Die volkswirtschaftlichen Schäden von Cyber-Delikten, die mit gezielten Phishing-Attacken beginnen, werden in Deutschland pro Jahr mindestens auf einen zweistelligen Millionenbetrag geschätzt.

Für Verbraucher und Verbraucherinnen ergeben sich je nach Zielrichtung eines Phishing-Angriffs unterschiedliche Risiken: Wer sich täuschen lässt und auf einer gefälschten Bank-Website arglos zum Beispiel seine Kreditkartennummer einschließlich Gültigkeitsdauer und Sicherheitscode eintippt, gibt den Tätern alles an die Hand, was sie für eine ausgiebige Internet-Shopping-Tour brauchen. Auch gefälschte Websites von Online-Versandhändlern zielen darauf ab, mit ausspionierten Account-Daten auf fremder Leute Kosten einzukaufen. Zu den Hauptgefahren von Phishing zählen demnach finanzielle Schäden.

Darüber hinaus aber bergen Phishing-Mails immer öfter zusätzliche Gefahren durch Malware-behaftete Datei-Anhänge: Jeder unbedachte Klick auf einen solchen bösartigen Anhang führt dann – vom Anwender meist unbemerkt – zu einer Infektion mit einem Schadprogramm . Dabei kann es sich ebenso um einen Trojaner handeln wie um Bots oder Ransomware.

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Wenn Sie eine E-Mail erhalten, auf die eines der folgenden Merkmale zutrifft, sollten Sie misstrauisch werden. Denn dann handelt es sich mit hoher Wahrscheinlichkeit um eine Phishing-Mail:

• Die Anrede ist unpersönlich, ohne Ihren Namen zu nennen: “Sehr geehrter Kunde …”.
• Der Text der Mail schützt dringenden Handlungsbedarf vor, etwa: “Wenn Sie Ihre Daten nicht umgehend aktualisieren, dann gehen sie unwiederbringlich verloren …”.
• Drohungen kommen zum Einsatz: „Wenn Sie das nicht tun, müssen wir Ihr Konto leider sperren …”.
• Sie werden aufgefordert, vertrauliche Daten wie die PIN für Ihren Online-Bankzugang oder eine Kreditkartennummer einzugeben.
• Die E-Mail enthält Links oder Formulare.
• Der Nachrichtentext ist in schlechtem Deutsch verfasst.
• Der Text enthält kyrillische Buchstaben, falsch aufgelöste oder gänzlich fehlende Umlaute – zum Beispiel a oder “ea” statt ä.

Aber Achtung: Anders als noch vor einigen Jahren weisen viele Phishing-Mails inzwischen keinerlei sprachliche Mängel mehr auf. Auch bei gut formuliertem Text sollten Sie deshalb wachsam sein.

Bei einer Phishing-Mail im HTML-Format verbirgt sich hinter dem angezeigten Absender oft eine andere E-Mail-Adresse. Ob dem so ist, können Sie auf verschiedene Weise feststellen: Wenn Sie Ihre E-Mails mit einem Browser verwalten, werfen Sie einen Blick auf den sogenannten Quelltext der HTML-Mail. In einem gängigen E-Mail-Programm können Sie den Cursor einfach mit der Maus über die Absenderzeile führen, aber ohne darauf zu klicken. Dann sehen Sie die, ob in der Absenderzeile eine andere Adresse eingebettet ist.

Quelle:Bundesamt für Sicherheit in der Informationstechnik

Noch einmal die Grundregel vorweg: Kein Kreditkarteninstitut und kein seriöser Anbieter fordert Sie per E-Mail auf, vertrauliche Zugangsdaten preiszugeben – auch nicht um der Sicherheit willen.

Was Sie außerdem beachten sollten, wenn Sie Daten- oder Passwortdiebstahl entgehen möchten:

• Überprüfen Sie stets die Adressleiste in Ihrem Browser. Am besten tragen Sie die Adressen zu häufig besuchten Login-Seiten in die Favoritenliste Ihres Browsers ein.
• Klicken Sie niemals auf Links in einer dubiosen E-Mail.
• Versuchen Sie im Zweifelsfall stattdessen, die im E-Mail-Text genannte Seite über die Startseite der betreffenden Organisation zu erreichen – also ohne den angegebenen Link in die Adresszeile des Browsers einzutippen.
• Wenn Sie sich nicht sicher sind, ob eine E-Mail vielleicht berechtigter Weise nach vertraulichen Daten fragt, fragen Sie am besten telefonisch bei dem genannten Anbieter nach.
• Geben Sie keinesfalls persönliche Daten wie Passwörter, Kreditkarten- oder Transaktionsnummern via E-Mail preis – egal, wie vertrauenserweckend die betreffende E-Mail erscheint.
• Geben Sie persönliche Informationen nur in der gewohnten Weise etwa auf der Online-Banking-Website ein. Sobald Ihnen irgendetwas seltsam vorkommt, beenden Sie die Verbindung sofort und kontaktieren Sie den regulären Website-Betreiber.
• Starten Sie niemals einen Download-Link direkt aus einer E-Mail heraus, auf deren Echtheit Sie sich nicht hundertprozentig verlassen können. Starten Sie, wenn möglich, einen Download stets direkt von der Anbieter-Website.
• Öffnen Sie insbesondere niemals Dateien im Anhang einer verdächtigen E-Mail.
• Beenden Sie jede Online-Session durch einen regulären Log-out – statt einfach nur das Browserfenster zu schließen.
• Kontrollieren Sie regelmäßig den Saldo Ihres Bankkontos sowie Umsätze zum Beispiel von Internetzahlungsdienstleistern. So können Sie bei unbefugten Abbuchungen schneller reagieren.
• Geben Sie niemals persönliche Daten auf Webseiten mit unverschlüsselter Verbindung ein. Ob eine Website verschlüsselt mit Ihrem Browser kommuniziert, erkennen Sie an der Abkürzung “https://” in der Adresszeile sowie an dem kleinen Vorhängeschloss- Symbol neben der Adresszeile des Browsers.
• Achten Sie stets darauf, dass Ihre Antivirus-Software aktuell und die Firewall aktiv ist.

Weiterführende Informationen, wie Sie sich vor Phishing und den davon ausgehenden Gefahren schützen können, finden Sie im Sicherheitskompass der Polizei und des BSI. Sie es zu tun haben.

Quelle:Bundesamt für Sicherheit in der Informationstechnik

Vorsicht, Phishing! Betrügerische E-Mails erkennen

Nutzen Sie folgende Infografik als Erinnerung, wie Sie Phishing-Angriffe erkennen können.

Aktuelle Beispiele finden Sie u.a. auf der Homepage des Bundesamt für Sicherheit in der Informationstechnik.

Das BSI und ProPK stellen eine Checkliste zum Them Phishing als Download bereit. Über folgenden Link können Sie sich die Checkliste als PDF herunterladen (ohne Gewähr):  >> Download Checkliste für den Ersntfall <<