäftigten sollten in der Lage sein, potenzielle Gefahren zu erkennen und wissen, welches Verhalten von ihnen im Ernstfall gefordert ist.
Denn das grundlegende Prinzip von Security Awareness besagt: Schult der Arbeitgeber die Beschäftigten umfassend und regelmäßig in IT-Sicherheit und Datenschutz, pflegt er ein gutes IT-Sicherheitskonzept.
A+ empfiehlt: Cyber-Security-Training „Awareness PLUS“
In diesem Training helfen wir Ihnen und Ihren Mitarbeitern die menschliche Firewall zu stärken. Neben Trainingsvideos, die die grundlegenden Themen der Cyber-Sicherheit kurz und verständlich erklären, simulieren wir realistische, branchenspezifische Phishing-(Hacker) Angriffe auf Ihre Mitarbeiter, um somit das IT-Sicherheitsbewusstsein zu stärken.
Sie wollen mehr über Cyber-Security-Training „Awareness PLUS“ erfahren? Dann fordern Sie einfach unseren Lösungsflyer als Antwort auf diese Mail an oder rufen Sie uns einfach an unter 06027 – 40 39 50
