· 

So erkennst du Phishing-Mails

1. Einführung

Phishing ist eine Technik des Social Engineerings. Das Wort selbst setzt sich aus den Begriffen Passwort und Fishing zusammen. Damit ist bereits klar, was der Sinn dieser Angriffstechnik ist, nämlich Passwörter bzw. Zugangsdaten für Online-Accounts zu stehlen. Dabei werden gefälschte E-Mails (sogenannte Phishing-Mails) an sehr viele E-Mail-Adressen gesendet. Besonders in Zeiten von Corona hat die Anzahl dieser betrügerischen E-Mails zugenommen, weil Menschen in Krisensituationen anfälliger für Social Engineering sind und (als wir noch am Anfang der Pandemie standen) die Über- oder Unterforderung in Quarantäne die natürlichen Abwehrmechanismen der Psyche heruntergefahren haben. Zudem ist in solchen Situationen das Informationsbedürfnis recht hoch, was auch die Betrüger wissen und deshalb gleich noch Anhänge mit angeblichen Informationen zum Corona-Virus mitschicken. Auf den ersten Blick sehen gut gemachte Phishing-Mails täuschend echt aus, was vielen Benutzern zum Verhängnis wird, wenn sie auf den Seiten, die über einen Link aus der Mail erreichbar sind, gutgläubig ihre Zugangsdaten eintragen. Dadurch, dass die Betrüger dann die Informationen kennen, mit denen du dich z. B. gegenüber PayPal authentisierst, können sie sich für dich ausgeben und bspw. Geld von deinem Konto abheben oder munter auf deinen Namen einkaufen. Wenn du dann auch noch Dateien im Anhang öffnest, fängst du dir zusätzlich dazu vermutlich auch noch Malware ein.

Wir wollen uns nun anschauen, wie du solche Mails erkennst und dich davor schützen kannst. Du kannst am Ende dieses Artikels dein Wissen anhand einer echten Phishing-Mail, die ich zugesendet bekommen habe, überprüfen. 


2. Wie erkennt man Phishing?

Um uns vor Phishing-Mails schützen zu können, müssen wir natürlich zuerst verstehen, wie man sie erkennt. Es gibt eine Reihe von Eigenschaften, die sich viele Phishing-Mails teilen und auf die man ein genaues Augenmerk legen sollte. 

