Daten­klau verhindern So schützen Sie sich vor Phishing

0
Daten­klau verhindern - So schützen Sie sich vor Phishing
Der Haken an der Sache: Phishing-Nach­richten dienen Angreifern dazu, Ihre Anmelde­daten abzu­fischen. © Getty Images

Beim Phishing locken Angreifer ihre Opfer auf gefälschte Websites, um Login-Daten zu stehlen. Unser Technik-Redak­teur Martin Gobbin nennt zwölf Regeln, die Sie schützen.

Mit einer E-Mail geht es los

Daten­klau verhindern - So schützen Sie sich vor Phishing
Fiel fast auf Phishing rein: test-Redak­teur Martin Gobbin. © Stiftung Warentest

„Ihre Apple-ID wurde aus Sicher­heits­gründen gesperrt.“ Diese Nach­richt erhielt ich gleich neunmal inner­halb einer Woche – oft mit alarmierenden Zusätzen wie „Wichtig“ oder „Hand­lung erforderlich“. Die Mails hatten keine Recht­schreib­fehler, enthielten ein Apple-Logo und wirkten auch sonst authentisch. Tatsäch­lich aber waren es Versuche, mich auf eine gefälschte Seite zu locken, die wie die Apple-Website aussieht, und mich dazu zu bringen, meine Apple-Zugangs­daten einzugeben. Die Angreifer wollten so meinen Account kapern.

Ganz ehrlich: Ich wäre fast drauf reingefallen – und das, obwohl ich mich beruflich viel mit Daten­schutz und Daten­sicherheit befasse. Kurzum: Das kann jedem passieren, denn Phishing wird immer raffinierter. Mal kommen solche Mails (oder SMS oder Social-Media-Nach­richten) angeblich von der Bank, mal von der Post, mal von Amazon, Google oder zahlreichen anderen Firmen. Wer seine Anmelde­daten tatsäch­lich eingibt, riskiert in schlimmen Fällen leer geräumte Bank­konten, kost­spielige Einkäufe oder das Aussperren aus den eigenen Nutzer­konten. Doch es gibt Möglich­keiten, Phishing-Nach­richten zu erkennen. Ich zeige Ihnen anhand von zwölf Regeln, wie Sie sich schützen können.

1. Verdächtige Mails am Rechner prüfen

Wie viele andere Menschen lese ich meine E-Mails inzwischen meist per Smartphone statt am Computer. Für Angreifer ist das hilf­reich, denn am Handy ist es schwerer, die typischen Anzeichen von Phishing – selt­same Link- und Absender-Adressen – zu entdecken. In meiner Mail-App war es etwa nicht ohne Weiteres möglich, mir die tatsäch­liche E-Mail-Adresse des Absenders anzeigen zu lassen. Falls Ihnen eine E-Mail verdächtig erscheint, unter­suchen Sie die Nach­richt daher lieber am Computer statt am Handy. Manche Hinweise auf Phishing sind aber auch auf dem Smartphone sofort zu erkennen: etwa Schreib­fehler, ungelenke Sprache, kyril­lische Buch­staben oder das Erzeugen von Zeit­druck („Handeln Sie sofort! Sonst ist Ihr Konto in Gefahr.“).

2. Auf die Absender-Endung achten

Daten­klau verhindern - So schützen Sie sich vor Phishing
Dickes Ende. Der Absender-Name lautet „Apple“, aber die Endung der E-Mail-Adresse zeigt eindeutig, dass die Mail nicht von Apple stammt. © Screenshot Stiftung Warentest

In meinem Fall stammten die vermeintlichen Apple-Mails von Absendern wie ftmybaw­montvlzuhulcu-jg9wltdl3qw1wljvca2l68k0ll@savagex.com. Schon die ewig­lange, kryptische Zeichen­kombination am Anfang wirkt nicht ganz koscher. Vor allem aber ist die Endung „savagex.com“ ein klares Indiz, dass es sich um eine Fälschung handelt.

