Letztes Jahr erhielt ich eine E-Mail von meiner „Bank“, die mich auf verdächtige Aktivitäten auf meinem Konto aufmerksam machte. Das Layout und das Logo stimmten mit anderen offiziellen Mitteilungen überein, die ich von der Bank erhalten hatte, und ich war natürlich beunruhigt.
Aber ein paar Dinge passten einfach nicht zusammen. Anstatt meinen Namen zu verwenden, wurde ich mit „Sehr geehrter Kunde“ angesprochen. Danach sollte ich meine Kontodaten überprüfen, was den Sicherheitshinweisen der Bank zu widersprechen schien. Das auffälligste Warnsignal war jedoch die E-Mail-Adresse, die nicht mit der Domain der Bank übereinstimmte.
![→ Jetzt herunterladen: Der Anfängerleitfaden zum E-Mail-Marketing [Kostenloses E-Book]](https://zephyrnet.com/wp-content/uploads/2024/02/4-phishing-email-examples-even-i-could-fall-for-how-to-spot-them.png)
Betrüger sind ziemlich schlau geworden. Tools wie generative KI haben es ihnen leicht gemacht, das Branding, den Ton und sogar den Schreibstil seriöser Unternehmen nachzuahmen.
Dennoch gibt es verräterische Anzeichen, die Ihnen helfen, einen Phishing-Versuch zu erkennen. Hier bespreche ich diese Anzeichen und teile Phishing-E-Mail-Beispiele, die jeden täuschen könnten.
Was ist eine Phishing-E-Mail?
Eine Phishing-E-Mail ist eine Art Online-Betrug, der Empfänger dazu verleitet, vertrauliche Informationen wie Anmeldedaten, Kreditkartennummern oder persönliche Identifikationsdaten anzugeben.
Hier ist zum Beispiel eine E-Mail, die Debbie Moran, Marketing Manager bei RecurPost, erhalten:
Cyberkriminelle gestalten diese E-Mails so, dass sie den Anschein erwecken, als kämen sie von legitimen Quellen – Banken, offiziellen Stellen oder bekannten Unternehmen –, um ein Gefühl der Dringlichkeit oder Angst zu erwecken und sofortiges Handeln zu veranlassen.
Der Betrüger nutzt die gestohlenen Informationen dann, um Betrug oder Identitätsdiebstahl zu begehen, auf die Finanzkonten des Opfers zuzugreifen, unbefugte Einkäufe zu tätigen oder sogar weitere Phishing-Angriffe gegen andere zu starten.
Die verschiedenen Arten von Phishing-E-Mails
Phishing-E-Mails gibt es in allen Formen und Größen, jede darauf ausgelegt, eine bestimmte Schwachstelle oder ein bestimmtes Szenario auszunutzen.
Jede Art von Phishing-E-Mail nutzt bestimmte menschliche Eigenschaften wie Vertrauen, Angst oder Neugier aus. Hier sind einige gängige Typen und Beispiele für Phishing-E-Mails, wie sie aussehen könnten.
Speer-Phishing
Spear-Phishing zielt mit hochgradig personalisierten E-Mails auf bestimmte Personen oder Organisationen ab. Angreifer nutzen Informationen aus sozialen Medien oder anderen Quellen, um die Nachricht legitim erscheinen zu lassen.
Hier ist zum Beispiel eine E-Mail, die Phan Sy Cuong, PR-Spezialist bei Awesome Motive, der Muttermarke von WP Anfänger, erhalten. Zu dem Zeitpunkt, als die Mitarbeiter des Unternehmens dies erhielten, arbeiteten sie für eine Mitarbeiterversicherung mit einem anderen Unternehmen zusammen.
Während das Design professionell genug war, um die Leute zu täuschen, ist das Gute daran, dass das Unternehmen über Checks and Balances verfügte.
„Wenn etwas Seltsames auftaucht, kommunizieren wir immer in unserem Unternehmenskanal, um zu prüfen, ob jemand das Gleiche erhält, oder wenden uns direkt an den Verantwortlichen – in diesem Fall war es der Personalleiter –, um sicherzustellen, dass es sich um etwas von unserem Unternehmen handelt.“ sagt Cuong.
Laut Cuong erhält das Team immer ein Heads-up, wenn etwas kommt. „Wir wurden auch über die Versicherung informiert, mit der wir zuvor Kontakt hatten, und räumten ein, dass die Versicherung in der E-Mail nicht korrekt war.“ Cuong sagt.
