Was haben E-Mails mit den Betreffzeilen: „Sie haben eine Million Euro gewonnen“ und „Ihr Konto wurde gesperrt“ gemeinsam? Die Antwort liegt klar auf der Hand: Fast immer handelt es sich dabei um Betrug. Der Zweck dieser Nachrichten besteht darin, die Empfänger dazu zu bringen, einen Link zu einer Phishing-Webseite anzuklicken und dort Bankkontodaten oder den Benutzernamen und das Kennwort einzugeben. Folgend erklärten wir, wie Sie Phishing-Versuche erkennen und sich davor schützen können.
1. E-Mails sorgfältig überprüfen
Wenn Sie eine E-Mail erhalten, sollten Sie die Nachricht erst auf Warnsignale für Phishing überprüfen, anstatt schnell darauf zu antworten oder die Anweisungen in der Mail zu befolgen. Was gilt als Warnsignal?
- Eine dramatische Betreffzeile. Zu den weitverbreiteten Themen zählen Überweisungen von beträchtlichen Summern, finanzielle Entschädigungen, gehackte oder gesperrte Konten und betrügerische Transaktionen. Kurz gefasst, Themen, die die Aufmerksamkeit des Empfängers auf sich ziehen und eine emotionale Reaktion auslösen, die oft auf Gier oder Angst beruht.
- Überlegen Sie, ob die Informationen der Betreffzeile ernst genommen werden kann. Sätze wie „Letzte Mahnung! oder „Innerhalb von 3 Stunden läuft die Frist ab“ sowie die Verwendung von zu vielen Ausrufezeichen, dienen dazu den Empfänger in Panik zu versetzen, zur Eile anzutreiben und zu unüberlegter Handlung zu verleiten.
- Grammatik- und Rechtschreibfehler sowie ungewöhnliche Zeichen im Text. Nicht alle Cyberverbrecher haben ein hohes Englischniveau. Obwohl dazugesagt werden muss, dass bestimmte Fehler manchmal absichtlich gemacht werden, wie z. B. „Milion“ oder die Verwendung von Buchstaben aus anderen Alphabeten, um Spamfilter zu umgehen.
- Unstimmige Absenderadresse. Eine E-Mail-Adresse mit einer Menge an zufällig zusammengewürfelten Buchstaben und Zahlen oder mit einem falschen Domainname ist ein zuverlässiges Warnsignal einer gefälschten E-Mail, die angeblich von einem großen Unternehmen stammt.
- Die Links in der Nachricht oder genauer ausgedrückt, die Webseiten, auf die der Empfänger weitergeleitet wird. Sie können einen Link überprüfen, indem Sie mit dem Mauszeiger darüberfahren und die angezeigte Internetadresse (URL) unter die Lupe nehmen. Internetverbrecher verlassen sich in der Regel darauf, dass den meisten Empfängern eine kleine Änderung in der URL von bekannten Unternehmen oder Marken nicht auffallen wird – nehmen wir zum Beispiel com oder qoogle.com. Überprüfen Sie jeden Link sorgfältig.
In den meisten Fällen reichen die oben beschriebenen Überprüfungen aus, um eine E-Mail zu erkennen, die Teil eines groß angelegten Phishing-Angriffs ist. Beachten Sie allerdings, dass der Name und die Adresse des Absenders gefälscht sein könnten, Links manchmal gekürzt werden, um den echten Namen zu verstecken und gelegentlich auch automatische Redirects zum Einsatz kommen, um das potenzielle Opfer von einer weniger verdächtigen Webseite auf die tatsächlich Phishing-Seite weiterzuleiten. Aus diesem Grund ist das Anklicken von Links in E-Mails so weit wie möglich zu vermeiden – es sei denn, Sie selbst haben den Link angefordert. Wenn Sie beispielsweise eine unerwartete Benachrichtigung von einer Bank oder einem Onlineshop erhalten, ist es besser sich telefonisch mit dem Kundenservice in Verbindung zu setzen, um zu bestätigen, dass die Nachricht tatsächlich von dem entsprechenden Unternehmen stammt.
