Was tun bei verdächtigen Phishing Mails?

In einer Zeit, in der digitale Kommunikation allgegenwärtig ist, steigt die Gefahr von Email-Phishing-Angriffen. Diese Bedrohung betrifft uns alle, denn die Betrüger werden immer raffinierter. Lassen Sie uns eine packende Geschichte teilen, die uns vor kurzem widerfahren ist, und dabei auch rechtliche Aspekte und wichtige Hinweise gemäß der Datenschutz-Grundverordnung (DSGVO) beleuchten.

Die Phishing-Falle: Eine fast perfekte Illusion

Es begann an einem ganz normalen Arbeitstag. Wir erhielten eine Email von einem der bekanntesten und renommiertesten Zahlungsdienstleister. Zufälligerweise hatten wir in demselben Zeitraum tatsächlich einen Einkauf über diesen Dienst getätigt. Die Email schien perfekt: Das Logo, die Sprache, alles war eine nahezu identische Kopie des Originals. Doch etwas stimmte nicht. Die Nachricht versprach uns ein befristetes Guthaben – etwas, das wir nicht erwartet hatten.

Bei genauerer Betrachtung fiel uns auf, dass die Absenderadresse eine UA-Endung hatte, die auf die Ukraine hinwies. Der Name des Absenders war ukrainischer Herkunft, was nicht zu dem Zahlungsanbieter passte. Ein schnelles Googeln des Namens bestätigte unseren Verdacht: Es handelte sich um eine Person aus der Ukraine, die sich mit Kryptowährungen beschäftigte.

Der Weg zur Aufklärung

Wir kontaktierten sofort den Zahlungsdienstleister, nur um herauszufinden, dass es keine telefonische Kontaktmöglichkeit gab – nur Chat und Email. Angesichts der Dringlichkeit des Themas schien dies unzureichend. Wir mussten die Email als PDF an den Kundendienst senden, der schnell antwortete, dass die Email nicht von ihnen stamme. Der Hinweis, dass der Absender keine offizielle Email-Adresse des Unternehmens nutzte, war wenig hilfreich.

Unsere Experten bemerkten, dass die Email den Vor- und Zunamen eines unserer Mitarbeiter enthielt, was den Fall noch mysteriöser machte. Der Kundendienst erklärte, dass dies anhand der Email schnell herauszufinden sei, was offensichtlich nicht stimmte, da die Email-Adresse aus einem fiktiven Wort bestand.

Trotz dieser Verwirrung versicherte uns der Kundendienst, dass unsere Daten sicher seien und wir uns keine Sorgen machen müssten. Auf die Frage nach dem Datenschutzbeauftragten erhielten wir keine Antwort – der Kundendienst kannte weder den Namen noch die Kontaktdaten. Auch die Nummer der Rechtsabteilung war unbekannt. Wir wurden lediglich ermahnt, die Email nicht zu öffnen und sofort zu löschen.

Diese Reaktion war keine echte Hilfe. 

Diese Erfahrung zeigt, wie täuschend echt Phishing-Emails sein können und wie wichtig es ist, sich darüber zu informieren und zu schützen.

Doch was genau sind Phishing-Emails, und wie können Sie sich davor schützen?

Phishing-Emails sind betrügerische Nachrichten, die von Cyberkriminellen versendet werden, um persönliche Daten wie Passwörter, Kreditkartennummern oder andere vertrauliche Informationen zu stehlen. Diese Emails sind darauf ausgelegt, ihre Empfänger zu täuschen und verleiten sie dazu, sensible Informationen preiszugeben oder auf schädliche Links zu klicken. Phishing-Emails erscheinen oft täuschend echt und imitieren das Erscheinungsbild und die Sprache vertrauenswürdiger Quellen wie Banken, Online-Diensten, Regierungsbehörden oder bekannten Unternehmen. Sie nutzen verschiedene Taktiken, um die Empfänger zu manipulieren und zur Preisgabe ihrer Daten zu bewegen.

Typische Merkmale von Phishing-Emails

  1. Absenderadresse: Oftmals wirkt die Absenderadresse vertraut, enthält jedoch subtile Abweichungen oder ungewöhnliche Domain-Endungen, die darauf hinweisen, dass sie gefälscht ist.

     

  2. Dringlichkeit: Phishing-Emails erzeugen häufig ein Gefühl der Dringlichkeit oder Angst, indem sie behaupten, dass es ein Problem mit Ihrem Konto gibt oder dass Sie sofort handeln müssen, um negative Konsequenzen zu vermeiden.

     

  3. Links und Anhänge: Diese Emails enthalten oft Links zu gefälschten Websites, die wie die offiziellen Seiten der nachgeahmten Institutionen aussehen. Anhänge können Malware oder Trojaner enthalten.

     

  4. Persönliche Ansprache: Einige Phishing-Emails verwenden personalisierte Informationen, um authentisch zu wirken. Diese Informationen können aus früheren Datenlecks stammen.

  5. Sprachliche Auffälligkeiten: Trotz der oft professionellen Aufmachung enthalten viele Phishing-Emails sprachliche oder grammatikalische Fehler, die auf eine nicht professionelle Herkunft hinweisen.

