MENÜ

Hinweis zur Verwendung von Cookies

Das BSI speichert keine personenbezogenen Daten der
Webseitenbesucher. Details in unserer
Datenschutzerklärung

OK

… Passwortdiebstahl durch Phishing

Wie erkenne ich Phishing in E-Mails und auf Webseiten?

Wie erkenne ich Phishing-E-Mails

und -Webseiten?
Fälschungen von E-Mails und Webseiten sehen immer
professioneller aus

Phishing-E-Mails erkennen
Während Phishing-E-Mails bis vor einigen Jahren
meistens dadurch auffielen, dass die Anrede unpersönlich
("Sehr geehrter Kunde…") oder der Nachrichtentext in
schlechtem Deutsch verfasst war, gehen Kriminelle
mittlerweile professioneller (z.B. bei der
Schadsoftware Emotet) vor. Tippfehler oder seltsame
Umlaute im Text sind nur noch selten ein eindeutiger
Hinweis auf einen Phishing-Versuch. Auch bei gut
formuliertem Text sollten Sie deshalb wachsam sein.

YouTube-Short-Video: Wie
erkenne ich Phishing-Mails?
Quelle: BSI

Wenn Sie also eine E-Mail erhalten, auf die mindestens

eines der folgenden Merkmale zutrifft, sollten Sie
misstrauisch werden. Denn dann handelt es sich mit
hoher Wahrscheinlichkeit um eine Phishing-Mail:

Der Text der Mail gibt dringenden Handlungsbedarf

vor, etwa: "Wenn Sie Ihre Daten nicht umgehend
aktualisieren, dann gehen sie unwiederbringlich
verloren …".
Drohungen kommen zum Einsatz: „Wenn Sie das nicht
tun, müssen wir Ihr Konto leider sperren …".
Sie werden aufgefordert, vertrauliche Daten wie die
PIN für Ihren Online-Bankzugang oder eine
Kreditkartennummer einzugeben.
Die E-Mail enthält Links oder Formulare.
Die Mail scheint von einer bekannten Person oder
Organisation zu stammen, jedoch kommt Ihnen das
Anliegen des Absenders ungewöhnlich vor.

Für den Ernstfall:

Checkliste von BSI und ProPK: Phishing

Bei einer Phishing-Mail im HTML-Format verbirgt sich

hinter dem angezeigten Absender oft eine andere E-
Mail-Adresse. Ob dem so ist, können Sie auf verschiedene
Weise feststellen: Wenn Sie Ihre E-Mails mit einem
Browser verwalten, werfen Sie einen Blick auf den
sogenannten Quelltext der HTML-Mail. In einem
gängigen E-Mail-Programm können Sie den Cursor
einfach mit der Maus über die Absenderzeile führen, aber
ohne darauf zu klicken. Dann sehen Sie die, ob in der
Absenderzeile eine andere Adresse eingebettet ist.

Quelle:
Bundesamt für Sicherheit in der
Informationstechnik

Phishing-Webseiten erkennen
Vielleicht haben Sie früher einmal gehört oder gelesen,
dass die Abkürzung "https://" im Internetadressfeld Ihres
Browsers für eine gesicherte Verbindung und folglich für
eine vertrauenswürdige Website steht. Tatsächlich
signalisiert die Abkürzung, dass der Betreiber ein
sogenanntes SSL-Zertifikat für seine Seiten erworben
hat. Genau dies tun aber auch immer mehr Phishing-
Betrüger, um den Anschein der Vertrauenswürdigkeit zu
erwecken. "https://" bedeutet heute also keine
Entwarnung mehr.

Generell sollten Sie jeden Link in E-Mails und sozialen

Netzen vor dem Aufruf sorgsam prüfen. Viele
Verdachtsmomente sind auch für Laien erkennbar.
Stutzig sollten Sie zum Beispiel werden, wenn die
Internetadresse zwar den Namen der jeweiligen
Institution enthält, aber in Verbindung mit
ungewöhnlichen Zahlen oder Zeichenkombinationen wie
in "www.135x-Bank.de".

Im Video sehen Sie, wie Phishing funktioniert und worauf

Sie besonders achten sollten:

00:00 00:00

Auch die Abfrage beispielsweise einer TAN, ohne dass Sie

irgendeine Transaktion ausgelöst haben, ist ein klares
Indiz für gefälschte Phishing-Seiten. Misstrauisch sollten
Sie insbesondere dann werden, wenn Sie nach der
Anmeldung etwa bei Ihrer Bank aufgefordert werden,
bekannte Daten wie Name, Adresse oder IBAN erneut
einzugeben: Mit hoher Wahrscheinlichkeit sind Sie
ebenfalls auf einer gefälschten Webseite gelandet.

Wie gefährlich ist Phishing?