Erhalten Sie eine Benachrichtigung zu einem Gewinn, können Sie diese Informationen auch direkt auf der offiziellen Website des Unternehmens überprüfen. Geben Sie dazu die Internetadresse immer direkt im Browser ein. Das sind nur einige Beispiele, aber ungeachtet der Details, bleibt unsere Empfehlung immer die gleiche: Wenn Sie einen Link einer E-Mail überprüfen möchten, die Sie nicht erwartet haben, suchen Sie eine Möglichkeit, dies zu tun, ohne den Link anzuklicken.
2. Auch in Messenger-Apps und sozialen Netzwerken ist Wachsamkeit angesagt
Phishing-Links werden nicht nur per E-Mail verschickt. Die Nachrichten, die Sie per Messenger-App oder über die sozialen Netzwerke erhalten können genauso gefährlich wie eine E-Mail sein – bösartige Links sind im Post eines Freundes auf Facebook, in den Kommentaren von gefälschten Markenbotschaftern in Twitter oder sogar in Direktnachrichten auf Discord zu finden.
Auch bei Banner sollten Sie vorsichtige sein – das Bild des Banners hat möglicherweise nichts mit der Webseite zu tun, auf die Sie beim Anklicken weitergeleitet werden. Die Plattformen auf denen Banner veröffentlicht werden, kontrollieren meistens weder was den Benutzern angezeigt wird noch die weiterleitenden Links. Selbst eine Webseite mit einer makellosen Reputation kann Werbebanner enthalten, über die nichts ahnende Besucher auf Phishing-Websites weitergeleitet werden.
Wie können Sie sich schützen? Hier gilt das Gleiche, wie bei E-Mails: Überprüfen Sie jeden Link sorgfältig und am besten klicken Sie ihn gar nicht erst an.
3. Kontodaten eingeben – erst denken, dann tippen
Kontodaten sind besonders sensibel, weil sie direkten Zugriff auf Ihr Geld ermöglichen. Aus diesem Grund sollten Sie jedes Mal – egal wie Sie auf die Webseite zugegriffen haben – noch einmal genau nachprüfen, auf welcher Seite Sie wirklich sind, bevor Sie die Zugangsdaten zu Ihrem Bankkonto eingeben.
Werfen Sie zuerst einen Blick auf die Internetadresse. Suchen Sie nach denselben Warneinweisen, die wir bereits oben genannt haben: Tippfehler, Nummern anstatt Buchstaben, Bindestriche an ungewöhnlichen Stellen und komische Domainnamen. Wenn Sie etwas Merkwürdiges erkennen, verlassen Sie die Webseite und geben Sie die URL direkt in der Adressleiste Ihres Browsers ein.
In der Adressenleiste ist links auch ein Schloss-Symbol, das Sie anklicken können, um mehr Informationen zur Sicherheit der Webseite zu erhalten. Das Schloss-Symbol an sich ist keine Garantie für Sicherheit, aber hier können Sie mehr über den Inhaber der Webseite erfahren (je nach Browser variieren die Namen der Tabs, wie beispielsweise Zertifikat anstatt Verbindung ist sicher).
Wenn Sie oft online kaufen, einschließlich bei kleineren Geschäften und Privatverkäufern, empfehlen wir Ihnen dafür eine Prepaid-Kreditkarte zu verwenden. Laden Sie diese Karte nur mit einem kleinen Guthaben auf und überweisen Sie danach das nötige Geld auf die Karte erst kurz bevor Sie es tatsächlich brauchen. Sollten Ihre Kreditkartendaten eines Tages gestohlen werden, verlieren Sie dank der Benutzung der Prepaid-Karte immerhin nicht viel Geld.
4. Verwenden Sie unterschiedliche Kennwörter
Wenn Sie für verschiedene Konten dieselben Kennwörter verwenden, selbst wenn es starke Kennwörter sind, gehen Sie das Risiko ein, dass alle Ihre Konten auf einmal kompromittiert werden, wenn Sie diese Zugangsdaten versehentlich auf einer Phishing-Webseite eingeben. Es ist wichtig ein einmaliges Kennwort für jede Website und jede App zu verwenden.
