Nov 25, 2022 • in 10 Min gelesen

0 Kommentare

Fallen Sie nicht auf E-Mail-Betrug an diesem Black Friday herein

Die Infrastruktur, auf der Internet-E-Mails laufen, hat sich in den letzten 30 Jahren nicht wesentlich verändert. Ja, wir haben ein paar Sachen wie Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) hinzugefügt, aber im Wesentlichen bleibt das Protokoll dasselbe. Genau das ist das Problem. Die E-Mail wurde in einer einfacheren Zeit entwickelt. Eine Zeit, in der das Internet eine vertrauenswürdige Ressource war und sich niemand Gedanken darüber machte, dass es leicht ist, die Kopfzeilen einer E-Mail so zu fälschen, dass es so aussieht, als ob Ihr Vorgesetzter eine E-Mail vom Präsidenten der Vereinigten Staaten erhält, in der er Sie für Ihre hervorragende Arbeit lobt. Ich sage nicht, dass das passiert ist oder dass ich daran beteiligt war… aber rein hypothetisch ist es möglich.

Was können wir also tun, wenn wir der E-Mail nicht trauen können? Erstens ist die E-Mail heutzutage viel vertrauenswürdiger geworden. Dank Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) ist es viel einfacher, E-Mails zu erkennen, die angeblich vom Präsidenten stammen, aber von jemand anderes gesendet werden.

Zugriffs-E-Mail gesendet!

Anmelden für
mehr fantastischen Inhalt!

Abonnieren Sie unseren monatlichen Newsletter mit den neuesten hilfreichen Inhalten und Angeboten von SiteGround.

Vielen Dank!

Bitte überprüfen Sie Ihre E-Mails, um Ihr Abonnement zu bestätigen.

Doch trotz dieser neuen Technologien sind E-Mail-Betrüge immer noch weit verbreitet. Während wir uns auf die Weihnachtszeit vorbereiten, sollten wir einen Moment innehalten und uns ein paar Dinge ansehen, die Sie tun können, um nicht auf den neuesten Betrug hereinzufallen. (Die nicht darin bestehen, E-Mails an ahnungslose Chefs zu schicken…)

E-Mail-Betrug vor dem Sie sich in Acht nehmen müssen

Werfen wir einen Blick auf einige der vielen Möglichkeiten, die andere ausnutzen können, um Ihnen per E-Mail zu schaden. Die erste Gruppe fällt in die Kategorie der Phishing-Betrüge. Ein Phishing-Betrug ist im Grunde eine E-Mail, die Ihnen vorgaukeln soll, dass sie von jemand Bestimmten stammt, und Sie dazu bringen soll, auf einen in der E-Mail enthaltenen Link zu klicken.

Die gefälschten Anfragen zur “Verifizierung des Kontos”

Sie können von Ihrer Bank, von Netflix, von Twitter oder von einer dieser Websites kommen, bei denen Sie nicht zugeben, dass Sie dort ein Konto haben. Es spielt keine Rolle, woher sie kommen, sie haben alle dieselbe grundlegende Botschaft. 

“Ihr Konto wurde aus einem bestimmten Grund gesperrt. Um Ihr Konto wieder zu eröffnen, bevor wir es vollständig löschen, klicken Sie auf diesen Link.”

Kleiner Tipp: Kein vertrauenswürdiges System verschickt diese E-Mails zufällig. Wenn Sie eine erhalten und derzeit nicht mit dieser Organisation interagieren, dann handelt es sich mit ziemlicher Sicherheit um einen Phishing-Betrug.

Wenn Sie Zweifel haben, nehmen Sie die Unterlagen dieser Organisation zur Hand, suchen Sie eine Telefonnummer heraus und rufen Sie dort an. Fragen Sie, ob es ein Problem mit Ihrem Konto gibt. Wenn sie nein sagen, bedanken Sie sich, wünschen Sie ihnen einen schönen Tag, legen Sie auf, markieren Sie die E-Mail als Spam und machen Sie weiter mit Ihrem Leben.