  1. Abender Bevor du eine Phishing-Mail öffnest, solltest du auf den Absender schauen. Viele Betrüger versenden ihre Köder nämlich mit einer E-Mail-Adresse, die so ähnlich aussehen soll wie die des Online-Dienstes, von dem sie die Daten stehlen wollen. Viele Mail-Programme zeigen nicht direkt die E-Mail-Adresse an, sondern den Namen, den sich der Absender gegeben hat. Es kann also durchaus sein, dass im Absender-Feld so etwas wie "PayPal Sicherheitsteam" o. ä. steht. Das alleine ist noch kein Beweis dafür, dass die E-Mail tatsächlich von PayPal stammt. Der nächste Schritt ist also auf den Namen zu klicken, um die genaue Adresse einzusehen. Oft findet man dort dann E-Mail-Adresse wie sicherheit@peypal.com oder kundenportal@amaz0nas.de. Diese Adressen sind natürlich nicht von den tatsächlichen Anbietern PayPal und Amazon, da PayPal mit e und Amazon nicht mit einer 0 im Namen geschrieben wird. Zwar lassen sich auch diese Adressen perfekt fälschen, doch in 99% der Fälle werden Phishing-Mails auf diese Weise verschickt. Wenn der Absender eine solche offensichtlich falsche Adresse verwendet, solltest du diese E-Mail sofort schließen, sie ggf. an die Sicherheitsabteilung des eigentlichen Online-Dienstes weiterleiten und danach löschen. 
  2. Unpersönliche Anrede Wenn du in der E-Mail nicht mit deinem Namen angesprochen wirst, sondern nur mit "Sehr geehrte Kundin, sehr geehrter Kunde", dann ist das nicht nur unpersönlich, sondern auch ein Zeichen dafür, dass du potentiell Gefahr läufst, Opfer eines Phishing-Angriffs zu werden. Die Anbieter haben für gewöhnlich deine Daten und schreiben dich nicht allgemein an. Es kann aber auch sein, dass du Opfer eines Spear-Phishing-Angriffs wirst, d. h. man hat jemanden direkt auf dich angesetzt und demnach wirst du auch eine personalisierte Anrede finden. Das bloße Vorhandensein einer persönlichen Anrede heißt noch lange nicht, dass du dem Absender der E-Mail vertrauen kannst.
  3. Rechtschreib- und Grammatikfehler Ein weiterer Indikator ist, dass sich in der E-Mail einige Rechtschreib- und Grammatikfehler befinden. Auch auf der Webseite, durch die man per Link-Klick gelangt, sind solche Fehler zu finden. Das muss aber nicht immer der Fall sein. Wenn du Opfer eines sogenannten Spear-Phishing Angriffs wirst, dann hat sich der Angreifer im Vorfeld intensiv mit seinen potentiellen Opfern beschäftigt und entsprechend viel Zeit in das Präparieren des Köders investiert, sodass diese in einem "einwandfreien Zustand" sind. Wenn du bei E-Mails oder Webseiten von Großkonzernen wie Facebook, Amazon, Google oder PayPal dennoch solche Fehler findest, sollten sofort deine Alarmglocken schlagen.
  4. Datenabfrage In Phishing-Mails werden vertrauliche Daten wie etwa PINs, TANs oder Passwörter abgefragt, die im Zusammenhang mit dem Online-Dienst stehen, von dem man angeblich die E-Mail erhalten hat.
  5. Links Auch wenn die in Phishing-Mails angegebenen Links auf den ersten Blick authentisch aussehen, erkennt man jedoch bei genauerer Betrachtung (wie schon bei den E-Mail-Adressen), dass die Webseiten, auf die die Links führen, nur so aussehen wie die echten Vorbilder. Statt amazon.de sieht man dann oft so etwas wie amaz0n.de, amaazon.de oder amazonaws.de. Wenn man nicht genau hinschaut, dann kann es schon passieren, dass man in einem schwachen Moment darauf hereinfällt. Besonders heimtückisch sind Links wie amazon.verkaufeen.de, denn im ersten Moment meint man, dass ja amazon in der URL steht und es sich deshalb auch um Amazon handeln muss. Das ist aber keineswegs so, denn wenn hinter dem Punkt noch weitere Domain-Namen folgen, dann handelt es sich bei dem amazon in der URL nur um eine Subdomain. Die eigentliche Domain ist hier verkaufeen.de, was schon einmal sehr unseriös klingt. Schaue also darauf, was vor dem letzten Punkt in der Domain steht (das ist der tatsächliche Domain-Name). Schaue auch nach, was hinter dem letzten Punkt steht. Für Deutschland gilt grundsätzlich die Domain amazon.de. Es gibt noch weitere Domian-Endungen wie .com, .eu, .jetzt, .guru, .online usw.. Einige davon hat sich Amazon gesichert, andere wiederum nicht. Deshalb solltest du unbedingt darauf achten, wie genau die Domain lautet und im Zweifelsfall bei dem Anbieter des Online-Dienstes direkt nachfragen. Es gibt übrigens noch einen weiteren Trick im Zusammenhang mit den Links. Man kann nämlich im HTML-Code eine andere Zieladresse hinterlegen als diejenige, die in der E-Mail angezeigt wird. Deshalb solltest du immer erst mit einem Rechtsklick die Zieladresse in den Zwischenspeicher kopieren und nachschauen, wo dich der Link tatsächlich hinführt. Links, die verkürzt wurden, um zu verschleiern, wo sie hinführen, sollten ebenfalls gemieden und erst dereferenziert werden.
  6. Bugs Wenn man auf einer Phishing-Seite ist und dort die sonst funktionsfähigen Menüpunkte bedient, kann es sein, dass diese nicht funktionieren oder Fehlermeldungen auftreten. In diesem Fall solltest du besonders skeptisch werden.
  7. Sprache Wenn du nicht in deiner Landessprache angeschrieben wirst, dann ist Vorsicht geboten. Auch Systemnachrichten werden nicht einfach auf Englisch an dich geschickt, wenn du nicht Englisch als Sprache in deinem Profil hinterlegt hast. 
  8. Deadline Besonders hellhörig solltest du werden, wenn in der E-Mail ein Hinweis darauf zu finden ist, dass du innerhalb einer knappen Frist handeln sollst. Das ist ein psychologischer Trick, um den Benutzer zu einem schnellen, unbedachten Handeln zu bewegen. Es gibt bei seriösen Account-Anbietern in der Regel keine straffen Deadlines, da Änderungen lange im Vorfeld angekündigt werden. Lasse dich nicht künstlich zum Handeln zwingen, sondern nimm dir die Zeit, um eingehende E-Mails zu analysieren. Wir sind im Umgang mit sozialen Medien zwar auf schnelles Klicken konditioniert, doch im Zuge der Sicherheit sollte man lieber einmal mehr als einmal zu wenig nachdenken.

