Daran erkennt man Phishing-E-Mails

E-Mail mit gefälschtem Absender

Einige Phishing-Mails haben einen vermeintlich seriösen Absender. Hierbei unterscheidet man zwischen dem Namen des Absenders und der E-Mail-Adresse.

Wenn Name und Adresse nicht zueinander passen, ist das ein sehr deutlicher Hinweis auf eine Phishing-Mail.

Hinweis: Diese Angaben lassen sich auch fälschen.

Auffällige Betreffzeilen

Kriminelle versuchen an Ihre Daten heranzukommen und wählen daher ihre Betreffzeilen so, dass viele Leser die E-Mail anklicken.

Beispiele für häufig angeklickte Betreffzeilen

  • Ihre Bestellung ist unterwegs
  • Ihr Account wurde gesperrt
  • LinkedIn: Ihr Konto ist in Gefahr!
  • Ändern Sie bitte umgehend Ihr Passwort
  • PayPal: Vervollständigen Sie Ihre Daten
  • Sie haben eine neue verschlüsselte Nachricht
  • FedEx/DHL: Wir haben Sie verpasst
  • Rechnung/Mahnung Scan
  • Rechnungsanschrift korrigiert
  • Ihre Rechnung [...]

Anrede ist unpersönlich

Bei den meisten Phishing-Mails gibt es eine unpersönliche Anrede (z. B. „Sehr geehrter Kunde“). Die tatsächlichen Dienstleister kennen Ihren Namen.

Akuter Handlungsbedarf wird vorgetäuscht

Sie werden dazu aufgefordert, möglichst schnell handeln zu müssen, z. B. „Wenn Sie nicht innerhalb der nächsten zwei Tagen eine Verifikation durchführen, wird Ihr Konto gesperrt.“ oder „Wenn Sie das nicht tun, sperren wir Ihr Konto …“.

Die tatsächlichen Dienstleister werden einen etwaigen Handlungsbedarf genauer erklären und bieten Ihnen auch eine Kontaktmöglichkeit, um sich diesbezüglich erkundigen zu können.

Schlechte Formulierungen in der E-Mail

  • Merkwürdiger Inhalt
    • Unpersönliche Anrede
    • Schlechte Rechtschreibung/Grammatik
    • Drohungen bzw. dringender Handlungsbedarf signalisiert
    • Vertrauliche Daten werden abgefragt

(z. B. „müssen sie ein Form füllen …“, „ … ein TAN eintasten“).

Text enthält falsch aufgelöste oder fehlende Umlaute

(z. B. nur „a“ statt „ä“ bzw. „ae“).

Links und Anhänge in der E-Mail

Phishing-Mails enthalten für gewöhnlich Anhänge mit Schadcode oder Links auf gefälschte Webseiten, die ebenfalls Schadcode enthalten können oder einfach nur die Eingabe von sensiblen Daten fordern. Der Schaden entsteht, wenn man auf den Anhang oder auf den Link klickt.

Verdächtige URLs

Die Adresse sieht der tatsächlichen sehr ähnlich, enthält aber unübliche Zeichen. Seiten auf denen persönliche Daten eingegeben werden benutzen üblicherweise HTTPS. Eine URL mit HTTPS ist nicht zwangsläufig vertrauenswürdig!

Am besten rufen Sie immer die originale Website über eine Suchmaschine auf. Sie können nun die URL vergleichen oder besser sich gleich dort einloggen. Sie sehen dann, ob Sie eine neue Nachricht haben und tatsächlich Handlungsbedarf besteht.

Beispiele für verdächtige URLs:

  • http://www.189z-sparkasse.de/login
    Diese Adresse gehört nicht zur Sparkasse, Banken verwenden https
  • ab-bank.kundenservIce.net/change-password
    Es wird ein L anstatt einem i verwendet, selbst kundenservice.net gehört möglicherweise nicht zur AB-Bank
  • https://www.amazon.de.login.account-92641v582.ru/form.html
    Die tatsächliche Webseite/Domain steht um den letzten Punkt (vor einem Schrägstrich), hier account-92641v582.ru und nicht etwa amazon.de

Daran erkennt man Phishing-Webseiten

Ist man einem Link der E-Mail gefolgt, hat man sich entweder Schadsoftware eingehandelt oder man landet auf einer gefälschten Webseite, auf der die Daten abgefischt werden sollen.

Das kann man ebenfalls anhand einiger Kriterien überprüfen, ob es sich um eine Phishing-Webseite handelt.

URL der Webseite

Die Adresse sieht der tatsächlichen sehr ähnlich, enthält aber unübliche Zeichen. Beispiel: 189z-sparkasse.com oder .ab-bank.kundenservice.de).

Weitere Beispiele oben bei "Verdächtige URLs".

Im Zweifelsfall die originale Website über einen anderen Weg (Suchmaschine) aufrufen.

HTTPS-Verbindung

Viele Phishing-Seiten verwenden keine verschlüsselte HTTPS-Verbindung. Fehlt diese, ist Vorsicht geboten.

Eine HTTPS-Verbindung allein ist nicht vertrauenswürdig! Das Zertifikat muss auch auf den bekannten Webseiteninhaber ausgestellt sein.

Screenshot Zertifikatsinformationen

Anmeldung funktioniert immer

Wenn Sie sich unsicher sind, probieren Sie zuerst eine Anmeldung mit Phantasie-Eingaben. Phishing-Webseiten wollen schließlich Ihre Daten haben. Wenn Sie trotz offensichtlich falscher Daten weiterkommen, handelt es sich relativ sicher um eine gefälschte Webseite.

Ungewöhnliche Datenabfrage

Sie werden aufgefordert, alle möglichen persönlichen und sensiblen Daten einzugeben wie z.B.:

  • Name
  • Adresse
  • Bankverbindung
  • Kreditkartennummer

Hinzu kommt oftmals, dass Sie gezwungen werden, unter Zeitdruck die Daten einzugeben.

Weitere Informationen