Die überraschenden “Abrechnungsfehler”-Meldungen

Wussten Sie, dass es für böse Menschen möglich ist, Dinge über Sie herauszufinden, ohne dass Sie es ihnen sagen? Es ist relativ einfach, herauszufinden, wo eine Website gehostet wird. Wenn böse Menschen solche Informationen herausfinden, nutzen sie sie gerne zu ihrem Vorteil und zu Ihrem Schaden. Das ist die “Abrechnungsfehler”-Meldung.

Wenn Sie zum Beispiel ein SiteGround-Kunde sind und eine E-Mail von SiteGround erhalten, in der Sie darüber informiert werden, dass ein Abrechnungsfehler aufgetreten ist und Sie nun $XXXXX mehr schulden, machen Sie erstmal halt. Klicken Sie auf keinen der Links in der E-Mail. Gehen Sie stattdessen auf die SiteGround-Supportseite und starten Sie einen Chat mit einem ihrer großartigen Supportmitarbeiter. Sie können Ihnen sagen, ob es ein Problem mit Ihrem Konto gibt oder nicht. 

Hier ist ein Beispiel für eine Phishing-E-Mail, in der ein SiteGround-Kunde aufgefordert wird, seine Rechnungsdaten zu aktualisieren, um seine Domain verlängern zu können:

Beachten Sie, dass diese gefälschte E-Mail nicht den Namen des Empfängers enthält. echte SiteGround-E-Mails sollten den Namen enthalten, den Sie bei der Registrierung Ihres Kontos angegeben haben.

Beachten Sie außerdem, dass diese E-Mail Grammatik- und Rechtschreibfehler enthält. Zusammen mit der schlechten Formatierung sind das feste Hinweise für eine Betrugs-E-Mail.

Und schließlich – die Signatur ist nicht die die vom SiteGround-Team verwendet wird.

Wenn Sie sich vergewissert haben, dass es sich nicht um einen Abrechnungsfehler handelt, bedanken Sie sich bei der netten Support-Person, wünschen ihr einen schönen Tag, beenden den Chat, markieren die E-Mail als Spam und machen mit Ihrem Leben weiter.

Die Forderung nach “Auftragsbestätigung”

Ein Klassiker, der heutzutage aufgrund des explosionsartigen Anstiegs des elektronischen Geschäftsverkehrs häufig auftaucht, ist die “Auftragsbestätigung”. Diese sind am effektivsten, wenn sie von Unternehmen stammen, mit denen Sie noch nie zu tun hatten. In der Regel geht es dabei auch um große Geldbeträge. Die Idee dahinter ist, Sie so sehr zu verunsichern, dass Sie natürlich auf den Link zum “Widerruf” der Bestellung klicken.

Wenn die E-Mail aussieht, als stamme sie von einem Unternehmen, mit dem Sie keine Geschäfte machen, ignorieren Sie sie. Markieren Sie sie als Spam und machen Sie mit Ihrem Leben weiter.

Wenn es so aussieht, als käme sie von einem Unternehmen, mit dem Sie Geschäfte machen oder gemacht haben, wenden Sie sich direkt an das Unternehmen und nicht durch die E-Mail. Sprechen Sie mit der Verkaufs- oder Buchhaltungsabteilung und erkundigen Sie sich, ob jemand in Ihrem Namen eine Bestellung aufgegeben hat… Wenn Sie feststellen, dass die Antwort nein lautet… nun, Sie wissen inzwischen, wie es läuft.

Die “Click and Collect” Betrug

Dank der jüngsten Pandemie ist “Click and Collect” eine gängige Art des Einkaufens geworden. Sie kaufen etwas online bei einem Einzelhändler in Ihrer Nähe. Sie fahren zu dem Geschäft und sagen Bescheid, dass Sie da sind, und der Händler bringt Ihnen die Ware ins Auto. Manchmal wird die Ware sogar in den Kofferraum gelegt, so dass Sie den Händler nicht einmal persönlich treffen müssen.

