Ja? Nein? Probehalber anklicken? Vielleicht passiert ja gar nichts? - Phishing-E-Mails sind nicht einfach zu erkennen. Zur Orientierung haben die Sicherheitsexperten von Sophos eine Top-10-Liste der wichtigsten Hinweise auf einen Phishing-Versuch aufgestellt. Manches mag banal klingen, die Erfahrung lehrt jedoch, dass auch für Profis eine Erinnerung an die Security-Basics durchaus sinnvoll sein kann. Eines aber vorweg: "Probehalber" ist keine empfohlene Herangehensweise!
Phishing-E-Mails können plump sein oder sehr raffiniert. Doch es gibt ein paar untrügliche Kennzeichen dafür, was eine verdächtige E-Mail ausmacht. Hier die Liste der zehn Merkmale, die Sophos im Rahmen eines Phishing White Papers zusammengefasst hat und bei denen Nutzer hellhörig werden sollten:
Zugegeben, der Hinweis schielt auf den menschlichen Instinkt statt auf harte Fakten. Aber: das Bauchgefühl ist ein wichtiger Ratgeber, auch beim Phishing: Die E-Mail verspricht ein zu gutes Angebot? Leichtes Misstrauen schleicht sich ein? Nicht öffnen!
An der persönlichen Anrede wird gespart? Typisch für Massen-Phishing. Gleich löschen, bitte!
Diese gefälschten Seiten sind oft sehr überzeugend. Bei der Eingabe persönlicher oder vertraulicher Daten sollte man deshalb besonders wachsam sein. Im Zweifel sollten Nutzer die Abfrage telefonisch bestätigen lassen.
Vorsicht, wenn der Eindruck aufkommt "Dies sind persönliche Informationen über mich, das muss echt sein." Informationen wie Stellenbezeichnung, Ex-Arbeitgeber oder persönliche Interessen lassen sich über soziale Netzwerke sammeln. Phishing-E-Mails wirken damit besonders überzeugend.
"Für ihre Phishing-Angriffe nutzen die Kriminellen gern Formulierungen, die die Nutzer aus der Fassung bringen und sie sofort zum Öffnen der E-Mail animieren sollen", so Michael Veit, Security Experte bei Sophos. "Ihre Kreditkarte wurde gehackt - das kann beim Leser schon mal für Panik sorgen. Mein Tipp: Durchatmen und ruhig bleiben. Kann das wirklich sein? Wirkt die E-Mail ansonsten plausibel? Bevor man einen Link anklickt, lieber erst einmal auf anderem Weg verifizieren, ob diese Information korrekt ist. Denn hektische Reaktionen sind genau das, worauf die Cyber-Kriminellen setzen."
Gleich in den Papierkorb!
"Wenn Sie nicht innerhalb von 48 Stunden antworten, wird Ihr Account geschlossen" - mithilfe zeitlichen Drucks hoffen die Kriminellen, die Alarmglocken auszuhebeln. Seriöse Anbieter setzen solche Deadlines nicht. Im Zweifel lieber den Account-Anbieter anrufen.
Klingt verlockend, aber wer sollte einem ohne eine Teilnahme am Gewinnspiel etwas schenken? Es geht aber noch dreister: Abfragen persönlicher Informationen im Rahmen einer Studie, Umfrage etc. plus Aussicht auf Gewinn, Geschenk, Goody. In den Müll damit!
Diese Phishing-E-Mails ahmen echte E-Mails nach bei der Verifizierung des Passworts. Hier gilt besonderes Augenmerk: Sieht die E-Mail verdächtig aus (siehe vorherige Tipps)? Und gibt es die ernsthafte Überlegung, warum man sein Passwort bestätigen muss? Kein plausibler Grund? Dann Ablage P! Und im Zweifel den Anbieter kontaktieren!
Cyber-Kriminelle kaufen und besetzen nicht selten Web-Seiten mit Namen, die offiziellen Web-Seiten ähneln, in der Hoffnung, dass die Nutzer sich vertippen. So zum Beispiel www.google.com und www.g00gle.com. Vor der Eingabe von persönlichen Informationen auf Web-Seiten immer noch einmal die URL prüfen.
Weiterer Informationen stehen unter www.sophos.com zur Verfügung.