Die volkswirtschaftlichen Schäden von Cyber-Delikten,
die mit gezielten Phishing-Attacken beginnen, werden in
Deutschland pro Jahr mindestens auf einen zweistelligen
Millionenbetrag geschätzt.

Für Verbraucher und Verbraucherinnen ergeben sich je

nach Zielrichtung eines Phishing-Angriffs
unterschiedliche Risiken: Wer sich täuschen lässt und auf
einer gefälschten Bank-Website arglos zum Beispiel seine
Kreditkartennummer einschließlich Gültigkeitsdauer und
Sicherheitscode eintippt, gibt den Tätern alles an die
Hand, was sie für eine ausgiebige Internet-Shopping-
Tour brauchen. Auch gefälschte Websites von Online-
Versandhändlern zielen darauf ab, mit ausspionierten
Account-Daten auf fremder Leute Kosten einzukaufen.
Zu den Hauptgefahren von Phishing zählen demnach
finanzielle Schäden.

Newsletter: Alle 14 Tage auf Nummer sicher gehen:

Mit dem Newsletter 'Sicher Informiert' und den
Sicherheitshinweisen des BSI erhalten Sie
regelmäßig Informationen zu aktuellen
Sicherheitslücken und wichtigen Ereignissen rund
um IT-Sicherheit. Sowohl leicht verständliche
Erklärungen, praxisnahe Tipps, aber auch
tiefergehende technische Details bringen Sie auf den
aktuellen Stand.
Zum Newsletter 'Sicher Informiert'.

Darüber hinaus bergen Phishing-Mails immer öfter

zusätzliche Gefahren durch Malware-behaftete Datei-
Anhänge: Jeder unbedachte Klick auf einen solchen
bösartigen Anhang führt dann – vom Anwender meist
unbemerkt – zu einer Infektion mit einem
Schadprogramm . Dabei kann es sich ebenso um einen
Trojaner handeln wie um Bots oder Ransomware.

Der Cybersicherheits-Lotse ist eine Orientierungshilfe

für Verbraucherinnen und Verbraucher, die gezielt und
über das Informations- und Beratungsangebot des BSI
hinausgehend zu weiteren Akteuren im Digitalen
Verbraucherschutz und deren Unterstützungsangeboten
vermittelt. Wenn Sie uns Feedback zu unserem neuen
Tool geben möchten, hier geht es zu einer kurzen
Umfrage.

Service-Center des BSI

Das Service-Center unterstützt bei allen Fragen

rund um die IT-Sicherheit

0800 274 1000

service-center@bsi.bund.de

Bundesnetzagentur (BNetzA)

Beschwerde zu unerwünschten Spam- oder

Phishing-Nachrichten über SMS oder Messenger

https://www.bundesnetzagentur.de/

Polizeien der Länder

Strafanzeige stellen bei den Onlinewachen der

Länder oder der örtlichen Polizeidienststelle

https://www.polizei.de/

Polizeiliche Kriminalprävention (ProPK)

Informationen und Hilfestellungen für Opfer von

Cybercrime

https://www.polizei-beratung.de/

LKA Niedersachsen

Aktuelle Meldungen im Ratgeber

Internetkriminalität

https://www.polizei-praevention.de/

Forschungsgruppe SECUSO

NoPhish – Info- und Lehrmaterialien zur Erkennung

von Phishing-Mails

https://secuso.aifb.kit.edu/

Verbraucherzentralen

Phishing-Radar – Aktuelle Warnungen sowie

neuartige Phishing-Mails melden

https://www.verbraucherzentrale.de/

Bitte beachten Sie, dass es sich bei den im Cybersicherheits-

Lotsen enthaltenen Informationen um externe Links auf
Webseiten Dritter handelt, auf die das BSI keinen Einfluss hat und
für die das BSI nicht verantwortlich ist. Sie spiegeln nicht
notwendigerweise die Meinung des BSI wider. Trotz regelmäßiger
Qualitätssicherung kann die Aktualität und Richtigkeit der Links
nicht immer sichergestellt werden. Bei Rückfragen und Hinweisen
können Sie sich gerne an service-center@bsi.bund.de wenden.

Zum Thema
Sonderfall: Schadsoftware Emotet
Phishing – Bankbetrug im Posteingang
Download Checkliste von BSI und ProPK:
Phishing (PDF)
TOrPeDo – Thunderbird-Add-on zur Erkennung
von Phishing-Mails

Ähnliche Themen

Schutz gegen Phishing Aktuelle Beispiele für

Phishing

Zurück zu Passwortdiebstahl durch Phishing

Seite drucken

Themen

Das BSI

Karriere

IT-Sicherheitsvorfall

Folgen Sie uns

Impressum
Datenschutz
Nutzungsbedingungen
Barrierefreiheit

© Bundesamt für Sicherheit in der Informationstechnik

TOP