Walfang
Ein Whaling-Angriff ist ein Spear-Phishing-Angriff, der sich auf hochkarätige Ziele wie CEOs, CFOs oder andere leitende Angestellte konzentriert. Das Ziel besteht meist darin, sensible Informationen aus dem Unternehmen zu stehlen oder betrügerische Finanztransaktionen anzustoßen.
Zum Beispiel die Buchhaltung des Cybersicherheitsunternehmens Heimdal habe diese E-Mail-Serie erhalten.
Der Angreifer erstellte zwei E-Mail-Adressen, verschickte zwischen ihnen mehrere E-Mails und leitete sie an die Buchhaltung des Unternehmens weiter. Es ist ein netter Trick, eine Reihe von E-Mails zu erstellen, die Sie zur Zahlung weiterleiten.
Valentin Rusu, der Forschungsleiter bei Heimdal, fügt hinzu, dass insbesondere der Walfang „ein sehr gefährlicher Trend ist, da bestehende Sicherheitssysteme auf einem Fehler in der Grammatik, verdächtigen E-Mails, verdächtigen Links und Absichten basieren“.
Wenn eine E-Mail solche Probleme nicht aufweist, stellt ein Cybersicherheitsunternehmen wie Heimdal seinen Kunden ein persönliches, maßgeschneidertes neuronales Netzwerk zur Verfügung, das aus ihren Daten lernt und sich an ihr E-Mail-Verhalten anpasst.
Rusu gibt ein Beispiel. Als Incident-Response-Manager sei es laut Rusu normal, viele bösartige URLs und Anhänge zu erhalten. Dies ist jedoch kein normales Verhalten für eine Finanzabteilung.
„Das bedeutet, dass man kein E-Mail-Produkt erstellen kann, das für jedes Szenario funktioniert. Deshalb haben wir ein benutzerdefiniertes neuronales Netzwerk erstellt. „Diese persönliche KI lernt aus Unternehmens-E-Mails und erkennt Verhalten, das nicht den Mustern entspricht“, sagt Rusu.
Pharming
Pharming leitet Benutzer über DNS-Hijacking oder -Poisoning von legitimen Websites auf betrügerische Websites um, um persönliche und finanzielle Informationen zu sammeln. Der Angriff erfolgt nicht per E-Mail, wird jedoch häufig mit Phishing-E-Mails gepaart.
Beispiel: Eine E-Mail Ihrer „Bank“, in der Sie über einen bereitgestellten Link aufgefordert werden, sich bei Ihrem Konto anzumelden, führt Sie dann zu einer gefälschten Bankseite, die mit der echten identisch aussieht.
Klonen Sie Phishing
Beim Klon-Phishing wird eine nahezu identische Kopie einer zuvor gesendeten E-Mail erstellt, jedoch mit schädlichen Links oder Anhängen. Der Angreifer könnte behaupten, dass er die E-Mail aufgrund eines fehlgeschlagenen Zustellversuchs oder der Aktualisierung des Inhalts erneut sendet.
Hier ist beispielsweise eine E-Mail, die eine FedEx-Lieferbenachrichtigungs-E-Mail imitiert.
Vishing (Sprach-Phishing)
Beim Vishing bzw. Voice-Phishing werden die Opfer über Telefonanrufe statt E-Mails getäuscht. Es ist erwähnenswert, da es häufig das E-Mail-Phishing ergänzt.
Zum Beispiel eine Voicemail oder ein direkter Anruf, der vorgibt, von Ihrer Bank zu kommen, verdächtige Aktivitäten auf Ihrem Konto angibt und Sie auffordert, unter der angegebenen Nummer zurückzurufen, was zu einem Betrüger führt.
Smishing (SMS-Phishing)
Smishing ähnelt Phishing, verwendet jedoch SMS-Texte. Es leitet Benutzer auf bösartige Websites weiter oder fordert sie per Textnachricht auf, persönliche Informationen anzugeben.
Hier ist zum Beispiel eine angebliche E-Mail der Canadian Revenue Agency, die mich mit einem Versprechen von 400 US-Dollar dazu verleitet, auf den Klick zu klicken.
