Phishing erkennen: So entlarvst du falsche Mails und SMS
- Veröffentlicht: 07.02.2023
- 13:45 Uhr
- Amelie Geibel
Ein falscher Klick in eine Phishing-Mail und schon ist es passiert: Betrüger:innen haben freien Zugang zu deinen Konten. Aber wie schützt du dich? Und was machst du, wenn es doch mal passiert ist? Alle Infos findest du hier.
Das Wichtigste zum Thema Phishing
Der Begriff "Phishing" kommt aus dem Englischen. Er setzt sich aus dem Wort "fishing" (angeln) und dem Buchstaben P für Passwort zusammen.
Bei einem Phishing-Angriff verschicken Betrüger:innen gefälschte E-Mails, in der Hoffnung dass unvorsichtige Personen anbeißen und ihre persönlichen Daten teilen.
Aber wie erkennst du eine Phishing-Mail? Und was solltest du tun, wenn du auf einen Link geklickt hast? All das und mehr erfährst du unten.
Definition: Was ist Phishing?
Phishing ist eine Art Cyber-Angriff. Hierbei schicken dir Kriminelle gefälschte E-Mails oder SMS, rufen dich an oder locken dich auf falsche Webseiten. Alles mit dem Ziel, persönliche Daten von dir zu erhalten. Dazu zählen Kreditkarten-Nummern, Anmeldedaten, Bankkonto-Nummern und vieles mehr. Damit können sie dann die Kontrolle über dein Bank-Konto, E-Mail-Account oder Ähnliches erhalten und jede Menge Schaden anrichten.
Die Herausforderung: Phishing-Angriffe werden immer besser. Sie zu entlarven, wird somit immer schwieriger.
Darf ich eine Phishing-Mail überhaupt öffnen?
Grundsätzlich gibt es zwei verschiedene Arten von Phishing-Mails: Text-E-Mails und E-Mails im HTML-Format.
E-Mails auf Text-Basis sind ungefährlich - aber nur solange du keine Anhänge öffnest oder auf Links klickst. Das reine Öffnen der Mail stellt aber keine Gefahr dar.
Anders ist das bei Mails auf HTML-Basis. Hier können neben Text auch farbige Bilder und Schriften angezeigt werden. Und genau da lauert die Gefahr. Kriminelle können hier unsichtbare Bilder verstecken, die schon beim Öffnen der Mail Schadsoftware aktivieren.
Um dich davor zu schützen, solltest du in deinem Mail-Programm die Anzeige von E-Mails im HTML-Format deaktivieren. Oft ist dies die Grundeinstellung, du solltest es aber noch einmal kontrollieren. Mails erscheinen dann nur als Text, Bilder und Logos werden nicht angezeigt. Trotzdem gilt: Vorsicht vor Links und Anhängen.
Phishing-Mail erkennen: Darauf solltest du achten
⚠ Fehlende persönliche Anrede: Wirst du in der Mail mit "Sehr geehrte Damen und Herren", "lieber Kunde" oder Ähnlichem angesprochen? Dann solltest du hellhörig werden. Deine Bank, dein Internet-Provider und Co. kennen deinen Namen und nutzen daher persönliche Anreden. Eine neutrale Formulierung ist sehr ungewöhnlich.
⚠ Fehler in Grammatik und Rechtschreibung: Keiner ist perfekt - aber wenn die Mail diverse Fehler aufzeigt, ist das sehr auffällig. Da Phishing-Mails oft mithilfe von Übersetzungs-Softwares entstehen, tummeln sich hier meist diverse Fehler oder Unsinnigkeiten. Ist die Mail überhaupt nicht auf Deutsch, ist der Fake noch offensichtlicher.
⚠ Falsche Dringlichkeit: Phishing-Mail beinhalten meist ein sehr dringliches Szenario, das dein sofortiges Handeln erfordert. Zum Beispiel wurde angeblich der Server deiner Bank gehackt und du musst dringend deine Daten bestätigen. Oft ist dies mit einer Frist oder einer Drohung verbunden. Egal was es ist: Mails mit solch einem Inhalt solltest du unbedingt auf ihre Richtigkeit überprüfen, bevor du irgendetwas machst.
⚠ Links und Dateneingaben: Phishing-Mails fordern dich meist dazu auf, einen Link anzuklicken und Daten über dich einzugeben. Das sollte dich immer stutzig machen. Allein der Klick auf den Link könnte dich schon zu Schadsoftware führen. Schaue dir also den Link genauer an, ohne draufzuklicken. Fahre dafür mit der Maus über den Link, dann solltest du eine Vorschau der Link-Adresse sehen können. Ist die URL wirklich vom Absender (www.naspa.de oder www.banking.de/naspa)? Bester Tipp: Klicke nie auf einen Link, sondern gehe immer direkt zur Webseite und logge dich dort ein.
⚠ Unerwarteter Anhang: Drängt dich die Mail dazu, einen Anhang zu öffnen? Dann solltest du vorsichtig sein. Anhänge können mit Schadsoftware versehen sein. Du solltest sie nur öffnen, wenn du den Absender tatsächlich kennst und einen Anhang erwartet hast.
⚠ Absender checken: Egal ob du den Absender vermeintlich kennst oder nicht, du solltest ihn immer noch einmal überprüfen. Klappe dafür den Mail-Header auf oder fahre mit der Maus über den Absender - so siehst du seine Mail-Adresse. Hier kannst du oft erkennen, dass sie nicht zum Absender passt oder sehr kurios ist. Aber Achtung: Betrüger:innen sind mittlerweile in der Lage auch die Absender-Adresse zu fälschen. Du kannst also nie zu vorsichtig sein.
Phishing-Mail bekommen: Was tun?