Nirgendwo im Click-and-Collect-Workflow gibt es eine E-Mail, in der steht: “Klicken Sie hier, wenn Sie das nicht bestellt haben”. Behandeln Sie diese E-Mails genauso wie асе Auftragsbestätigungsanfragen. Wenn Sie nicht mit dem Unternehmen zusammenarbeiten, ist das ein Betrug. Wenn Sie mit dem Unternehmen zu tun haben, aber keine Bestellung aufgegeben haben, handelt es sich um einen Betrug. Im Zweifelsfall sollten Sie sich direkt an das Unternehmen wenden und nicht auf die fragwürdige E-Mail antworten.

Manchmal sind Betrüger wirklich WIRKLICH gut. Sie schicken Ihnen eine E-Mail, die genau richtig aussieht.

Echte Phishing-E-Mails (nun ja, Screenshots)

Wie sehen gute Phishing-E-Mails aus? Hier finden Sie einige Beispiele für echte Phishing-E-Mails, die an SiteGround-Kunden gesendet wurden.

Abgesehen von den bereits oben erwähnten Warnsignalen ist die “Absender”-E-Mail-Adresse dieser E-Mails keine gültige SiteGround-E-Mail. Darüber hinaus würde eine ordnungsgemäße SiteGround-E-Mail niemals die Zahlungsmethode erwähnen, mit der Sie den betreffenden Dienst bezahlt haben.

Wenn Sie ein SiteGround-Kunde sind und solche E-Mails melden möchten, bittet SiteGround Sie, die gesamte E-Mail als Anhang zu senden, da Sie damit Ihre eigenen Systeme trainieren, solche E-Mails zu blockieren (falls Ihre E-Mail bei SiteGround gehostet wird), damit sie nicht in Ihren Posteingang gelangen. Falls Ihre E-Mail nicht bei SiteGround gehostet wird, können Sie sie bei Ihrem E-Mail-Anbieter als Spam markieren.

Wenn Sie mehr darüber erfahren möchten, wie Sie sich vor Phishing-E-Mail-Angriffen schützen können, lesen Sie den Blog-Artikel zu diesem Thema.

Wie können Sie sich Während der Feiertage vor E-Mail-Betrug schützen?

Woran würden Sie also erkennen, dass es sich um eine betrügerische E-Mail handelt? Nun, die einfache Antwort lautet: “Seien Sie vorsichtig mit E-Mails”. Hier sind einige der Dinge, die ich tue, bevor ich auf einen Link in einer E-Mail klicke, egal in welcher E-Mail.

  1. Prüfen Sie die “Absenderadresse”.

    Wir haben dies bereits getan, aber sehr viele Phishing-E-Mails kommen von unglaubwürdigen E-Mail-Adressen. Die meisten Betrüger machen sich nicht die Mühe, dies zu verbergen, weil nur wenige Menschen darauf achten. Ein kürzlich an mich gesandter Phishing-Versuch gab vor, von NetFlix zu stammen. Die E-Mail-Adresse lautete jedoch XXX@yahoo.jp. Ja, Yahoo hat eine japanische Domain, aber von dort werden keine E-Mails für NetFlix verschickt! Nicht einmal an japanische Kunden.

Eine gute Faustregel lautet: Wenn Sie eine E-Mail von jemandem nicht erwartet haben, selbst von einem Familienmitglied oder Freund, betrachten Sie sie als verdächtig, bis Sie wissen, dass sie tatsächlich von dieser Person stammt. Wenn Sie die Person, von der sie stammt, nicht erkennen, gehen Sie automatisch davon aus, dass sie unecht ist, bis Sie das Gegenteil beweisen können.

  1. Überprüfen Sie alle Links, bevor Sie sie anklicken.

    Bei den meisten E-Mail-Programmen können Sie heutzutage mit der Maus über einen Link fahren, auf dem “Hier klicken” (oder wo auch immer) steht, und sehen, wie die tatsächliche URL lautet. Lesen Sie sie SEHR VORSICHTIG. Achten Sie auf den Domain-Namen. https://goog.le ist nicht dasselbe wie https://google.com. Lesen Sie sie sorgfältig. Wenn sie verdächtig aussieht, klicken Sie sie nicht an.

