Tipps und Tricks

Phishing: Datenklau und Identitätsdiebstahl

Heute wieder einmal – weil selbst kluge und erfahrene Menschen darauf hereinfallen – das lästige Thema der gefälschten E-Mails und Online-Shops. „Phishing“ ist eine Verballhornung von „Fischen“ und ist so schrecklich wie seine Schreibweise. Von Jahr zu Jahr, von Tag zu Tag ausgefuchster, fehlerfreier, schwerer erkennbar erhalten Sie E-Mails oder finden Sie Shops im Web, die es nur darauf anlegen, Ihr Geld oder gar Ihre Kontodaten zu erhalten. Mitunter auch über den Umweg, Ihre Festplatte mittels Schadsoftware zu verschlüsseln und für die Entschlüsselung horrende Summen zu verlangen. Besonders gefährdet sind Sie, wenn Sie den Überblick über die Shops, mit denen Sie schon zu tun hatten, verlieren, oder wenn Sie ohnehin mit Ihrer Bank in Kontakt sind und dann „scheint“ gerade von dieser eine E-Mail zu kommen.

Unten haben wir die wichtigsten Hinweise für Sie zusammengestellt, möchten aber vor allem appellieren, dass Sie und die Menschen, mit denen Sie per E-Mail kommunizieren, sich einer „Netikette“, also Etikette im Netz, befleißigen: Stets persönliche Anrede, stets klar erkennbare Signatur, saubere Formulierungen in Betreff und E-Mail-Text sowie eine inhaltliche Referenz auf den Anhang  – alles, was Sie bei Geschäftsbriefen auch erwarten würden. Erhalten Sie dann eine E-Mail, die von diesen Regeln abweicht, fragen Sie einfach zurück. Ohne vorher Anhänge zu öffnen oder auf Links in der E-Mail zu klicken …

Phishing in E-Mails (Quelle: Bundesamt für Sicherheit in der Informationstechnik und eigene Erfahrungen):

  • Hinter dem angezeigten Absender verbirgt sich eine andere (unbekannte) E-Mail-Adresse (bei vielen E-Mail-Programmen sehen Sie den „echten“ Absender, wenn Sie mit dem Mauszeiger den angezeigten Absender berühren).
  • Der Absender ist Ihnen bekannt, aber der Text ist untypisch und enthält vor allem einen (unbekannten) Link (eventuell Virenbefall beim Absender).
  • Der Absender ist Ihnen unbekannt: Versuchen Sie ihn im Netz zu finden. Absender oder Betreff sind möglicherweise dort bereits als Fälschung gemeldet.
  • Die Anrede ist unpersönlich, ohne Ihren Namen: „Sehr geehrter Kunde …“.
  • Die E-Mail geht nicht an Sie, sondern an „undisclosed recipients“ (Massenmailing).
  • Der Text der Mail schützt dringenden Handlungsbedarf vor, mit Wörtern wie umgehend, unwiederbringlich …“.
  • Der Text enthält Drohungen: „Wenn Sie das nicht tun, müssen wir Ihr Konto leider sperren …“.
  • Sie werden aufgefordert, vertrauliche Daten wie die PIN für Ihren Online-Bankzugang oder eine Kreditkartennummer einzugeben.

Behörden, Banken, Kreditkarteninstitute und andere seriöse Anbieter erfragen keine persönlichen Daten per E-Mail und verschicken weder Office-Dokumente noch Bilder, schon gar nicht „.exe“-Dateien (Apps).

  • Die E-Mail enthält Links oder Formulare.
  • Die E-Mail trägt Anhänge, die nicht vom Typ .pdf sind. Blenden Sie vorsichtshalber Dateiendungen ein (siehe Tipp dateiendungen-unauffaellig-aber-unglaublich-wichtig/), dann entpuppt sich eine Datei love-letter.txt schon mal als love-letter.txt.vbs oder ähnlich. Eine vorgegaukelte falsche Dateiendung ist nie seriös! Ansonsten: Wenn auf den Anhang nicht explizit in der Mail verwiesen wird, zurückfragen.
  • Der Nachrichtentext ist in schlechtem Deutsch verfasst.

Phishing auf Websites:

  • Benutzen Sie einen Online-Shop zum ersten Mal, lesen Sie das Impressum und suchen Sie den Anbieter im Netz – evtl. ist er schon als unseriös gebrandmarkt.
  • Locken Gewinnspiele zur Eingabe persönlicher Daten? Nicht nutzen.
  • Verlangt der Anbieter Vorauskasse, schreibt evtl., dass andere Zahlungsarten „derzeit nicht möglich“ sind? Nicht nutzen.
  • Will ein Anbieter „Ihr Konto“ sperren? Fragen Sie direkt an. Nicht per Antwort auf die E-Mail, sondern bei der Ihnen bekannten E-Mail-Adresse des Anbieters.

 

Noch mehr Informationen zum Beispiel hier:

Bundesamt für Sicherheit in der Informationstechnik (www.bsi-fuer-buerger.de/), https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar, dort vor allem „Aktuelle Warnungen“

 

Zu guter Letzt ein hübsches Beispiel:

„.img“ ist eine „Datenträger-Image-Datei“. Aha? Unnötig zu sagen, dass die „Dame“ sowie die angegebenen E-Mail- und Telefondaten nicht erreichbar sind!