Phishing: Betrug per E-Mail

Sie erhalten gefälschte E-Mails von Betrügern, die sich als McAfee ausgeben

WICHTIG: Sie können verdächtige E-Mails an spam@mcafee.com weiterleiten.

Cyberkriminelle greifen Einzelpersonen mit gefälschten E-Mails an, die aussehen, als stammten sie von einem etablierten und legitimen Unternehmen. Ihr Ziel ist es, Sie dazu zu bringen, Ihre privaten und sensiblen Daten wie Kreditkartendaten, Geburtsdatum, Sozialversicherungsnummer und mehr preiszugeben.

https://mcafee.com/support/?page=shell&shell=article-view&articleId=TS103285

Kriminelle verschicken auch E-Mails mit Links oder angehängten Dokumenten, die nur dazu dienen, an Zugangsinformationen und persönliche Daten zu gelangen. Beim sogenannten Phishing orientieren sich die Betrüger an Original-Mails von existierenden Unternehmen oder Anbietern. Diese Mails sehen oft täuschend echt aus. Was die Empfänger stutzig machen sollte, sind Grammatik- und Rechtschreibfehler, eine fehlende Anrede und vor allem die Forderung, Dateien zu öffnen oder PIN- und TAN-Nummern einzugeben. Um eine gut gemachte Phishing-Mail als solche zu entlarven, sollte der sogenannte Mail-Header – die Kopfzeile der Nachricht – geprüft werden. Dort ist die IP-Adresse des Absenders aufgeführt. Diese ist fälschungssicher und gibt Aufschluss über den tatsächlichen Versender der Nachricht.

So lesen Sie den Mail-Header

Der Mail-Header verrät viele Informationen zu einer E-Mail, die sonst nicht sichtbar sind. Er ist jedoch nicht intuitiv zu lesen. Wir zeigen Ihnen, was der E-Mail-Header verrät.

De-Mail

Das Wichtigste in Kürze:

  • Neben dem eigentlichen Nachrichtentext besteht eine E-Mail auch aus einem sogenannten Header (deutsch: Kopfzeile).
  • Dem Header können Sie Informationen zum Empfänger, Absender sowie der IP-Adresse des Absenders entnehmen, die sonst nicht sichtbar wären.
  • Mithilfe der IP-Adresse des Absenders, die sich nicht manipulieren lässt, können Sie den Server identifizieren über den die E-Mail verschickt wurde. Stimmt dieser Mailserver nicht mit der E-Mailadresse überein, dann könnte es eine bösartige Phishing-Mail sein.

Mithilfe des sogenannten E-Mail Headers, der Kopfzeile, können Sie einige Informationen über eine empfangene E-Mail ermitteln, die sonst nicht sichtbar sind. So können Sie beispielsweise den tatsächlichen Absender einer E-Mail ermitteln und betrügerische E-Mails entlarven. Denn mit sogenannten Phishing-Mails und gefälschten Absender-Adressen locken Betrüger immer wieder in die Falle.

Sie können im Mail-Header folgende Informationen ermitteln:

  • die E-Mail-Adresse des Absenders
  • die IP-Adresse des Absenders (und damit den tatsächlichen Absender!)
  • die Empfänger der E-Mail
  • das Datum des Versands
  • den Betreff der E-Mail

E-Mail-Header auslesen – so geht’s

Sie sollten sich zunächst den Mail-Header vollständig anzeigen lassen. In Ihrem Mail-Programm am Desktop-PC ist das vermutlich über „Ansicht“ oder „Optionen“ möglich. Manchmal wird der Mail-Header auch als Quelltext bezeichnet. Wie genau die Funktion benannt ist, mit der Sie den Mail-Header einsehen können, hängt von Ihrem genutzten Mail-Programm ab.