Wenn Sie Schwierigkeiten damit haben, sich die unzähligen Kennwörter für jeden Pizzalieferdienst und Onlineshop zu merken, können Sie einen Password Manager verwenden, der Ihnen hilft die Kennwörter zu erstellen, zu verwalten und einzugeben.
Darüber hinaus dient der Password Manager als zusätzliche Überprüfungsmethode, um sich vor Phishing-Versuchen zu schützen. Wenn Sie eine App öffnen oder eine Website besuchen möchten und der Benutzername und das Kennwort nicht automatisch eingegeben werden, dann handelt es sich höchstwahrscheinlich um eine gefälschte Webseite oder App. Möglicherweise ist das Design für das menschliche Auge täuschend ähnlich mit dem Original, aber der Passwortmanager wird direkt erkennen, dass die Internetadresse anders ist und deshalb die Zugangsdaten nicht automatisch ausfüllen.
Ein weiterer Vorteil der Benutzung von Passwort Managers ist die Funktion für die Erstellung von Kennwörtern, die sehr schwer zu knacken sind.
Und viele dieser Art von Tools bieten auch noch weitere nützliche Funktionen. Kaspersky Password Manager überprüft zum Beispiel Ihre Kennwörter und informiert Sie, wenn welche gefunden werden, die schwach sind, in mehr als einem Konto verwendet werden oder sich in Datenbanken mit kompromittierten Passwörtern befinden.
5. Richten Sie zum Schutz Ihrer Konten die Zwei-Faktor-Authentifizierung (2FA) ein
Viele Phishing-Angriffe sind darauf ausgerichtet die Konten der Opfer zu stehlen. Das können Sie aber verhindern, indem Sie die Zwei-Faktor-Authentifizierung einrichten, wann immer Ihnen diese Option zur Verfügung steht. Ist die 2FA aktiviert, kann sich ein Betrüger nicht in Ihr Konto einloggen, selbst wenn er Ihre Anmeldedaten gestohlen hat. Für den Zugriff auf durch Zwei-Faktor-Authentifizierung geschützte Konten ist ein zeitlich begrenztes Einmalkennwort erforderlich, das Sie per E-Mail, SMS oder über eine Authentifizierungs-App erhalten. Dem Angreifer hingegen wird das Einmalpasswort nicht zugeschickt.
Beachten Sie allerdings, dass Betrüger Phishing-Seiten erstellen können, die auch Einmalkennwörter für die Zwei-Faktor-Authentifizierung anfordern. Aus diesem Grund ist es besser, wichtige Konten mit hardwarebasierter Authentifizierung zu schützen, wie beispielsweise mit den USB-Sicherheitsschlüsseln YubiKey oder Titan Security Key von Google.
Manche Authenticators verwenden NFC (Nahfeldkommunikation) und Bluetooth, um sich mit mobilen Geräten zu verbinden. Der Vorteil von hardwarebasierten Sicherheitsschlüsseln ist, dass Sie damit niemals geheime Daten auf einer gefälschten Webseite eingeben werden. Die Webseite muss die richtige Anfrage an den Authenticator senden, um die richtige Antwort zu bekommen und dazu ist nur die echte Webseite in der Lage.
6. Verwenden Sie sicheren Schutz
Es ist natürlich nicht einfach ständig auf der Hut zu sein, immer nach Warnsignalen Ausschau zu halten und jede Internetadresse sowie jeden einzelnen Link vor dem Anklicken zu überprüfen. Da ist es gut zu wissen, dass Sie diese Aufgaben automatisieren können, indem Sie sich auf eine effektive Sicherheitslösung wie Kaspersky Security Cloud verlassen, die Sie vor Phishing-Angriffen schützt. Dieser cloudbasierte Schutz wird Sie sofort benachrichtigen, wenn Sie versuchen eine schädliche Webseite zu öffnen und gleichzeitig die Seite blockieren.