Auf so gut wie keine andere Cyberattacke wie Phishing fallen Privat­personen herein. Dabei wäre Phishing grösstenteils vermeidbar, denn: Die Attacke benötigt zwingend, dass der Nutzer einen Fehler macht. Wir zeigen Ihnen, wie Sie Phishing erkennen und sich schützen, Bild 1.

Das Gros der Phishing-Angriffe wird breit gestreut. Der Angreifer imitiert ein Gross­unternehmen und schickt die gefälschte Nachricht einfach an alle Mailadressen in seiner Liste – in der Annahme, dass ein Grossteil der angeschriebenen Personen eine Verbindung zum Unternehmen hat. Dann müssen nur noch eine Handvoll davon darauf reinfallen und es hat sich für den Phisher gelohnt.

Vermehrt verwenden Phisher aber auch Angriffe mithilfe von Social-Engineering-Methoden. Dabei benutzen die Angreifer nicht einfach Listen von Mailadressen, sondern ganze Datenbanken, bei denen jeder Mail­adresse ein persönliches Profil beigefügt ist. Alles, was über Sie öffentlich auffindbar ist, kann verwendet werden: Wohnort, Arbeit­geber, Geburtsdatum, persönliche Vorlieben etc. Solche Angriffe sind effektiver, weil sie für den Empfänger glaubwürdiger erscheinen.

Eine verwandte Methode ist in sozialen Medien beliebt: Es werden im Namen des In­habers des gehackten Kontos Phishing-Links an Freunde verschickt; normalerweise unter einem Vorwand, zum Beispiel man wolle ein paar Fotos teilen oder eine Umfrage machen. Die Links führen meistens zu gefälschten Webseiten, die den Nutzer dazu bringen sollen, die Nutzerdaten dort einzugeben, Bild 2.

Dazu erstellen Phisher eine Webseite, die genauso aussieht wie die richtige Login-Seite eines echten Anbieters. Das Opfer wird unter einem Vorwand auf die gefälschte Seite gelotst und soll sich dort «einloggen». Das Login klappt natürlich nicht, die eingegebenen Daten werden aber direkt an den Hacker gesandt, der sie dann auf der richtigen Login-Seite gebrauchen kann.

Etwas seltener geworden sind mit Malware verseuchte Webseiten. Das unter anderem auch, weil Webbrowser und Betriebssysteme heutzutage besser gegen Malware geschützt sind. Da lässt sich der Nutzer leichter über­listen als die Software.

Phishing zu erkennen ist heutzutage nicht mehr ganz so einfach wie noch in der Anfangszeit des Internets. Damals bekam man noch eine mies gestaltete E-Mail in schlechtem Deutsch oder Englisch, in der ein nige­rianischer Prinz versprach, ein paar Millionen zu überweisen, wenn man ihm einige Daten angibt. Ganz vorbei sind diese Zeiten zwar noch nicht (scheinbar funktioniert der Trick noch immer in seltenen Fällen), aber das Gros der Phishing-E-Mails ist klar ausgeklügelter geworden. Am häufigsten wird mit gefälschten Mails von beliebten Dienstanbietern gephisht. International sind das etwa Amazon, Facebook, Twitter, Netflix oder UPS. In der Schweiz sind Unternehmen wie die Post, Migros, Coop, SBB, Swisscom oder UBS häufig betroffen. Gemeinsam haben diese Unternehmen: eine grosse Verbreitung. Phishing funktioniert meistens in einer breiten Masse. Es werden so viele Adressen wie möglich automatisiert angeschrieben. Ob diese Personen jetzt wirklich ein Nutzerkonto bei der Post haben, weiss der Phisher nicht. Aber bei der Post ist die Chance deutlich grösser als beim lokalen Schreiner.

Und so kommen wir gleich zum ersten Erkennungsmerkmal von Phishing.

Falls Sie nie ein Konto bei der Migros erstellt haben, kann dieses auch nicht in Gefahr sein. Egal wie sehr die Phishing-E-Mail drängt, man solle doch sofort ein neues Passwort setzen, weil sonst Gefahr drohe. Ab in den Papierkorb mit der Mail.

Drohungen und andere Appelle an die Dringlichkeit sind ebenfalls sehr verbreitet. Eine klassische Strategie beim Phishing ist der zeitliche Druck und die Androhung von schrecklichen Konsequenzen, wenn man nicht sofort handle. Damit soll der Nutzer dazu gebracht werden, emotional zu reagieren, anstatt sich vernünftig mit der Situation auseinander­zusetzen und zu überlegen.