Was Sie dann sehen, sieht wahrscheinlich in etwa wie folgt aus:

Wir wollen hier nicht zu tief ins Detail gehen. Alles, was für Sie wichtig ist, haben wir farbig hinterlegt. Im Folgenden erklären wir die einzelnen, farblich markierten Bereiche und zeigen Ihnen, welche Informationen Sie hieraus ableiten können.

E-Mail-Header am Smartphone

Auf Smartphones ist es leider  oft nicht möglich, den E-Mail-Header auszulesen.  Ob und wie es am Smartphone funktioniert, hängt von Ihrem Betriebssystem sowie Ihren genutzten E-Mail-Programm  ab.  Sie können versuchen, Ihre E-Mails mit einem Webbrowser aufzurufen und sich dort die Desktop-Seite anzeigen zu lassen. Einige Mail-Anbieter bieten zudem eine eigene App an, die Sie installieren können und so auf den Header zugreifen können. Falls das mit Ihrem Smartphone bzw. Ihrem Mail-Programm nicht funktioniert, öffnen Sie Ihr Mail-Programm an einem Desktop-PC.

E-Mail-Adresse des Absenders

Unter der Angabe „Return-Path“ finden Sie den Absender der E-Mail, bzw. dessen E-Mail-Adresse. Steht hier eine kryptische E-Mail-Adresse, ist das schon ein Hinweis auf eine Phishing-Mail. Diese Adresse muss aber nicht stimmen, sie ist leicht manipulierbar, da sie vom Mailserver nicht auf Richtigkeit überprüft wird. Deswegen kann hier auch eine seriös aussehende Adresse stehen, und es kann sich trotzdem um Phishing handeln.

Empfänger

Die E-Mail-Adresse und den Mailserver des Empfängers finden Sie unter „Delivered-To“ oder auch „Envelope-To“ und unter dem ersten „Received“-Eintrag. 

Die Received-Einträge sind von unten nach oben zu lesen, deswegen ist der letzte Eintrag mit dem Namen „Received“ derjenige, den der Mailserver des Empfängers beim Erhalt der Mail in den Header einträgt. Der Mailserver meldet sich mit HELO. In unserem Fall ist das der Eintrag „helo=astaro.vz-nrw.de“.

IP-Adresse des Absenders (der tatsächliche Absender!)

Die IP-Adresse, also die tatsächliche physikalische Adresse des Absenders, finden Sie weiter unten, innerhalb einer der nächsten „Received from“-Angaben. Das ist der Received-Eintrag, der die Übergabe der E-Mail vom Absender-Server an den Empfänger-Server dokumentiert. Es steht dort „Received from (hier steht der Absender-Server) by (hier steht der Empfänger-Server)“.

Der Absender-Server ist eindeutig kenntlich gemacht durch die so genannte IP-Adresse. Diese ist nicht fälschbar, steht in einer eckigen Klammer und lautet in diesem Fall 62.128.158.4. Davor steht der Name des Mailservers. Der muss aber nicht unbedingt stimmen. 

Sie können sich allerdings die Mühe machen und überprüfen, ob die IP-Adresse und der Name des Servers übereinstimmen. Damit finden Sie über die IP-Adresse auch heraus, woher die E-Mail wirklich kommt.

Dabei gehen Sie so vor:

  1. Rufen Sie (falls Sie einen Windows-Rechner besitzen) die Kommandozeile über Start → Ausführen auf. Tragen Sie „cmd“ ein und klicken auf OK.
     
  2. Es öffnet sich ein Kommandofenster. Dort tippen Sie ein „nslookup“, dann ein Leerzeichen und dann die IP-Adresse, die als Absender-Adresse angegeben ist. Es gibt auch webbasierte Tools, die eine nslookup-Abfrage machen. Sie finden solche Dienste über Suchmaschinen. Die Abfrage spuckt Ihnen aus, ob es sich um den Mailserver handelt, der auch im Mailheader angegeben ist.
    Die Ausgabe sieht ungefähr so aus:

    Server: srv-d.vz-nrw.de
    Address: 172.16.3.9
    Name: lws01.netbenefit.co.uk
    Address: 62.128.158.4
     
  3. Es wird der Server und dessen IP-Adresse angezeigt, von dem aus Sie die Anfrage starten. Name und die IP-Adresse des angefragten Servers sehen Sie darunter. Sie können auch die Gegenprobe machen und anschließend „nslookup“ mit dem Namen (hier: lws01.netbenefit.co.uk) eingeben. Es müsste dann wiederum die zugehörige IP-Adresse angezeigt werden.

Weiterführende Ratgeber:

Nicht jede Phishing-Mail ist so raffiniert gemacht, dass sie mit gefälschten Absender-Adressen oder Mail-Servernamen arbeitet. Wenn Sie aber Zweifel an der Echtheit der E-Mail haben, können Sie darüber letzte Zweifel ausräumen – oder sich bestätigen lassen.

An welchen Merkmalen Sie Phishing-Mails erkennen können, haben wir hier in einem separaten Beitrag zusammengefasst. Aktuelle Phishing-Warnungen finden Sie zudem hier.

Mail-Header lesen auf dem Smartphone?
Wichtig: Bei den meisten Smartphones ist es nicht möglich, den Mail-Header einzusehen. Öffnen Sie Ihr Mail-Programm hierfür im Zweifel an einem Desktop-PC.

Phishing: So erkennen Sie gefälschte E-Mails und Webseiten

Immer häufiger versuchen Betrüger per E-Mail, SMS, WhatsApp oder Telefon an persönliche Daten wie Passwörter und Kreditkartennummern zu gelangen und diese zu missbrauchen. Wie können sich Verbraucher schützen?

Die Masche wird Phishing genannt – das Kunstwort leitet sich von den englischen Begriffen „password harvesting“ (Passwörter ernten) und „fishing“ (Angeln) ab. Phishing bezeichnet den Diebstahl persönlicher Daten mit Hilfe gefälschter Webseiten, E-Mails oder Kurznachrichten. Erbeutete Daten werden oft an andere Betrüger weiterverkauft, die dann etwa Bankverbindungen oder Kreditkartennummern für Käufe auf Rechnung der Opfer missbrauchen. Die betrügerischen Versuche der Kriminellen und gängige Phishing-Tricks lassen sich aber an bestimmten Anzeichen erkennen.

Phishing per E-Mail: Links, Anhänge und gefälschte Webseiten

An die E-Mail-Adressen der potenziellen Opfer gelangen die Täter häufig über Adresshändler. Dann schicken sie manipulierte Dateianhänge oder Links, die nach dem Anklicken unerkannt Spionageprogramme auf dem Rechner installieren oder auf gefälschte Webseiten bekannter Unternehmen leiten, etwa von einer Bank oder Behörde oder auch von Streamingdiensten wie Netflix und Disney+. Auf den gefälschten Seiten werden Betroffene beispielsweise aufgefordert, ihre Zugangsdaten einzugeben.

Phishing-Mails: Worauf achten?

Verbraucher sollten lieber einmal öfter misstrauisch sein als einmal zu wenig. Mit einigen Grundregeln können Sie sich schützen.

  • Seien Sie misstrauisch bei E-Mail-Absendern, die Sie nicht kennen. Doch auch E-Mails von bekannten Absendern können manipuliert sein – wenn die Absender selbst Opfer einer Phishing-Attacke geworden sind.
  • Lassen Sie sich nicht unter Druck setzen.
  • Klicken Sie nicht auf Links von unbekannten Absendern oder wenn Sie unsicher sind.
  • Öffnen Sie keine Anhänge von unbekannten Absendern oder wenn Sie unsicher sind.
  • Geben Sie grundsätzlich nicht leichtfertig persönliche Daten wie Geburtsdaten, Adressen und Bankverbindungen an.
  • Antworten Sie nicht auf verdächtige Mails, Betrüger wissen sonst, dass Sie die E-Mail-Adresse nutzen und schicken womöglich noch mehr Spam- oder Phishing-Mails .
  • Staatliche Institutionen, Banken, Finanzdienstleister, Fluglinien oder Online-Shops fordern ihre Kunden niemals unaufgefordert auf, Zugangsdaten oder Kontoverbindungen einzugeben oder zu ändern. Rufen Sie im Zweifel das Unternehmen an, von dem die E-Mail angeblich kommt.

Anzeichen von Phishing erkennen

Typische Merkmale einer Phishing-Mail sind:

  • fehlende persönliche Anrede
  • Rechtschreibfehler, seltsamer Satzbau, schlechter Schreibstil
  • Drohungen und gesetzte Fristen, die dringenden Handlungsbedarf suggerieren
  • Aufforderung, persönliche Daten einzugeben
  • Aufforderung, Anhänge oder Links anzuklicken
  • unaufgeforderte Mails in englischer Sprache
  • Absender ist ein unbekanntes Unternehmen
  • Absender ist ein bekanntes Unternehmen, das bisher nie per E-Mail Kontakt mit Ihnen aufgenommen hat

Betrüger gehen immer professioneller vor, um an persönliche Daten zu gelangen. Gefälschte E-Mails sind oft kaum von echten zu unterscheiden. Sie können eine namentliche Anrede enthalten oder bekannte Logos. Deswegen sollte man auch den technischen Aufbau wie folgt prüfen.

Absender und Links überprüfen

Phishing-E-Mails lassen sich meist mit einem genauen Blick auf den Absender oder auf die enthaltenen Links erkennen. Kriminelle arbeiten oft mit Verschleierungstechniken wie Buchstabendrehern oder Subdomänen und nutzen die Namen bekannter Unternehmen. Verbraucher sollten Internet-Links von links nach rechts bis zum dritten Schrägstrich lesen und auf den Bereich mit dem letzten Punkt achten. Hier wird die tatsächliche Ziel-Adresse angezeigt. So führt zum Beispiel https://www.amazon.mybiz.com/ zu mybiz.com und nicht zu amazon.com. Tipp: Mit der Maus über verlinkte Texte oder Buttons fahren, die Ziel-Adresse wird dann unter der Maus oder am unteren Bildschirmrand angezeigt.

E-Mail-Header mit IP-Adresse prüfen

Auch wenn die E-Mail-Adresse des Absenders vertrauenswürdig erscheint, kann sie gefälscht sein. Deshalb sollte der sogenannte Header (deutsch: Kopfzeile) geprüft werden. Dort steht auch die IP-Adresse des tatsächlichen Absenders. Sie lässt sich nicht manipulieren. Die Verbraucherzentrale erklärt, wie der E-Mail-Header gelesen wird.

E-Mails in HTML können Schadprogramme enthalten

Reine Text-E-Mails können keinen Schaden anrichten, sofern keine Links angeklickt oder Anhänge geöffnet werden. Anders sieht es bei E-Mails im HTLML-Format aus. Diese sind oft farbig sowie mit verschiedenen Schriften und Grafiken gestaltet. Im sogenannten Quellcode der Mails können Schadprogramme versteckt sein, die beim Öffnen der Mail ausgeführt werden, ohne dass dafür ein Anhang oder eine Grafik angeklickt wurde. Deshalb sollten Verbraucher immer prüfen, wie sie ihre E-Mails empfangen und gegebenenfalls die Anzeige der E-Mail im HTML-Format deaktivieren. Bei vertrauenswürdigen Absendern kann diese jederzeit wieder aktiviert werden.

Phishing-Mail geöffnet – was tun?

Wird eine Phishing-Mail als solche erkannt, sollte sie gelöscht werden. Wer allerdings Opfer einer Phishing-Attacke geworden ist, sollte die Mail behalten, denn sie ist ein wichtiges Beweismittel für die Polizei. Verbraucher sollten in jedem Fall schnell handeln und ihre Bank informieren. Um sich vor Abbuchungen zu schützen, sollten der Online-Zugang, das Konto sowie Kredit- und EC-Karten gesperrt werden – das geht rund um die Uhr unter der bundesweiten Telefonnummer 116 116.

