Was ist eine Phishing-E-Mail? Wachsam bleiben und Phishing-E-Mails erkennen

Blog

Erfahren Sie, was eine Phishing-E-Mail ist und wie Sie sie erkennen können. Häufige Arten und Beispiele für Phishing-E-Mails helfen Ihnen, wachsam zu bleiben und sich vor diesem Betrug zu schützen.

von Ahona Rudra

Zuletzt aktualisiert:
Lesezeit: 9 min
Was ist eine Phishing-E-Mail? Wachsam bleiben und Phishing-E-Mails erkennen
Inhaltsverzeichnis-

Eine Phishing-E-Mail ist wie ein getarnter Betrüger in Ihrem Posteingang. Sie gibt sich als vertrauenswürdige Quelle aus und versucht, Sie zu täuschen und zu manipulieren, damit Sie vertrauliche Informationen preisgeben oder schädliche Aktionen ausführen. E-Mail-Phishing hat sich im Laufe der Jahre von einfachen Streichen, wie sie frühe AOL-Nutzer Mitte der 90er Jahre mit zufälligen Kreditkartengeneratoren erlebt haben, zu ausgeklügelten, hoch lukrativen Aktivitäten für Hacker auf der ganzen Welt entwickelt, die fortschrittliche Identitätsdiebstahl-Taktiken einsetzen. Es handelt sich um einen digitalen Betrüger, der die Schwächen und die Leichtgläubigkeit der Menschen ausnutzt.

Sie können verheerende Folgen haben, wie Identitätsdiebstahl, finanzielle Verluste oder unbefugten Zugriff auf Ihre Konten. Laut dem Data Breach Investigation Report 2019 von Verizon waren etwa 32 % der Datenschutzverletzungen in diesem Jahr auf E-Mail-Phishing und Social Engineering zurückzuführen. Bleiben Sie vorsichtig und skeptisch, denn Phishing-E-Mails haben nur das Ziel, Sie zu täuschen und auszunutzen.

Wichtigste Erkenntnisse

  1. Phishing-E-Mails manipulieren die Empfänger, indem sie sich als seriöse Quellen ausgeben und häufig Social Engineering und Dringlichkeit nutzen, um sensible Informationen zu erlangen oder schädliche Aktionen zu veranlassen.
  2. Phishing hat sich zu ausgeklügelten Angriffen wie Business Email Compromise (BEC) entwickelt, die Unternehmen durch die Identitätsverschleierung erhebliche finanzielle Verluste zufügen.
  3. Prüfen Sie die E-Mail-Adressen der Absender sorgfältig und achten Sie auf allgemeine Begrüßungsformeln, schlechte Grammatik/Rechtschreibung und unerwartete Anfragen nach persönlichen Informationen oder dringenden Aktionen.
  4. Seien Sie vorsichtig bei unerwarteten Anhängen oder Links, selbst wenn sie von bekannten Kontakten zu stammen scheinen, da sie zu Malware oder zum Diebstahl von Zugangsdaten führen können.
  5. Die Implementierung der E-Mail-Authentifizierung (SPF, DKIM, DMARC) ist für den Schutz der Domäne von entscheidender Bedeutung, da sie Transparenz und Kontrolle gegen Imitationsversuche und Spoofing bietet.

Was ist eine Phishing-E-Mail?

Eine Phishing-E-Mail ist eine betrügerische Nachricht, die den Empfänger dazu verleiten soll, sensible Informationen preiszugeben oder Aktionen durchzuführen, die dem Angreifer zugute kommen. Es handelt sich dabei um eine Form des Social Engineering, bei der Betrüger E-Mails versenden, die oft so aussehen, als kämen sie von einer Organisation oder Person, der Sie vertrauen, z. B. von Ihrer Bank, einer Regierungsbehörde oder sogar von jemandem in Ihrem eigenen Unternehmen, und die darauf abzielen, Menschen zur Preisgabe vertraulicher Informationen zu bewegen. Diese E-Mails imitieren oft legitime Mitteilungen von vertrauenswürdigen Quellen, wie Banken, Online-Diensten oder bekannten Unternehmen. E-Mail-Phishing wird immer häufiger, da die Menschen immer mehr Zeit online verbringen.

Vereinfachen Sie die Phishing-Sicherheit mit PowerDMARC!

15-Tage-TestDemo buchen

Wie funktionieren Phishing-E-Mails?