📧 Du hast eine fragwürdige E-Mail bekommen und weißt nicht genau, was du tun sollst? Hier kommen die besten Tipps:
⌚ Keine Panik! Auch wenn Phishing-Mails meist sehr bedrohlich klingen. Nutze immer die Zeit, um sie gründlich zu überprüfen. Übrigens: Offizielle Mahnungen, Rechnungen und Ähnliches schicken seriöse Anbieter immer per Post.
📎 Klicke auf keinen Fall auf einen Link oder auf den Anhang. Versuche zunächst anhand der Absender-Adresse herauszufinden, ob es sich um eine vertrauenswürdige Nachricht handelt.
💻 Anbieter werden dich in der Regel nicht über eine E-Mail bitten, Daten einzugeben oder zu verifizieren. Meist fordern sie dich auf, dich selbstständig in deinen Account einzuloggen. Öffne also selbst deinen Browser, suche die Homepage des Anbieters auf und logge dich dort ein. Wichtigen Handlungsbedarf musst du hier innerhalb deines Kontos bestätigen können.
📱 Bist du dir immer noch nicht sicher? Dann kontaktiere den Anbieter am besten direkt. So wird dieser auch auf Phishing-Versuche aufmerksam und kann Kundinnen und Kunden warnen. Aber Achtung: Antworte nie direkt auf eine Phishing-Mail.
⛔ Lösche solche Phishing-Mails nicht einfach. Markiere sie immer als Spam, so dass dein E-Mail-Postfach dazu lernt und künftig ähnliche Mails blockt.
Auf Link geklickt: Was tun, wenn man auf Phishing reinfällt?
Hast du "nur" auf den Link einer Phishing-Mail geklickt oder eine Datei geöffnet, kannst du dir bereits ein Schadprogramm eingefangen haben. Dann gilt:
- Arbeite ab sofort nicht mehr mit diesem Rechner.
- Aktualisiere dein Viren-Programm und lass es über deinen kompletten Rechner oder dein Smartphone laufen.
- Checke, ob alle deine anderen Systeme wie Browser, Betriebssystem und Co. aktuell sind oder ein Update benötigen.
- Ändere alle deine wichtigen Passwörter - aber natürlich von einem anderen Gerät aus.
- Hole dir zusätzlich Unterstützung von einer Expertin oder einem Experten. Sie sollten deinen Gerät final überprüfen.
- Im Ernstfall muss dein Handy oder Rechner komplett neu aufgesetzt werden.
Du hast nicht nur auf den Phishing-Link geklickt, sondern auch noch persönliche Daten angegeben? Handelt es sich dabei um PINs, Passwörter, Kreditkartennummern und Ähnliches, dann kontaktiere umgehend den Anbieter. Lass deine Konten und Karten sperren, ändere all deine Passwörter und Sicherheitsfragen. Checke außerdem regelmäßig deine Kontoauszüge, um kriminelle Aktivitäten sofort melden zu können. Kontaktiere wenn nötig die Polizei.
Übrigens: Wurde dein E-Mail-Account gehackt? Dann musst du auch alle Passwörter bei Konten ändern, die diese Mail-Adresse verwenden.
Hast du deine Adresse und Telefonnummer angegeben, solltest du bei Briefen und Anrufen extrem vorsichtig und skeptisch sein.
PhishingSMS und Anruf: So schützt du dich
Phishing-Versuche gibt es nicht nur per Mail, sondern auch per Anruf oder SMS. Phishing-Anrufe werden meist aus dem Ausland getätigt. Die Betrüger:innen versuchen dir dabei sensible Daten zu entlocken - wie bei den bekannten Europol-Anrufen. Oder ihr Ziel ist es, dass du zurückrufst und dafür viel Geld zahlst. Darum gilt: Ignoriere oder überprüfe unbekannte Nummern und gib niemals wichtige Daten über das Telefon weiter.
Phishing-SMS versuchen dich auf fragwürdige Links zu locken und dir sensible Daten zu entziehen. Auch hier gilt: Klicke nie auf Links. Anbieter schicken so gut wie nie wichtige Informationen per SMS. Ignoriere also die Nachricht und lösche sie.
Was ist Spear Phishing?
Spear Phishing ist eine besondere Form von Phishing. Hier ist nichts zufällig, die Betrüger:innen haben es stattdessen auf eine bestimmte Person oder Organisation abgesehen. Diese wird vorher ausgiebig recherchiert und beobachtet, sodass der Phishing-Angriff komplett auf sein Opfer zugeschnitten werden kann. Solch eine Spear Phishing Nachricht kommt dann meist von einer sehr vertrauenswürdigen Quelle wie einer Führungskraft. Ziel ist es, so an Geschäfts-Geheimnisse, finanzielle Informationen oder Ähnliches zu kommen.
Häufige Fragen zu Phishing
Bei Phishing erhältst du gefälschte E-Mails, die dich dazu bringen sollen, persönliche Daten preiszugeben oder Anhänge zu öffnen. So gelangen Betrüger:innen an deine Passwörter oder Kontonummern.
Du solltest nie E-Mail-Anhänge von Absendern öffnen, die du nicht kennst. Besonders beliebt bei Kriminellen sind die Dateiformate .xls, .xlsx und .xlsm.
Schaue dir E-Mails immer genau an: fehlende Anreden, schlechte Sprache, komische Absender und der Aufruf, unbedingt Links oder Anhänge zu öffnen, sind alles Hinweise auf Phishing-Mails. Klicke nie auf Links, deren Absender du nicht kennst.
Hast du deine Daten angegeben, sollte du schnell den wahren Anbieter kontaktieren und deine Konten sperren lassen. Ändere zudem alle Passwörter, kontrolliere deine Kontoauszüge und lass deinen Computer auf Schadsoftware untersuchen.