IT-Sicherheit

Zehn Tipps gegen Phisher

19.04.2015
Von Thomas Kuhn

Zehn entscheidende Tipps

1. Seien Sie angemessen skeptisch. Noch falscher als alle zweifelhaften Nachrichten zu löschen ist, die Aufforderungen darin ungeprüft umzusetzen. Kontrollieren Sie daher alle E-Mails auf Auffälligkeiten.

2. Sprechen Sie Deutsch. Viele Hacker kopieren zwar dreist Layout und Logos aus Originalnachrichten oder von den Webseiten der Banken, Onlineshops oder Netzbetreiber, nutzen zugleich noch immer minderwertige Übersetzungsprogramme, um ihre Schreiben zu übersetzen. Formulierungen wie "Ihre ID wurde aus Sicherheitsgrunden deaktiviert!" oder "Um Ihre Identität zu bestätigen, können Sie hier um zu gehen überprüfen" sind ein untrügliches Indiz für einen Betrugsversuch.

3. Prüfen Sie den Adressat. Kontrollieren Sie, dass die Nachrichten tatsächlich an SIE adressiert sind, und zwar an die richtige E-Mail-Adresse. Nachrichten ohne persönliche Anrede ("Hallo, Ihr Konto ist in Gefahr") sind verdächtig, wenn sie etwa vermeintlich von Ihrem Telefonanbieter stammen, der sie sonst immer persönlich anschreibt. Gleiches gilt, wenn die E-Mail-Adresse, unter der Sie die Nachricht erhalten, gar nicht die ist, mit der Sie sonst beim Dienstanbieter (etwa iCloud, Dropbox, WhatsApp, etc.) angemeldet sind. Auch dann gilt: Finger weg!

4. Kontrollieren Sie den Absender. Betrüger geben sich mal mehr, mal weniger Mühe, ihr Tun zu verschleiern. Oft fällt schon beim Blick auf die Absender-Adresse auf, dass etwas faul ist. Wer etwa eine angeblich von Ebay stammende Nachricht von einem Absender wie "xlds@hondshu.co" bekommt, gewinnt jede Wette, dass die E-Mail gefälscht ist. Aber Vorsicht, auch vermeintlich Vertrauen erweckende Absender wie "kunden@e.appIe.de" können in die Irre führen, weil die Absender - statt des Kleinbuchstabens "l" den Großbuchstaben "I" in die Adresse eingefügt haben. Sowas fällt nur bei genauem Hinsehen auf. Tun Sie's.

5. Achten Sie auf den Betreff. Netzbetreiber und E-Mail-Anbieter wie Telekom, Vodafone oder 1&1 nennen in E-Mails mit elektronisch verschickten Rechnungen im Betreff oder im Nachrichtentext vielfach ausdrücklich ihre Kundennummer. Machen Sie sich im Zweifel die Mühe, diese Nummern mit früheren E-Mails abzugleichen. Stimmen die Nummern nicht, seien Sie vorsichtig.

6. Meiden Sie integrierte Links. Wenn die Nachrichten einen Link enthalten, über den Sie angeblich direkt auf die Web-Seite zur Passwortprüfung, Freischaltung des Kontos oder welcher Eingaben von Kundendaten auch immer aufgefordert werden, dann sollten alle Alarmlampen anspringen. Denn oft verbirgt sich hinter der dann erscheinenden Webseite eben gerade nicht der vorgebliche Dienst, sondern ein Server des Betrügers, der alle eingegebenen Daten protokolliert. Dass die Eingabeseiten dann zwar aussehen, wie die Homepage von Bank, Web-Händler etc. besagt nichts. Sie sind nicht mehr als eine Kopie der Originale. Um solch eine Irreführung auszuschließen, hat Ebay beispielsweise in seiner jüngsten Aufforderung zur Passwortänderung bewusst keinen Direkt-Link eingebaut sondern bittet seine Nutzer, die Änderung auf direkt über die Webseite vorzunehmen.

7. Prüfen Sie Ihre Umgebung. Wie im realen Leben schützt Aufmerksamkeit auch im Web vor Betrug. Kontrollieren Sie daher bei sensiblen Nachrichten oder Online-Aktionen immer genau, auf welchen Webseiten Sie unterwegs sind, beziehungsweise wohin genau ein Link Sie verweisen will. Fahren Sie dazu mit der Maus über in E-Mails eingebettete Links und klicken Sie mit der rechten Taste auf "Hyperlink kopieren". Wenn Sie diese Adresse dann in die Eingabezeile Ihres Browsers (Internet Explorer, Firefox, Chrome) einfügen - aber nicht mit "Enter" bestätigen - sehen Sie, wohin der Link Sie verweisen würde. Auch dabei gilt: Stimmen Ziel und vorgeblicher Absender der Nachricht nicht überein, lotst Sie also beispielsweise eine angeblich von der Postbank stammende E-Mail auf einen Server namens "www.bank.org", ist's höchstwahrscheinlich Betrug

8. Lesen Sie genau. Phisher sind einfallsreich. Um nicht schon bei der ersten Kontrolle der Web-Adresse (Punkt 7) aufzufliegen, verschleiern sie nicht nur die E-Mail-Absender. Auch die Web-Adresse selbst lässt sich fälschen: "www.apple.com" ist eben nicht das Gleiche wie "www.appIe.com". Letzteres aber übersieht, wer nur einen schnellen, oberflächlichen Blick in die Adresszeile des Browsers wirft. Und auch zumindest vordergründig unauffällig wirkende Adressen wie "www.post.bank.net", "www.postbank-kundenservice.com" oder "www.postbank/security.cyber.control/netmoney-cn.hk" führen mit Sicherheit in die Falle.

9. Machen Sie den Gegencheck im Netz. Egal ob Online-Bank, Ebay oder Vodafone, fast alle Anbieter von Web-Diensten bieten ihren Kunden auch ein digitales Online-Postfach wie etwa "My Ebay", "My Vodafone" oder ähnliches. Und fast alle hinterlegen dort auch parallel die an ihre Kunden per E-Mail verschickten Nachrichten und Dokumente. Wer also sicher gehen möchte, dass die Zahlungsaufforderung, die Mahnung zum Passwort-Check oder die Bitte um Änderung des Passworts tatsächlich echt ist, der sollte in eben diesem Online-Postfach nachsehen, ob eine entsprechende Nachricht auch dort wartet. Falls ja, dann ist wohl auch der zugehörige E-Mail-Hinweise echt.

10. Zögern Sie nicht. Packt Sie nach einem vorschnellen Klick auf einen dubiosen Link oder der Eingabe der Zugangsdaten auf einer zweifelhaften Web-Seite die Sorge, dann handeln Sie sofort: Gehen Sie direkt auf die Webseite ihrer Online-Bank, ihres präferierten Web-Shops oder des von Ihnen genutzten Cloud-Dienstes und ändern sie dort umgehend Ihr Passwort. Sonst erledigt das der Phisher - und Sie sind draußen.

(Quelle: Wirtschaftswoche)