13.9.2024 – Sie fragen… : Wie man Phishing erkennt.

Nach einem launigen Tröt heute Morgen fand ich heute eine Frage von Ihnen im Wunsch-Doc und weil eh nichts erzählenswertes passiert – langsame Genesung ist halt super aber sehr un-unterhaltsam im Blog – will ich dem gern folgen:

Was ist denn die Liste der Kriterien, um eine Phishing-Mail zu erkennen?

Zuerst einmal habe ich mir angewöhnt, niemals Links in E-Mails anzuklicken. Dabei gibts natürlich Ausnahmen – wenn ich mir gerade mit jemandem schreibe und der schickt mir angekündigt einen Link: Kein Problem.
Links in unangekündigten Mails aber: Never.
Statt dessen kopiere ich mir das Linkziel aus der Mail (Rechtsklick, „Link kopieren“ oder sinngemäß ähnliches) und füge es dann manuell im Browser in die Adresszeile ein. Stimmen Absender, Absicht der Mail und URL nicht zusammen, drücke ich nicht auf Enter.

Beispiele:
Die Nachricht „Hallo Christian, ich habe Dir ein lustiges Video in meinem Blog hochgeladen! Viele Grüße Maria Mustermann“ und dann ein Link zu www.blog.mariamustermann.de/uploads/lustigesvideofuerchristian.mp4 – das passt.

Die Nachricht: „Hallo kunde, erneuern Sie innerhalb von 2 Stunden ihr passwort hier, Ihre Commerzbank“ und dann ein Linkziel zu www.russlandspammer.ru/zyxwvu123/virus.exe?id=h346453i563483z passt nicht.

Die Beispiele waren ja jetzt sehr plakativ und nicht immer kann man eine lange URL so simpel lesen. Was immer klappt ist: Bekomme ich eine Mail von meinem Webhoster/meiner Bank und ich zweifle an der Echtheit, dann rufe ich (nicht über den Link in der Mail, sondern manuell!) die Website meines Webhosters/meiner Bank auf, logge mich in den Kundenbereich ein und wenn da die gleiche Nachricht auftaucht, dann ist sie echt*.

Den Schritt davor, dass man sich nicht bei der Commerzbank einloggt, wenn man gar kein Kunde bei der Commerzbank ist oder dass man sich nicht beim Webhoster einloggt, wenn der einem eine Nachricht zu Domain xy.de schickt, während man xy.de gar nicht besitzt – das traue ich jeder zu. Ach, ich erwähne es doch.

Was man weiter gut kontrollieren kann:
Wirkt der Text schlecht geschrieben oder schlecht übersetzt?
Werde ich persönlich angesprochen oder steht in der Anrede „Hallo kunde“?
Taucht meine Kundennummer auf?
Passen die Infos zusammen – also Kundennummer, Anrede, die benutzte Mail-Adresse und die Leistung um die es angeblich geht?
Ist der Sachverhalt irgendwie vage beschrieben?
Steht in der AnredeHallo info“ oder „Hallo cf“ – also einfach der erste Teil meiner E-Mail-Adresse?
Stimmen Absender-Adresse und angeblicher Absender zueinander (dazu muss man oft im Mailprogramm die Anzeige der E-Mail-Adresse einblenden) – also schreibt mir die Commerzbank unter dem Absender hdfeef@gdnw56.ru oder unter info@commerzbank.de?

Und ganz wichtig: Versucht die Mail in irgendeiner Art und Weise, Druck aufzubauen? Kein seriöser Anbieter gibt einem nur 24 Stunden Zeit, um irgendein angebliches Problem zu regeln (wenn er einem nicht vorher schon viermal geschrieben hat).

Wenn ich diesen Pseudo-Druck nicht annehme, dann kann in bestimmt 90% der Fälle der gesunde Menschenverstand schon Phishing-Versuche mit den Fragen aus der Liste gut erkennen.

Sehr geehrter Kunde,

Wir bedauern, Ihnen mitteilen zu müssen, dass die Verlängerung Ihres Domainnamens aufgrund veralteter Zahlungsinformationen fehlgeschlagen ist. Wir versichern Ihnen jedoch, dass unser Team bestens dafür gerüstet ist, dieses Problem zu lösen, und wir sind zuversichtlich, dass wir Ihren Domainnamen erfolgreich verlängern können, sobald die Zahlungsinformationen aktualisiert wurden.
Bitte aktualisieren Sie jetzt Ihre Zahlungsmethode, um einen reibungslosen Transaktionsprozess zu gewährleisten.
www.webhoster.de/id=74836374
WICHTIG: Wenn innerhalb von 2 Tagen nach Erhalt dieser E-Mail keine Zahlung eingeht, werden Ihre Dienste dauerhaft gelöscht.

Diese Mail bekam zB letztens eine Kundin von mir und anhand meines kleinen Fragenkatalogs fiel die Mail schon durchs Raster, bevor ich gesehen hatte, dass sich hinter dem angeblichen Link www.webhoster.de/id=74836374
als Linkziel
www.obskure-subdomain.kleine-firma-in-frankreich.de/wordpress-uploadordner/ordner/unterordner/?dgde6ewvdebdf=hsgsfe643ffr
versteckte.

*) Schafft es im Jahr 2024 eine Bank / ein Webhoster / whatever, seine Mails so doof zu formulieren, dass sie durchs Raster fallen und stellt sie zusätzlich nicht im Kundenbereich zur Verfügung – dann ist diejenige in my humble opinion schlichtweg selbst Schuld.

Sie mögen das, wenn ich auch mal aus dem täglichen Alltags-Einerlei ausbreche und über Gott und die Welt nachdenke? Hier steht eine virtuelle Kaffeekasse!
Oder – wenn Ihnen Geld zu unpersönlich ist – hier ist meine Wishlist.

Die Website setzt 1 notwendiges Cookie. Ich nutze Matomo, um zu sehen, welche Artikel Sie interessieren. Matomo ist lokal installiert es werden keine Cookies gesetzt, so dass Sie dort vollkommen anonym bleiben. Externe Dienste werden erst auf Ihre Anforderung genutzt.