Kontrolle ist besser: Vorsicht bei E-Mails von Freunden und Bekannten

Zweifelhafte Angebote ausländischer Banken, Werbung für dubiose Medikamente oder Social-Media-Kontaktanfragen von völlig Unbekannten: Solche offensichtlichen SPAM-Varianten sind für viele Internetnutzer inzwischen ein alter Hut. Was aber, wenn die E-Mails auf den ersten Blick von einem Kollegen oder Bekannten stammen? Gerade dann sollte man besonders aufpassen.

3. August 2017 von Christian Friemel
Vorsicht im Posteingang: Auch bei E-Mails von Freunden und Bekannten. (c) Shutterstock

Für den ehemaligen Kommunikationsdirektor des Weißen Hauses, Anthony Scaramucci, war die Sache sofort klar: Die E-Mail mit den persönlichen Anschuldigungen musste von seinem Intim-Feind Reince Priebus, ehemaliger Stabschef von US-Präsident Donald Trump, kommen – schließlich stand Priebus’ Name im Absenderfeld. Und Scaramucci ließ sich nicht lange bitten, schrieb eine geharnischte Antwort-Mail an den Kontrahenten. Die kam allerdings nie bei Reince Priebus an: Wie sich bald darauf herausstellte, hatte ein Spaßvogel sich einen Scherz erlaubt, kurzerhand eine E-Mail-Adresse auf den Namen „Reince Priebus” registriert – und mit seiner Nachricht an Scaramucci voll ins Schwarze getroffen.

„Faktor Mensch” stellt ein Risiko dar

Die Episode aus dem Weißen Haus zeigt eindrücklich, dass selbst an höchster Stelle der „Faktor Mensch” immer noch eine große Rolle beim Thema Internetsicherheit spielt. Bei dieser speziellen Variante des Phishings geben Internetkriminelle einfach vor, ein Bekannter, Freund oder Kollege zu sein. Möglich wird das auch dadurch, dass viele von uns bei den Mengen an E-Mails Tag für Tag einfach nur auf den Namen im Absenderfeld achten – und der ist frei wählbar. Ziel solcher Attacken ist es üblicherweise, den Empfänger der E-Mails in einen Dialog zu verwickeln und sich sein Vertrauen zu erschleichen – um dieses dann später für vertrauliche Bitten um Geld oder Gefallen auszunutzen. Experten sprechen bei dieser Art der Internetkriminalität oft von „spear phishing”, also dem gezielten Beeinflussen einzelner Personen in Entscheider-Positionen.

Auf den Absender achten

Einen zuverlässigen Schutz gegen solche Phishing-Attacken bieten vor allem die eigene Intuition und das Verhalten im E-Mail-Postfach. Sobald ein Freund oder Bekannter vermeintlich E-Mails mit seltsamen Bitten oder Fragen schreibt, sollte man aufmerksam werden und als allererstes die genaue Absenderadresse prüfen. Kommt die E-Mail wirklich von der üblichen Adresse des Bekannten? Auch subtilere Merkmale im Schreibstil der Mail können ein Hinweis auf einen Betrugsversuch sein. Spricht einen der ansonsten siezende Kollege plötzlich mit dem Vornamen an? Hat der Freund kürzlich seinen E-Mail-Anbieter gewechselt? Wer für solche Fragen sensibilisiert ist und auf diese Details achtet, wird „spear phishing” mit gefälschten Absendernamen recht schnell entlarven können.

Phishing-Attacken erkennen leicht gemacht

Neben solchen recht aufwändigen, personalisierten Attacken existiert selbstverständlich nach wie vor ein ganzer Katalog an Phishing-Tricks, gegen die man sich allerdings effektiv schützen kann. Wer generell Vorsicht im E-Mail-Posteingang walten lässt, ist schnell auf der sicheren Seite. Hier kommen die wichtigsten Anti-Phishing-Tipps:

  1. Zuerst sollten sich Nutzer fragen, ob sie etwas mit dem potentiellen Absender zu tun haben, zum Beispiel ein Konto bei der Bank, die im Absender steht. Ist das nicht der Fall, sollte die E-Mail schnellstens gelöscht werden.
  2. Ein weiteres Merkmal ist die Anrede. Die meisten Unternehmen sprechen ihre Kunden namentlich an. Bei herkömmlichen Phishing-Mails handelt es sich um massenhaft versandte E-Mails, meist ohne personalisierte Anrede.
  3. Kreditinstitute fordern generell keine persönlichen Daten wie PIN oder Transaktionsnummern per E-Mail von ihren Kunden an. Solche Aufforderungen sollten deswegen ignoriert werden.
  4. Links in E-Mails sollten nur aufgerufen werden, wenn der Absender bekannt ist. Wer unsicher ist, sollte Links besser nicht öffnen und die Internet-Adresse des Unternehmens selbst in den Browser eingeben.
  5. Wer eine E-Mail mit einer Zahlungsaufforderung und einem Link erhält, sollte sich im Zweifel direkt mit dem im Absender genannten Unternehmen in Verbindung setzten. Diese Masche ist bei Internetkriminellen beliebt, und meist liegen keine tatsächlichen Forderungen im Namen des Unternehmens vor.