So erkennen Sie eine Phishing-E-Mail
Phishing-E-Mails sind wirklich ausgefeilt, insbesondere seit GenAI-Tools wie ChatGPT es ganz einfach gemacht haben, personalisierte Phishing-E-Mails in Sekundenschnelle zu erstellen.
Tatsächlich ist hier ein Beispiel von Valentin, der ChatGPT für dasselbe verwendet:
Beängstigend, nicht wahr? Entsprechend Proofpoints „State of the Phishing“ 2023 Berichten zufolge wissen rund 45 % der Menschen nicht, dass eine bekannte Unternehmensmarke eine E-Mail nicht sicher macht.
Um Ihre Chancen zu erhöhen, vor solchen E-Mails geschützt zu sein, achten Sie auf diese sechs Anzeichen:
1. Verdächtige E-Mail-Adressen
Sie haben eine E-Mail erhalten, die anscheinend von einem Unternehmen stammt, das Sie kennen.
Aber schauen Sie sich die E-Mail-Adresse des Absenders genauer an. Wenn es sich um ein Durcheinander von Buchstaben oder subtile Rechtschreibfehler (wie „amaz0n.com“) handelt, ist das ein Warnsignal. Seriöse Unternehmen haben E-Mail-Adressen, die mit ihren Domainnamen übereinstimmen.
Seriöse Unternehmen nutzen auch keine öffentlichen Domains wie @gmail.com, @outlook.com, @yahoo.com oder andere kostenlose E-Mail-Dienste für offizielle Kommunikation.
Seien Sie vorsichtig, wenn Sie eine E-Mail erhalten, die vorgibt, von einem seriösen Unternehmen zu stammen, diese aber von einem dieser öffentlichen Domains gesendet wurde.
Dieses Detail ist ein wichtiger Indikator zur Unterscheidung zwischen einer echten E-Mail und einem potenziellen Phishing-Versuch.
2. Grammatik- und Rechtschreibfehler
Haben Sie schon einmal eine E-Mail geöffnet und ein oder zwei Tippfehler entdeckt? Natürlich machen wir alle Fehler, aber eine Nachricht voller Grammatikfehler und Rechtschreibfehler weist auf ein ernstes Problem hin.
Achten Sie auf Tippfehler, seltsame Grammatik und Sätze, die nicht richtig klingen. Achten Sie außerdem auf umständliche Formulierungen oder den Missbrauch gebräuchlicher Begriffe – etwa „Sehr geehrter Kunde, bestätigen Sie Ihre Identität, indem Sie unten klicken.“
Echte Unternehmen verfügen über Korrektor- und Rechtschreibprüfungstools für ihre E-Mails, weil sie wissen, dass Fehler nicht den besten Eindruck hinterlassen.
3. Ungewohnte Begrüßungen oder Abschiede
Wenn eine E-Mail mit „Sehr geehrter Kunde“ oder einem allgemeinen Begriff anstelle Ihres Namens beginnt, handelt es sich möglicherweise um einen Betrug. Das Gleiche gilt für seltsame oder übermäßig formelle Verabschiedungen. Es sieht vielleicht förmlich aus, ist aber auch ein Zeichen dafür, dass der Absender Sie nicht wirklich kennt.
Seriöse Unternehmen, mit denen Sie Geschäfte machen, haben Ihren Namen in ihrer Datenbank. Das Gleiche gilt auch für ihre Abmeldungen. Steife Verabschiedungen, wie ein formelles „Herzliches“ von Ihrem vermeintlich zufälligen Dienstleister oder ein abruptes „Dankeschön“ ohne weitere Details, sind Warnsignale.
4. Verdächtige Links oder Anhänge
Einer der schwierigsten Aspekte beim Umgang mit Phishing-E-Mails sind lückenhafte Links und Anhänge. Wenn Sie versehentlich darauf klicken, schleusen Sie möglicherweise Malware auf Ihren Computer ein.
Überprüfen Sie immer die URL, bevor Sie darauf klicken. Wenn in der E-Mail steht, dass sie von Ihrer Bank stammt, der Link aber auf etwas Seltsames verweist (z. B. eine zufällige Ansammlung von Zeichen oder eine Website, die nicht mit der tatsächlichen URL der Bank übereinstimmt), ist das Ihr Anlass, einen Schritt zurückzutreten.