Phishing-E-Mails arbeiten mit irreführenden Taktiken, um die Empfänger dazu zu bringen, vertrauliche Informationen preiszugeben oder bestimmte Aktionen durchzuführen. Diese E-Mails geben sich in der Regel als seriöse Organisationen oder Personen aus, um das Vertrauen des Empfängers zu gewinnen. Hier finden Sie eine interessante Aufschlüsselung der Funktionsweise einer typischen Phishing-E-Mail:

  • Maskerade: Phishing-E-Mails sehen oft so aus, als kämen sie von seriösen Quellen wie Banken, Social-Media-Plattformen oder bekannten Unternehmen. Die E-Mail-Adresse und der Inhalt sind so gestaltet, dass sie denen des seriösen Unternehmens sehr ähnlich sind, wodurch es schwieriger wird, sie von einer echten Kommunikation zu unterscheiden.
  • Dringlichkeit oder Angst: Um die Emotionen des Empfängers zu manipulieren, erzeugen Phishing-E-Mails oft ein Gefühl der Dringlichkeit oder Angst. Sie können behaupten, dass es ein Problem mit dem Konto des Empfängers gibt, z. B. unbefugte Aktivitäten oder eine bevorstehende Einstellung des Dienstes. Durch das Erzeugen von Angst versuchen die Angreifer, den Empfänger zu übereilten Handlungen ohne sorgfältige Überlegung zu bewegen.
  • Social Engineering: In Phishing-E-Mails werden Social-Engineering-Techniken eingesetzt, um die menschliche Psychologie auszunutzen. Sie verlassen sich in hohem Maße auf diese Techniken und nutzen nicht die Schwachstellen in der Sicherheitsinfrastruktur eines Systems aus, sondern die Unvermeidbarkeit menschlicher Fehler. Sie können verschiedene Taktiken wie Personalisierung, Schmeichelei oder die Angst, etwas zu verpassen (FOMO), einsetzen, um ihre Erfolgschancen zu erhöhen. Indem sie Emotionen und psychologische Auslöser ausnutzen, versuchen die Angreifer, das rationale Denken des Empfängers außer Kraft zu setzen.
  • Betrügerische Links oder Anhänge: Phishing-E-Mails enthalten in der Regel Links oder Anhänge, die zu bösartigen Websites oder mit Malware infizierten Dateien führen. Die Links sehen zwar legitim aus, leiten den Empfänger jedoch auf eine gefälschte Website weiter, die der Anmeldeseite der Zielorganisation ähnelt. Sobald das Opfer seine Anmeldedaten eingegeben hat, sammeln die Angreifer diese für unbefugte Zugriffe.
  • Sammeln von Daten: Phishing-E-Mails zielen darauf ab, sensible Informationen wie Benutzernamen, Kennwörter, Kreditkartendaten oder persönliche Identifikationsdaten zu sammeln. Diese Anmeldedaten können für Identitätsdiebstahl, nicht autorisierte Transaktionen oder den unbefugten Zugriff auf verschiedene Konten verwendet werden.
  • Ausbeutung: Sobald Angreifer in den Besitz sensibler Daten gelangt sind, können sie diese für verschiedene Zwecke ausnutzen. Dazu gehören der unbefugte Zugriff auf die Konten des Opfers, Finanzbetrug, der Verkauf der Informationen auf dem Schwarzmarkt oder weitere gezielte Angriffe wie Spearphishing.

Wie erkennt man eine Phishing-E-Mail?

Sie können eine Phishing-E-Mail leicht erkennen, indem Sie das Format der E-Mail, Unstimmigkeiten in der Absenderadresse, Rechtschreibfehler, einen schlechten Aufbau und übertriebene Behauptungen oder Verlockungen sorgfältig prüfen. Prüfen Sie die Betreffzeile und den Text der E-Mail auf Rechtschreibfehler oder andere Warnzeichen, die auf eine Fälschung hindeuten; grammatikalische Fehler oder ungeschickte Formulierungen können auf einen Nicht-Muttersprachler oder eine hastig erstellte gefälschte Nachricht hindeuten. Schauen wir uns das unten an:

  • Allgemeine Grüße oder Anreden

In Phishing-E-Mails werden oft allgemeine Begrüßungsformeln wie "Sehr geehrter Herr/Frau" oder "Geschätzter Kunde" verwendet. Seriöse E-Mails sprechen die Empfänger normalerweise mit ihrem Namen an.