Einige E-Mail-Programme zeigen Ihnen den Link in einem Popup-Fenster an, wenn Sie darauf klicken, und bitten Sie um eine Bestätigung, bevor sie tatsächlich einen Browser-Tab für diesen Link öffnen. Wenn Ihr E-Mail-Programm dies zulässt, sollten Sie diese Funktion auf jeden Fall einschalten. Ja, es ist ein zusätzlicher Schritt, bevor Sie das Foto des süßen Babys sehen können, das Ihnen Ihre Freundin geschickt hat, aber so können Sie sicherstellen, dass Sie tatsächlich ein Babyfoto sehen und keine Malware auf Ihrem Computer installieren.

  1. Anhänge nicht automatisch herunterladen

    Ihr E-Mail-Programm sollte so eingestellt sein, dass Anhänge nicht automatisch heruntergeladen werden. Das heißt, wenn Sie etwas aus einer E-Mail herunterladen, müssen Sie dies absichtlich tun. Wenn die E-Mail nicht in Ordnung zu sein scheint oder eine der hier besprochenen Prüfungen nicht besteht, sollten Sie nichts herunterladen. Selbst scheinbar harmlose Dinge wie Microsoft Word-Dokumente (klicken Sie hier, um die Rechnung für eine Dienstleistung zu sehen, die Sie nicht bestellt haben) können bösartige Dinge tun, wenn Sie sie öffnen. Wenn Sie nicht damit gerechnet haben, dass Ihnen jemand einen E-Mail-Anhang schickt, öffnen Sie ihn nicht!

  2. Lesen Sie den Header

    Ok, das ist etwas für die Hardcore-E-Mail-Nerds da draußen, aber diejenigen von uns, die schon eine Weile dabei sind, können eine Menge entdecken, wenn sie die Kopfzeilen jeder E-Mail lesen. Heutzutage verbergen E-Mail-Programme die Kopfzeilen vor Ihnen, aber sie sind da, wenn Sie sie lesen wollen.

  3. Hören Sie auf Ihr Gefühl

    Meine Frau, die reizende und talentierte Kathy, erhielt eines Tages eine E-Mail von unserem Pastor mit der Betreffzeile “I love you”. Sie war mit diesem Mann gut befreundet, und obwohl die Betreffzeile sie verwirrte, weckte sie auch ihr Interesse. Sie öffnete die E-Mail und musste feststellen, dass ein bösartiges Skript an die E-Mail angehängt war. Es löschte etwa ½ der Bilder, die wir auf unserem Heimserver gespeichert hatten, bevor ich es stoppen konnte. Zum Glück hatte ich eine Sicherungskopie, so dass es keine Verluste gab, abgesehen von den Stunden, die es dauerte, das Chaos zu beseitigen. Hätte sie ihn einfach angerufen, eine neue E-Mail geöffnet und ihm an die Adresse geschrieben, die sie in ihrer Kontaktliste hatte, oder ihn auf eine von einer halben Dutzend anderer Arten kontaktiert, hätte sie herausfinden können, dass die E-Mail nicht von ihm stammte, sondern ein Betrug war. Anstatt auf ihr Bauchgefühl zu vertrauen, öffnete sie die E-Mail.

Andere Black Friday-Betrüge, auf die man achten sollte

E-Mails sind bei weitem der einfachste Weg für böswillige Akteure, ahnungslose Menschen dazu zu bringen, schlechte Dinge zu tun. Es gibt jedoch noch eine Reihe anderer Möglichkeiten.

Links zu bösartigen “Nachahmer-Websites”

Wenn Sie eine E-Mail mit einem Link zu goog.le erhalten, ist das leicht zu erkennen. Wenn Sie jedoch auf https://reallyLongDomainName.com einkaufen und den Namen falsch schreiben oder einen Tippfehler machen, landen Sie vielleicht auf einer Website, die genau so aussieht wie die, die Sie eigentlich besuchen wollten.

Bösewichte suchen nach gängigen Rechtschreibfehlern für profitable Domains. Sie kaufen sie auf und stellen Nachahmer-Websites auf. Das sind Websites, die genauso aussehen wie die, nach denen Sie gesucht haben. Wahrscheinlich haben sie sogar Produkte und einen Einkaufswagen. Aber täuschen Sie sich nicht, es handelt sich um Betrug. Wenn Sie Ihre persönlichen Daten und Ihre Kreditkartennummer eingeben, erhalten Sie nicht die lila Widgets, die Sie bestellt haben und die Ihre Schwester lieben wird. Sie werden lediglich eine böse Überraschung erleben, wenn Ihre Kreditkartenabrechnung ankommt.

