Blogs & News-Artikel

Die Phishing-Mail-Checkliste. 9 Tipps zum Erkennen von Phishing.

Wir alle haben fast täglich damit zu tun: Phishing-Mails im Posteingang. Im Geschäfts- und Privatleben ist Phishing immer noch die größte digitale Bedrohung. Um ein Bild zu zeichnen: 90 % aller erfolgreichen Cyberangriffe auf Unternehmen werden durch eine Phishing-E-Mail verursacht.

Die direkten Folgen können enorm sein. Denken Sie an Ransomware-Infektionen, die ganze Organisationen zum Stillstand bringen, und an Hacks, die zu gigantischen Datenlecks führen. Vergessen Sie dabei nicht die indirekten Folgen, wie z. B. den finanziellen Schaden, um Systeme wieder zum Laufen zu bringen, tagelang nicht geschäftsfähig zu sein sowie auch den nachhaltigen Imageschaden. Auf persönlicher Ebene wird es Sie vor allem eine Menge Geld kosten, da die meisten Angriffe darauf abzielen, Zugang zu Ihrem Bankkonto zu erhalten.

Ein Moment der Unachtsamkeit und schon ist ein Fehler gemacht, besonders im Eifer des Gefechts. Es ist wichtig, sich der roten Flaggen in einer E-Mail bewusst zu sein, die alle Alarmglocken auslösen sollten. Verwenden Sie daher eine Checkliste, um Phishing-E-Mails schnell zu erkennen und echte von gefälschten zu unterscheiden. Wir haben 9 Tipps zum Erkennen von Phishing-Mails zusammengestellt. Das kann Ihnen eine Menge Ärger ersparen.

15 Jul


1) Trauen Sie dem als Absender angegebenen Namen nicht

Der Absendername zeigt nicht immer die (echte) E-Mail-Adresse an. Klicken oder doppelklicken Sie auf den Absendernamen, um die E-Mail-Adresse anzuzeigen. Aber Vorsicht: Kriminelle lassen oft eine E-Mail-Adresse wie eine legitime aussehen, indem sie zum Beispiel nur einen Buchstaben ändern oder löschen.

Wie stellen Sie die Legitimität einer E-Mail-Adresse fest? Der Teil nach dem @-Zeichen muss mit dem Domainnamen enden. Jeder Text vor dem Domainnamen muss durch einen Punkt getrennt werden.

Korrekt: kundenservice@mail.sparkasse.de
Falsch: newsletter@emaillogin-sparkasse.de

Eine korrekte E-Mail Adresse ist keine Garantie. Die E-Mail-Adresse wurde möglicherweise gefälscht oder das E-Mail-Konto wurde gehackt. Letzteres war der Fall, als holländische Online-Betreiber Bol.com eine E-Mail von einem Lieferanten erhielt, in der sie aufgefordert wurden, eine Kontonummer zu ändern. In diesen Fällen ist die E-Mail-Adresse allein kein Merkmal für Phishing.

2) Prüfen Sie alle Links, aber klicken Sie nicht darauf

Klicken Sie nur auf einen Link, wenn Sie sich zu 100 % sicher sind, dass dem Absender und der Nachricht vertraut werden kann. Fahren Sie mit der Maus über den Link in der E-Mail und überprüfen Sie, ob der Domainname in der URL legitim ist. Hier muss der Teil vor dem ersten einfachen Schrägstrich mit dem Domänennamen enden. Jeder Text vor dem Domainnamen muss mit einem Punkt getrennt werden. Auf einem Smartphone oder Tablet können Sie den vollständigen Link sehen, indem Sie eine Zeit lang auf den Link drücken, bis ein Fenster mit der Webadresse erscheint.

3) Achten Sie auf die Dringlichkeit

Beim Phishing wird oft mit großen Konsequenzen ("Überweisen Sie schnell Geld, sonst verlieren wir das Geschäft") oder hohen Kosten gedroht, wenn Sie nicht schnell handeln. Beim CEO-Fraud, einer Form des Phishings, bei der der Kriminelle vorgibt, eine hochrangige Person innerhalb des eigenen Unternehmens zu sein, werden die Anfragen oft am Ende des Tages verschickt, um die Dringlichkeit besonders überzeugend darzustellen. Seien Sie also besonders aufmerksam, wenn eine Nachricht eine hohe Dringlichkeit oder einen gewissen Zeitdruck enthält.

