Bild: Xavier Lorenzo / Moment / Getty Images

EWE business Magazin

Phishing-Attacken

Der unbedachte Klick mit Folgen

< Sie sind hier: EWE business Magazin / Phishing-Attacken

03.03.2022

4 Minuten

Phishing zählt weiter zu den größten Gefahren aus dem Netz

Wer die wichtigsten Grundlagen beachtet, kann großen Schaden abwenden

Phishing zählt seit Jahren zu einer der beliebtesten und leider auch effizientesten Form von Cyberkriminalität. Ein unbedachter Klick, die IT-Sicherheit wird umgangen und schon sind persönliche Daten für unbefugte Dritte zugänglich. Daher gilt: Wer Phishing-Attacken rechtzeitig erkennt, schützt sich und seinen Arbeitgeber vor größeren Schäden.

Das passiert beim Phishing
Darum erkennt man die Fake-Seiten so schwer
Typische Erkennungsmerkmale von Phishing-E-Mails
Richtig reagieren beim Verdacht auf eine Phishing-Mail

Das passiert beim Phishing

Die Abfolge beim sogenannten Phishing läuft eigentlich immer identisch ab: Sie bekommen eine E-Mail von einem im ersten Moment vertrauenswürdigen und bekannten Absender. Beispielsweise von einer Bank, PayPal, Amazon, Ebay oder der Deutschen Post. In dieser Mail werden Sie aufgefordert, schnell zu handeln und einen Button anzuklicken. „Ihre Bestellung verzögert sich“, „Es gibt Änderungen beim Datenschutz. Bitte bestätigen Sie diese mit einem Klick“ oder „Bei Ihrer letzten Bestellung kam es zu einem Problem“ sind häufig verwendete Aufforderungen. Hinter dem Link verbirgt sich eine Fake-Webseite – in einem ähnlichen Design wie die Originalseite. Wer dort seine persönlichen Daten eingibt, ist dem Cyberkriminellen ins Netz gegangen.

Sie möchten Ihren Cyberschutz verbessern?

Darum erkennt man die Fake-Seiten so schwer

Die Cyberkriminellen, auch Phisher genannt, bedienen sich im Allgemeinen eines einfachen Tricks. Die nachgebaute und schädliche Webseite bekommt dasselbe Erscheinungsbild wie das Original und die Domain lautet auch sehr ähnlich. Ein Beispiel. Die richtige Website lautet: qualitaetslogistiker.de und die gefälschte Seite lautet qualitätslogistiker.de. Dieser kleine Unterschied reicht aus, um den User auf eine falsche Seite zu lotsen. Auch der Einsatz von ähnlich aussehenden Buchstaben aus anderen Alphabeten ist bei Cyberkriminellen sehr beliebt. Zum Beispiel unterscheidet sich das kyrillische „а“ kaum vom lateinischen „a“. Technisch gesehen unterscheidet sich die Website „bank.de“ (Schreibweise mit einem lateinischen a) von der „bank.de“ (Schreibweise mit einem Kyrillischen a). Das Netz ist ausgeworfen.

asset_image

Typische Erkennungsmerkmale von Phishing-E-Mails

Die Wahrscheinlichkeit einer Phishing-E-Mail ist groß, wenn Sie oder Ihre Mitarbeiterinnen und Mitarbeiter eine E-Mail erhalten, auf die eines der folgenden Merkmale zutrifft:

Schaden wird angekündigt. Typische Formulierungen sind: „Ihr Konto wird gelöscht, wenn Sie nicht gleich Ihren Account bestätigen“ oder „Wenn Sie nicht sofort handeln, gehen wichtige Kontoinformationen verloren."
Sie haben bisher keinerlei Geschäftsbeziehung zum Absender. Sie erreicht eine E-Mail in einer wichtigen, geschäftlichen Angelegenheit. Und sie werden gebeten, Ihre Firmendaten zu aktualisieren. Allerdings: Sie haben bisher noch nicht mit dem vermeintlichen Absender gearbeitet.
Persönliche Zugangsdaten werden abgefragt. Sie werden ohne großen Hintergrund und von einem bis dahin unbekannten Absender aufgefordert, vertrauliche Daten wie die PIN für Ihren Online-Bankzugang oder eine Kreditkartennummer einzugeben.
Die Anrede ist unpersönlich. Sie sollten eine E-Mail mit einer allgemeinen Anrede wie „Lieber Geschäftspartner“ immer hinterfragen und sich den Absender oder die Domain des Absenders genau anschauen.
Ein weiteres, typisches Merkmal für Phishing-E-Mails sind Schreibfehler in der E-Mail. Vor allem die Umlaute ä, ö und ü werden häufig falsch geschrieben oder falsch angezeigt.
Und auch, wenn kyrillische oder andere ausländische Buchstaben anstelle von Umlauten in der Domain verwendet werden, sollten Sie lieber ein zweites Mal die Seriosität des Absenders prüfen. Ebenso sollten Sie bei unnötigen Zahlen in der Domain wachsam sein.
Was heutzutage allerdings kein wirkliches Sicherheitsmerkmal eines Absenders mehr ist, ist das SSL-Zertifikat. Die sichere Verbindung, die mit „https://" im Internetadressfeld des Browsers beginnt, galt lange Zeit als eine Art Qualitätssigel für die Domain. Allerdings haben das Cyberkriminelle erkannt und nutzen diese auch zwischenzeitlich für ihre Phishing-Attacken.

asset_image

Richtig reagieren beim Verdacht auf eine Phishing-E-Mail

So handeln Sie richtig, wenn Sie Zweifel haben:

Klicken Sie niemals auf Links in einer dubiosen E-Mail.
Wenn Sie sich unsicher sind, hilft ein Anruf beim Absender.
Geben Sie keinesfalls persönliche Daten wie Passwörter, Kreditkarten- oder Transaktionsnummern via E-Mail preis.
Geben Sie persönliche Informationen nur in der gewohnten Weise etwa auf der Online-Banking-Website ein.
Starten Sie niemals einen Download-Link direkt aus einer E-Mail heraus, wenn Sie sich nicht zu 100 Prozent sicher sind und dem Absender vertrauen.
Öffnen Sie niemals Dateien im Anhang einer verdächtigen E-Mail.
Beenden Sie jeden Log-in durch einen regulären Log-out. Und löschen Sie anschließend den Cache ihres Computers. Beispielsweise durch das gleichzeitige Drücken der Tastenkombination [Strg], [Shift] und [Entf].
Haben Sie stets ein Blick auf Ihre Kontobewegungen.
Vertrauen Sie niemals Websites ohne Verschlüsselung.
Achten Sie stets darauf, dass Ihre Antivirus-Software aktuell und die Firewall aktiv ist.

Und ein letzter Tipp zum Schluss Kein Kreditkarteninstitut und kein seriöser Anbieter fordert Sie per E-Mail auf, vertrauliche Zugangsdaten preiszugeben.

IT-Security von EWE business

Schützen Sie Ihren Betrieb gegen Hackerangriffe und stellen so ihren kontinuierlichen Geschäftsbetrieb sicher – mit maßgeschneiderter IT-Sicherheit und Hochverfügbarkeitslösungen von EWE.

Sie haben Fragen oder wünschen eine Beratung?

Geben Sie einfach Ihre Postleitzahl ein und finden auf Anhieb Ihren EWE-Kontakt in der Nähe.