Das lässt sich ganz leicht verhindern, wenn Sie aufmerksam sind.

Wenn Sie eine Website aufrufen, sehen Sie sich zunächst die Adressleiste an. Ist neben dem Domain-Namen ein kleines Vorhängeschloss zu sehen?

Das kleine Schloss bedeutet, dass die Domain, die Sie verwenden, ein sicheres Zertifikat hat und dass es gültig ist. Wenn das kleine Schloss fehlt oder durchgestrichen ist, bedeutet das, dass das Zertifikat entweder nicht existiert oder für diese Domain ungültig ist. Beides sind eindeutige Warnsignale dafür, dass Sie auf dieser Website keine Geschäfte tätigen oder persönliche Daten eingeben sollten.

Ein SSL-Zertifikat reicht nicht immer aus, um festzustellen, ob Sie sich auf der richtigen Website befinden. Betrüger können z. B. sitegroound.com registrieren und ein Zertifikat darauf installieren. Das Zertifikat bietet in den meisten Fällen nur Verschlüsselung. Es ist immer eine gute Idee, auch die URL-Adresse zu überprüfen, insbesondere wenn Sie Zahlungen vornehmen, Konten einrichten, Formulare ausfüllen usw.

Websites, die sich als Lande- oder Anmeldeseiten ausgeben

Die letzte Art von Website-Betrug, über die wir sprechen werden, sind gefälschte Anmeldeseiten. Diese können Teil einer sehr gut aussehenden Fälschung sein, oder Sie gelangen auf eine Website, auf der Sie erst Ihre Anmeldedaten eingeben müssen, bevor Sie zu den eigentlichen Inhalten gelangen. Wenn es sich um einen E-Commerce-Anbieter handelt, mit dem Sie normalerweise Geschäfte machen, oder um eine Institution, bei der Sie eine Bankverbindung haben, sollten Sie anhalten. Tun Sie nichts weiter. Solche Websites richten nicht ganz plötzlich eine Anmeldeseite ein, ohne allen vorher Bescheid zu geben. Dies sind nichts anderes als “Passwortsammler”-Seiten.

Wenn Sie Ihre Anmeldedaten auf der Website eingeben, werden Sie sich nicht einloggen können, weil die Seite gefälscht ist. Aber Menschen sind hartnäckig. Sie gehen davon aus, dass Sie etwas falsch eingegeben haben… vor allem, wenn Sie ein langes und sehr sicheres Passwort verwenden. Also werden Sie es erneut versuchen.

Wenn Sie wie die Meisten von uns sind, werden Sie, wenn es beim zweiten Mal nicht funktioniert, davon ausgehen, dass Sie das falsche Kennwort verwendet haben, und Sie werden ein anderes Kennwort ausprobieren, und noch ein weiteres, und vielleicht sogar ein viertes, bevor Sie auf die Idee kommen, dass etwas nicht stimmen könnte.

Alle von Ihnen eingegebenen Anmeldedaten sind in einer Datenbank gespeichert, und böse Menschen werden sie benutzen, um sich auf jeder Website anzumelden, von der sie glauben, dass Sie dort ein Konto haben. Da Sie ihnen echte Anmeldedaten gegeben haben, haben Sie die Schlüssel zum Königreich verschenkt.

Seien Sie wachsam, seien Sie vorsichtig, seien Sie misstrauisch bis hin zu paranoid. Bevor Sie Informationen auf einer Website eingeben, sollten Sie sich absolut sicher sein, dass Sie auf der richtigen Website sind. Der Schein kann trügen.