Tatsäch­liche Apple-Mails haben üblicher­weise Absender, die auf „apple.com“ enden. Auch wenn die Endung nur leicht abweicht – etwa „aplle.com“ oder „apple-company.cn“ – ist das oft ein Hinweis auf einen Betrugs­versuch.

Dass der ange­zeigte Absender-Name „Apple“ lautet, hat übrigens nichts zu sagen: Der lässt sich leicht manipulieren. Die Wahr­heit steht in der Endung der E-Mail-Adresse.

3. Tatsäch­liches Ziel von Links checken

Daten­klau verhindern - So schützen Sie sich vor Phishing
Einfach mit der Maus über den Link fahren (aber nicht drauf klicken), dann sehen Sie links unten im Browser, zu welcher Adresse der Link tatsäch­lich führt. Hier führt er eindeutig nicht zu Apple. © Screenshot Stiftung Warentest

In den E-Mails waren Links, die mich angeblich zur Apple-Website leiten sollten, damit ich dort meine Anmelde-Daten eingebe. Doch Links täuschen mitunter: Ich kann Ihnen hier zum Beispiel die Adresse test.de anzeigen, den Link aber so basteln, dass er Sie tatsäch­lich ganz woanders hinführt (probieren Sie‘s mal aus!). Wenn Sie mit der Maus über einen Link fahren – ohne ihn dabei anzu­klicken –, sehen Sie unten links in der Statuszeile des Browsers die tatsäch­liche Ziel­adresse. In meinem Fall führte der vermeintliche Apple-Link zu Adressen wie dieser: https://me2.do/FMRiIln6. Für die Recherche habe ich dann getan, was Sie nicht tun sollten: Ich habe den Link angeklickt. Er brachte mich durch auto­matische Weiterleitungen schließ­lich zu URLs wie https://1wannaplay5.xyz/EtA9dRq.

Egal ob „me2.do“ oder „wannaplay“: Nach Apple sieht das alles nicht aus – sonst würde ja irgendwo mal „apple.com“ vorkommen. Doch so einfach ist es nicht immer: Ähnlich wie bei E-Mail-Endungen arbeiten Betrüger auch bei Website-Adressen oft mit subtileren Abweichungen, etwa qoogle.com statt google.com – oder amazoon.ru statt amazon.de.

Daten­klau verhindern - So schützen Sie sich vor Phishing
Am Handy ermitteln Sie die tatsäch­liche Adresse des Links, indem Sie ihn länger gedrückt halten statt nur kurz drauf zu tippen. © Screenshot Stiftung Warentest

Übrigens: Falls Sie den Link doch mal versehentlich öffnen, ist das kein Anlass zur Panik. Das bloße Aufrufen einer Phishing-Seite hat normaler­weise keine negativen Folgen, solange Sie ein aktuelles Antiviren-Programm haben und Browser-Funk­tionen wie „Safe Browsing“ verwenden. Gefahr droht erst, wenn Sie Ihre Login-Daten auf der Seite eingeben.

4. Websites im Zweifel nicht via E-Mail aufrufen

Da Links in E-Mails nicht immer vertrauens­würdig sind, sollten Sie Websites im Zweifels­fall über andere Wege aufrufen. Tippen Sie einfach die URL direkt in die Adress­zeile – oder suchen Sie die jeweilige Seite mit einer Such­maschine heraus. Sie können wichtige Adressen auch in der Lesezeichen- oder Favoriten­liste Ihres Browsers speichern.

So stellen Sie sicher, dass Sie wirk­lich dort landen, wo Sie hinwollen. Wenn dann tatsäch­lich ein Problem besteht – in meinem Fall die temporäre Sperrung meines Apple-Accounts –, wird die Seite Ihnen das nach dem Login mitteilen. Sie können natürlich auch beim Kunden­service des jeweiligen Anbieters nach­fragen, ob die erhaltene Mail wirk­lich von der Firma stammt. Verwenden Sie dazu aber keinesfalls die in der verdächtigen Mail angegebenen Kontakt­optionen, sondern die Kontakt­daten auf der Anbieter-Website.

