Password fishing

Beim Surfen im Netz, bei der Nutzung von Sozialen Netzwerken, beim Online-Shopping oder -Banking – überall werden Datenspuren hinterlassen. Das so genannte Phishing, eine Kurzform für „Password fishing“, zielt auf genau diesen Datenschatz ab.

Cyber-Kriminelle ahmen hierbei E-Mails oder Webseiten vertrauter Anbieter täuschend echt nach. Mit diesen im Internet verteilten Ködern versuchen sie, sensible Daten wie Passwörter oder Kreditkartennummern zu „angeln“.

Phishing setzt häufig im E-Mail-Postfach an. Hier landen z.B. gefälschte Rechnungen beliebter Online-Shops oder gefälschte Mails von Banken. Anhand einiger Merkmale lässt sich eine Phishing-Mail jedoch enttarnen:

Ein erster Anhaltspunkt ist die Anrede. Ist diese unpersönlich und ohne konkrete Namensnennung, kann dies ein Indiz sein. Zudem ist die Absenderadresse meist gefälscht. Das kann über eine Header-Auswertung mit Hilfe spezieller Programme erkannt werden.

Phishing-Mails signalisieren häufig einen dringenden Handlungsbedarf oder drohen mit Konsequenzen. Außerdem enthalten sie Links oder Formulare, die vom Empfänger geöffnet werden sollen. E-Mails im HTML-Format zeigen dann einen Link an, der auf eine ganz andere Webseite weiterleitet als angegeben. Mit einem Rechtsklick auf das Nachrichtenfeld lässt sich der Quelltext und somit der „echte“ Link anzeigen.

Werden vertrauliche Informationen, wie etwa PIN- oder TAN-Codes und Passwörter in einem Formular innerhalb der Mail abgefragt, ist dies ebenfalls ein Hinweis für Phishing. Banken oder seriöse Firmen fordern ihre Kunden niemals per E-Mail zur Eingabe von vertraulichen Informationen auf.

Treffen diese Merkmale auf eine E-Mail zu, empfiehlt das BSI, die Nachricht als Spam zu melden und direkt in den Mülleimer zu verschieben.