Das sind die Anzeichen Wie kann ich Phishing E-Mails, SMS und Webseiten erkennen?

Es kommt am Freitagnachmittag die Mail von einem Transportunternehmen mit der Information ins Postfach, dass die Bestellung nicht geliefert werden konnte. Mit den Gedanken nur halb da, klickst du auf den Link, um mehr über die Lieferung zu erfahren – und schon bist du ein Opfer von Phishing geworden. Woran du Phishing-Mails und Anrufe erkennst und wie du dich schützen kannst, erfährst du in diesem Beitrag.

Ob in Mails, SMS oder dem WhatsApp-Chat: Das Ziel von Phishing-Betrügern ist es immer, an sensible Daten wie Passwörter, Kreditkartendaten oder den Zugang zum Bankkonto zu gelangen. Dazu verschicken sie Mitteilungen mit Links. Klickst du den Link an, wird ohne, dass du es bemerkst, eine Schadsoftware auf dein Handy oder Rechner geladen, über die deine Daten ausgespäht werden. Eine andere Methode ist das Weiterleiten auf gefälschte Websites, wo du dazu aufgefordert wirst, deine Daten einzugeben.

Früher waren Phishing-Mails leicht zu erkennen. Heute sind die Mitteilungen kaum von Originalen zu unterscheiden. Wenn du eine Mail bekommst, kannst du dennoch auf die folgenden Merkmale achten:

• Ungewöhnliche Absenderadresse: Du solltest immer einen Blick auf die E-Mail-Adresse werfen. Klicke die Mail-Adresse in deinem Postfach an. Bei Phishing sind sie nur auf den ersten Blick echt, sie haben aber oft Zusätze wie Zahlen und Wörter oder kommen von allgemeinen Webmailern (z. B. „Onlineshop“@gmail.com statt @„Onlineshop“.com).

• Dringlichkeit oder Bedrohungen: Phishing-Mails klingen oft sehr dringlich, um die Betroffenen unter Druck zu setzen und eine schnelle, unüberlegte Handlung zu erzeugen. Wenn du also eine Mail erhältst, in der du über die sofortige Sperrung deines Kontos informiert wirst, solltest du Ruhe bewahren und die Mitteilung auf Phishing-Merkmale untersuchen.

• Grammatik- und Rechtschreibfehler: Klassische Phishing-E-Mails enthalten teilweise Tippfehler und schlechte Grammatik. Solche Phishing-Versuche kannst du schnell entlarven.

• Verdächtige Links: Wirst du zum Anklicken eines Links aufgefordert, fahre mit deiner Computermaus über den Link und schaue ihn dir genau an: Oftmals wird eine kryptische oder gekürzte URL sichtbar, die dich auf eine gefälschte Website führen soll.

• Ungeplante Anhänge: Du erhältst vielleicht eine Mahnung mit der Bitte, die Rechnung im Anhang zu begleichen. Aber Stopp: Bei einer solchen Mail kann es sich um einen Phishing-Versuch handeln. Durch das Anklicken des Anhangs kannst du dir eine Schadsoftware auf deinen Rechner laden.

• E-Mails in HTML: Solche Mails haben oft Grafiken und sind visuell ansprechend gestaltet. Das Problem: Hier lädst du dir nicht nur beim Anklicken eines Links oder dem Laden eines Anhangs eine Schadsoftware auf dein Gerät. Allein das Anklicken einer (nicht sichtbaren) Grafik kann das Schadprogramm laden.

Um das Risiko eines Phishing-Angriffs zu minimieren, kannst du verschiedene Maßnahmen ergreifen.

Das sind die wichtigsten:

• Installiere Sicherheitssoftware: Dein Rechner sollte über eine gute Antiviren- und Anti-Malware-Software verfügen. So kann dein System möglichst frühzeitig Phishing-Angriffe erkennen und blockieren, bevor sie in deinem Mail-Postfach landen.

• Vorsicht bei Links und Anhängen: Gewöhne dir an, in E-Mails und Nachrichten möglichst nicht auf Links zu klicken und keine Anhänge zu öffnen. Erhältst du beispielsweise von einem Versandshop eine Rechnung, gehe direkt im Internet auf die Website des Anbieters und prüfe dein Kundenkonto.