5. Login-Daten nie im Klar­text verschi­cken

Manche Phishing-Angriffe funk­tionieren nicht über täuschend echt wirkende Websites, auf denen Sie Ihre Login-Daten eingeben sollen. Statt­dessen fordern die Angreifer Sie auf, Ihren Nutzer­namen und Ihr Pass­wort per E-Mail (oder SMS oder Messenger-Nach­richt) mitzuteilen. Das sollten Sie keinesfalls tun, denn seriöse Anbieter würden Sie niemals bitten, Anmelde­daten im Klar­text zu verschi­cken.

6. Auch bei Nach­richten von Bekannten vorsichtig sein

Mitunter gelingt es Angreifern, E-Mail-Konten oder Social-Media-Accounts zu über­nehmen und im Namen des eigentlichen Besitzers Nach­richten zu verschi­cken. Eine solche Message erscheint dem Empfänger dann natürlich vertrauens­würdig. Wenn ein Freund, Verwandter oder Kollege Sie per Mail oder via Social Media um Anmelde- oder Zahlungs­daten bittet, sollten Sie sich die Zeit nehmen, denjenigen anzu­rufen oder IRL (in real life) zu fragen, ob diese Nach­richt wirk­lich von ihm stammt.

7. Nie Anhänge aus verdächtigen Mails öffnen

Keine der neun Mails, die ich von den Phishern erhielt, hatte eine Datei im Anhang. Das ist kein Wunder, denn die Mails waren ja nicht dazu gedacht, mir ein Virus unter­zuschieben, sondern wollten mich auf eine gefälschte Seite locken. In manchen Fällen befinden sich aber dennoch Dateien im Anhang von Phishing-Mails. Das reine Öffnen der E-Mail richtet üblicher­weise keinen Schaden an. Angehängte Dateien aus fragwürdigen Mails sollten Sie aber nie öffnen oder herunter­laden. Dahinter kann sich Schadsoftware verbergen – etwa sogenannte Keylogger, die alle Tastatur­eingaben aufzeichnen und so Ihre Pass­wörter auslesen.

8. Browser und Antiviren-Programme aktuell halten

Daten­klau verhindern - So schützen Sie sich vor Phishing
Aktuelle Browser erkennen Phishing-Seiten oft und warnen unmiss­verständlich davor. © Screenshot Stiftung Warentest

Erfreulicher­weise sind wir im Kampf gegen Phishing-Atta­cken nicht auf uns allein gestellt. Weder Chrome noch Firefox ließen mich ohne Warnungen und Umwege auf die Seiten, die in den angeblichen Apple-Mails verlinkt waren. Beide Browser warnten mich mit knall­roten Hinweisen oder weigerten sich schlicht, die Seiten zu öffnen. Auch aktuelle Anti-Viren-Programme erkennen Phishing-Versuche häufig und blockieren sie oder warnen per Pop-up-Nach­richt davor.

9. Pass­wort­manager verwenden

So wie mein kettenrauchender Biolehrer mir einst erklärte, warum Nicht­rauchen eine gute Entscheidung ist, so schreibe ich regel­mäßig über die Vorteile von Passwortmanagern, nutze tatsäch­lich aber selbst keinen. Dass ich das endlich mal ändern sollte, haben mir die Phishing-Mails wieder mal verdeutlicht: Denn Pass­wort­manager sind eine besonders sichere Methode, Phishing-Angriffen auszuweichen. Sie kontrollieren vor jeder Pass­wort­eingabe auto­matisch, ob die aufgerufene URL mit der ursprüng­lich gespeicherten Adresse über­einstimmt. Werden Sie auf eine gefälschte Seite gelockt, spuckt das Programm die Anmelde­daten nicht aus.

