So erkennen Sie Phishing-Mails

Kontodaten, Kreditkartenangaben und der Zugang zum Firmennetz: Mit Phishing-Mails gelangen solche vertrauliche Informationen in die Hände von Cyberkriminellen. Mit diesen Tipps erkennen Sie Phishing-Mails und schützen sich und Ihr KMU.

Element schliessen

Geben Sie Cyberkriminellen keine Chance!

Das kurze E-Learning gibt drei grundlegende Verhaltenstipps für Mitarbeitende, etwa, wie sie sich vor Phishing schützen und sichere Passwörter erstellen. Und damit die Sicherheit im Unternehmen verbessern helfen.

Zum E-Learning

70 bis 90 Prozent aller Cyberangriffe starten mit Phishing-Mails. Sie öffnen den Angreifer die Tür ins Firmennetz oder zu einem geschäftlichen Online-Konto. Ist die Tür einmal offen, treiben die Cyberkriminellen ihr Unwesen. Sie versuchen, Geld zu ergaunern oder verschlüsseln mit Ransomware sämtliche Firmendaten, um sie gegen Lösegeld (vielleicht) wieder freizugeben.

Das Problem dabei: Phishing-Mails sind unglaublich vielseitig und dadurch mit technischen Schutzmassnahmen nur schwer zu erkennen und zu blockieren. Es braucht Sie als Mensch, um dank Ihres Menschenverstandes solche Angriffe zu erkennen – und zu stoppen.

Was sind Phishing-Mails?

Phishing – abgeleitet vom englischen Wort «fishing» für «angeln» ist eine Betrugsmasche von Cyberkriminellen. Dabei täuschen sie in einer Nachricht per Mail, SMS oder Telefon einen falschen Absender vor, meist ein bekanntes Unternehmen, um Empfänger*innen auf betrügerische Webseiten zu locken oder zum Öffnen eines angehängten Dokuments mit Malware zu bewegen.

Um die Wirkung des Mails zu verstärken, bedienen sich die Cyberkriminellen psychologischen Tricks, die als Social Engineering bekannt sind: Sie gaukeln Autorität vor (bekanntes Unternehmen als Absender), setzen Empfänger*innen mit kurzen Fristen oder einem angeblich knappen Angebot unter Zeitdruck oder machen Angst («handle jetzt, sonst wird das Konto gelöscht»).

Wie raffiniert die Phishing-Mails gemacht sind, ist unterschiedlich. Am einfachen Ende der Skala stehen Mails auf Englisch mit vielen Schreibfehlern, die angeblich von einem Schweizer Unternehmen stammen. Schwieriger zu erkennen sind dagegen Mails, die als Antwort auf eine bestehende Kommunikation daherkommen. Die folgenden Tipps helfen Ihnen, Phishing-Mails zu entlarven und die Absichten der Cyberkriminellen zu durchkreuzen.

So erkennen Sie Phishing-Mails

Das sind die wichtigsten generellen Erkennungsmerkmale für betrügerische Post und die Tipps für den sicheren Umgang damit:

• Kryptische Mail-Adresse: Buchstabensalat und eine Domain (der Teil nach dem @-Zeichen), die nicht zum vorgegaukelten Absender passt, sind ein eindeutiges Zeichen. Doch Vorsicht: Es ist einfach, Absenderadressen zu fälschen. So können auch Phishing-Mails mit einem vordergründig legitimen Absender daherkommen oder gar von der echten Adresse eines erbeuteten Mailkontos.
• Aufforderung, sofort zu handeln: Wenn Sie sofort beispielsweise die Kreditkarte aktivieren oder eine Sendebestätigung überprüfen sollen, ist das vielleicht nur ein psychologischer Trick eines Cyberkriminellen: Denn wir Menschen neigen unter Stress dazu, mehr Fehler zu machen. Beispielsweise, auf einen Phishing-Link zu klicken.
• Sie sind gar nicht Kunde: Wenn Sie Post mit einer Handlungsaufforderung von einem Finanzinstitut erhalten, bei dem Sie gar nicht Kunde sind, handelt es sich um ein Phishing-Mail.
• Link-Text und Link stimmen nicht überein: Der Text im Mail zeigt eine vertrauenswürdige Adresse an wie «www.swisscom.ch», der Link führt jedoch auf eine ganz andere Seite. Das ist der klassische Trick von Cyberkriminellen. Viele Phishing-Seiten verbergen sich hinter einer legitimen Adresse auf einem gehackten Server. Oder die Betrüger verwenden einen URL-Kürzungsdienst wie «t.ly», der zum eigentlichen Ziel weiterleitet. Eine Adresse wie «https://t.ly/irgendwas» kann Zeichen eines Betrugsversuchs sein, muss aber nicht.
  Das Ziel eines Links in einem Mail erkennen Sie, wenn Sie mit der Maus über den Link fahren – ohne zu klicken!

