Phishing Fritz phished frisch

phishingGerade ist eine recht gut gemachte Phishing-Mail im Umlauf. Sie ähnelt recht stark den Mails, die man sofort nach einer Zahlung von PayPal bekommt.

Als Phishing ist die Mail eigentlich nur erkennbar an der fehlenden Anrede, da müsste „Guten Tag, Peter Apel!“ stehen. Ein weiteres Indiz ist noch die Referenznummer. Bei PayPal heißt das Transaktionscode – aber wer merkt sich solche Details?

Verdächtig sollte dem Empfänger die Mail allerdings sofort sein, denn erstens hat er die Bestellung ja gar nicht ausgelöst und zweitens stimmt die Lieferadresse nicht (hier mit grauem Balken).

Letzte Sicherheit, dass es sich um Phishing handelt, gibt dann ein Besuch beim Online Konto, kennt PayPal diese Zahlung? Nein, natürlich nicht.

PayPal ist ein beliebtes Angriffsziel für Spoofer und Phishermen, alles ist immer nur Online und gerade die vielen Sicherheits-Mails stumpfen irgendwie ab, machen den Aufmerksamkeits-Sensor taub. Darum hat das Unternehmen auch selbst dazu eine FAQ-Seite eingestellt.

Unter anderem findet man da eine Adresse, an die man verdächtige Mails schicken kann: spoof@paypal.com. Und auf der Facebook-Seite von PayPal sollen immer aktuelle Phishing-Fälle vorgestellt werden. Der hier gezeigt Fall ist da allerdings noch nicht, das frischeste Beispiel ist vom 21.10.15, also gut 20 Tage alt.

Wie schützt man sich gegen Phishing?

Eine ausführliche Anleitung finden Sie in meinem neuen Buch „Mein Recht im Netz„, gerade erschienen bei der Stiftung Warentest. Da behandele ich auch andere Formen von Schadsoftware und die Möglichkeiten, sich zu schützen.

Gegen Fälle wie den hier vorgestellten helfen diese beiden Maßnahmen:

  1. Misstrauen Sie jeder E-Mail, die
    • für Sie überraschend kommt (ungewöhnlicher Zeitpunkt, ungewöhnlicher Betrag, ungewöhnliche Aufforderung oder Frage)
    • Sie zu einem Klick auf eine Link auffordert. Klicken Sie nicht!
    • Ihnen etwas bestätigt, was Sie gar nicht veranlasst haben. Auch hier gilt wieder: Nirgendwo drauf klicken, um das besser zu verstehen.
    • zwar Ihre E-Mail-Adresse kennt, aber nicht Ihren Namen und Ihre Kundennummer
  2. Wenn Sie unsicher sind, ob eine E-Mail ehrlich oder gelogen ist: folgen Sie nicht den Links in der E-Mail sondern loggen Sie sich direkt bei Ihrem Provider, Ihrer Bank, Ihrer Kreditkarte etc. ein. Alle authentischen Aufforderungen, Benachrichtigungen, Zahlungsbestätigungen, Kündigungen und so weiter werden auch in Ihrem Konto zu finden sein.

Weiter sinnvolle Sicherheitsmaßnahmen sind:

  • Antiviren-Software installieren und immer aktuell halten.
  • Browser-Version immer aktuell halten
  • Für alles, was Zahlungen online auslöst, die sogenannte 2-Faktor-Authentifzierung verwenden. Das ist zum Beispiel ein Passwort (Faktor 1) und eine TAN-Liste (Faktor 2).
  • Passwörter ausreichend kompliziert, möglichst alle verschieden und mindestens einmal im Jahr geändert.
  • Und weil sich das dann keiner mehr merken kann: Passwortsafe verwenden! (Das ist ein Stück Software)

Sollte Sie einmal eine gefälschte E-Mail erkennen, leiten Sie sie weiter: zum einen an eine zentrale Pishing-Erfassungsstelle, zum Beispiel an phishing@vz-nrw.de und zum anderen an den vorgegaukelten Absender, in diesem Fall also an PayPal. Oben haben wir schon die Adresse dazu genannt: spoof@paypal.com.

Ich wünsche Ihnen, dass Sie nie in eine solche Situation kommen – aber sehr wahrscheinlich ist das nicht.

Schreibe einen Kommentar