PhishWarn
Englisch

Wie verhindert man, gephisht zu werden?

Logischerweise ist es unmöglich, Phishing-Versuche allgemein zu verhindern. Es gibt jedoch einige Online-Sicherheitsmaßnahmen, die dir dabei helfen können, Betrug zu meiden.

Verwende Adblocker

Adblocker sind Anwendungen, die verhinden, dass Online-Werbeanzeigen in Websites oder Anzeigen geladen werden. Viele unterstützen jedoch auch Filterlisten mit schädlichen Websites, um zu verhindern, dass du versehentlich welche davon besuchst. Wirklich gute Adblocker sind uBlock Origin (Browser-Addon) und Blokada (Android- und iOS-App).

Frage den Absender separat, ob die Nachricht wirklich von ihm stammt

Dieser „Trick“ ist so einfach wie effektiv: Frag einfach den vermeintlichen Absender über einen separaten Kommunikationsweg, ob er wirklich die Nachricht gesendet hat. Komische SMS von deinem Freund bekommen? Schreib ihm eine E-Mail. Verdächtige Mail von deiner Bank erhalten? Such deren Telefonnummer auf ihrer echten Website und ruf einfach an. Mit Festnahme durch die Polizei bedroht worden? Geh zur nächsten Polizeidienststelle und frag, was los ist. (Praktischerweise kannst du dort auch gleich die Amtsanmaßung anzeigen.)

Halte deine E-Mail-Adresse und Telefonnummer privat

Betrüger können dir nur dann Phishing-Texte schicken, wenn sie deine Kontaktinformationen haben. Halte sie privat und nutze Zweit-Adressen oder -Telefonnummern für Online-Registrierungen etc.
Mehr...
Meist bekommen Betrüger deine E-Mail-Adresse oder Telefonnummer über Newsletter-Listen, Online-Shop-Accounts oder Internet-Gewinnspiele. Daher solltest du deine Kontaktinformationen nur Leuten geben, die du persönlich kennst.

Nutze spezielle Zweit-Adressen für Online-Registrierungen, sodass du schon vorher weißt, dass sich im jeweiligen Postfach Phishing und Spam befinden könnte. Probier Firefox Relay aus, um deine E-Mail-Adressen privat zu halten.

Ziehe auch den Kauf einer billigen Zweit-SIM-Karte mit separater Nummer in Erwägung, um dich beispielsweise bei Messengern wie Signal zu registrieren, die eine Telefonnummer voraussetzen.

Halte deine Software auf dem neuesten Stand

Hacker und Betrüger nutzen oftmals veraltete Software aus: Zum Beispiel missbrauchen sie Sicherheitslücken, um auf fremde Computer zuzugreifen oder sie nutzen die Tatsache aus, dass Filterlisten schädlicher Websites ggf. nicht aktualisiert und gepflegt werden. Darum solltest du automatische Updates überall aktivieren, wo dies möglich ist, um Sicherheits- und Fehlerbehebungen sowie die neuesten Filterlisten zu erhalten.

Deaktiviere Punycode

Viele Betrüger registrieren eigene legitim aussehende Domains, in denen sie z.B. das lateinische a durch das zum Verwechseln ähnlich sehende kyrillische а ersetzen. Deaktiviere die Anzeige solcher Sonderzeichen im Browser (siehe Heise-Anleitung) oder nutze das Browser-Addon PunyCode Domain Detection, um dich vor Domains mit Sonderzeichen warnen zu lassen.
Mehr...
Gerade westliche Nutzer kennen das Internet fast ausschließlich mit lateinischen Zeichen und haben von kyrillischer oder arabischer Schrift nur in der Schule gehört. Um auch z.B. ukrainische oder taiwanesische URLs korrekt darzustellen, verwenden moderne Browser die Technik "Punycode", die aber auch Betrügern die Möglichkeit gibt, ihre schädlichen Domains mit lateinisch aussehenden Sonderzeichen zu tarnen.

Um zu vermeiden, in Zukunft auf echte Betrügereien hereinzufallen, solltest du entweder Punycode im Browser komplett deaktivieren oder das Addon PunyCode Domain Detection installieren, welches vor URLs mit Punycode warnt.