Gerade deswegen ist es wichtig, dass Sie sich in solchen Situationen nicht stressen lassen und die Ruhe bewahren. Lesen Sie die Nachricht genau durch und gehen Sie Schritt für Schritt durch, ob die Situation Sinn ergibt und das Anliegen wirklich echt sein könnte. Nehmen Sie die Zügel selbst in die Hand und versuchen Sie, das Problem aus eigener Initiative zu lösen. Mehr dazu lesen Sie im Abschnitt «Kontrolle haben» auf der letzten Seite, Teil 4.

Ein Tipp im Ladebildschirm des Onlinerollen­spiels «World of Warcraft» erinnert Spieler schon seit über zehn Jahren daran, dass Mitarbeiter des Game-Entwicklers niemals per Privatnachricht oder E-Mail Konto-Zugangs­daten verlangen werden. Das gilt nicht nur für «World of Warcraft», sondern für jedes se­riöse Unternehmen. Eine E-Mail, die explizit nach einem Benutzernamen oder Passwort fragt, ist immer unseriös. Gleiches gilt für Daten wie Bankkontonummern, Kreditkarten­daten, Versicherungsnummern, Telefonnummern, Adressen und ähnlich Privates.

Viele Phisher sind mittlerweile besser geworden und versenden kaum noch E-Mails in gebrochenem Deutsch oder Englisch, Bild 3. Allerdings lassen sich bei genauem Hinsehen immer noch kleinere Fehler erkennen. Grammatik und Rechtschreibung sind nicht mehr die besten Anhaltspunkte, der Stil hingegen schon. Auch gute Übersetzungs-Software wählt nicht immer den passenden Stil für eine Geschäftsmail. Dinge wie untypische Verwendung von Du/Sie, unpassende An­reden und Floskeln oder generell unübliche Formulierungen können ein Hinweis auf Phi­shing sein. Das gilt insbesondere auch bei Phishing, das private Personen imitiert. Wenn ein Freund per Messenger plötzlich anders schreibt und etwas von Ihnen will, kann es sein, dass das Konto geknackt wurde und eigentlich ein Fremder am anderen Ende der Leitung sitzt.

Links sind eine der besten Methoden, um Phishing zu erkennen. Mailadressen können heutzutage relativ leicht gefälscht werden. So kann es durchaus so aussehen, als stamme eine E-Mail von einem vertrauenswürdigen Absender. Da Phishing meistens mit einem Link lockt, ist es besonders wichtig, diesen Link genau zu prüfen. Oftmals sieht man dort, ob etwas echt ist oder nicht. Besonderes Augenmerk gilt hier der Domain; das ist bei Mail­adressen der Teil hinter dem @-Zeichen und bei Webadressen der Teil genau vor dem Schrägstrich (/). Zum Beispiel wäre das bei redaktion@pctipp.ch oder bei https://www.pctipp.ch/tests die Domain pctipp.ch, Bild 4.

Fälscher benutzen gerne Tricks, mit denen die Domain am falschen Ort angedeutet wird, um unerfahrene Anwender auszutricksen: redaktionpctipp.ch@betrug.ch oder https://www.pctipp.ch.betrug.ch/tests gehen beide auf die Domain betrug.ch und nicht auf pctipp.ch, obwohl sie diesen Textteil enthalten. Moderne Browser und Mailprogramme heben die Domain teilweise farblich hervor, damit Sie die richtige Domain besser erkennen.

Ein zusätzlicher Trick ist es, einen Link hinter einem anderen Link zu verstecken. In der Websprache HTML lassen sich Links hinter beliebige Textteile setzen. Beispielsweise kann der Text «Hier geht es zu den Tests» mit dem Link «https://www.pctipp.ch/tests» versehen werden. Der Text wird als Link markiert, ist klickbar und führt zum angegebenen Link. Das lässt sich beispielsweise so ausnutzen: Im Text steht «https://www.pctipp.ch/tests», dahinter befindet sich jedoch der Link «https://www.betrug.ch/phishing». Auf den ersten Blick sieht es aus, als wäre ein normaler Link zum PCtipp platziert, allerdings führt die eigentliche Adresse zu einer Betrugsseite.

In jedem Fall ist es essenziell, dass Sie Links und Adressen genau prüfen. Bei den meisten Browsern und Mailprogrammen können Sie mit der Maus über den Link fahren (ohne zu klicken) und sehen die eigentliche Internet­adresse unten links eingeblendet. Falls das nicht klappt, können Sie auf den Link rechtsklicken und die Adresse kopieren. Das funktioniert auch bei mobilen Geräten mit einem langen Fingertipp.

