Phishing erkennen

Phishing zu erkennen ist heutzutage nicht mehr ganz so einfach wie noch in der Anfangszeit des Internets. Damals bekam man noch eine mies gestaltete E-Mail in schlechtem Deutsch oder Englisch, in der ein nige­rianischer Prinz versprach, ein paar Millionen zu überweisen, wenn man ihm einige Daten angibt. Ganz vorbei sind diese Zeiten zwar noch nicht (scheinbar funktioniert der Trick noch immer in seltenen Fällen), aber das Gros der Phishing-E-Mails ist klar ausgeklügelter geworden. Am häufigsten wird mit gefälschten Mails von beliebten Dienstanbietern gephisht. International sind das etwa Amazon, Facebook, Twitter, Netflix oder UPS. In der Schweiz sind Unternehmen wie die Post, Migros, Coop, SBB, Swisscom oder UBS häufig betroffen. Gemeinsam haben diese Unternehmen: eine grosse Verbreitung. Phishing funktioniert meistens in einer breiten Masse. Es werden so viele Adressen wie möglich automatisiert angeschrieben. Ob diese Personen jetzt wirklich ein Nutzerkonto bei der Post haben, weiss der Phisher nicht. Aber bei der Post ist die Chance deutlich grösser als beim lokalen Schreiner.

Und so kommen wir gleich zum ersten Erkennungsmerkmal von Phishing.

Falls Sie nie ein Konto bei der Migros erstellt haben, kann dieses auch nicht in Gefahr sein. Egal wie sehr die Phishing-E-Mail drängt, man solle doch sofort ein neues Passwort setzen, weil sonst Gefahr drohe. Ab in den Papierkorb mit der Mail.

Drohungen und andere Appelle an die Dringlichkeit sind ebenfalls sehr verbreitet. Eine klassische Strategie beim Phishing ist der zeitliche Druck und die Androhung von schrecklichen Konsequenzen, wenn man nicht sofort handle. Damit soll der Nutzer dazu gebracht werden, emotional zu reagieren, anstatt sich vernünftig mit der Situation auseinander­zusetzen und zu überlegen.

Gerade deswegen ist es wichtig, dass Sie sich in solchen Situationen nicht stressen lassen und die Ruhe bewahren. Lesen Sie die Nachricht genau durch und gehen Sie Schritt für Schritt durch, ob die Situation Sinn ergibt und das Anliegen wirklich echt sein könnte. Nehmen Sie die Zügel selbst in die Hand und versuchen Sie, das Problem aus eigener Initiative zu lösen. Mehr dazu lesen Sie im Abschnitt «Kontrolle haben» auf der letzten Seite, Teil 4.

Ein Tipp im Ladebildschirm des Onlinerollen­spiels «World of Warcraft» erinnert Spieler schon seit über zehn Jahren daran, dass Mitarbeiter des Game-Entwicklers niemals per Privatnachricht oder E-Mail Konto-Zugangs­daten verlangen werden. Das gilt nicht nur für «World of Warcraft», sondern für jedes se­riöse Unternehmen. Eine E-Mail, die explizit nach einem Benutzernamen oder Passwort fragt, ist immer unseriös. Gleiches gilt für Daten wie Bankkontonummern, Kreditkarten­daten, Versicherungsnummern, Telefonnummern, Adressen und ähnlich Privates.

Viele Phisher sind mittlerweile besser geworden und versenden kaum noch E-Mails in gebrochenem Deutsch oder Englisch, Bild 3. Allerdings lassen sich bei genauem Hinsehen immer noch kleinere Fehler erkennen. Grammatik und Rechtschreibung sind nicht mehr die besten Anhaltspunkte, der Stil hingegen schon. Auch gute Übersetzungs-Software wählt nicht immer den passenden Stil für eine Geschäftsmail. Dinge wie untypische Verwendung von Du/Sie, unpassende An­reden und Floskeln oder generell unübliche Formulierungen können ein Hinweis auf Phi­shing sein. Das gilt insbesondere auch bei Phishing, das private Personen imitiert. Wenn ein Freund per Messenger plötzlich anders schreibt und etwas von Ihnen will, kann es sein, dass das Konto geknackt wurde und eigentlich ein Fremder am anderen Ende der Leitung sitzt.