4) Achten Sie besonders auf Anhänge, die mitgeschickt werden

Anhänge sind eine Quelle für Malware-Infektionen. Achten Sie besonders auf Anhänge, die mit .exe, .zip, .docm oder .xlsm enden. Anhänge, die Sie niemals öffnen sollten, sind Dateien, die auf .js .lnk .wsf .scr .jar enden. Öffnen Sie Anhänge nur, wenn Sie diese erwarten und über zuverlässige Anhänge verfügen. Seien Sie besonders aufmerksam, wenn Sie keinen Anhang erwarten.

5) Achten Sie auf die Begrüßung

Beim Phishing wird oft eine allgemeine Anrede (Sehr geehrter Kunde) statt einer persönlichen Anrede (Guten Morgen [Ihr Name]) verwendet. Aber auch hier ist Vorsicht geboten. Kriminelle nutzen oft persönliche Daten, die bei einem Hack gestohlen wurden. In diesen Fällen werden sie eine persönliche Anrede verwenden. Diese persönliche Form des Phishings wird auch Spear-Phishing genannt.

6) Werden Sie nach Anmeldedaten gefragt?

Echte Unternehmen fordern Sie niemals auf, Ihre Anmeldedaten per E-Mail, SMS oder Telefon weiterzugeben. Wenn möglich, gehen Sie selbst mit Ihren bekannten Anmeldedaten auf die legitime Website und melden Sie sich an, um die Meldung zu überprüfen.

7) Achten Sie auf Rechtschreib- und Grammatikfehler

Bei einer Phishing-Nachricht wird oft nicht so streng auf Rechtschreibung und Grammatik geachtet. Aber Vorsicht: Heutzutage wird Phishing immer raffinierter. Die Zeiten, in denen alle Phishing-Nachrichten voller Sprachfehler waren, sind vorbei.

8) Sieht es zu gut aus, um wahr zu sein?

Das ist oft der Fall! Mega-Rabatte, kostenlose Produkte oder hohe Renditen werden oft angeboten, um Sie zum Klicken oder zum Hinterlassen von Daten zu verleiten. Der "klassischste" Fall ist der des Nigerianischen Prinzen, der Sie in seinem Testament erwähnt hat und der Sie über Nacht zum Millionär machen soll.

9) Im Zweifelsfall immer prüfen

Zweifeln Sie an der Authentizität einer Nachricht? Nehmen Sie dann telefonisch Kontakt mit dem Absender auf. Verwenden Sie nicht einfach die Nummer in der Nachricht, sondern schlagen Sie sie selbst nach. Sie können sich auch an einen Kollegen oder den Service Desk in Ihrer Organisation wenden.

Die Verantwortung von Organisationen

Es liegt in der Verantwortung von Organisationen, das "Phishing-Bewusstsein" ihrer Mitarbeiter stets hoch zu halten. Schulen Sie die Mitarbeiter regelmäßig im Erkennen von Phishing und führen Sie auch Phishing-Simulationen durch, um festzustellen, wie anfällig das Unternehmen ist. Neben der Ermittlung des aktuellen Risikos stellen Simulationen – wenn sie richtig durchgeführt werden – ein perfektes Mittel dar, um Bewusstsein zu schaffen und die Mitarbeiter resistent gegen zukünftige Phishing-Angriffe zu machen.

Es ist wichtig, dass die Mitarbeiter zu jeder Zeit so aufmerksam wie möglich sind. Dies kann nur durch einen prozessorientierten Ansatz erreicht werden. Bei Awaretrain helfen wir Ihnen gerne dabei. Werfen Sie einen Blick auf unsere Produkte und Dienstleistungen oder kontaktieren Sie uns für weitere Informationen.

Testen Sie unsere Phishing-Simulationsplattform kostenlos!

Möchten Sie mehr über die kostenlose Nutzung unserer Phishing-Plattform erfahren oder Ihren kostenlosen Zugang anfordern? Verwenden Sie dazu die unten stehende Schaltfläche.

Phishing beginnen!

Laden Sie unser kostenloses Poster herunter

Klicken Sie hier oder auf die Vorschau unten, um das Poster im A2-Format herunterzuladen.

+49-6035-970 151 info@awaretrain.de

Entdecken Sie DIE Online-Plattform für Sicherheitsbewusstsein

Kostenlose Demo

Lesen Sie mehr

Sehen Sie sich unsere anderen Blogs und News-Artikel an.

14 Aug
Die Bedeutung eines umfassenden Ansatzes zur Steigerung der Security Awareness in Organisationen Lesen Sie mehr
Frau arbeitet am Laptop 07 Feb
Phishing-Simulation als Instrument zur Verhaltensänderung. Die Do's & Don'ts. Lesen Sie mehr
Awaretrain erhält ISO 27001-Zertifizierung 08 Dez
Awaretrain erhält ISO 27001-Zertifizierung Lesen Sie mehr
Nachrichtenarchiv