  • Ersuchen um persönliche Informationen

Seriöse Organisationen fragen selten per E-Mail nach persönlichen oder finanziellen Informationen. Seien Sie vorsichtig, wenn eine E-Mail sensible Daten wie Sozialversicherungsnummern oder Anmeldedaten verlangt.

  • Ungewöhnliche Absender-E-Mail-Adresse

Prüfen Sie die E-Mail-Adresse des Absenders sorgfältig. Phishing-E-Mails können falsch geschriebene oder verdächtige Domänennamen verwenden, die legitime Namen imitieren. Wenn die Adresse nicht mit dem übereinstimmt, was Sie von offiziellen Mitteilungen des Unternehmens oder der Behörde gewohnt sind, ist sie wahrscheinlich nicht echt.

  • Unerwartete Anhänge oder Downloads

Seien Sie vorsichtig beim Empfang von bösartige E-Mail-Anhänge oder Download-Links, auch wenn sie von jemandem zu kommen scheinen, den Sie kennen. Schädliche Dateien können Malware oder Ransomware enthalten.

Gängige Arten von Phishing-E-Mails

Spoofing, Spear-Phishing, Whaling, Pharming und BEC sind einige gängige Arten von Phishing-E-Mails. Auch wenn sich ihr Opferprofil oder ihr Modus Operandi geringfügig unterscheiden, können sie Organisationen und Einzelpersonen Schaden zufügen.

1. E-Mail-Spoofing

Beim E-Mail-Spoofing wird die E-Mail-Adresse des Absenders gefälscht, um den Anschein zu erwecken, die E-Mail stamme von einer vertrauenswürdigen Quelle. Angreifer können sich als Banken, Behörden oder beliebte Online-Dienste ausgeben, um die Empfänger zur Preisgabe vertraulicher Informationen zu verleiten. Das Ziel eines solchen Angriffs ist es, den Empfänger dazu zu bringen, die E-Mail zu öffnen und möglicherweise sogar auf einen Link zu klicken oder einen Dialog mit dem Angreifer zu beginnen. Diese Angriffe stützen sich stark auf Social-Engineering-Techniken. Im September 2019 verlor Toyota beispielsweise 37 Millionen US-Dollar, als Hacker eine E-Mail-Adresse fälschten und einen Mitarbeiter mit Finanzbefugnissen dazu brachten, Kontodaten für eine elektronische Überweisung zu ändern.

2. Spear-Phishing

Spear-Phishing ist eine gezielte Form des Phishings, bei der Cyberkriminelle ihre E-Mails auf eine bestimmte Person oder Organisation zuschneiden. Sie sammeln persönliche Informationen aus verschiedenen Quellen, um die E-Mail legitimer erscheinen zu lassen und die Erfolgsaussichten zu erhöhen.

3. Angriffe auf Wale

Whaling-Angriffe zielen auf hochrangige Personen ab, z. B. Führungskräfte oder CEOs, indem sie sich als vertrauenswürdige Kontakte oder Kollegen ausgeben. Diese E-Mails zielen oft darauf ab, an sensible Unternehmensdaten zu gelangen oder betrügerische Finanztransaktionen zu initiieren. Vendor Email Compromise (VEC) ist eine verwandte Bedrohung, bei der Angreifer Mitarbeiter eines Lieferantenunternehmens kompromittieren, um die Geschäftsbeziehung auszunutzen, wobei sie sich manchmal als Führungskräfte ausgeben, um betrügerische Zahlungen zu autorisieren. So hat Nikkei Inc. beispielsweise 29 Millionen Dollar verloren, als ein Mitarbeiter der amerikanischen Niederlassung auf Anweisung von Betrügern, die sich als Führungskraft ausgaben, Geld überwies.

4. Pharming

Pharming Beim Pharming werden Benutzer ohne ihr Wissen auf gefälschte Websites umgeleitet. Cyberkriminelle nutzen Schwachstellen in DNS-Servern (Domain Name System) aus oder verwenden bösartige Software, um die DNS-Einstellungen zu ändern, so dass Nutzer auf Phishing-Websites geleitet werden, selbst wenn sie legitime URLs eingeben.