10. Mehrere Login-Faktoren einsetzen

Wer – wie ich – zu faul ist, einen Pass­wort­manager einzurichten, sollte zumindest seine Pass­wörter gegen Miss­brauch schützen. Am besten geht das mit der Mehrfaktor-Authentifizierung (ja, die nutze ich). Selbst wenn es einem Angreifer gelingt, Ihr Pass­wort zu stehlen, bräuchte er dann zum Einloggen noch die zusätzlichen Faktoren, mit denen Sie Ihr jeweiliges Konto schützen – er müsste also zum Beispiel Zugriff auf Ihr Handy haben oder eine ziemlich gute Kopie Ihres Finger­abdrucks besitzen.

Falls Sie auch auf Mehr­faktor-Schutz verzichten wollen, kann ich Ihnen wirk­lich nicht mehr helf... Naja gut, wenn‘s denn sein muss: Befolgen Sie bitte zumindest diese Tipps für starke Passwörter. Das Aller­wichtigste dabei: Verwenden Sie nie ein Pass­wort für mehrere Konten! Ansonsten ist möglicher­weise Ihr Paypal-Konto in Gefahr, nur weil Ihr Katzenforums-Pass­wort geknackt wurde.

11. Offene WLan-Netze nur mit VPN nutzen

Vereinzelt läuft Phishing nicht über gefälschte Websites, sondern über direktes Abfangen von Daten im offenen WLan. Der Angreifer liest dabei den Daten­verkehr mit, während er sich im selben Netz befindet wie Sie. Das wird heute immer schwieriger, da sehr viele Websites und Apps Login-Daten stets verschlüsselt über­tragen. Ein Rest­risiko bleibt aber. Wenn Sie ein WLan-Netz nutzen, das nicht Sie kontrollieren – sei es in der Bahn, im Hotel oder im Café –, sollten Sie daher stets ein virtuelles privates Netz (VPN) verwenden. Das sorgt dafür, dass Ihre Daten garan­tiert verschlüsselt werden. Bei sensiblen Aktivitäten wie Online-Banking oder der Kommunikation mit dem Netz­werk Ihres Arbeit­gebers ist das besonders wichtig.

12. HTTPS nicht blind vertrauen

Möglicher­weise haben Sie gelernt, dass Sie nur Seiten vertrauen sollten, deren Adresse mit HTTPS beginnt – schließ­lich steht das „S“ für „sicher“ (secure). Das ist grund­sätzlich richtig: Seiten, die lediglich mit HTTP beginnen, sind unsicher, da sie Daten unver­schlüsselt über­tragen. Hier sollten Sie nie Anmelde-Daten eingeben. Nur leider stimmt der Umkehr­schluss nicht immer: Dass eine Website HTTPS verwendet, heißt noch lange nicht, dass sie vertrauens­würdig ist. Auch Kriminelle können ihre gefälschten Seiten schließ­lich mit HTTPS ausstatten.

0

Mehr zum Thema

  • Daten­sicherheit 10 Tipps für sicheres Surfen

    - Hacker, Viren, Sicher­heits­lücken – im Internet wimmelt es nur so vor Gefahren. Mit den folgenden 10 Tipps der Stiftung Warentest schützen Sie PC, Smartphone und andere...

  • Messenger-Apps im Vergleich Wo niemand mitliest

    - WhatsApp, Signal, Telegram & Co sind aus dem Alltag nicht mehr wegzudenken. Unser Messenger-Vergleich zeigt, welche der 16 Chat-Dienste im Test besonders sicher sind.

  • Handy­verlust So orten Sie Ihr Handy und schützen Ihre Daten

    - Das Smartphone ist weg – der Albtraum jedes Nutzers. Erste Maßnahme: das vermisste Handy mit einem anderen Telefon anrufen. Ist kein Klingeln oder Vibrieren zu hören, ist...

0 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.