Wie erkenne ich Phishing?

Was ist Phishing?

Der Begriff Phishing steht für den Versuch, mit Hilfe von gefälschten Nachrichten (z.B. in E-Mails, sozialen Netzwerken oder Skype, aber auch in QR-Codes) oder Schadsoftware (z.B. Viren) an Daten von Internetnutzern zu gelangen. Dabei kann es sich z.B. um Passwörter, Konto- und Kreditkartendaten oder Transaktionsnummern (TANs) handeln.

Internetbetrüger missbrauchen diese Daten, um sich finanziell zu bereichern. Sie versenden dabei mit geringem Aufwand Millionen von Phishing-Nachrichten. In diesen Nachrichten werden die Empfänger aufgefordert, auf einen schadhaften Link zu klicken.

Wie erkenne ich Phishing?

Um Phishing effektiv vorzubeugen ist es wichtig, den Aufbau von Webadressen (sogenannten URLs) zu er kennen und vor dem Klicken auf einen Link zu überprüfen.

Die Information, welche Webadresse hinter einem Link steckt, ist je nach Gerät, Software und Dienst (z.B. Skype, WhatsApp, Facebook, Google+, Xing, LinkedIn) an unterschiedlichen Stellen zu finden. Sie sollten sich also vor der Nutzung eines Geräts, einer Software bzw. eines Dienstes damit vertraut machen, wo die Webadresse eines Links zu finden ist.

  • An Desktop-Geräten (PCs und Laptops) erscheint die Webadresse in der Regel, wenn Sie mit der Maus über den Link fahren (ohne darauf zu klicken) entweder in der Statusleiste oder in einem Infofeld (auch Tooltip genannt).
  • An mobilen Geräten (Smartphones und Tablets) hängt das Vorgehen zum Identifizieren der Webadresse, die hinter einem Link steckt, stark vom Gerät ab. Meist ist es so, dass Sie für etwa 2 Sekunden leicht auf den Link drücken, ihn dabei jedoch nicht klicken.

Informationen der SECUSO Forschungsgruppe

Videos:

Flyer:

Achten Sie bei der Überprüfung der URL auf den sogenannten Wer-Bereich!

Der Wer-Bereich besteht immer aus den letzten beiden Begriffen vor dem ersten alleinstehenden „/“ einer Webadresse (bei https://www.uni-due.de/zim/services/sicherheit/ also uni-due.de). Der Wer-Bereich ist der wichtigste Bereich für die Erkennung von Phishing URLs. In der Fachsprache wird er Domain genannt.

Auf folgende Punkte sollten Sie bei der Überprüfung des Wer-Bereiches achten:

Wer-Bereich enthält eine IP-Adresse

Ist der Bereich zwischen „http://“ und dem dritten Slash „/“ eine IP-Adresse (also z.B. 

    https://95.130.22.98/google.de.secure-login.de/

dann ist in diesem Fall die IP-Adresse der Wer-Bereich. Dies ist in den allermeisten Fällen die Nachricht eines Internetbetrügers. Folgen Sie diesem Link nicht!
 

Adresse der erwarteten Partners ist außerhalb des Wer-Bereiches

Ist die Adresse des erwarteten Partners (z.B. uni-due.de) außerhalb des Wer-Bereiches, so handelt es sich um einen betrügerischen Link. Das kann z.B. so aussehen:

      http://www.uni-due.de.anmeldung.com/
               (hier ist der Wer-Bereich anmeldung.com)
      http://anmeldung.com/https://www.uni-due.de/
               (auch hier ist der Wer-Bereich anmeldung.com)

Folgen Sie diesem Link nicht!

Wer-Bereich enthält Tipp-Fehler

Überprüfen Sie den Wer-Bereich auf Tippfehler, also z.B.

      http://www.unni-due.de statt
      http://www.uni-due.de

Folgen Sie einem Link mit Tippfehlern nicht!

Wer-Bereich enthält ähnlich aussehende Zeichen

Überprüfen Sie den Wer-Bereich auf ähnlich aussehenden Zeichen und Zahlen (z.B. ‚rn‘ statt ‚m‘ oder ‚1‘ statt ‚l‘ oder 'q' statt 'p') Beispiel:

      https://www.payqal.de/ statt
      https://www.paypal.de/

Folgen Sie diesem Link nicht!

Wer-Bereich enthält eine Abwandlung des bisher vertrauten Wer-Bereiches

Enthält der Wer-Bereich nur eine Abwandlung des bisher vertrauten Wer-Bereiches, dann geben Sie hier keine Daten ein! Beispiel:

      https://universitaet-duisburg-essen.de/

Diese Abwandlungen sind schwer zu erkennen, da Sie dazu den korrekten Wer-Bereich kennen müssen. Wenn Sie unsicher sind, ob Sie auf einer "echten" Webseite der Universität sind, fragen Sie bitte bei der ZIM-Hotline nach.

Besonders perfide: Spear-Phishing

Gezielte Angriffe auf eine bestimmte Person werden Spear-Phishing genannt. Dazu wird z.B. eine Mail mit gefälschter Absenderadresse eines dem Angegriffenen vertrauten Absenders gesendet, um Ihn zum Anklicken eines Links oder einen Download zu überreden.

Möglicherweise wird ein Opfer einer solchen Attacke ganz gezielt angegriffen, um an (SAP) Login-Daten, Forschungsergebnisse oder Geld des Opfers zu gelangen.

Wenn Sie einen solchen Angriff beobachten, melden Sie ihn der ZIM-Hotline und lassen weiterhin Vorsicht walten, da es möglicherweise jemand speziell auf Sie abgesehen hat.

Diese Informationen wurden in Anlehnung an die Informationen der Forschungsgruppe Secuso erstellt.

Dort finden Sie auch weitere Informationen, z.B.: