E-Mail-Phishing

E-Mail-Phishing ist eine Variante des Social Engineering, bei der Kriminelle gefälschte E-Mails verwenden, um Betroffene zu manipulieren. Die E-Mails sind so gestaltet, dass sie vertrauenswürdigen Quellen täuschend ähnlich sehen. Das Ziel der Angreifer ist es, Betroffene dazu zu verleiten, auf schädliche Links zu klicken, infizierte Anhänge zu öffnen oder ihre persönlichen Daten auf betrügerischen Websites einzugeben.

Im Folgenden stellen wir Ihnen Beispiele für E-Mail-Phishing vor, die jedoch auch in abgewandelter Form sowie im DATEV-Kontext auftreten können:

• Bank-Phishing:
  Ein typisches Beispiel für E-Mail-Phishing ist eine E-Mail, die vorgibt, von Ihrer Bank zu stammen. In dieser E-Mail wird behauptet, dass verdächtige Aktivitäten auf Ihrem Konto festgestellt wurden und Sie daher Ihre Kontodaten überprüfen und bestätigen müssten. Die E-Mail enthält einen Link, der zu einer gefälschten Bank-Website führt. Klickt man auf diesen Link und gibt auf der gefälschten Website sensible Daten (Passwörter, Kreditkartendaten, etc.) ein, gelangen diese direkt in die Hände der Angreifer.

• E-Mail von einem vermeintlichen Vorgesetzten:
  Bei dieser Variante geben Social Engineers mit einer gefälschten E-Mail vor, ein Vorgesetzter oder anderer hochrangiger Kollege zu sein. Es wird behauptet, dass man sich in einer wichtigen Besprechung befindet und dringend Unterstützung benötigt. Der Betroffene wird aufgefordert, eine bestimmte Geldsumme an einen angegebenen Empfänger zu überweisen. Diese Art von E-Mail nutzt das Vertrauen und die Autorität des vermeintlichen Absenders aus, um Betroffene zu einer schnellen Handlung zu bewegen, ohne die Anfrage zu hinterfragen.

• Gewinnbetrug:
  In einer solchen E-Mail wird behauptet, Sie hätten einen großen Geldbetrag in einer Lotterie oder einem Wettbewerb gewonnen. Um den Gewinn zu beanspruchen, sollen Sie auf einen Link klicken und Ihre persönlichen Daten eingeben. Dieser Link führt zu einer gefälschten Website der Social Engineers, die darauf abzielt, Ihre vertraulichen Daten abzugreifen.

• Rechnungsbetrug:
  Bei dieser E-Mail-Phishing-Variante wirkt eine E-Mail wie die Rechnung für einen Kauf, den Sie jedoch nie getätigt haben. Diese E-Mail enthält einen Anhang oder Link, um die vermeintliche Transaktion rückgängig zu machen. Beim Öffnen des Anhangs oder Anklicken des Links wird Ihr Computer mit Schadsoftware infiziert oder Ihre Daten werden gestohlen.

Absender, Betreff, Content – diese drei Komponenten sind entscheidend, um E-Mail-Phishing frühzeitig zu erkennen und abzuwehren. Die ABC-Regel bietet eine strukturierte Methode, um E-Mails auf mögliche Bedrohungen hin zu überprüfen.

Absender prüfen:
Überprüfen Sie den Absender der E-Mail. Phishing-E-Mails stammen oft von gefälschten oder unbekannten Adressen. Achten Sie auf Auffälligkeiten in der E-Mail-Adresse, die auf den ersten Blick vertrauenswürdig erscheinen könnten, wie beispielsweise „@amaz0n.com“ statt „@amazon.com“. Auch wenn der Absendername vertraut erscheint, kann die E-Mail-Adresse gefälscht sein.

Betreff prüfen:
Der Betreff einer E-Mail kann ein weiterer Hinweis auf Phishing sein. Phishing-E-Mails enthalten oft Betreffzeilen, die Dringlichkeit vermitteln oder eine sofortige Aktion erfordern, wie "Ihr Konto wurde gesperrt" oder "Dringende Zahlungsaufforderung". Seien Sie skeptisch gegenüber Betreffzeilen, die sie zu unbedachten, impulsiven Handlungen verleiten.

Content prüfen:
Überprüfen Sie den Inhalt der E-Mail sorgfältig. Phishing-E-Mails enthalten häufig grammatikalische Fehler, unübliche Formulierungen und Links zu gefälschten Websites. Achten Sie auf Aufforderungen zur Preisgabe persönlicher Informationen oder zur Durchführung sofortiger Aktionen. Klicken Sie keinesfalls auf Links oder Anhänge in verdächtigen E-Mails. Seriöse Anbieter werden Sie niemals nach sensiblen Daten per Mail fragen. Wechseln Sie im Zweifelsfall auf die offizielle Website des Absenders, um die Echtheit des Inhalts der E-Mail zu überprüfen.

Sind Sie von einem E-Mail-Phishing-Angriff im DATEV-Kontext betroffen?
Dann können Sie dies an folgende E-Mail-Adresse melden: abuse@datev.de

Dadurch haben wir die Möglichkeit, den Vorfall in Abstimmung mit Ihnen im Bereich Betrugsversuche im DATEV-Kontext zu dokumentieren – selbstverständlich anonym und vertraulich. Sie helfen uns damit, zeitnah weitere Kunden und Mitglieder zu warnen.

Wie Sie sich im Falle eines IT-Sicherheitsvorfalls verhalten sollten, finden Sie unter Hilfe für den Ernstfall.