Phishing-Mail melden

Die Verbraucherzentrale rät, Phishing-Mails vor dem Löschen an die Mailadresse phishing@verbraucherzentrale.nrw weiterzuleiten. Sie wertet eingehende E-Mails aus und informiert auf ihrer Seite „Phishing-Radar“ über aktuelle Fälle von Betrug. Außerdem sollte die Mail – wenn möglich – auch an den echten Anbieter geschickt werden. Dadurch erfährt dieser vom Phishing-Versuch und kann Schritte gegen den Betrugsversuch unternehmen.

Smishing: Phishing per SMS

Kriminelle verschicken auch falsche Kurznachrichten aufs Handy, um Kasse zu machen. Vorsicht ist geboten, wenn man eine SMS erhält, die sich auf den Mobilfunkanschluss bezieht und einen Link erhält. Bei der Masche handelt es sich um angebliche Mailbox-Nachrichten, Probleme mit dem Mobilfunkvertrag und beim Online-Banking oder Käufe im Google Play Store. Keinesfalls sollte man auf den Link klicken. Er führt zu einer Seite, die dazu auffordert, eine App zu installieren. Grundsätzlich gilt: keine Apps aus unbekannten Quellen herunterladen. Außerdem sollte man, um Nachrichten abzuhören, selbst seine Mailbox anrufen oder dafür die App des Mobilfunkanbieters verwenden.

Phishing per WhatsApp

Ebenso wie SMS nutzen Betrüger auch WhatsApp oder andere Messenger-Dienste. Sie verschicken Nachrichten, in denen sie zum Beispiel für ein Gewinnspiel werben. Um an dem Gewinnspiel teilzunehmen, soll auf einen Link geklickt werden. Am Ende steht ebenfalls die Aufforderung, eine App zu installieren oder persönliche Daten einzugeben. Häufig nutzen die Kriminellen auch Kettenbriefe, in denen sie dazu aufrufen, die Nachricht mit Bekannten zu teilen.

Phishing per Telefon: Kriminelle geben sich als Mitarbeiter aus

Phishing per Telefon geht oft von professionell ausgestatteten, illegalen Callcentern aus, die ihren Sitz im Ausland haben. An den Telefonen arbeiten geschulte Mitarbeiter, die auf jeden Einwand der Angerufenen plausible Antworten haben. So geben sie sich als Mitarbeiter großer Unternehmen wie Microsoft, Apple, Sparkassen, Netflix, Gewinnspielanbietern oder Paypal aus, um an Daten oder Passwörter zu kommen. Auch staatliche Behörden wie Staatsanwaltschaften oder Finanzämter werden vorgetäuscht.

Dabei setzen die Betrüger die Angerufenen unter Druck, verleiten sie zu schnellen Entscheidungen. Entweder, um angeblich größeres Übel abzuwenden. Oder um vermeintlich große finanzielle Gewinne zu erhalten.

Phishing-Anrufe: So kann man sich schützen

Diese Maßnahmen können vor Phishing-Angriffen per Telefon schützen:

  • Vertrauen Sie nicht der im Display angezeigten Telefonnummer. Sie könnte so manipuliert sein, dass es wie ein echter Anruf aussieht, beispielsweise der Bank.
  • Lassen Sie sich nicht unter Druck setzen.
  • Geben Sie niemals persönliche Daten am Telefon an.
  • Fordern Sie schriftliche Unterlagen an, bevor Sie Geld überweisen.
  • Legen Sie auf und melden Sie den Vorfall etwa bei der Bank.
  • Wenn Sie mehrfach angerufen werden: Sperren Sie die Telefonnummer in Ihrem Telefon.

Lesen Sie auch die Tipps von gdata:.

Impressum, DSGVO und rechtliches. Stolz präsentiert von WordPress