Wie Man in dieser Urlaubssaison Sicher im Internet Surft

  1. Seien Sie bei unbekannten oder unerwarteten E-Mails immer misstrauisch.

Wenn Sie die Person nicht kennen oder wenn Sie sie zwar kennen, aber nicht erwarten, von ihr zu hören, seien Sie misstrauisch. Ja, es kann sein, dass Ihre lange verschollene Tante Sie per E-Mail mit einer hotmail.com-E-Mail-Adresse kontaktiert, um Ihnen mitzuteilen, dass sie Ihnen ihr gesamtes Vermögen hinterlässt, wenn sie stirbt, und dass Sie das Testament unterschreiben sollen, aber die Chancen stehen wirklich gut, dass sie es NICHT ist. Überprüfen Sie das, bevor Sie etwas unternehmen.

  1. Klicken Sie erst dann auf einen Link in einer E-Mail, wenn Sie absolut sicher sind, dass Sie wissen, wohin er führt und was passieren wird.
  2. Geben Sie Ihre persönlichen Daten nur dann auf einer Website an, wenn Sie sicher sind, dass es sich um die Website handelt, für die Sie sie halten. Wenn Sie glauben, dass Sie nicht auf der richtigen Seite sind, schließen Sie den Browser sofort.
  3. Verwenden Sie, wann immer möglich, ein virtuelles privates Netzwerk (VPN) von einem seriösen Anbieter.

Ich werde den Namen meines Internetanbieters nicht nennen, aber ich werde sagen, dass ich ihm nicht traue. Sie sind dafür bekannt, dass sie es bösen Menschen leicht machen, den Datenverkehr in ihrem Netzwerk zu überwachen und Informationen herauszuziehen, wenn sie sie sehen. Heutzutage verwenden fast alle Websites eine Verschlüsselung, um sicherzustellen, dass dies nicht so einfach möglich ist, aber für Leute mit genügend Zeit, Geld und Entschlossenheit ist es immer noch möglich. Wann immer möglich, verwende ich daher ein VPN, um meinen Datenverkehr noch weiter zu verschlüsseln.

VPN-Software ist heutzutage nicht mehr teuer. Wenn Sie ein “Computermensch” sind, können Sie Ihre eigene Software herunterladen, konfigurieren und betreiben. Ich empfehle das nicht, da man es leicht falsch machen kann, aber ich gebe zu, dass ich das in der Vergangenheit getan habe. Heutzutage verwende ich ein kommerzielles VPN, das mit meinem Virenschutz geliefert wird. Jetzt kann mein Nachbar nichts von meinem Datenverkehr sehen, weil ich einen verschlüsselten Tunnel zwischen meinem Netzwerk und einem Server in Miami, FL, USA, aufgebaut habe. (Ich kann aus etwa 50 Servern wählen)

  1. Verwenden Sie nicht dasselbe Passwort auf 2 Websites

Ja, ich weiß, wie schwer das ist. Es ist schwierig, sich ein einziges sicheres Passwort zu merken, ganz zu schweigen von den 20-30, die man braucht, um sicherzustellen, dass jede Website anders ist. Ich schlage vor, einen Passwort-Manager eines seriösen Softwareunternehmens zu verwenden. Es gibt einige davon. Der, den ich verwende, funktioniert auf Windows, Mac, iOS, iPadOS und Android. So habe ich meine Passwörter immer bei mir, egal, wo ich gerade bin. Alle meine Passwörter auf allen wichtigen Websites sind lang, zufallsgeneriert und einzigartig. Wenn man eines von ihnen kennt, kommt man nur bei dem einen Dienst rein, für den ich es verwende.

Zusammenfassung

Bleiben Sie in dieser Ferienzeit sicher da draußen. Viel Spaß, genießen Sie die Gesellschaft Ihrer Familie, und wenn Sie eine E-Mail von mir erhalten, in der ich Ihnen mitteile, dass Bill Gates jeder Person, die diese E-Mail weiterleitet, 1 Bitcoin schenkt… nun, Sie wissen schon.

Autoren-Avatar
Cal Evans

PHP-Evangelist

Einer der am meisten bewunderten Menschen in der PHP-Community, der sich seit mehr als 16 Jahren dem Aufbau der fantastischen PHP-Community und der Betreuung der nächsten Generation von Entwicklern widmet. Wir fühlen uns sehr geehrt, dass er auch ein ganz besonderer Freund von SiteGround ist.

Starten Sie die Diskussion

Ähnliche Posts