• Überprüfe Webseiten: Wenn du Websites besuchen möchtest, dann achte auf die korrekte URL und auf die Verschlüsselung, die durch das Kürzel „HTTPS“ und das Schloss-Symbol in der Adressleiste erkennbar ist.

• Zwei-Faktor-Authentifizierung (2FA): Bei vielen Organisationen und Unternehmen ist die Zwei-Faktor-Authentifizierung bereits Pflicht. Wenn du sie selbst aktivieren kannst, setze dies sofort um.

• Bleib informiert: Informiere dich auf seriösen Websites wie dem Verbraucherschutz oder KLUGO regelmäßig über aktuelle Phishing-Methoden und Sicherheitsmaßnahmen.

Wenn du eine E-Mail erhältst, siehst du im oberen Bereich die E-Mail-Adresse des Absenders. Aus dieser lässt sich aber wenig herauslesen. Deshalb ist es empfehlenswert, bei verdächtigen Nachrichten den E-Mail-Header als Quelltext sichtbar zu machen. Wer diese Kopfzeile der Mail aktiviert, kann gefälschte Mails sehr oft entlarven.

Der E-Mail-Header besteht aus dem Quelltext in HTML und enthält die folgenden Informationen:

• E-Mail-Adresse des Absenders

• IP-Adresse des Absenders

• Empfänger der E-Mail

• Datum des Versands

• Betreff der E-Mail

Besonders interessant ist der Blick auf die IP-Adresse, die die echte Absenderadresse enthält.

Wie du den E-Mail-Header in deinem Mailprogramm aktivierst, hängt von dem Anbieter ab. Hier drei Beispiele:

• Outlook: in betreffender E-Mail oben links auf „Datei“ klicken → auf „Informationen“ klicken → auf „Eigenschaften“ klicken

• GMX: in Mail auf Symbol mit den 3 Punkten klicken → auf „Mehr Informationen“ gehen

• Mac App „Mail“: In Mailprogramm auf „Darstellung“ →  „E-Mail“ → „Alle Header“

Wenn du versehentlich Links in Phishing-Mails angeklickt oder einen Anhang geladen hast, bewahre die Ruhe. 

Gehe dann wie folgt vor.

Schritt 1: Das kannst du sofort tun

Trenne umgehend das Handy oder den Rechner vom Internet. Prüfe dann mit einer Schadsoftware, ob sich auf dem Gerät Malware befindet. Wenn ja, dann setze das System neu auf und prüfe, ob Betriebssystem, Browser und Virenschutzprogramm aktualisiert sind.

Ändere – von einem anderen Gerät aus – die Passwörter für deine E-Mail-Fächer sowie alle Online-Konten. Zusätzlich solltest du den Sperr-Notruf anrufen (116 116) und deine Debit- und Kreditkarten sperren lassen.

Schritt 2: Phishing-Mail melden

In einem zweiten Schritt musst du deine Bank über den Phishing-Angriff informieren. Gemeinsam mit den Mitarbeitenden der IT-Abteilung sollten umgehend die Zugänge zu Bankkonten geändert werden.

Außerdem solltest du den Vorfall der Polizei melden. Das ist wichtig, um einem möglichen Identitätsdiebstahl vorzubeugen und ggf. Anzeige gegen Unbekannt zu stellen. Nicht zuletzt solltest du das Unternehmen kontaktieren, in dessen Namen die Phishing-Mail verschickt wurde. Diese Organisation hat auch ein Interesse daran, zu erfahren, dass ihre Daten für Straftaten verwendet werden.

Bei sogenannten Fakeshops handelt es sich um betrügerische Online-Shops: Hier lässt es sich zwar shoppen – aber die Ware kommt nie an oder sie hat Mängel. Oft müssen Kunden in Vorkasse gehen. Die gefälschten Websites sind zumeist Kopien von echten Websites bekannter Marken und sie lassen sich auf den ersten Blick nicht vom Original unterscheiden.

Erfahre wie du solche Fakeshops erkennen kannst und was du tun kannst im Beitrag "Fakeshops im Internet erkennen"

Während klassische Phishing-Angriffe sehr allgemein gehalten sind und keine persönlichen Informationen enthalten, sind Spear-Phishing-Angriffe sehr individuell. Hier suchen sich die Betrüger gezielt eine Person in einem Unternehmen oder eine in einer anderen Art und Weise bekannte Person aus.