Beispiel eines Phishing-Szenarios

Ein häufiges Phishing-Szenario könnte wie folgt aussehen:

Sie erhalten eine Email, die vorgibt, von Netflix zu stammen. Die Email sieht optisch sehr professionell aus und enthält das Logo und das Design von Netflix. In der Email steht, dass es ein Problem mit Ihrem Konto gibt und dass Sie es verifizieren müssen, indem Sie auf einen Link klicken. Der Link führt zu einer gefälschten Website, die genau wie die Anmeldeseite von Netflix aussieht. Wenn Sie Ihre Anmeldedaten eingeben, werden diese von den Betrügern abgefangen. Zusätzlich könnte die Email einen Anhang enthalten, der vorgibt, eine Rechnung oder Kontodetails zu sein. Wenn Sie den Anhang öffnen, wird Schadsoftware auf Ihrem Computer installiert.

Warum sind Phishing-Emails so gefährlich?

Phishing-Emails sind gefährlich, weil sie:

  • Vertrauliche Informationen stehlen: Indem sie Benutzer dazu bringen, ihre Anmeldedaten, Kreditkarteninformationen oder andere persönliche Daten preiszugeben.

     

  • Schadsoftware verbreiten: Durch Anhänge oder Links, die Malware auf den Geräten der Opfer installieren.

     

  • Finanzielle Verluste verursachen: Durch den unautorisierten Zugriff auf Bankkonten oder Kreditkarten.

     

  • Identitätsdiebstahl ermöglichen: Indem sie genügend persönliche Informationen sammeln, um die Identität der Opfer zu übernehmen und in deren Namen Betrügereien zu begehen.

Was Sie tun sollten, wenn Sie eine Phishing-Email erhalten haben?

Wenn Nutzer eine Phishing-Mail erhalten, gibt es mehrere wichtige Schritte, die sie unternehmen können, um sich zu schützen und den Vorfall zu melden:

  1. Keine Reaktion:

    • Antworten Sie nicht auf die Email.
    • Klicken Sie nicht auf Links und öffnen Sie keine Anhänge.

  2. Email löschen:

    • Löschen Sie die Email sofort, nachdem Sie alle notwendigen Informationen für eine Meldung notiert haben.

  3. Authentizität prüfen:

    • Besuchen Sie die offizielle Website des vermeintlichen Absenders direkt über Ihren Browser und nicht über den Link in der Email.
    • Überprüfen Sie Ihr Konto direkt über die offizielle Website oder App des Dienstleisters.

  4. Phishing-Versuch melden:

    • Informieren Sie den echten Dienstleister über den Vorfall über die offiziellen Kanäle. Viele Unternehmen, wie Netflix, haben spezielle Email-Adressen (z.B. phishing@netflix.com) oder Formulare auf ihrer Website, um solche Vorfälle zu melden.
    • Melden Sie den Phishing-Versuch an Ihre IT-Abteilung (falls es sich um eine berufliche Email-Adresse handelt).

  5. Weiterleitung an Behörden und Meldeportale:

    • Melden Sie den Vorfall an die Internet-Beschwerdestelle in Deutschland. Sie können eine Beschwerde einreichen unter Internet-Beschwerdestelle.
    • Nutzen Sie auch andere Meldeportale wie die Anti-Phishing Working Group (APWG) unter apwg.org.

  6. Sicherheitsmaßnahmen ergreifen:

    • Ändern Sie sofort alle betroffenen Passwörter, besonders wenn Sie Ihre Daten versehentlich eingegeben haben.
    • Aktivieren Sie Zwei-Faktor-Authentifizierung (2FA) für alle wichtigen Konten, um zusätzlichen Schutz vor unbefugtem Zugriff zu gewährleisten.
    • Überprüfen Sie Ihre Konten auf unautorisierte Aktivitäten und informieren Sie Ihre Bank oder den betroffenen Dienstleister bei Verdacht auf Betrug.

  7. Schutzsoftware verwenden:

    • Installieren und aktualisieren Sie regelmäßig Antiviren- und Anti-Malware-Software auf Ihrem Computer und anderen Geräten.
    • Führen Sie regelmäßige Scans durch, um sicherzustellen, dass Ihr System frei von Schadsoftware ist.

  8. Schulungen und Sensibilisierung:

    • Schulen Sie sich selbst und Ihre Mitarbeiter regelmäßig über die neuesten Phishing-Techniken und -Erkennungsmerkmale.
    • Teilen Sie Ihre Erfahrungen und Erkenntnisse, um andere zu warnen und zu schützen.

Fazit

Email-Phishing ist eine ernsthafte Bedrohung, die wir alle ernst nehmen müssen. Unsere Erfahrung zeigt, wie geschickt Betrüger vorgehen können und wie wichtig es ist, wachsam zu bleiben. Nutzen Sie offizielle Meldeportale und bleiben Sie informiert über Ihre Rechte und Pflichten gemäß der DSGVO. Schützen Sie sich und Ihre Daten und helfen Sie dabei, diese gefährliche Praxis zu bekämpfen.