Woran erkenne ich Phishing-Mails? Warum können HTML-Mails echt böse sein? Warum ist die Phishing-Gefahr gerade auf Smartphones besonders groß? Was muss ich IMMER beachten, bevor ich meine Zugangsdaten eingebe? Warum schreibt die Chefin mit einer anderen Mailadresse? Warum ist der nette Support-Mitarbeiter am Telefon nicht gar so nett? Mit unseren Top-Tipps und Erklärvideos sind Sie sicher unterwegs. Detailinformationen und Hintergrundwissen liefern die weiterführenden Links.
Seien Sie sich immer bewusst: Betrügerische E-Mails wollen Sie zum Download von Schadcode verführen, sie wollen Ihre Daten oder Ihr Geld. Dabei ahmen sie vertraute Mails oder Webseiten nach oder erzählen eine glaubhafte Geschichte. Manchmal sind auch persönliche Daten zur Steigerung der Glaubwürdigkeit enthalten. Daher:
E-Mails, die Druck aufbauen und zum raschen Handeln auffordern, haben meist Schlechtes im Sinn: Aufforderung das Konto zu aktivieren; Speicherplatz der Mailbox erhöhen; Verpasste E-Mails abholen;... . Schauen Sie genau hin und beherzigen Sie die weiteren Tipps. Fragen Sie im Kollegenkreis, Ihre Administratoren oder im Servicecenter von IT.Services.
Der Anzeigename einer Mail kann beliebig gesetzt werden. Verwenden Sie nach Möglichkeit ein Mailprogramm, das die komplette Absenderadresse anzeigt. Finger weg, wenn die Absenderadresse nicht übereinstimmt. Aber Vorsicht, auch die Absenderadresse ist nicht fälschungssicher.
Verantwortungsbewusste Absender versehen ihre E-Mails mit einer digitalen Signatur. Digital signierte E-Mails werden von gängigen Mailprogrammen überprüft und Unstimmigkeiten angezeigt. Die verwendeten digitalen Zertifikate kann man auch selbst überprüfen.
Schauen Sie die E-Mail-Links genau an. Wenn die auf eine unbekannte Webseite leiten wollen: Nicht klicken. Versteckt sich ein Link in einer schicken HTML-Mail, sollten Sie immer erst mit der Maus über den Link fahren und die Adresse kontrollieren.
Phishing-Mails wollen an Ihre Anmeldedaten! Wenn Sie einem Link in einer (vielleicht harmlosen) E-Mail gefolgt sind und dann Ihre Daten eingeben sollen, schauen Sie in die Adresszeile des Browsers! IMMER! Auch wenn die Webseite genauso aussieht "wie sonst". Nur wenn Sie die Adresse der Webseite zweifelsfrei erkennen, sollten Sie Logindaten eingeben.
Am sichersten fährt man, wenn man nicht den Links in E-Mails folgt, sondern die betreffende Seite per Tastatur ansurft oder einem zuvor gespeicherten Lesezeichen folgt. Das kostet zwar Zeit, aber man ist hundertprozentig auf der sicheren Seite.
Schadsoftware wird häufig über Mailanhänge verbreitet. Ob Bilder, PDFs, Word-, Excel- oder Powerpoint-Dateien - unerwartete Anhänge sollte man im Zweifelsfall beim Absender hinterfragen oder von Experten untersuchen lassen. Makros- oder Sicherheitsabfragen zum Ausführen sollten bei geringstem Zweifel nicht bejaht werden.
E-Mail-Apps auf mobilen Geräten lassen häufig nur die HTML-Darstellung von E-Mails zu. Da man auch keine Maus hat, kann man die Ziele der Links nicht erkennen. Abhilfe schafft das lange Drücken auf den Link, damit das Ziel angezeigt wird. Nur vertrauenswürdigen/bekannten Adressen sollte man folgen.
Mailadressen von Absendern werden auf Smartphones häufig nur mit dem Anzeigenamen angezeigt. Um den kompletten Namen zu erkennen, kann man z.B. auf "Weiterleiten" klicken.
In vielen Mailprogrammen wie auch in der Webmail-Oberfläche der RUB kann die HTML-Ansicht von E-Mails abgestellt werden. Alle potentiell schädlichen Links sind auf diese Weise schnell zu identifizieren.
Daten auf öffentlichen Webseiten werden häufig mit erbeuteten Informationen zu Profilen zusammengefügt. Mit diesen Informationen werden Benutzer mit psychologischen Tricks zur Herausgabe vertraulicher Informationen, Installation von Software oder Überweisung von Geldbeträgen verleitet. Vertrauen Sie grundsätzlich nur solchen Kontakten, die Sie selbst direkt verifizieren können, z.B. durch Nachfragen bei Ihren Ansprechpartnern. Seien Sie grundsätzlich misstrauisch, wenn Ihnen bekannte Kommunikationspartner oder gar Vorgesetzte plötzlich über andere Kanäle kontaktieren (z.B. mit einer neuen Mailadresse).
Vor allem im Home-Office versuchen falsche Support-Mitarbeiter oder vermeintliche Polizisten betrügerische Kontaktaufnahme. Seriöse Support-Mitarbeiter rufen Sie nicht ohne Anlass oder Auftrag an, Polizei und Rettungsdienste verwenden für Anrufe niemals die Notrufnummern 110 oder 112. Rufnummern von Anrufern sind einfach fälschbar. Vergewissern Sie sich gegebenenfalls durch eigenen Anruf bei Ihren Kontakten. Beenden Sie unerwartete Telefonanrufe sofort. Installieren Sie keine Software auf Aufforderung solcher ungebetenen Anrufer und geben Sie keinesfalls Passwörter oder andere vertraulichen Informationen weiter.
Wie täuschend echt Phishing-Mails aussehen, haben wir in Aktuelles-Meldungen dargestellt, z.B. hier:
Phishing-Welle trifft Uni-Beschäftigte
Phishing-E-Mail fordert Validierung
Nur wer regelmäßig Backups seiner Daten anfertigt (und auch mal eine Rücksicherung ausprobiert hat), kann entspannt bleiben. Der Schaden durch Verschlüsselungstrojaner oder andere Malware und Aufwand bei Neuinstallation bleiben minimal. mehr
Zu schnell geklickt oder doch einen Anhang geöffnet? Dann kann hoffentlich noch ein geschütztes System vor Schlimmerem bewahren: Installation und regelmäßige Aktualisierungen einer Antiviren-Software (z.B. Sophos), automatisch eingespielte Betriebssystem-Updates und regelmäßige Aktualisierungen der Anwendungen. mehr
Bildquellen:
pixabay.de | geralt