3. Wie schützt man sich vor Phishing-Mails?

Der wohl effektivste Schutz ist es, grundsätzlich nicht auf Links in E-Mail zu klicken, sondern (wenn es wirklich erforderlich sein sollte) sich direkt auf der Webseite des Betreibers anzumelden. In manchen Situationen ist das aber nicht möglich, da z. B. ein Bestätigungslink in einer Mail angeklickt werden muss, um zu verifizieren, dass eine angegebene E-Mail-Adresse für einen neuen Online-Account tatsächlich zu einem selbst gehört. Im Normalfall erfolgt die Zusendung eines solchen Links aber direkt nach der Registrierung. Anbieter können den Benutzer natürlich dadurch schützen, dass sie statt eines Links, auf den man klicken muss, einen Bestätigungscode schicken, der direkt auf der Seite einzugeben ist. Wenn das alle so handhaben, wird ein Bewusstsein dafür geschaffen, nicht auf Links in E-Mails zu klicken (außer man kennt den Absender sicher und es ist abgesprochen, dass dieser eine E-Mail mit einem Link versendet).

Ansonsten ist es natürlich möglich, die Hinweise zum Erkennen von Phishing aus diesem Artikel im Hinterkopf zu haben. Wenn du einen Phsihing-Versuch erkannt hast, dann solltest du der Sicherheitsabteilung des entsprechenden Online-Dienstes diese E-Mail weiterleiten, sie anschließend löschen und den Absender auf die Spamliste setzen (bzw. blockieren). 

Wenn du aber schon in die Falle getappt bist und auf einer Phishing-Seite vertrauliche Informationen eingegeben hast, dann solltest du schnell (am besten sofort) handeln, da der Angreifer jederzeit mit dem Einziehen von Geld oder dem Identitätsdiebstahl beginnen kann. Melde dich also bei der Institution, zu der dein Account eigentlich gehört. Wenn du dich noch in deinem Online-Konto anmelden kannst, solltest du sofort dein Passwort ändern. Dies gilt übrigens auch für alle anderen Accounts, für die du das selbe Passwort nutzt.

Wenn du Online-Banking nutzt, kannst du außerdem regelmäßig überprüfen, ob unautorisierte Buchungen stattgefunden haben. Dokumentiere diese, um später den entstandenen Schaden beziffern zu können und um rechtzeitig zu bemerken, dass deine Daten tatsächlich gestohlen wurden.

Du kannst zum Erkennen von Phishing-Mails gerne meine Online-Checkliste verwenden. Diese zeigt dir abhängig von deinen Eingaben an, ob eine Mail, die dich von einem deiner Online-Dienste erreicht hat, möglicherweise eine Phishing-Mail ist.


4. Analyse einer echten Phishing-Mail

Das ist eine E-Mail, die ich letztens erst erhalten habe (angeblich von PayPal). Wir schauen uns nun an, welche der Merkmale einer Phishing-Mail darauf zutreffen. 

Die E-Mail-Adresse des Absenders ist eine @gmx.de-Adresse, was schon einmal seltsam ist, da PayPal nicht über gmx E-Mails verschickt. Zudem finden wir dort ein nicht personalisierte Anrede. Grobe Rechtschreib- und Grammatikfehler sind zwar nicht zu finden, doch dafür ein Link-Button, der, wenn man auf ihn klickt, auf eine Seite führt, die nirgends PayPal im Namen trägt. Das habe ich herausgefunden, indem ich den Link per Rechtsklick in die Zwischenabglage kopiert und dann analysiert habe. Zudem werden explizit persönliche Daten mit Verweis auf eine "zwingende Notwendigkeit" abgefragt. Ob die Seite, auf die man durch einen Link-Klick kommt, nicht richtig funktioniert, habe ich nicht geprüft, da ich nicht auf den Link geklickt habe. Wenn du meine Online-Checkliste verwendest und dort die Punkte auswählst, die wir gerade identifiziert haben, dann kommt dieses Tool zu einer ähnlichen Einschätzung.

In einer weiteren Phishing-Mail wird deutlich, wie grauenhaft der Aspekt der grammatikalischen Inkorrektheit umgesetzt sein kann. Während die PayPal-Nachricht noch sehr seriös klang, kann man das von dem folgenden Beispiel nicht behaupten:

Mal ganz davon abgesehen, dass die E-Mail von einem yahoo-Account versendet wurde, was für große Gewinnspiele mit einer Ausschüttungssumme von 650.000€ schon sehr ungewöhnlich ist, klingt der gesamte Text wie frisch aus dem Google-Übersetzer. Bislang konnte ich auch noch nicht herausfinden, was der Powerball Euro Millionen Promo-Wettbewerb ist, doch vielleicht kann mir da der "Schadenberater" weiterhelfen. Zudem hat man sich noch nicht einmal die Mühe gemacht eine Phishing-Webseite zu bauen und hofft auf die Hilfsbereitschaft des Empfängers, der die erforderlichen Daten direkt selbst mitteilen soll - es geht ja schließlich um 650.000€. Die angeforderten Daten wirken auch erstmal nicht kritisch, doch selbst mit solchen Informationen können Online-Betrüger viel anfangen (und wenn sie nur an Dritte verkauft werden). Es ist eigentlich überflüssig zu erwähnen, dass ich hier nicht darauf geantwortet habe. Und du solltest das auch nicht machen!