Übers Phishen

Hier ist natürlich kein „Angel-Sport“ gemeint, sondern das Phishing in Form von E-Mails oder Websites. Doch auch wenn jeder schon mal davon gehört hat, weiß kaum jemand so richtig, was es damit auf sich hat; bis man darauf hereingefallen ist.

Was ist Phishing?

Mithilfe einer E-Mail, Website oder Kurznachricht, gibt sich der Absender als jemand anderes aus und versucht so, an persönliche Daten des Empfängers zu kommen oder Schadsoftware (Viren ect.) zu platzieren.

Klingt kompliziert, daher hier ein Beispiel aus der Praxis, das sicher jeder kennt:

Es kommt eine E-Mail von Deiner Bank, die Dich davon unterrichtet, dass Dein Onlinezugang gesperrt ist. Um ihn wieder freizuschalten, sollst Du auf einen Link klicken und dort Deine Zugangsdaten erneut eingeben.

Hinter dieser E-Mail stecken Verbrecher, die mit dieser Masche versuchen Kontrolle über Dein Bankkonto zu erhalten. Die E-Mail hat einen gefälschten Absender und wenn Du auf den Link klickst, gelangst Du auf eine ebenfalls gefälschte Website, die Deiner Bank-Website täuschend ähnlich sieht. Häufige Themen solcher Mails und Websites oder auch Nachrichten sind: Bankkonten, Zahlungsmittel wie Kreditkarten und PayPal, Packstationen und Dating-Portale.

Phishingmails: Wie kannst Du Dich schützen?

Wenn Du weißt, was eine Phishingmail ist und welche Absichten dahinter stecken, ist das Schwierigste, sie zu erkennen.

Phishingmails hat man früher häufig an miserablem Deutsch, falschen Umlauten und schlechtem Ausdruck erkannt. Mittlerweile sehen sie täuschend echt aus, und man kann kaum noch unterscheiden, was echt und was falsch ist.

Folgende Tricks helfen, Dir Gut von Böse zu unterscheiden.

Bei E-Mails solltest Du Dich fragen:

  • Kennst Du den Absender und stehst Du in privatem oder geschäftlichem Kontakt mit ihm?
  • Wenn Du den Mauszeiger über einen Link in der Mail hältst (nicht klicken!!!), ist der Link in Form einer Sprechblase zu sehen. Steht da die echte Website oder etwas Merkwürdiges?
  • Ist es realistisch, was der Absender Dir berichtet und von Dir fordert? So würde zum Beispiel keine Bank der Welt Dich auffordern Zugangsdaten einzutippen oder einem Mitarbeiter Passwörter oder Transaktionsnummern mitzuteilen.

Wenn Du Dir nicht sicher bist, ob die Mail echt ist, Du aber auch die Sicherheit haben möchtest, dass mit Deinem Zugang alles in Ordnung ist, gilt die goldene Regel „Agieren, nie reagieren!

Klicke nie in einer Mail auf einen Link (reagiere), sondern öffne Deinen Browser und tippe dort die Adresse der Website Deiner Bank ein. Sollte es ein Sicherheitsproblem geben, wird Dir meine Bank dies nun sofort mitteilen.

Phishingwebsite: Wie kannst Du Dich schützen, dass Du nicht falsch surfst?

Eine Phishingwebsite gaukelt Dir vor, eine Andere zu sein, und versucht so an Deine Daten zu kommen. Wenn Du in der oben beschriebenen Mail auf den Link klickst, landest DU auf einer Website, die aussieht, wie die Deiner Bank.

Auch in den Ergebnislisten von Suchmaschinen können trotz aller Pflege solche gefälschten Websites aufgelistet sein.

Moderne Browser und vor allem kostenpflichtige, professionelle Securitysoftware unterstützt Dich und blockieren automatisch die meisten Phishingversuche.

Wenn Du die Adresse im Browser korrekt in die Adresszeile eingegeben hast, wird häufig eine verschlüsselte Verbindung aufgebaut und es steht links neben dem Websitenamen ein kleines Schloss.

ssl website

Wenn Du dort draufklickst, wird der Inhaber des Verschlüsselungs-Zertifikates angezeigt. Diese beiden Angaben sollten übereinstimmen. Wichtig ist, dass der Websitename wirklich korrekt ist. Häufig werden ähnlich aussehende Namen verwendet oder mit Subdomains gearbeitet.

Beispiel:

  1. Die Seite Packstation Punkt org hat definitiv NICHTS mit packstation.de  zu tun. In einem modernen Browser erscheint sofort eine Sicherheitswarnung. Unter anderem deshalb, ist es so wichtig, Sicherheitsupdates durchzuführen oder durchführen zu lassen und aktuelle Browserversionen einzusetzen.
    packstation
  2. Es wird (zum Beispiel in einer Ergebnisliste einer Suchmaschine) eine Subdomain verwendet, um mich auf eine falsche Seite zu locken. Packstation.mypacket.to. Sicher, wenn man die Adresse so sieht, fällt einem sofort auf, dass etwas nicht stimmt. In der Liste einer Suchmaschine steht aber die Adresse eher unscheinbar und oben drüber. “Pakete jederzeit abholen dank Packstation“ … und draufgeklickt.

Fazit: Schnell passieren Fehler. Also bitte erst überlegen, dann klicken. Und im Zweifelsfalle nicht klicken, sondern rufe selbst die Website auf, und zwar direkt und nicht über eine Suchmaschine.

 

Eine kleine Anekdote zum Thema „Schnell passieren Fehler“.

Der Geschäftsführer einer Firma, die ich betreue rief mich erbost an und schimpfte über die neue Security Software, die wir einige Tage zuvor installiert hatten. Er sei so nicht arbeitsfähig. Auf Nachfrage erzählte er mir, dass er seine Vodafone-Rechnung nicht öffnen könne. Es käme immer eine Meldung der Security Software. Mit einem Schmunzeln klärte ich ihn auf, dass er Kunde bei der Telekom sei und die Mail mit der Vodafone-Rechnung eine Phishingmail wäre. Er fiel aus allen Wolken, bedanke sich lachend und versprach mir zukünftig solche Mails nicht mehr nebenbei zu öffnen und zu bearbeiten.

Ich hoffe, dass ich Dir mit diesem Artikel die Thematik Umgang mit Phishingversuchen ein wenig nahe bringen konnte. Für Fragen stehe ich Dir gern über die Kommentarfunktion oder das Kontaktformular zur Verfügung!

Liebe Grüße

Patrick

http://www.blickicht.de

 

PS: Wenn Dir dieser Beitrag gefallen hat, teile ihn gerne unter Angabe der URL dieses Artikels auf einer nicht-kommerziellen Plattform. Leider musste ich feststellen, dass meine Artikel ohne Quellenangabe als eigene Beiträge im Web gepostet werden. Das ist ein klarer Verstoß gegen das Urheberrecht und das kann ich leider nicht dulden.

PPS: Liebe Security-Nerds. Natürlich kann man aus jedem einzelnen Punkt hier eine wissenschaftliche Abhandlung machen, aber mir geht es in diesem Artikel um eine verständliche Grund-Sensibilisierung. Viele Menschen verdienen Unmengen Geld dadurch, dass man technisch aufrüstet und eine Wissenschaft daraus macht, aber die Anwender überhaupt nicht sensibilisiert.

 

Vielen Dank an Andrew von Pixabay für das Bild!

Advertisements

5 Gedanken zu “Übers Phishen

Kommentar verfassen

Bitte logge dich mit einer dieser Methoden ein, um deinen Kommentar zu veröffentlichen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s