Dieser Artikel soll dabei helfen, potenzielle Spam- und insbesondere gefährliche Phishing-Mails selbständig zu erkennen.
Für jede Email, die nicht eindeutig "sauber" ist, gilt:
- NICHT auf die Email antworten
- KEINE Links anklicken
- KEINE Anhänge öffnen
- MELDEN der Email an den IT-Support (siehe Punkt 5)
1. Typische Merkmale von Phishing
Dies ist eine Liste an kleinen Hinweisen, die eine potenzielle Phishing Mail relativ schnell enttarnen:
1.1 Sprache
- Bei ARKADIA kommunizieren wir untereinander immer auf Deutsch. Dies gilt auch für 90% unserer Projekte mit Kunden. Eine Email in Englisch (oder einer anderen Fremdsprache), die angeblich von einem ARKADIA-Kollegen geschickt wurde, ist fast immer ein Betrugsversuch!
- Fehler bei Grammatik oder Rechtschreibung sind ein Warnzeichen!
1.2 Anrede
- Bei ARKADIA duzen wir uns. Siezen bei einer Mail von einem angeblicher Kollegen ist verdächtig.
- Generische Anreden wie "Hi" oder "Guten Tag" ohne Angabe von Namen sind ungewöhnlich.
1.3 Aufforderung
- Phishing-Emails haben immer das Ziel, Dich zu einer schnellen Handlung zu bewegen
- Eine Aufforderung, dringend zu handeln, ist immer zu hinterfragen!
- Dies gilt vor allem bei der Aufforderung zur Herausgabe persönlicher Daten bzw. interner Daten der Firma
- Äußerste Vorsicht ist bei allen Aufforderungen angebracht, bei denen es um Geld geht (Geld senden, Geschenkkarten kaufen, usw.)!
2. Absender
Das Merkmal, worauf man ein ganz besonderes Augenmerk legen sollte, ist der Absender.
Besonders vorsichtig muss man sein, wenn der Absender unbekannter ist ("Warum sendet mir diese Person eine E-Mail?").
Viele Phishing-Emails geben sich aber beim Absender als bekannte Person aus.
Der Absender-Name ist sehr einfach zu fälschen.
Die Absender-Emailadresse ist etwas schwieriger zu fälschen. Sie wird aber in vielen Email-Programmen nicht direkt angezeigt. Daher muss man diese manuell prüfen.
In Outlook für Windows genügt es, mit dem Mauszeiger auf den Absendernamen zu gehen und kurz zu warten. Nach einigen Sekunden öffnet sich dann ein Pop-Up, in welchem die Email-Adresse angezeigt wird.
Auf dem Handy muss man auf den Absendernamen tippen (je nach Handy ggfs. noch ein zweites mal), damit zum Absender auch die Emailadresse angezeigt wird.
Die Emailadresse muss immer zum Absender passen - sonst ist es wahrscheinlich Phishing. Hierbei achtet man auf die Domain, also den Teil hinter dem '@'. Bei einem Absendernamen "Microsoft" könnte dort zum Beispiel "microsoftsupport@gmail.com" stehen, was sofort auf eine Fälschung hinweisen würde.
Achtung: Auch die Email-Adresse kann gefälscht werden. Dies ist aufwändiger und kommt daher seltener vor. Die angezeigte Email-Adresse alleine ist kein Beweis für eine echte Email. Deshalb sollte man auch die anderen Punkte beachten, um eine Betrugs-Mail ausfindig zu machen.
3. Links
Nahezu alle Spam-Mails, aber auch viele Phishing-Mails, beinhalten einen oder mehrere Links, auf die das Opfer klicken soll. Allein durch das Anklicken des Links kann man dem Betrüger bereits sämtliche Tore öffnen, deshalb sollte man niemals unbedacht einen Link aufrufen!
3.1 Link-Adressen
Wichtig ist hierbei, dass der Text des Links nicht unbedingt der tatsächlichen Adresse entsprechen muss. Ein gutes Beispiel wäre diese E-Mail:
Auf den ersten Blick handelt es sich um einen Link zu Google. Wenn man mit der Maus über den Link fährt (ohne zu klicken!), sieht man allerdings folgendes:
Der Link führt also in Wirklichkeit zu "arkadia.de", und nicht zu Google. Daher ist es wichtig, sich immer den wahren Link anzeigen zu lassen.