In unserem kurzen, kostenlosen E-Learning für KMU erfahren Sie, wie Sie Phishing-Mails erkennen.

• Ein Schloss im Browser heisst nicht automatisch vertrauenswürdig: Bei sicheren Verbindungen (https:) zeigen Browser ein Schloss links neben der Adresse. Doch mittlerweile setzen auch Cyberkriminelle auf sichere Adressen, um nicht aufzufallen. Unsichere Links (http:) in Phishing-Mails gehören der Vergangenheit an.
• Schreibfehler und einfache Sprache: Schlechtes Deutsch oder Englisch – oder beides gemischt – und eine einfache Sprache sind Merkmale für ein Phishing-Mail. Ziehen Sie aber nicht den Umkehrschluss, dass ein fehlerfrei formuliertes Mail seriös ist.
• Unpersönliche Anrede: Ansprachen wie «Hello», «andiheer» (der vordere Teil meiner Mailadresse) oder gar keine Anrede deuten auf ein Phishing-Mail hin. Grund ist, dass der Angreifer Ihren richtigen Namen nicht kennt. Das gilt allerdings nicht für gezielte Angriffe.
• Verdächtige Anhänge: Rechnung oder Lieferbestätigung als Word-Dokument oder eine angehängte Blindbewerbung als PDF: In solchen Fällen ist Vorsicht geboten. Vor allem, wenn der Dateiname sehr generisch gehalten ist («bewerbung.pdf»). Zwar hat Microsoft die Ausführung potenziell gefährlicher Makros in heruntergeladenen Office-Dokumenten unterbunden. Doch Angreifer weichen einfach auf andere Dateiformate aus. Das PDF des unten abgebildeten Phishing-Mails enthält eine Mailadresse (Sie ahnen es, ein Konto der Cyberkriminellen). Nehmen Sie darüber Kontakt auf, werden die Angreifer versuchen, an Ihre persönlichen Daten oder an Ihr Geld zu kommen.
  Im Zweifelsfall fragen Sie beim (angeblichen) Absender nach. Aber nicht, indem Sie aufs Mail antworten. Sondern, indem Sie die Website des Unternehmens besuchen und dort die Kontaktinformationen suchen.

• Angabe persönlicher Daten: Will der Absender, dass Sie aufs Mail antworten mit persönlichen Daten? Das ist schon fast eine Garantie für betrügerische Post, etwa bei vorgegaukelten Lottogewinnen und Gewinnspielen. Ihre Bank, der Provider oder sonst ein Online-Dienstleister fragen Sie nie nach Ihrem Passwort. Solche Anfragen sind ein weiteres Indiz. Schwieriger ist es, wenn Sie auf eine Login-Seite geführt werden.
  Im Zweifelsfall klicken Sie nicht auf den Link, sondern öffnen den Browser und tippen die Adresse des (angeblichen) Absenders dort ein.
• Gefälschte Anmeldefenster von Online-Diensten: Eine raffinierte Masche besteht darin, das Anmeldefenster von Cloud-Konten wie Microsoft 365 oder Google nachzuahmen. Die Masche dahinter: Sie werden aufgefordert, sich anzumelden – angeblich, um ein geschütztes, vertrauliches Dokument zu öffnen. Die täuschend echt aussehende Anmeldemaske mit vorgeblich korrekter URL liefert ihre Kontodaten schnurstracks an die Cyberkriminellen.
  Versuchen Sie, das Anmeldefenster mit der Maus über den Rand des dahinter liegenden Browserfensters zu ziehen. Funktioniert das nicht, handelt es sich wahrscheinlich nicht um ein echtes Browserfenster, sondern um einen Angriffsversuch.

Was tun mit Phishing-Mails?

Wenn Sie ein Mail als betrügerisch entlarvt haben oder das zumindest vermuten, können Sie es an diese beiden Stellen weiterleiten. Damit helfen Sie mit, dass weniger Phishing-Mails in den Posteingängen landen:

• Der Provider Ihres Mail-Kontos: Die entsprechende Adresse lautet oft «abuse@» oder «spam@» und die Domain des Anbieters, zum Beispiel spamreport@bluewin.ch.
• Meldeadresse des Nationalen Zentrums für Cybersicherheit (NCSC) des Bundes.

Falls der geschäftliche Computer oder das Geschäfts-Smartphone betroffen ist, melden Sie den Vorfall sofort bei der zuständigen Person.

Wenn möglich, leiten Sie das Original-Mail als Anhang weiter. So bleiben sämtliche Informationen über den ursprünglichen Absender erhalten. Danach löschen Sie das Mail, um sicher nicht auf den Köder hereinzufallen.

Überarbeitete Version eines bestehenden Artikels.