Allgemein

Phishing und Spams | Informationen und Tipps

Hintergrundinformationen über Phishing und Spams, deren Gefahren sowie Tipps zum Erkennen von und Umgang mit diesen unaufgefordert zugesandten Mitteilungen.

von Ellena -

Was ist Phishing?

Die Bezeichnung Phishing ist tatsächlich von dem englischen Wort fishing für Fischen oder Angeln abgeleitet. Das Ersetzen des f im Ursprungswort durch ph ist eine in Computer-Kreisen beliebte Angewohnheit.

Nur dient das Fischen in diesem Fall nicht dem Fangen von im Wasser lebenden Tieren. Sondern beim Phishing geht es um sensible Daten. Jedoch ist das Ziel in beiden Fällen, mit dem Fang Geld zu verdienen. Wobei der Missbrauch und der Verkauf von Daten heute lukrativer ist, als der Handel mit Fischen.

Phishing und Spams - Informationen
Grafik: eb

Täter und Opfer

Die Täter oder Urheber des Phishings sind Betrüger, die vorgeben im Auftrag oder Namen seriöser Unternehmen zu handeln. Hierzu kopieren sie unter anderem die Logos der Firmen, um ihre Phishing E-Mails, Kurznachrichten oder gefälschten Webseiten möglichst authentisch erscheinen zu lassen.

Zum Opfer kann jeder werden
… der E-Mail-Dienste oder Messenger nutzt, sich im Internet bewegt und/oder telefonisch erreichbar ist.

Sensible Daten

Beim Phishing gilt das Interesse der Kriminellen meistens folgenden Informationen:

  • Zugangsdaten zu E-Mails-Diensten, Messenger-Services, Cloud-Computing
  • Namen und Passwörter für Online-Banking und Online-Brokerage
  • Nutzernamen, Passwörter, Adressen, Konto- und Kreditkartendaten im Online-Handel
  • Allen Daten aus elektronischen Steuerklärungen
  • Firmen-Informationen für den Zugriff auf Firmeninterna

Sind Betrüger einmal in den Besitz persönlicher Daten gelangt,
… können sie beispielsweise auf Bankkonten der Opfer zugreifen oder Konten sperren. Darüber hinaus verkaufen sie die Informationen weiter und ermöglichen damit anderen einen weiteren Missbrauch. Über eingeschleuste Schadsoftware haben sie zudem die Möglichkeit, dauerhaft noch mehr Daten abzugreifen oder ganze Systeme lahm zu legen.

Phishing – Methoden

Am häufigsten erfolgt Phishing über der Versand von E-Mails. Eingebettet in eine mehr oder weniger phantasievolle Erläuterung des besonderen Anlasses für die Benachrichtigung findest du einen Link oder Button. Diesen sollst du zur Verifizierung oder Überprüfung deiner persönlichen Daten anklicken. Eine andere Variante ist die Aufforderung zum Herunterladen einer angehängten Datei.

Phishing Links bei Kurznachrichten-Diensten sind häufig in Gewinnspiele oder Videos eingebettet.

Wann ist Phishing erfolgreich?
Sobald du auf den Link, Button, das Video klickst oder den Anhang öffnest, hat der Betrüger sein Ziel erreicht. Selbst wenn du anschließend die Eingabe deiner persönlichen Daten verweigerst, hast du unter Umständen bereits mit dem Öffnen des Anhangs oder der verlinkten Webseite unbemerkt Schadsoftware installiert. Letzteres passiert besonders häufig auf Android-Smartphones sowie Computern mit Windows-Betriebssystem.

Erkennen von Phishing-Versuchen

Unabhängig davon, ob es sich um Benachrichtigungen per E-Mail, Messenger oder um gefälschte Webseiten handelt, erkennst du Phishing meistens an folgenden Auffälligkeiten:

Absender von Phishing E-Mails

Die Absendeadresse unterscheidet sich beim Phishing manchmal nur geringfügig von der tatsächlichen Unternehmens-E-Mail-Adresse. Einerseits solltest du auf den Provider-Namen hinter dem at-Zeichen achten. Denn dieser verweist bei Phishing E-Mails oft nicht auf den Server des echten Unternehmens, sondern auf einen fremden Provider. Manchmal weicht er aber auch nur geringfügig von der echten Domain des Unternehmens ab. Andererseits liefert insbesondere bei besonders schlecht gemachten Phishing-E-Mails auch der Name vor dem at-Zeichen schon einen Hinweis. Vor allem wenn er sich aus Vor- oder Phantasienamen und einer willkürlichen Ziffernkombination zusammensetzt, was kein seriöses Unternehmen für seine Mitarbeiter benutzen würde.

Allerdings zeigen die meisten Mail-Clients nur eine Kurzform oder den ersten Teil der Adresse an. Um den kompletten Absender zu sehen, klickst du entweder auf diese Kurzform oder auf den Pfeil rechts daneben. Das abgebildete Beispiel ist zwar eine Spam-E-Mail, dasselbe Prinzip gilt jedoch auch für Phishing-E-Mails!

