So schützt ihr euch vor Phishing

Online-Risiken gibt es das ganze Jahr. Doch besonders in Zeiten, in denen online zahlreiche Schnäppchen locken, solltet ihr besonders wachsam sein – so wie zum anstehenden Black Friday. Denn dann kann das scheinbar beste Angebot schnell blenden und die Tür für Kriminelle online ungewollt geöffnet werden, zum Beispiel für eine Phishing-Attacke.

Unter Phishing versteht man den Versuch, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten zu gelangen und damit Identitätsdiebstahl zu begehen. Dazu zählen übrigens nicht nur Kontaktdaten, sondern auch Bankdaten oder andere finanzielle Informationen, alternative Güter wie Flugmeilen und Bezahloptionen wie Kryptowährungen oder auch persönliche Daten wie Fotos oder Videos.

Phishing ist bereits seit langer Zeit eines der großen Onlinerisiken, gegen das wir auch Schutzmechanismen in unsere Produkte integriert haben. Diese verhindern beispielsweise jeden Tag 100 Millionen Phishing Versuche bei Gmail. Auch unsere Safe Browsing-Technologie zählt dazu, die täglich mehr als vier Milliarden Geräte vor Phishing-Attacken und Malware schützt.

Ein weiterer großer Schutz vor Phishing-Attacken: Wissen und Wachsamkeit. Daher haben wir mit unseren Expertinnen und Experten aus dem Google Safety Engineering Center in München gesprochen und zeigen euch heute, was hinter Phishing steckt und wie ihr euch schützen könnt!

Die vier typischen Phasen des Phishing

Um einen Phishing-Angriff zu erkennen, ist der erste Schritt ihn zu verstehen. Während Phishing zahlreiche Gewänder hat, so ist die Vorgehensweise häufig sehr ähnlich und teilt sich in vier Phasen auf:

1. Ein Angreifer versucht euch zum Beispiel mit einer E-Mail unter einem Vorwand auf eine gefälschte Seite zu locken. Der Köder kann ein besonderes Schnäppchen sein oder eine angebliche Spendenaktion einer scheinbar gemeinnützigen Organisation.
2. Wenn ihr darauf eingeht und die Phishing-Webseite, also eine gefälschte aber täuschend echt aussehende Webseite, besucht, werdet ihr aufgefordert Anmeldedaten oder andere persönliche Daten einzugeben.
3. Sobald ihr das tut, greift im Hintergrund der Angreifer diese Daten ab.
4. Letztlich nutzt der Angreifer die Daten, um sich Zugang zu Onlinekonten zu schaffen oder – mit den erbeuteten Bankdaten etwa – online einzukaufen.

Phishing-Mails erkennen und vermeiden

Sind die Daten erstmal erbeutet, ist der Schaden schnell angerichtet. Daher ist es umso wichtiger, Phishing-Versuche direkt zu erkennen. Doch das ist bei vielen Phishing-Mails gar nicht so einfach. Anhand von Auffälligkeiten bei den folgenden Elementen könnt ihr eine schadhafte E-Mail jedoch identifizieren:

1. Absender-Adresse: Selbst wenn der Absender vertraut erscheint, lest lieber noch ein zweites Mal über die Absender-Adresse. Schon ein kleiner Buchstabendreher in der Absenderadresse entlarvt eine unseriöse E-Mail.
2. Grammatik- und Orthografie: Eine E-Mail einer Organisation oder eines Unternehmens voller grammatikalischer Fehler scheint nicht vertrauenswürdig – und das ist auch gut so. Denn diese Fehler weisen häufig auf eine nicht authentische E-Mail hin.
3. Anrede: Phishing-Mails werden häufig an eine große Anzahl an Menschen gleichzeitig geschickt, darin fehlt dann die persönliche Anrede. Gerade bei Freunden oder Unternehmen und Organisationen, mit denen ihr schon mal in Kontakt gewesen seid, ist eine persönliche Anrede aber oft Standard.
4. Tonalität: Phishing-Angreifer zielen auf die Gutgläubigkeit von Menschen ab und versuchen Emotionen zu wecken, die Nutzer:innen zum Handeln verleiten. Gerne wird beispielsweise eine Notlage vorgegaukelt oder ein anderer Grund, warum ihr dringend handeln müsst.
5. Handlungsaufforderungen: Wenn ihr aufgefordert werdet, personenbezogene Daten in Formulare oder Umfragen einzugeben, überlegt lieber zweimal, ob die E-Mail vertrauenswürdig ist. Im Zweifelsfall ruft das Unternehmen oder die Organisation lieber an, als direkt Daten herauszugeben. Gleiches gilt, wenn ihr auf einen Link klicken sollt. Um sicherzugehen, dass es sich bei einem Link um eine seriöse Website oder App handelt, könnt ihr die URL überprüfen indem ihr den Mauszeiger auf den Link bewegt oder auf Mobilgeräten den Text lange gedrückt haltet. Außerdem sollten URLs immer mit „https“ beginnen.
6. E-Mail Anhänge: Bei ausgeklügelten Phishingangriffen können auch manipulierte Dokumente und PDF-Anhänge zum Einsatz kommen. Daher unser Tipp: Öffnet Anhänge in Chrome oder Google Drive. Die Datei wird dann automatisch gescannt und ihr erhaltet eine Warnung, falls wir einen Virus entdecken.

Wir möchten, dass ihr online sicher unterwegs seid und hoffen, diese Tipps helfen euch dabei. Wenn ihr sichergehen wollt, ob ihr alle Punkte im Hinterkopf habt, könnt ihr euer neues Wissen direkt in unserem Phishing-Quiz auf die Probe stellen. Zusätzliche Tipps in Sachen Online-Sicherheit findet ihr außerdem in unserem Sicherheitscenter und für individuelle Empfehlungen, wie ihr online noch sicherer unterwegs sein könnt, macht einfach den Sicherheitscheck in eurem Google-Konto.