Tastatur mit Emailzeichen und Mauszeiger Hand

Phishing erkennen

Top-Tipps zur Informationssicherheit

Woran erkenne ich Phishing-Mails? Warum können HTML-Mails echt böse sein? Warum ist die Phishing-Gefahr gerade auf Smartphones besonders groß? Was muss ich IMMER beachten, bevor ich meine Zugangsdaten eingebe? Warum ist der nette Support-Mitarbeiter am Telefon nicht gar so nett? Mit unseren Top-Tipps sind Sie sicher unterwegs. Detailinformationen und Hintergrundwissen liefern die weiterführenden Links.

Seien Sie sich immer bewusst: Gut gemachte Phishing-Mails wollen Ihre Daten. Dabei ahmen sie vertraute Mails oder Webseiten nach oder erzählen eine glaubhafte Geschichte. Manchmal sind auch persönliche Daten zur Steigerung der Glaubwürdigkeit enthalten. Trotzdem:

Alarm bei Kontoaktivierung!

E-Mails, die Druck aufbauen und zum raschen Handeln auffordern, haben meist Schlechtes im Sinn: Aufforderung das Konto zu aktivieren; Speicherplatz der Mailbox erhöhen; Verpasste E-Mails abholen;... . Schauen Sie genau hin und beherzigen Sie die weiteren Tipps. Fragen Sie im Kollegenkreis, Ihre Administratoren oder im Servicecenter von IT.Services.

Niemals dem Anzeigenamen trauen!

Der Anzeigename einer Mail kann beliebig gesetzt werden. Verwenden Sie nach Möglichkeit ein Mailprogramm, das die komplette Absenderadresse anzeigt. Finger weg, wenn die Absenderadresse nicht übereinstimmt. Aber Vorsicht, auch die Absenderadresse ist nicht fälschungssicher.

Digital signierte E-Mails werden von gängigen Mailprogrammen überprüft und Unstimmigkeiten angezeigt. Die verwendeten digitalen Zertifikate kann man auch selbst überprüfen.

Nur gucken, nicht klicken!

Schauen Sie die E-Mail-Links genau an. Wenn die auf eine unbekannte Webseite leiten wollen: Nicht klicken. Versteckt sich ein Link in einer schicken HTML-Mail, sollten Sie immer erst mit der Maus über den Link fahren und die Adresse kontrollieren.

HTTPS, aber sicher!

Verschlüsselt aufgebaute Verbindungen erkennt man am https vor der Webadresse und meist grünen Schlüsselsymbolen. Auch Phishing-Seiten beherrschen Verschlüsselung, daher sollte man stets überprüfen, welche Seite man angesteuert hat und ob das verwendete Sicherheitszertifikat "passt".

Keine persönlichen Daten!

Phishing-Mails wollen an Ihre Anmeldedaten! Wenn Sie einem Link in einer (vielleicht harmlosen) E-Mail gefolgt sind und dann Ihre Daten eingeben sollen, schauen Sie in die Adresszeile des Browsers! IMMER! Auch wenn die Webseite genauso aussieht "wie sonst". Nur wenn Sie die Adresse der Webseite zweifelsfrei erkennen, sollten Sie Logindaten eingeben.

Am sichersten fährt man, wenn man nicht den Links in E-Mails folgt, sondern die betreffende Seite per Tastatur ansurft oder einem zuvor gespeicherten Lesezeichen folgt. Das kostet zwar Zeit, aber man ist hundertprozentig auf der sicheren Seite.

Gefahr im Anhang!

Schadsoftware wird häufig über Mailanhänge verbreitet. Ob Bilder, PDFs, Word-, Excel- oder Powerpoint-Dateien - unerwartete Anhänge sollte man im Zweifelsfall beim Absender hinterfragen oder von Experten untersuchen lassen. Makros- oder Sicherheitsabfragen zum Ausführen sollten bei geringstem Zweifel nicht bejaht werden.

Besonders auf Smartphone und Tablet!

E-Mail-Apps auf mobilen Geräten lassen häufig nur die HTML-Darstellung von E-Mails zu. Da man auch keine Maus hat, kann man die Ziele der Links nicht erkennen. Abhilfe schafft das lange Drücken auf den Link, damit das Ziel angezeigt wird. Nur vertrauenswürdigen/bekannten Adressen sollte man folgen.

Mailadressen von Absendern werden auf Smartphones häufig nur mit dem Anzeigenamen angezeigt. Um den kompletten Namen zu erkennen, kann man z.B. auf "Weiterleiten" klicken.

Im Text-Format lesen!

In vielen Mailprogrammen wie auch in der Webmail-Oberfläche der RUB kann die HTML-Ansicht von E-Mails abgestellt werden. Alle potentiell schädlichen Links sind auf diese Weise schnell zu identifizieren.

Social Engineering ist meist wenig sozial!

Daten auf öffentlichen Webseiten werden häufig mit erbeuteten Informationen zu Profilen zusammengefügt. Mit diesen Informationen werden Benutzer mit psychologischen Tricks zur Herausgabe vertraulicher Informationen, Installation von Software oder Überweisung von Geldbeträgen verleitet. Vertrauen Sie grundsätzlich nur solchen Kontakten, die Sie selbst direkt verifizieren können, z.B. durch Nachfragen bei Ihren Ansprechpartnern. Seien Sie grundsätzlich misstrauisch, wenn Ihnen bekannte Kommunikationspartner oder gar Vorgesetzte plötzlich über andere Kanäle kontaktieren (z.B. mit einer neuen Mailadresse).

Falsch verbunden!

Vor allem im Home-Office versuchen falsche Support-Mitarbeiter oder vermeintliche Polizisten betrügerische Kontaktaufnahme. Seriöse Support-Mitarbeiter rufen Sie nicht ohne Anlass oder Auftrag an, Polizei und Rettungsdienste verwenden für Anrufe niemals die Notrufnummern 110 oder 112. Rufnummern von Anrufern sind einfach fälschbar. Vergewissern Sie sich gegebenenfalls durch eigenen Anruf bei Ihren Kontakten. Beenden Sie unerwartete Telefonanrufe sofort. Installieren Sie keine Software auf Aufforderung solcher ungebetenen Anrufer.

Weiterführende Informationen

Wie täuschend echt Phishing-Mails aussehen, haben wir in Aktuelles-Meldungen dargestellt, z.B. hier:
Phishing-Welle trifft Uni-Beschäftigte
Phishing-E-Mail fordert Validierung


Nur wer regelmäßig Backups seiner Daten anfertigt (und auch mal eine Rücksicherung ausprobiert hat), kann entspannt bleiben. Der Schaden durch Verschlüsselungstrojaner oder andere Malware und Aufwand bei Neuinstallation bleiben minimal. mehr


Zu schnell geklickt oder doch einen Anhang geöffnet? Dann kann hoffentlich noch ein geschütztes System vor Schlimmerem bewahren: Installation und regelmäßige Aktualisierungen einer Antiviren-Software (z.B. Sophos), automatisch eingespielte Betriebssystem-Updates und regelmäßige Aktualisierungen der Anwendungen. mehr


Welche Tricks verwenden Betrüger, um E-Mails zu fälschen oder Links auf Phishing-Seiten zu verschleiern? Fiese Tricks und Abhilfe erklären unsere Info-Seiten E-Mail-Betrug und digitale Signatur. Die Webseite der Forschungsgruppe SECUSO zeigt informative Videos zum Erkennen gefährlicher Anhänge und Links.

zur Startseite

Bildquellen:
pixabay.de | geralt