Phishing und Spams - Beispiel
Anzeigen der tatsächlichen Absende-E-Mail-Adresse (Screenshot: eb)

Inhalt der Phishing E-Mails

  • Sofern eine Anrede vorhanden ist, ist diese meistens unpersönlich. Verwendung der Du-Form auch bei Unternehmen, die dich normalerweise siezen oder ein Wechsel zwischen Du und Sie innerhalb einer E-Mail.
  • Die Erläuterung ist bei genauem Lesen nicht wirklich plausibel und entspricht nicht dem Stil des echten Unternehmens.
  • Sie zielt darauf ab, dich zu verunsichern und
  • ist meistens mit einer Drohung verbunden: Wenn Sie sich nicht bis zum … melden, müssen Sie eine Gebühr bezahlen, um eine Sperrung oder Löschung Ihres Kontos zu vermeiden … oder Ähnliches.
  • Insbesondere Kurznachrichten versprechen, dass dir nach dem Klick ein Gewinn sicher ist.
  • Unterschrift, Funktion des Schreibers und Firmenangaben fehlen, sind unvollständig, nur teilweise korrekt oder frei erfunden.

Vorsicht auch bei der sichtbaren Bezeichnung von Links und URLs. Was du siehst muss nicht automatisch dem entsprechen, was dahinter verborgen ist. Denn der Urheber kann Verlinkungen einen beliebigen Klarnamen geben, der nichts mit dem tatsächlichen Ziel zu tun hat. Anschließend siehst du als Leser die tatsächliche URL erst, wenn sich der Link im Browser öffnet.

Beispiel:
Fiktives Beispiel: In der E-Mail erscheint der Link https:// help .paypal .com. Nachdem du auf den Link geklickt hast, landest du jedoch auf der Seite http:// give -me -your -data .com. Und dann bist du schon in die Falle getappt.

Erscheinungsbild von Phishing E-Mails

  • Alarmieren der Leser durch Wörter wie gesperrt, begrenzt, eingeschränkt
  • Das Schriftbild ist manchmal ungleichmäßig und von schlechter Qualität.
  • Innerhalb von Wörtern erscheinen einzelne Buchstaben in einer anderen, oft kyrillischen Schriftart.
  • Manche Buchstaben, vor allem Umlaute, sind durch andere Zeichen ersetzt oder es fehlen die Pünktchen.
  • Satzkonstruktionen und Kommasetzung entsprechen nicht dem deutschen Sprachgebrauch, was eventuell auf eine unprofessionelle Übersetzung zurückzuführen ist.
  • Überdurchschnittlich viele Rechtschreibfehler, die sich nicht mit fehlerhafter Autokorrektur oder Flüchtigkeit erklären lassen.

Seit der Entwicklung von ChatGPT oder ähnlichen AI / KI Anwendungen und deren stetiger Optimierung werden jedoch die Texte in Phishing-E-Mails zunehmend korrekter und es wird schwieriger, diese anhand der, zumindest die Rechtschreibung und Grammatik betreffenden, oben genannten Fehler zu entlarven.

Webseiten

  • Die URL in der Adresszeile enthält Zusätze, die bei der echten Webseite nicht vorhanden sind.
  • Sie beginnt zwar mit https://, es gibt jedoch kein, nur ein gefälschtes oder ein ungültiges SSL-Zertifikat.
  • Die Webseite zeigt keinen Inhalt außer einem Eingabefeld für deine Daten oder für eine TAN.
  • Das Design entspricht im Gesamtbild oder auch nur einzelnen Details wie Header, Logo, Farben nicht der Gestaltung der Originalseite.
Phishing und Spams - Trenner

Was solltest du tun?

Misstrauisch werden, wenn du eine Benachrichtigung …

  • von einem Unternehmen erhältst, dass du nicht kennst,
  • Aussehen und Formulierung der E-Mail nicht dem entspricht, was du von E-Mails des genannten Unternehmens gewohnt bist,
  • der Inhalt sich nicht logisch nachvollziehen lässt oder kein Zusammenhang mit deinen aktuellen Interaktionen mit diesem Unternehmen besteht.

Falls du unsicher bist, ob es sich um Phishing handelt, sieh dir immer den Absender, die Adresse und nicht nur den offen gezeigten Namen, genau an.

  • Vergleiche ihn im Zweifelsfall mit dem früherer E-Mails des echten Unternehmens.
  • Rufe im Browser direkt die echte Website des genannten Unternehmens auf.
  • Schaue nach, ob es dort irgendwelche Hinweise auf das in der E-Mail geschilderte Problem gibt.
  • Vergleiche die Angaben im Impressum des echten Unternehmens mit den Angaben in der E-Mail. Das ist jedoch nicht immer eindeutig, weil manche Urheber der Phishing-Mails inzwischen recht gut kopieren oder abschreiben können.