Zuletzt sollten Sie bei gekürzten URLs vorsichtig sein. Dienste wie bit.ly sind zwar durchaus nützlich, ergeben aber fast nur dann Sinn, wenn ein Link eingetippt werden soll, beispielsweise wenn er auf Papier gedruckt ist. Bei klickbaren Links ist das grösstenteils sinnlos und höchstens verdächtig, da Sie schlicht nicht wissen, wohin der Link geht. Hilfe bietet die Website unshorten.it. Geben Sie dort den Kurzlink ein, dann sehen Sie, wo der Link tatsächlich hinführt.

Datenanhänge sind immer mit Vorsicht zu geniessen. In den allermeisten Fällen erhalten Sie nur Anhänge, die Sie auch erwarten – beispielsweise eine Rechnung, nachdem Sie etwas bestellt haben, oder eine monatliche Abrechnung, die regelmässig ankommt. Aber auch das kann gefährlich sein. Eine E-Mail mit Anhang von Ihrer Bank kann auf den ersten Blick vertrauenswürdig aussehen, aber genauso falsch sein. Bevor Sie einen Anhang öffnen, stellen Sie unbedingt sicher, dass der Absender wirklich echt und die Datei sauber ist. Im Zweifelsfall lassen Sie die Datei besser in Ruhe und fragen beim Absender nach, ob wirklich etwas an Sie verschickt wurde.

Sie haben 10 Millionen Franken in einer Lotterie gewonnen, von der Sie noch nie gehört haben, Bild 5. In der Migros ist Bratspeck 20 Prozent reduziert. Ein Fremder will Ihnen ein brandneues iPhone für nur 50 Franken verkaufen. Nur eine dieser Nachrichten ist echt. Und glücklicherweise sind die Angebote meistens relativ leicht erkennbar. Etwas schwieriger wird es bei Produkten, bei denen Sie den üblichen Marktpreis nicht so gut kennen. In diesen Fällen können Sie kurz recherchieren, was im Handel üblich ist. Und damit Sie es nicht ausrechnen müssen: 1 Kilogramm Bio-Bratspeck kostet in der Migros aktuell Fr. 33.50, mit 20 Prozent Rabatt wären das Fr. 26.80. Für 10 Millionen Franken könnten Sie das iPhone für 50 Franken kaufen und hätten noch Geld für abgerundet 373 132 Kilo­gramm Bio-Bratspeck.

Es gibt einige Dinge, die Sie präventiv tun können, um Phishing-Angriffe zu verringern, abzuwehren und im Ernstfall den Schaden zu begrenzen.

• Spartanische Datenpolitik: Geben Sie online nicht allzu viel preis. Je weniger über Sie öffentlich zu erfahren ist, desto weniger Material haben Phisher, um Sie zu täuschen.
• E-Mail kontrollieren: Verwenden Sie für wichtige Dienste eine separate Mailadresse und registrieren Sie sich bei weniger seriösen Seiten mit einer anderen Adresse.
• Posteingang sauber halten: Je weniger E-Mails Sie erhalten, desto eher behalten Sie den Überblick. Melden Sie sich von unnötigen Newslettern ab und reduzieren Sie die Anzahl Nachrichten, die Sie erhalten. So haben Sie mehr Zeit, die erhaltenen E-Mails genauer anzuschauen.
• Phishing melden: Falls Sie eine Phishing-Nachricht erhalten, informieren Sie die betroffene Partei davon (also zum Beispiel die Post oder die Migros). So kann diese ihre Kunden vor der falschen E-Mail warnen. Melden können Sie den Vorfall auch unter dem Link antiphishing.ch, Bild 6.
• Passwortsicherheit: Verwenden Sie für jeden Dienst ein separates Passwort – entweder mit einem Passwortsystem oder einem Passwortmanager. Falls Sie dann doch einmal in eine Phishing-Falle tappen, müssen Sie nur ein Konto retten.

Nichts schützt besser vor Phi­shing als Kontrolle. Gerade deshalb versuchen Angreifer, so oft über die emotionale Ebene anzugreifen. Denn wer bedacht handelt und die Kontrolle selbst übernimmt, behält auch die Situation im Griff.

Für Phishing im Spezifischen heisst das beispielsweise: Klicken Sie keine Links an, sondern rufen Sie die Webseite selbst auf. Zum Beispiel: Sie erhalten eine E-Mail der Post, Ihr Konto sei gesperrt worden und Sie müssten sich unbedingt über den Link in der Mail neu einloggen. Ignorieren Sie diese Anweisung, öffnen Sie Ihren Browser und navigieren Sie manuell zur Webseite der Post, entweder per Lesezeichen oder durch Eintippen der Adresse. Loggen Sie sich dort wie gewohnt ein. Sollte Ihr Konto wirklich gesperrt sein, merken Sie das beim Login selbst. Falls alles wie gewohnt klappt, war die Nachricht höchstwahrscheinlich gefälscht.