Sie spähen im Internet und auf den Social-Media-Kanälen der Person nach persönlichen Daten und Informationen und nutzen diese für das Verfassen einer Phishing-Mail. Das Ziel ist, durch die vertrauliche Ansprache sensible Daten der Person bzw. des Unternehmens zu erbeuten.

Bevor du also auf eine Mail oder SMS antwortest, solltest du sichergehen, dass es sich um einen dir bekannten Absender handelt.

Ob der QR-Code in einem scheinbar echten Informationsschreiben der Bank oder dem QR-Code an der Ladesäule: Was sich hinter dem QR-Code versteckt, weiß man erst, wenn man ihn öffnet. Mit dem Öffnen des Links kann aber bereits schädliche Malware auf das Handy geladen werden. Möglich ist es auch, dass du auf eine täuschend echte Seite des jeweiligen Anbieters gelangst, wo du dazu aufgerufen wirst, deine Daten einzugeben.

„Achtung, dein Konto wird gesperrt!“ – vielleicht hast du auch schon einmal eine solche SMS erhalten, in der du aufgefordert wirst, jetzt sofort zu handeln, damit dein Konto nicht gesperrt wird. Solche Phishing-Angriffe per SMS oder Whatsapp nennen sich „Smishing“ bzw. Whatsapp-Phishing.

Kreditinstitute und andere vertrauenswürdige Einrichtungen machen ihre Kunden immer wieder darauf aufmerksam, dass sie über SMS niemals persönliche Daten einfordern würden. Deshalb solltest du bei solchen SMS immer vorsichtig sein.

Bei Vishing handelt es sich um Voice-Phishing bzw. Telefon-Phishing, dem Betrug per Telefon. Hierbei geben sich Anrufer als Mitarbeitende von wichtigen Institutionen wie Banken, der Polizei, Versicherungen oder Krankenhäusern aus. Sie nutzen psychologische Tricks, um dich unter Druck zu setzen und eine schnelle Handlung zu erwirken. Wenn du das Gefühl hast, einen Vishing-Anruf zu erhalten, solltest du das Gespräch beenden, um Bedenkzeit zu erhalten und ggf. weitere Informationen einzuholen.

Beim Social Media Phishing werden gefälschte Social-Media-Accounts aufgesetzt. Über diese werden Links zu gefälschten Seiten oder Malware verschickt, um sensible Daten abzufangen oder auf andere Weise einen Betrug zu begehen. Oftmals werden echte Profile von Privatpersonen oder Personen des öffentlichen Lebens kopiert, um darüber die echten Kontakte der jeweiligen Person anzuschreiben und Daten abzufischen.

Wenn auf deinem Bildschirm ein Pop-up-Fenster auftaucht, das dich über Softwareprobleme informiert oder in anderer Weise zum Anklicken aufruft, solltest du vorsichtig sein. Diese können Fake-Pop-ups sein, die durch Anklicken Malware auf deinen Rechner laden oder sensible Daten gewinnen möchten. Mit einem guten Antivirus-Programm können solche Fake-Pop-ups größtenteils verhindert werden.

Wer sich eine gefälschte App auf das Smartphone lädt, downloadet zumeist auch direkt Viren. Bevor du also eine App lädst, achte auf die seriöse Gestaltung der App, Rechtschreibfehler und auf Angaben zu den Herstellern der App.

Wenn du eine SMS von einem Freund oder Verwandten erhältst und dieser dich um Daten oder andere sensible Informationen bittet, solltest du vorsichtig sein. Eine neue Form des Phishings ist das sogenannte SIM-Swapping. Hierbei bestellen Betrüger eine eSIM, eine digitale SIM-Karte, von bestehenden Telefonnummern. Über diesen Weg sperren sie den eigentlichen Besitzer der Nummer aus und können in dessen Namen kommunizieren.

Wenn du Opfer von Phishing geworden bist, dann erfahre von einem Anwalt für Strafrecht, wie du vorgehen kannst. Nutze dazu gern das Angebot von KLUGO und vereinbare einen unverbindlichen Gesprächstermin.