Öffne in keinem Fall Anhänge
… von fragwürdigen E-Mails oder solchen, deren Absender du nicht kennst oder von dem du keine Anhänge erwartest. Lade diese nicht herunter. Insbesondere in Word- und Excel-Dateien kann Schadsoftware enthalten sein. Außerdem solltest du natürlich auch nicht auf Links, Buttons, Abbildungen oder Videos in Nachrichten unbekannter, nicht vertrauenswürdiger Absender klicken.

Phishing vorbeugen

Mache es den Urhebern von Phishing E-Mails nicht zu einfach. Denn oft spielt den Betrügern in die Hände, dass

  • aufgrund der Vielzahl von täglichen E-Mails nicht jede einzelne aufmerksam gelesen wird,
  • das Klicken auf Links und Buttons zur Gewohnheit geworden ist,
  • das Versprechen eines Gewinns einen zusätzlichen Anreiz schafft
  • oder du dich durch die massive Warnung vor Nachteilen für dich unter Druck gesetzt fühlst.

Einerseits hast du die Möglichkeit, solche E-Mails als Spam zu markieren oder auf die Blacklist zu setzen. Bei Kurznachrichten kannst du den Absender blockieren. Leider zeigen diese beiden Maßnahmen nur eingeschränkt Wirkung, da sich die Absendeadressen bei E-Mails oder Telefonnummern bei Kurznachrichten ständig ändern. Andererseits bringen einige gute Sicherheits-Programme für den PC auch einen Phishing-Schutz mit. Dieser ist aus den bereits genannten Gründen jedoch ebenfalls nicht 100 prozentig zuverlässig.

Mache dich mit den Spielregeln des Internets vertraut
Trotz regelmäßiger Informationen über Datenschutz und Sicherheit bewegen sich viele Menschen immer noch relativ unbedarft im Netz. Infolgedessen können die Betrüger dieses Halbwissen schamlos ausnützen, indem sie die Empfänger verunsichern und mit Konsequenzen für die angebliche oder in manchen Fällen sogar tatsächliche Nachlässigkeit drohen.

Grundsätzlich gilt …

  • Hinterfrage den Inhalt der E-Mails, lass sich nicht verunsichern und gerate nicht in Panik. Kein Problem kann so gravierend sein, dass du ohne Überprüfung des Sachverhalts und der Plausibilität sofort in Aktion treten musst.
  • Seriöse Unternehmen, egal ob Online-Shops, Banken oder andere versenden keine Verifizierungs-Nachrichten ohne vorangegangene Aktionen deinerseits. Hast du beispielsweise auf der Website eines Unternehmens dein Passwort geändert, so erhältst du eine Verifizierungs-E-Mail. Diese erreicht dich aber in direktem zeitlichen Zusammenhang zu deiner Aktion. Der Link führt dich sofort zurück auf die Seite, auf der du die Änderung vorgenommen hast und verlangt dort keine erneute Eingabe deiner Daten.
  • Sollten beispielsweise echte Probleme bei diesen Unternehmen auftreten, so wirst du darüber informiert – manchmal zwar auch mit Link, aber immer ohne Drohung. Anschließend besuchst du direkt die Website des Unternehmens. Dort erhältst du gegebenenfalls dieselben Hinweise, was zu tun ist.
  • Seriöse Unternehmen verlangen niemals die Eingabe von persönlichen Daten oder kompletten Bankdaten via E-Mail oder Messenger!

Und zu guter Letzt, informiere dich zum Beispiel auf meiner Webseite über die aktuellen Phishing- und Erpresser-E-Mails sowie gefälschte Textnachrichten.

Weiterlesen – Spams

Teil 1 | Warnungen vor Phishing

Teil 2 | Spezielle Phishing Versuche

Seite 2 | Informationen zu Spams

Seiten: 1 2

NEUESTEr / Aktualisierter BEITRag

WP-Plugins - 12 empfehlenswerte Erweiterungen

WP Plug-ins | 13 empfehlenswerte Erweiterungen

BEITRagskategorien und Lexikon

Webdesign Reviews How To Allgemein Digitales von A bis Z
Fragen oder Anmerkungen? Kontaktiere mich

Blog

DIGITALES VON A BIS Z: Lexikon

Social Media:

Auf Mastodon folgen

Support

KONTAKT

Mo.-Fr. 9:00 - 19:00 Uhr

Mo.-Fr. 9:00 - 20:30 Uhr

Hilfecenter / FAQs

Über eb Webdesign

Cookie-hinweis

Um eine optimale Nutzung zu gewährleisten, setzt meine Website COOKIES, die jedoch nicht an Dritte übermittelt werden. Bei deinem Besuch erfasse und verarbeite ich keine personenbezogenen Daten.

© 2025 eb Webdesign

AGB/Dokumente Impressum Datenschutz Barrierefreiheit