Ein gängiger Trick besteht auch darin, ein Dokument zu versenden, das vorgibt, eine Rechnung, eine Quittung oder ein „unbedingt sehenswertes“ Angebot zu sein. Aber in dem Moment, in dem Sie es öffnen, könnten Sie Malware oder einen Virus direkt durch Ihr System laufen lassen.
Der Schlüssel? Bewegen Sie den Mauszeiger über die Links, um zu sehen, wohin sie Sie wirklich führen (ohne anzuklicken!). Und wenn es sich um einen Anhang handelt, den Sie nicht erwartet haben, wenden Sie sich über einen anderen Kanal an den Absender, um zu bestätigen, dass er echt ist.
5. Anfragen nach personenbezogenen Daten
Kein seriöses Unternehmen wird per E-Mail nach vertraulichen Informationen fragen. Egal wie offiziell eine E-Mail aussieht, denken Sie daran: Seriöse Organisationen fragen per E-Mail nicht nach sensiblen Daten wie Passwörtern, Kreditkartennummern oder Sozialversicherungsnummern.
In einer E-Mail könnte beispielsweise Folgendes lauten: „Wir haben verdächtige Aktivitäten in Ihrem Konto festgestellt.“ Bitte bestätigen Sie Ihr Passwort, um Ihr Konto zu sichern.“ Es ist eine Falle. Echte Banken und Unternehmen verfügen über sichere Prozesse für den Umgang mit solchen Situationen, und dabei werden vertrauliche Informationen definitiv nicht per E-Mail verschickt.
So gehen Sie vor: Antworten Sie niemals mit Ihren persönlichen Daten. Wenn Sie auch nur ein bisschen besorgt sind, wenden Sie sich direkt an die Quelle. Melden Sie sich über die offizielle Website bei Ihrem Konto an oder rufen Sie die offizielle Kontaktnummer an.
6. Dringende oder bedrohliche Sprache
Haben Sie jemals eine E-Mail erhalten, die Ihr Herz höher schlagen lässt?
„Sofortiges Handeln erforderlich!“ oder „Ihr Konto wurde kompromittiert!“ – klingt ziemlich dringend, oder? Doch genau das wollen Phisher. Sie verwenden eindringliche oder bedrohliche Ausdrücke, um Sie dazu zu bringen, ohne nachzudenken zu reagieren.
Beispielsweise könnten Sätze wie „Ihr Kontopasswort ist abgelaufen, aktualisieren Sie es jetzt, bevor Sie den Zugriff auf Ihr Konto verlieren“ oder „Der Versuch, Ihr Paket zuzustellen, fehlgeschlagen“ angezeigt werden. Bitte aktualisieren Sie Ihre Informationen innerhalb der nächsten 24 Stunden.“
Seriöse Organisationen schrecken Sie normalerweise nicht ein – sie beruhigen Sie.
Wenden Sie sich stattdessen direkt an das Unternehmen, indem Sie die Kontaktinformationen verwenden, die Sie über offizielle Kanäle finden, und nicht per E-Mail. Wenn jemand Sie zu schnellem Handeln drängt, liegt das wahrscheinlich daran, dass er nicht möchte, dass Sie zu viel darüber nachdenken, was Sie tun, oder sich mit anderen beraten.
Phishing-E-Mails, auf die ich hätte hereinfallen können (und warum ich es letztendlich nicht getan habe)
Ich habe mehrere überzeugende Phishing-E-Mail-Beispiele gesehen, die mich hätten täuschen können, wenn es nicht ein paar entscheidende Warnsignale gegeben hätte. Hier teile ich einige dieser knappen Entscheidungen und erkläre, warum ich letztendlich nicht auf sie hereingefallen bin.
PayPal
Auf den ersten Blick spiegelt die E-Mail das PayPal-Branding mit Farbschema und Logo wider, um auf den ersten Blick Authentizität zu suggerieren. Bei näherer Betrachtung zeigten sich jedoch zahlreiche Rechtschreibfehler wie „by Following Link“, „successfuly“ und „at the Movement“.
Auch die Begrüßung war nicht persönlich („Hallo lieber Kunde“), was vom üblichen Kommunikationsstil von PayPal abweicht. Zudem mangelt es der Freigabe („PayPal-Dienst“) an der vom Unternehmen erwarteten Professionalität.
Netflix
In der Betreffzeile dieser E-Mail stand: „Ihre Mitgliedschaft wurde wegen fehlgeschlagener Zahlung gekündigt“, was sofort meine Aufmerksamkeit erregte.