In Firefox kannst du Punycode deaktivieren, indem du about:config in die Adressleiste eingibst (funktioniert auch auf dem Handy) und dort nach der Einstellung „network.IDN_show_punycode“ suchst, welche du auf „true“ stellst.
Bildschirmfoto einer Website, deren Adresse wie apple.com aussieht.
Diese Punycode-Demonstrationswebsite scheint die Adresse apple.com zu haben, doch in Wirklichkeit besteht diese komplett aus kyrillischen Buchstaben: аррӏе.
Bildschirmfoto derselben Website, diesmal klar als nicht apple.com zu erkennen.
Deaktiviert man Punycode im Browser, wird die Adresse als xn--80ak6aa92e.com angezeigt – definitiv nicht apple.com.
Das Anti-Punycode-Addon warnt vor einem „possible phishing attempt: the address bar shows apple.com but the real domain name is xn--80ak6aa92e.com“
Das Anti-Punycode-Addon warnt vor einem möglichen Phishing-Versuch.

Verrate nicht zu viel über dich in den sozialen Medien

Betrüger nutzen Open-Source-Ermittlungsmethoden, um mehr über potenzielle Opfer zu erfahren, beispielsweise indem sie ihre Social-Media-Profile überprüfen. Deshalb solltest du immer darüber nachdenken, was du online postest und ob es von Betrügern missbraucht werden könnte. Sieh nach, ob du die Sichtbarkeit deiner Posts auf Freunde und Familie beschränken kannst. Versuche deinen gesamten Account zu sperren, damit nur Leute ihn sehen können, die du kennst.

Nutze Multifaktor-Authentifizierung

Sicher hast du schon mal etwas von „2FA“ gehört. Das steht für „two-factor authentication“, also Zwei-Faktor-Authentifizierung, und bedeutet, dass man mehr für das Einloggen in einen Account benötigt als nur ein Passwort, also z.B. einen sog. OTP-Code, deinen Fingerabdruck oder einen Sicherheits-USB-Stick. Aktiviere 2FA überall, wo es möglich ist, um zu verhindern, dass andere auf deinen Account zugreifen können, nur indem sie dein Passwort erraten. Bei Mobilsicher erfährst du mehr zum Thema.

Verwende einen Passwort-Manager

Benutze nicht das gleiche Passwort auf jeder Website, wähle keine einfach erratbaren Passwörter, schreibe sie nicht auf. Aber wie merkt man sich dann Dutzende komplizierter Zeichenketten? Nun, man tut es nicht. Nutze stattdessen einen Passwort-Manager – also einen digitalen Tresor für all deine verschiedenen Passwörter. PhishWarn empfiehlt KeePassXC.

Informiere dich regelmäßig in einschlägigen Medien

Um auf dem Laufenden zu bleiben, welche neuen Tricks sich die Betrüger ausgedacht haben und wie man sich schützen kann, solltest du dich regelmäßig in einschlägigen Medien über die Thematik informieren.
Mehr...
Zu empfehlen sind beispielsweise die Technik-Magazine

- Heise und c't,
- Golem,
- t3n,
- ZDNet und
- Ars Technica,

aber auch kleinere Blogs wie Mobilsicher oder der Kuketz-Blog können immer wieder sehr aufschlussreich sein. Auch staatliche Stellen haben eigene Informationsangebote, z.B.:

- das IT-Sicherheits-Bundesamt BSI,
- „Deutschland sicher im Netz“ vom Innenministerium,
- die Verbraucherschutzzentrale(n),
- das englische National Cyber Security Centre oder
- das Sicherheitsportal des guten alten FBI.

Woran erkennt man Phishing?

Phishing zu erkennen, kann ziemlich schwer sein. Hier sind einige Anzeichen, die einem sagen können, ob eine Nachricht verdächtig ist.

Weitere Informationen
BSI Deutsch Deutsch Wie erkenne ich Phishing-E-Mails und -Webseiten?

Das Bundesamt für Sicherheit in der Informationstechnik erklärt in einem anschaulichen Video, wie Phishing funktioniert und woran man es erkennt.

bsi.bund.de NCSC's Logo Englisch Dealing with suspicious emails, phone calls and text messages

How to spot the most obvious signs of a scam, and what to do if you've already responded.

ncsc.gov.uk Screenshot einer Phishing-Mail Deutsch Deutsch Beispiele für Phishing-Versuche

Die Verbraucherschutzzentrale zeigt eine Liste kürzlicher Phishing-Versuche, die du dir unbedingt ansehen solltest.

verbraucherzentrale.de