3.2 Welche Links sind in Ordnung?
Ein Link sollte höchstens dann angeklickt werden, wenn:
- er von einem vertrauenswürdigen Kontakt gesendet wurde,
- der Link zu einer bekannten, vertrauenswürdigen Domain führt
- und es einen zwingenden Grund dafür gibt.
Die Domain in einem Link ist der Teil links vom ersten einzelnen Schrägstrich "/":
https://newsletter.deuba.net/news/subscribe/new.php
Diese Domain wiederum besteht aus mehreren Teil-Domains, die durch einen Punkt voneinander abgetrennt werden:
https://newsletter.deuba.net/news/subscribe/new.php
Die Teil-Domains werden von rechts nach links gelesen:
net: 1st Level Domain (1LD, auch TLD für Top Level Domain)
deuba.net: 2nd Level Domain (2LD, vereinfacht auch nur Domain)
newsletter.deuba.net: 3rd Level Domain (3LD, auch Sub Domain)
Zur Beurteilung der Domain genügt in der Regel die Betrachtung der 2nd Level Domain. Diese wird im allgemeinen Sprachgebrauch daher oft nur noch als "Domain" bezeichnet. Auch im Folgenden meinen wir mit Domain immer die 2nd Level Domain.
Beispiele:
microsoft.betruegerwebseite.de/microsofthelp -> Das "microsoft" am Anfang ist unbedeutend, die Webseite wird in diesem Fall von der fiktiven Domain "betruegerwebseite.de" bereitgestellt!
micr0soft.net -> Achtung, "microsoft" ist falsch geschrieben!
customerportal.microsoft.com -> Nur hierbei handelt es sich tatsächlich um eine Microsoft-Domain!
3.3 Die Domain zu einem Link prüfen
Jede Domain hat einen dokumentierten Eigentümer, der in der Regel öffentlich abgefragt werden kann.
Das geht zum Beispiel auf der folgenden Seite:
Dort gibt man im Suchfeld einfach die zu prüfende Domain ein. Als Ergebnis erhält man dann zahlreiche Informationen. Relevant ist insbesondere der Abschnitt "Registrant Contact Information":
So sieht man hier, dass die Domain deuba.net keineswegs zur Deutschen Bank gehört...
4. Dateien
Sollte die Email einen Dateianhang haben, muss man besonders vorsichtig sein!
Das Öffnen eines Datei-Anhangs birgt immer eine große Gefahr von Viren und anderer Schad-Software!
Auch hier gilt:
- Der Absender der Email muss zweifelsfrei feststehen.
- Diesem Absender muss man vertrauen können.
- Die Email sollte nicht überraschend kommen (im Zweifel nachfragen, z.B. telefonisch!)
5. Outlook Add-On Report Message
5.1 Was ist das für ein Add-On? Wofür wird es genutzt?
Das Add-On wurde ausgerollt und wird demnächst in eurem Outlook-Menüband angezeigt
Es handelt sich dabei um ein Add-On, um potenziell gefährliche E-Mails oder Spam-Mails zu melden.
Es bietet drei verschiedene Optionen an eine E-Mail zu melden
1.Junk-E-Mail (Spam) à unerwünschte E-Mails (z.B. Werbemails).
2.Phishing-E-Mail à zielen darauf ab vertrauliche Informationen zu stehlen.
3.Keine Junk-E-Mail
5.2 Was ist das für ein Add-On? Wofür wird es genutzt?
Folgende Schritte müssen für die Nutzung des Add-Ons durchgeführt werden:
1.Potenzielle Junk/Phishing-E-Mail muss ausgewählt sein
2.Den Button „Nachrichten melden“ anklicken damit das Optionsmenü ausgeklappt wird
3.Eine der Optionen auswählen
1.Junk-E-Mail (Spam) à wird gemeldet und in den Junk-Ordner verschoben
2.Phishing-E-Mail à Wird gemeldet und in den Papierkorb verschoben
3.Keine Junk-E-Mail à Wird gemeldet und wir prüfen den Inhalt
4.Durch das Melden wird bei allen drei Optionen automatisch ein Ticket erstellt
5.E-Mail wird von uns geprüft und ihr haltet ein Feedback
•Ticket
•Benachrichtigung-E-Mail
5.3 Das Ergebnis unserer Analyse
Wir werden euch über folgende Wege kontaktieren
1.Ticket
2.Automatische E-Mail-Benachrichtigung (Beispiel für Keine Bedrohung und Phishing)
6. Beispiele
6.1
6.2
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.