Links sind eine der besten Methoden, um Phishing zu erkennen. Mailadressen können heutzutage relativ leicht gefälscht werden. So kann es durchaus so aussehen, als stamme eine E-Mail von einem vertrauenswürdigen Absender. Da Phishing meistens mit einem Link lockt, ist es besonders wichtig, diesen Link genau zu prüfen. Oftmals sieht man dort, ob etwas echt ist oder nicht. Besonderes Augenmerk gilt hier der Domain; das ist bei Mail­adressen der Teil hinter dem @-Zeichen und bei Webadressen der Teil genau vor dem Schrägstrich (/). Zum Beispiel wäre das bei redaktion@pctipp.ch oder bei https://www.pctipp.ch/tests die Domain pctipp.ch, Bild 4.

Fälscher benutzen gerne Tricks, mit denen die Domain am falschen Ort angedeutet wird, um unerfahrene Anwender auszutricksen: redaktionpctipp.ch@betrug.ch oder https://www.pctipp.ch.betrug.ch/tests gehen beide auf die Domain betrug.ch und nicht auf pctipp.ch, obwohl sie diesen Textteil enthalten. Moderne Browser und Mailprogramme heben die Domain teilweise farblich hervor, damit Sie die richtige Domain besser erkennen.

Ein zusätzlicher Trick ist es, einen Link hinter einem anderen Link zu verstecken. In der Websprache HTML lassen sich Links hinter beliebige Textteile setzen. Beispielsweise kann der Text «Hier geht es zu den Tests» mit dem Link «https://www.pctipp.ch/tests» versehen werden. Der Text wird als Link markiert, ist klickbar und führt zum angegebenen Link. Das lässt sich beispielsweise so ausnutzen: Im Text steht «https://www.pctipp.ch/tests», dahinter befindet sich jedoch der Link «https://www.betrug.ch/phishing». Auf den ersten Blick sieht es aus, als wäre ein normaler Link zum PCtipp platziert, allerdings führt die eigentliche Adresse zu einer Betrugsseite.

In jedem Fall ist es essenziell, dass Sie Links und Adressen genau prüfen. Bei den meisten Browsern und Mailprogrammen können Sie mit der Maus über den Link fahren (ohne zu klicken) und sehen die eigentliche Internet­adresse unten links eingeblendet. Falls das nicht klappt, können Sie auf den Link rechtsklicken und die Adresse kopieren. Das funktioniert auch bei mobilen Geräten mit einem langen Fingertipp.

Zuletzt sollten Sie bei gekürzten URLs vorsichtig sein. Dienste wie bit.ly sind zwar durchaus nützlich, ergeben aber fast nur dann Sinn, wenn ein Link eingetippt werden soll, beispielsweise wenn er auf Papier gedruckt ist. Bei klickbaren Links ist das grösstenteils sinnlos und höchstens verdächtig, da Sie schlicht nicht wissen, wohin der Link geht. Hilfe bietet die Website unshorten.it. Geben Sie dort den Kurzlink ein, dann sehen Sie, wo der Link tatsächlich hinführt.

Datenanhänge sind immer mit Vorsicht zu geniessen. In den allermeisten Fällen erhalten Sie nur Anhänge, die Sie auch erwarten – beispielsweise eine Rechnung, nachdem Sie etwas bestellt haben, oder eine monatliche Abrechnung, die regelmässig ankommt. Aber auch das kann gefährlich sein. Eine E-Mail mit Anhang von Ihrer Bank kann auf den ersten Blick vertrauenswürdig aussehen, aber genauso falsch sein. Bevor Sie einen Anhang öffnen, stellen Sie unbedingt sicher, dass der Absender wirklich echt und die Datei sauber ist. Im Zweifelsfall lassen Sie die Datei besser in Ruhe und fragen beim Absender nach, ob wirklich etwas an Sie verschickt wurde.

Sie haben 10 Millionen Franken in einer Lotterie gewonnen, von der Sie noch nie gehört haben, Bild 5. In der Migros ist Bratspeck 20 Prozent reduziert. Ein Fremder will Ihnen ein brandneues iPhone für nur 50 Franken verkaufen. Nur eine dieser Nachrichten ist echt. Und glücklicherweise sind die Angebote meistens relativ leicht erkennbar. Etwas schwieriger wird es bei Produkten, bei denen Sie den üblichen Marktpreis nicht so gut kennen. In diesen Fällen können Sie kurz recherchieren, was im Handel üblich ist. Und damit Sie es nicht ausrechnen müssen: 1 Kilogramm Bio-Bratspeck kostet in der Migros aktuell Fr. 33.50, mit 20 Prozent Rabatt wären das Fr. 26.80. Für 10 Millionen Franken könnten Sie das iPhone für 50 Franken kaufen und hätten noch Geld für abgerundet 373 132 Kilo­gramm Bio-Bratspeck.