Im Auftrag von:
Phishingmails erregen Aufmerksamkeit: „Ihr Bankkonto ist gefährdet“ oder „Sie haben gewonnen!“
Angst ist ein machtvolles Instrument: Angebliche Kontosperrungen oder Zahlungsaufforderungen setzen die adressierte Person unter Druck, um unüberlegt zu handeln.
Auch Neugierde, z. B. die Aussicht auf einen Gewinn kann dazu verleiten, unvorsichtig einer Aufforderung zu folgen.
Manche Phishingmails funktionieren mehrstufig und fordern dazu auf, einem Link zu folgen.
Der Link könnte z. B. zu einer gefälschten Website führen, auf der Logindaten abgefragt werden oder einen (unbemerkten) Dateidownload auslösen, der den Computer mit Malware infiziert.
Tipp: Die Link-URL lässt sich einfach überprüfen, indem der Mauszeiger über den Button oder den Linktext gehalten wird.
„Die Rechnung befindet sich im Anhang“ — Dateianhänge in E-Mails, z. B. für Käufe, die gar nicht getätigt wurden, sind mit Vorsicht zu genießen.
Eine vermeintliche PDF könnte in Wirklichkeit eine Containerdatei für Trojaner sein. Beim Öffnen wird die Malware aktiv und infiziert Geräte und Netzwerke wie ein Lauffeuer.
Tipp: Bei Unsicherheiten können erfahrene ITlerInnen die Datei in einer sicheren Umgebung auf Malware testen.
Eine Phishingmail gibt vor, im Namen von Onlineshops, Banken oder anderen Onlineservices zu schreiben, ohne die adressierte Personen wirklich zu kennen.
Es ist unwahrscheinlich, dass Ihre Hausbank Sie mit „Sehr geehrte/r Kunde/Kundin“ anspricht, um Ihnen mitzuteilen, dass Ihr Bankkonto gefährdet ist.
Eine unpersönliche Ansprache ist kein zwingender Beweis für einen Phishingbetrug, aber sie geben Anlass, die E-Mail genauer zu prüfen.
Phishingmails werden massenhaft versandt und dafür mithilfe von Software erstellt und übersetzt. Dabei schleichen sich Rechtschreib- und Grammatikfehler ein: „Ihren Benutzerkonto ist gefahrdet und gespert“. Im Deutschen sind häufig Umlaute wie ä, ö und ü betroffen.
Orthografische Fehler sind kein zwingender Beweis für einen Phishingbetrug, aber sie geben Anlass, die E-Mail genauer zu prüfen.
Absendende von Phishingmails spekulieren und versenden im Namen großer Onlineshops, Banken oder Anbieter (z. B. Streaming). Denn die Wahrscheinlichkeit steigt, dass die adressierte Person ein Benutzerkonto besitzt und sich angesprochen fühlt.
Die Rechnung geht nicht immer auf und eine Phishingmail erreicht jemanden ohne Benutzerkonto. Besondere Vorsicht gilt, wenn die E-Mail-Adresse kryptisch ist und minimal vom Original-Anbieter (z. B. amazn.de) abweicht.
Nicht jede Phishingmail wird vom Spamfilter oder der Firewall als solche erkannt. Deshalb sind alle IT-AnwenderInnen gefragt, eine eventuelle Sicherheitslücke zu schließen. Sie leisten einen wertvollen Beitrag, indem Sie Phishingmails als solche erkennen und nicht in die Falle tappen sowie Ihre KollegInnen unterstützen.
Gut zu wissen: Auch privat fahren Sie gut damit, vor Phishing gefeit zu sein. Phishingmails finden Ihren Weg auch in private Postfächer und können Privatpersonen genauso schädigen. Ihre privaten Geräte, Fotos, Nachrichten oder (Benutzer-)Konten sollen schließlich auch nur für Sie einsichtig sein.
Ihr Arbeitgeber möchte Sie und Ihre Kolleg*innen für die Risiken von Phishingmails sensibilisieren. Deshalb hat das CSX-Team Ihre E-Mail-Adresse erhalten, damit wir Ihnen Phishingmails zukommen lassen können.
Was vorweg gesagt werden muss: Es ist nicht schlimm, wenn Sie den Link öffnen. Immerhin sollen Sie auf dieser Website ja etwas über Phishing erfahren.
Die Phishing-Simulation registriert, ob eine E-Mail bzw. der Link geöffnet wird. Aber die Daten werden anonymisiert erhoben und können keiner Person zugeordnet werden. Die Daten werden erhoben, um zu prüfen, ob die Simulation auch alle Teilnehmenden erreicht hat.
Ihr Unternehmen erfährt also nicht, dass genau Sie die Phishingmail geöffnet haben.
Phishingmails sind ein immer häufiger auftretendes Phänomen und Problem – das gilt sowohl für den betrieblichen als auch den privaten Bereich. Da technische Sicherheitsvorkehrungen alleine keine Abhilfe bieten können, müssen IT-Anwender*innen auf die Gefahren hingewiesen und sensibilisiert werden.
Auch für Sie privat bietet die Sensibilisierung einen großen Mehrwert, wenn Sie Phishingmails erkennen. IT-Sicherheit und Datenschutz sind schließlich dafür, dass Sie sich vor Betrüger*innen und Datenmissbrauch schützen können.