Doch der Inhalt der E-Mail widersprach dieser Nachricht und behauptete: „Wir haben Ihr Konto gesperrt, wie Sie es gewünscht haben.“ Diese Inkonsistenz war ein klares Warnsignal.
Abgesehen davon wirkte die Schlussbemerkung „Eure Freunde bei Netflix“ für die offizielle Netflix-Kommunikation ungewöhnlich informell.
Das deutlichste Anzeichen für einen Phishing-Versuch war jedoch die E-Mail-Adresse des Absenders: no-reply@talents-connect.fr, eine Domain, die eindeutig nichts mit Netflix zu tun hat. Diese Anzeichen machten ziemlich deutlich, dass es sich bei dieser E-Mail um einen Phishing-Versuch handelte.
Apple
Ich habe eine E-Mail erhalten, die sehr nach Apple aussah, mit dem richtigen Logo und allem. Die Begrüßung war das erste Warnsignal – adressiert an „Sehr geehrter Kunde“ statt an meinen Namen.
In der E-Mail wurden Unstimmigkeiten in meinen Kontoinformationen erwähnt und mit der Sperrung meines iCloud-Zugriffs gedroht, wenn das Problem nicht innerhalb von 24 Stunden behoben werde. Phishing-Versuche nutzen diese Dringlichkeit, um Menschen dazu zu verleiten, schnell und weniger vorsichtig zu reagieren.
Es gab mir eine Fallnummer, obwohl ich Apple zu keinem Thema kontaktiert hatte, also war es irrelevant. Außerdem wurde in der Betreffzeile von der Sperrung meiner AppleID gesprochen und von Ontario aus vorgenommene Änderungen erwähnt, die nicht zum Rest der E-Mail-Geschichte passten.
Diese Dinge passten nicht zusammen: die seltsame Begrüßung, die Eile, mein Konto zu reparieren, die Fallnummer aus dem Nichts und die nicht übereinstimmende Betreffzeile. Sie alle wiesen darauf hin, dass die E-Mail nicht wirklich von Apple stammte.
Amazon
Ich habe kürzlich eine E-Mail von Amazon erhalten, die auf den ersten Blick so aussah, als ob sie vom Unternehmen stammte. Das Branding schien korrekt zu sein und passte zum Farbschema und Logo von Amazon. Allerdings gab es ein paar Unstimmigkeiten.
Die E-Mail-Adresse des Absenders war eine unsinnige Kombination aus Buchstaben und Zahlen. Es gab auch eine angehängte Datei (die bereits ein Warnsignal darstellt) mit einem zufälligen, bedeutungslosen Namen, der die Unrechtmäßigkeit der E-Mail bestätigte.
In der E-Mail wurde außerdem versucht, die Nachricht mit meiner E-Mail-Adresse und nicht mit meinem Namen zu personalisieren.
Darüber hinaus trugen die Verwendung von „amazon“ ohne korrekte Groß- und Kleinschreibung, ein aus dem Zusammenhang gerissener Call-to-Action mit der Bezeichnung „Mein Konto“ und eine unangenehme Schlussbemerkung „Vielen Dank, dass Sie mit uns Geschäfte machen!“ dazu bei erkannte, dass es sich bei dieser E-Mail um einen Phishing-Versuch handelte.
Kein Phishing mehr
Betrüger sind schlau und nutzen viele Tools, um E-Mails authentisch und überzeugend zu gestalten. Aber diese Werkzeuge und Versuche basieren immer auf menschlicher Vorstellungskraft.
Sie machen sich Emotionen zunutze – Angst, Dringlichkeit, Neugier –, um schnelle, unüberlegte Handlungen zu veranlassen. Das Erkennen von Mustern wie z. B. dringender Sprache, Anfragen nach persönlichen Informationen oder Links, die nicht ganz mit der Website des vermeintlichen Absenders übereinstimmen, kann Ihre erste Verteidigungslinie sein.
Schließlich sollten Sie sich weiterbilden und Ihr Wissen mit Tools wie Spamfiltern, Antivirensoftware und E-Mail-Verifizierung ergänzen, um zu verhindern, dass Ihre persönlichen Daten in die falschen Hände geraten.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://blog.hubspot.com/marketing/phishing-email-examples
