So erkennen Sie Phishing-E-Mails

Gerade in den Wochen vor Weihnachten ist die Wahrscheinlichkeit hoch, eine Phishing-E-Mail in der Mailbox zu finden. Denn mit der Vielzahl an Weihnachtsgeschenken, die im Online-Handel gekauft werden, steigen auch die Sicherheitsrisiken. Bekannt sind z.B. Spam-Mails, die sich auf ein fiktives Paket beziehen, das wegen nicht bezahlter Zoll- oder Versandgebühren nicht geliefert werden kann.

Solche Phishing-E-Mails landen besonders häufig in der privaten Mailbox. Aber auch in den ETH-Mailboxen finden sich hin und wieder Nachrichten, bei denen man skeptisch werden kann und sollte. Beispielsweise, wenn’s um eine Mahnung für eine nicht beglichene Rechnung geht – womöglich für eine Dienstleistung, die man nie bezogen hat.

Phishing-E-Mails sicher erkennen

Damit Sie nicht in die Falle tappen und Cyberkriminelle keine Chance haben, achten Sie bei E-Mails auf folgende Anzeichen:

• Unter Druck setzen: Viele Phishing-E-Mails spielen auf Emotionen. Formulierungen wie «Sie müssen innert 24 Stunden auf diesen Link klicken, um Ihren Account zu reaktivieren.» oder «Ihr Account wird blockiert.» werden verwendet, um Angst zu erzeugen, Druck auszuüben und Sie zu einem bestimmten Verhalten zu drängen (z.B. Angabe von Konto-Details, Verifizierungs-Links, kaufen von Wertkarten etc.). Werden Sie in diesen Fällen misstrauisch – womöglich werden Sie gerade «gephisht».
• Persönliche Angaben: Seriöse Dienstleister verlangen von ihren Kunden nie die Angabe von Passwörtern oder Kreditkartendaten per E-Mail oder Telefon. Keine der ETH-Services wird nach Ihrem Passwort fragen.
• Rechtschreibe- und Grammatikfehler: Oft enthalten Phishing-E-Mails unvollständige Sätze oder grammatikalische Fehler. Allerdings: Auch bei korrekt formulierten Texten kann es sich um eine Phishing-E-Mail handeln.
• Versandzeit: Phishing-E-Mails werden öfters zu einer unüblichen Zeit verschickt.
• Anrede: Sie werden in der E-Mail nicht mit Ihrem Namen angesprochen.
• Absender: Absender können gefälscht sein, und sich z.B. als seriöse Bank oder vorgesetzte Stelle ausgeben. Prüfen Sie die Absenderadresse, z.B. indem Sie mit der Maus darüberfahren oder indem Sie ​im Zweifelsfall telefonisch beim Absender zurückfragen. Verwenden Sie bei Rückfragen jedoch immer die Ihnen bekannte, offizielle Telefonnummer des Absenders, nie die in der E-Mail angegebene Nummer.
• Es gilt: Klicken Sie niemals auf Links oder Attachments in fragwürdigen E-​Mails.

Sicher surfen auf externen Webseiten

Wenn eine E-Mail Sie zum Besuch einer Webseite veranlasst, dann vergewissern Sie sich, dass Sie auf der rechtmässigen Webseite gelandet sind, bevor Sie darauf irgendwelche Eingaben tätigen. Achten Sie auf folgende Details:

Stimmt die URL der Webseite?

• Phishing-Links werden «verschleiert», um auszusehen wie ein Link zu einer Login-Seite: Bsp. «https://password.ethz.ch»
• Oft ist der Text in der URL leicht verändert oder enthält Buchstabendreher: Bsp. «https://password.ehtz.ch»
• Die URL zeigt woanders hin: Bsp. https://password.ethz.ch.free.fr
• Wenn Sie mit der Maus über den Link fahren ohne zu klicken und ein anderer, langer Domain-Name erscheint, handelt es sich möglicherweise um einen Phishing-Versuch.

Handelt es sich um eine verschlüsselte Verbindung (https)?
Ist das SSL-Zertifikat dieser Webseite ein gültiges Zertifikat?