Was ist Phishing?

4.03.2021 - Datenschutz & Security

Der Begriff «Phishing» stammt aus dem Englischen und setzt sich aus «Password» und «fishing» zusammen. Beim Phishing versuchen Betrüger anhand gefälschter E-Mails an sensible Daten (z.B. Passwörter oder Bank- und Kreditkartendaten) zu gelangen, indem sie den Empfänger auffordern, diese Daten preiszugeben. Phishing-Mails können teilweise täuschend echt aussehen und sogar von einem auf den ersten Blick bekannten Absender stammen. Deshalb ist beim Empfang von E-Mails Vorsicht geboten.

Wie funktioniert Phishing?Im Namen eines Unternehmens, einer Abteilung oder Person versenden Betrüger E-Mails, in welchen die Empfänger aufgefordert werden, ihre Daten zu aktualisieren oder eine Überweisung zu tätigen. Typischerweise geht es darum, ein Passwort zu erneuern, Kreditkartennummern zu bestätigen oder Kontodaten aus Sicherheitsgründen erneut einzugeben. In der Regel werden Empfänger in der E-Mail aufgefordert, einem Link zu folgen und auf der verlinkten Webseite die betreffenden Daten in ein Webformular einzugeben. Dabei sehen die gefälschten E-Mails und Webseiten oftmals täuschend echt aus.

Die eingegebenen Daten werden dann aber nicht an das echte Unternehmen, sondern direkt an die Betrüger übermittelt. In vielen Fällen wird der Empfänger in Phishing-Mails unter Zeitdruck aufgefordert etwas zu tun. Dies kann eine Person dazu bewegen, unbedachte Aktionen auszuführen, die sie ohne den Zeitdruck vielleicht nicht tun würde.Ein erfolgreicher Phishing-Betrug kann folgende Konsequenzen für den Empfänger haben:

Finanzieller Verlust
Identitätsdiebstahl
Verletzung des Berufsgeheimnisses
Installation von Schadsoftware auf dem System
Verlust von geheimen Daten (wie z.B. Forschungsunterlagen)

So können Sie Phishing-Mails erkennen:

Absender prüfen

Durch einen Doppelklick auf den Absender werden in Outlook detailliertere Informationen zum Absender angezeigt, z.B. die echte Absenderadresse. Stimmt die Absenderadresse nicht mit dem angezeigten Absender überein, ist die Wahrscheinlichkeit gross, dass es sich um Phishing handelt. Achtung: Absenderadressen können gefälscht werden! Eine übereinstimmende Absenderadresse ist also kein Beweis, dass es sich nicht um ein Phishing-Mail handelt. Wenn Sie unsicher sind, fragen Sie am besten telefonisch beim Absender nach, ob die E-Mail auch tatsächlich von ihm stammt.

Inhalt der E-Mail

Seien Sie immer skeptisch, wenn Sie per E-Mail dazu aufgefordert werden, sensible Daten (z.B. Passwörter) weiterzugeben oder eine Überweisung zu tätigen.

Rechtschreibung

Weniger gut gemachte Phishing-Mails enthalten oft viele Rechtschreibfehler.

Hyperlinks in E-Mails

Kontrollieren Sie Links in E-Mails indem Sie mit dem Mauszeiger über den Link fahren (nicht klicken). Es erscheint ein kleines Fenster, in dem der tatsächliche Link angezeigt wird. Stimmt er nicht überein mit dem Link, der in der E-Mail abgebildet ist, kann dies ein Hinweis sein, dass es sich um Phishing handelt.

Suche

Bekannte Phishing-Mails werden oft auf verschiedenen Internetseiten publiziert. Wenn Sie nach dem Inhalt der erhaltenen E-Mail suchen und diesen auf einer solchen Seite entdecken, handelt es sich mit grösster Wahrscheinlichkeit um eine gefälschte E-Mail.

Anrede anschauen

Ist die Anrede allgemein gehalten (z.B. «Sehr geehrter Kunde») kann dies ein Hinweis auf Phishing sein. Achtung: Eine persönliche Anrede schliesst nicht aus, dass es sich um eine Phishing-Mail handelt.

Was können Sie tun, wenn Sie den Verdacht haben, dass Sie eine Phishing-Mail erhalten haben?

Klicken Sie nicht auf Anhänge oder Links, die in der verdächtigen E-Mail enthalten sind
Wenn Sie sich nicht sicher sind, fragen Sie telefonisch beim vermeintlichen Absender nach, ob er Ihnen die E-Mail zugestellt hat
Handelt es sich offensichtlich um eine Phishing-Mail, löschen Sie die E-Mail und blockieren Sie den Absender, indem Sie die Adresse auf die Spamliste setzen
Informieren Sie den vermeintlichen Absender, dass in seinem Namen Phishing-Mails kursieren
Falls Sie in die Falle getappt sind und auf einer Phishing-Website vertrauliche Daten eingegeben haben, sperren Sie die betroffenen Benutzer- und/oder Bankkonten
Benachrichtigen Sie in jedem Fall umgehend die Abteilung/Person, die für die IT-Sicherheit in Ihrem Unternehmen verantwortlich ist

Weiterführende Informationen:

< Letzter Artikel

Nächster Artikel >

23.05.2024 - Datenschutz & Security Raphaela Saxer

Sichere Praxis-IT: Schon einfache Ansätze helfen für den Schutz Ihrer Daten

Dieser Beitrag ist am 08.05.2024 in der Schweizerischen Ärztezeitung erschienen. Er wurde für den HIN Blog leicht verändert.Nicht für jede Massnahme zur IT-Sicherheit ist

27.03.2024 - Datenschutz & Security Raphaela Saxer

Woher Spam-Mails kommen und wie Sie diese lästigen E-Mails bekämpfen

Ursprünglich hatte das Wort Spam nichts mit E-Mail zu tun. Heute ist der Begriff bestens bekannt als unaufgefordert versendete E-Mails, die meist zu Werbezwecken verschickt w

5.03.2024 - Datenschutz & Security, Hintergrund Raphaela Saxer

Gesundheitswesen und Cybersicherheit – im Interview mit Pascal Lamia, Leiter Operative Cybersicherheit beim BACS

In den letzten Jahren hat die Digitalisierung des Gesundheitswesens zwar viele positive Veränderungen wie die Vereinfachung administrativer Prozesse ermöglicht, gleichzeitig jedo