5. Business Email Compromise (BEC)

BEC liegt vor, wenn sich ein Angreifer Zugang zu einem geschäftlichen E-Mail-Konto verschafft und dieses nutzt, um sich als der Inhaber auszugeben, oft um das Unternehmen, seine Mitarbeiter, Kunden oder Partner zu betrügen. Laut dem Internet Crime Report 2019 des FBI wurden in diesem Jahr durch BEC-Betrügereien Verluste in Höhe von über 1,7 Milliarden US-Dollar gemeldet, was mehr als die Hälfte aller Verluste durch Cyberkriminalität ausmacht. Dies ist eine sehr lukrative Form des Angriffs, weshalb sie eine beliebte Cyberbedrohung bleibt. So verlor beispielsweise eine Stadt in Colorado mehr als 1 Million Dollar, nachdem ein Angreifer ein Formular zur Anforderung elektronischer Zahlungen für ein örtliches Bauunternehmen verschickt und einen Mitarbeiter dazu gebracht hatte, Zahlungsinformationen zu aktualisieren und Gelder abzuzweigen.

Beispiele für Phishing-E-Mails

Sehen Sie sich einige Beispiele für Phishing-E-Mails an, damit Sie skeptisch werden, wenn Sie ähnliche E-Mails erhalten:

1. "Dringende Kontoüberprüfung"

Phishing-E-Mails enthalten oft dringende Aufforderungen, wie z. B. die Aufforderung, Ihre Kontoinformationen zu überprüfen oder auf einen Link zu klicken, um Ihre Sicherheitseinstellungen zu aktualisieren. Diese Aufforderungen sollen ein Gefühl der Dringlichkeit vermitteln und verhindern, dass Sie die E-Mail kritisch überdenken.

Dringende Kontoüberprüfung

2. "Lotterie-Gewinner-Benachrichtigung"

Diese Phishing-E-Mail behauptet, Sie hätten in einer Lotterie gewonnen und fordert Sie auf, persönliche Daten anzugeben, um Ihren Gewinn zu erhalten. Die E-Mail sieht zwar aus, als käme sie von einer seriösen Lotteriegesellschaft, ist aber in Wirklichkeit eine Fälschung. Der Phisher nutzt Ihre persönlichen Daten, um Identitätsdiebstahl oder andere Straftaten zu begehen.

Benachrichtigung des Lotteriegewinners

3. "Wichtiges Sicherheitsupdate"

Diese Phishing-E-Mail behauptet, es gäbe ein wichtiges Sicherheitsupdate für Ihre Software und fordert Sie auf, auf einen Link zu klicken, um es herunterzuladen. Die E-Mail sieht zwar aus, als käme sie von einem seriösen Softwareunternehmen, ist aber in Wirklichkeit eine Fälschung. Der Link führt Sie in Wirklichkeit auf eine Website, die Malware enthält. Sobald Sie die Malware heruntergeladen haben, kann der Phisher Ihren Computer kontrollieren.

4. "Dringende Überweisungsanfrage"

In dieser Phishing-E-Mail wird behauptet, dass eine dringende Überweisungsanfrage vorliegt, und Sie werden aufgefordert, Ihre Kontodaten anzugeben. Die E-Mail sieht zwar aus, als käme sie von einer seriösen Bank, ist aber in Wirklichkeit gefälscht. Der Phisher wird Ihre Bankdaten verwenden, um Ihr Geld zu stehlen.

5. "Vertrauliche Informationen über den Erwerb"

Diese Phishing-E-Mail behauptet, dass Sie ausgewählt wurden, um vertrauliche Akquisitionsinformationen zu erhalten, und fordert Sie auf, auf einen Link zu klicken, um sie herunterzuladen. Die E-Mail sieht zwar aus, als käme sie von einem seriösen Unternehmen, ist aber in Wirklichkeit eine Fälschung. Der Link führt Sie in Wirklichkeit auf eine Website, die Malware enthält. Sobald Sie die Malware heruntergeladen haben, kann der Phisher Ihren Computer kontrollieren.

Schützen Sie sich vor Phishing-E-Mails

Um sich vor Phishing-E-Mails zu schützen, müssen Einzelpersonen und Unternehmen wachsam genug sein, um auf Warnzeichen zu achten, sich nicht von plötzlichen Verlockungen verführen zu lassen, sich darin zu schulen, Phishing-E-Mails zu erkennen, und die notwendigen Protokolle und Tools für mehr Sicherheit zu implementieren. Die weltweiten Ausgaben für Sicherheitslösungen spiegeln diese Notwendigkeit wider und werden laut IDC im Jahr 2022 voraussichtlich 133,7 Mrd. US-Dollar erreichen, doch die Einführung spezifischer E-Mail-Sicherheitslösungen wie DMARC erfolgt nur langsam.

