Persönliche Daten, Passwörter, Kreditkarteninformationen und andere Zugangsdaten: Mit Phishing Mails gelangen solche vertraulichen Informationen in die Hände von Cyberkriminellen. Mit den folgenden Tipps erkennen Sie Phishing-Mails und schützen sich und Ihr KMU.
Der grösste Teil aller Cyberangriffe startet mit Phishing-Mails. Sie öffnen dem Angreifer die Tür ins Firmennetz oder zu einem Online-Konto. Ist die Tür einmal offen, treiben die Cyberkriminellen ihr Unwesen. Sie versuchen, Geld zu ergaunern oder verschlüsseln mit Ransomware sämtliche Firmendaten, um sie gegen Lösegeld (vielleicht) wieder freizugeben.
Das Problem dabei: Phishing-Mails sind unglaublich vielseitig und dadurch mit technischen Schutzmassnahmen nur schwer zu erkennen und zu blockieren. Es braucht Sie als Mensch, um dank Ihres Menschenverstandes solche Angriffe zu erkennen – und zu stoppen.
Buchstabensalat und eine Domain (der Teil nach dem @-Zeichen), die nicht zum vorgegaukelten Absender passen sind eindeutige Zeichen. Doch Vorsicht: Es ist einfach, Absenderadressen zu fälschen. So können auch Phishing-Mails mit einem vordergründig legitimen Absender daherkommen oder gar von der echten Adresse eines erbeuteten Mailkontos.
Wenn Sie sofort beispielsweise die Kreditkarte aktivieren oder eine Sendebestätigung überprüfen sollen, ist das vielleicht nur ein psychologischer Trick eines Cyberkriminellen: Denn wir Menschen neigen unter Stress dazu, mehr Fehler zu machen. Beispielsweise, auf einen Phishing-Link zu klicken.
Wenn Sie Post mit einer Handlungsaufforderung von einem Unternehmen erhalten, bei dem Sie gar nicht Kunde sind, handelt es sich um ein Phishing-Mail.
Der Text im Mail zeigt eine vertrauenswürdige Adresse an wie «www.thurcom.ch», der Link führt jedoch auf eine ganz andere Seite. Das ist der klassische Trick von Cyberkriminellen. Viele Phishing-Seiten verbergen sich hinter einer legitimen Adresse auf einem gehackten Server. Oder die Betrüger verwenden einen URL-Kürzungsdienst wie «t.ly», der zum eigentlichen Ziel weiterleitet. Eine Adresse wie «https://t.ly/irgendwas» kann Zeichen eines Betrugsversuchs sein, muss aber nicht.
Das Ziel eines Links in einem Mail erkennen Sie, wenn Sie mit der Maus über den Link fahren – ohne zu klicken!
Bei sicheren Verbindungen (https:) zeigen Browser ein Schloss links neben der Adresse. Doch mittlerweile setzen auch Cyberkriminelle auf sichere Adressen, um nicht aufzufallen. Unsichere Links (http:) in Phishing-Mails gehören der Vergangenheit an.
Schlechtes Deutsch oder Englisch – oder beides gemischt – und eine einfache Sprache sind Merkmale für ein Phishing-Mail. Ziehen Sie aber nicht den Umkehrschluss, dass ein fehlerfrei formuliertes Mail seriös ist.
Ansprachen wie «Hello», «hansmuster» (der vordere Teil meiner Mailadresse) oder gar keine Anrede deuten auf ein Phishing-Mail hin. Grund ist, dass der Angreifer Ihren richtigen Namen nicht kennt. Das gilt allerdings nicht für gezielte Angriffe.
Rechnung oder Lieferbestätigung als Word-Dokument oder eine angehängte Blindbewerbung als PDF: In solchen Fällen ist Vorsicht geboten. Vor allem, wenn der Dateiname sehr generisch gehalten ist («bewerbung.pdf»). Zwar hat Microsoft die Ausführung potenziell gefährlicher Makros in heruntergeladenen Office-Dokumenten unterbunden. Doch Angreifer weichen einfach auf andere Dateiformate aus. Das PDF des unten abgebildeten Phishing-Mails enthält eine Mailadresse (Sie ahnen es, ein Konto der Cyberkriminellen). Nehmen Sie darüber Kontakt auf, werden die Angreifer versuchen, an Ihre persönlichen Daten oder an Ihr Geld zu kommen.
Im Zweifelsfall fragen Sie beim (angeblichen) Absender nach. Aber nicht, indem Sie aufs Mail antworten. Sondern, indem Sie die Website des Unternehmens besuchen und dort die Kontaktinformationen suchen.
Will der Absender, dass Sie aufs Mail antworten mit persönlichen Daten? Das ist schon fast eine Garantie für betrügerische Post, etwa bei vorgegaukelten Lottogewinnen und Gewinnspielen. Ihre Bank, der Provider oder sonst ein Online-Dienstleister fragen Sie nie nach Ihrem Passwort. Solche Anfragen sind ein weiteres Indiz. Schwieriger ist es, wenn Sie auf eine Login-Seite geführt werden.
Im Zweifelsfall klicken Sie nicht auf den Link, sondern öffnen den Browser und tippen die Adresse des (angeblichen) Absenders dort ein.
Eine raffinierte Masche besteht darin, das Anmeldefenster von Cloud-Konten wie Microsoft 365, Google oder das Webmail von Thurcom nachzuahmen. Die Masche dahinter: Sie werden aufgefordert, sich anzumelden – angeblich, um ein geschütztes, vertrauliches Dokument zu öffnen. Die täuschend echt aussehende Anmeldemaske mit vorgeblich korrekter URL liefert ihre Kontodaten schnurstracks an die Cyberkriminellen.
Versuchen Sie, das Anmeldefenster mit der Maus über den Rand des dahinter liegenden Browserfensters zu ziehen. Funktioniert das nicht, handelt es sich wahrscheinlich nicht um ein echtes Browserfenster, sondern um einen Angriffsversuch.