So bleiben Sie vor Phishing-E-Mails geschützt:

#1 Sei skeptisch

Seien Sie vorsichtig bei unaufgeforderten E-Mails, insbesondere bei solchen, die persönliche Informationen oder sofortiges Handeln verlangen.

#2 Überprüfen Sie den Absender

Überprüfen Sie die E-Mail-Adresse und die Domäne sorgfältig, um sicherzustellen, dass sie mit der offiziellen Quelle übereinstimmen.

Bewegen Sie den Mauszeiger über Links, um die tatsächliche URL zu sehen, bevor Sie klicken.

#4 Vermeiden Sie die Weitergabe sensibler Informationen

Seriöse Unternehmen fragen selten per E-Mail nach sensiblen Daten.

#5 Software auf dem neuesten Stand halten

Aktualisieren Sie regelmäßig Ihr Betriebssystem, Ihre Antiviren-Software und Ihren Webbrowser, um Sicherheitslücken zu schließen.

#6 E-Mail-Authentifizierung implementieren

E-Mail-Authentifizierung mit SPF, DKIMund DMARC ist für den Schutz Ihrer Domäne vor Phishing-E-Mails von entscheidender Bedeutung und hilft autorisierten Absendern, Nachahmungsversuche zu minimieren. Die DMARC-Technologie ist besonders effektiv bei der Verhinderung gezielter BEC-Angriffe, da sie mit SPF und DKIM zusammenarbeitet, um Maßnahmen gegen nicht authentifizierte E-Mails zu bestimmen. Sie sorgt für mehr Transparenz durch Berichte, die einen detaillierten Einblick in die E-Mail-Aktivitäten bieten, und erhöht die Sicherheit, indem sie die Verfolgung und schnelle Reaktion auf Spoofing-Bedrohungen ermöglicht.

Phishing-E-Mails melden

Wenn Sie den Verdacht haben, dass Sie eine Phishing-E-Mail erhalten haben, sollten Sie dies tun:

  1. Benachrichtigen Sie Ihren E-Mail-Anbieter: Die meisten E-Mail-Dienste haben Mechanismen zur Meldung von Phishing-E-Mails eingerichtet. Achten Sie auf Optionen, um E-Mails als Spam zu markieren oder Phishing zu melden.
  2. Melden Sie sich bei Anti-Phishing-Organisationen: Organisationen wie die Anti-Phishing Working Group (APWG) oder das Internet Crime Complaint Center (IC3) können helfen, gegen Cyberkriminelle vorzugehen.
  3. Informieren Sie die verkörperte Organisation: Wenn sich eine Phishing-E-Mail als eine seriöse Organisation ausgibt, sollten Sie diese benachrichtigen, damit sie geeignete Maßnahmen zum Schutz ihrer Kunden ergreifen kann.

Schlussfolgerung: Dem Phishing immer einen Schritt voraus

Phishing-E-Mails stellen nach wie vor eine große Bedrohung für Einzelpersonen und Unternehmen dar und entwickeln sich zu ausgeklügelten Angriffen wie BEC und VEC, die erhebliche finanzielle Schäden verursachen. Wenn Sie die Taktiken von Cyberkriminellen verstehen und Sicherheitsmaßnahmen ergreifen, können Sie das Risiko, Opfer ihrer betrügerischen Machenschaften zu werden, minimieren. Bleiben Sie wachsam, überlegen Sie es sich zweimal, bevor Sie auf vertrauliche Informationen klicken oder sie weitergeben, und melden Sie verdächtige E-Mails, um sich und andere zu schützen. Die Implementierung einer robusten E-Mail-Authentifizierung wie DMARC ist der Schlüssel zur Verstärkung des Schutzes gegen Domain-Impersonation.

Kontaktieren Sie uns noch heute für einen fortschrittlichen Schutz vor Phishing und vielen anderen E-Mail-Bedrohungen und lassen Sie uns eine Strategie für Sie entwickeln, die echte Ergebnisse zeigt!

 

Neueste Beiträge von Ahona Rudra (alle anzeigen)
Zuletzt aktualisiert:
Behebung von "DKIM none-Nachricht nicht signiert" - Eine Anleitung zur FehlerbehebungSo beheben Sie die Meldung "DKIM keine Nachricht nicht signiert"Was sind E-Mail-basierte Angriffe und wie kann man sie verhindern?Was sind E-Mail-basierte Angriffe und wie lassen sie sich verhindern?