Phishing – das klingt nach fischen gehen – und genauso ist es auch. Das Wort setzt sich aus „Password“ und „fishing“ zusammen, übersetzt etwa: „nach Passwörtern angeln“. Phishing-Betrüger fälschen E-Mails und Internetseiten und haben damit einen neuen Weg gefunden, um an vertrauliche Daten wie Passwörter, Zugangsdaten oder Kreditkartennummern heran zu kommen – die Nutzer geben ihre Daten einfach freiwillig preis.

Als seriöse Bank oder andere Firma getarnt fordern die Betrüger die Empfänger*innen in der E-Mail auf, ihre Daten zu aktualisieren. Entweder weil z. B. die Kreditkarte ablaufe, das Passwort erneuert werden müsse, die Zugangsdaten verloren gegangen seien oder aus Sicherheitsgründen Kontoinformationen bestätigt werden müssten. Angreifer spekulieren dabei darauf, dass der Empfänger der massenweise verschickten Nachrichten auch tatsächlich Kunde der vorgegebenen Firmen ist. Der Inhalt der so genannten Phishing-Mails wirkt dabei oft täuschend echt.

Phishing geschieht nicht allein über Mails, immer öfter läuft diese Betrugsmasche auch per Smartphone. Dabei werden MMS oder WhatsApp Nachrichten verschickt, bei denen man über angebliche Gewinnspiele, Virenwarnungen oder vermeintliche Passwort-Aktualisierungen verschickt und die Empfänger*innen gehen dem auf den Leim.

Woran du eine Phishing-Mail erkennst

• Rechtschreib- und sprachliche Fehler: Die Kriminellen sitzen oft im Ausland. Lange Zeit konnte man Phishing-Mails einfach daran erkennen, dass sie offensichtlich das Werk von Google Translate waren, gerne auch noch mit kyrillischen Schriftzeichen dazwischen. Das ist heute oft anders, aber ein kritischer Blick hierauf hilft immer noch.
• Blanke Panik: Wenn Du sofort! dringend! und ganz, ganz schnell handeln sollst, ist das auch ein Anlass, um skeptisch zu werden. Wenn seriöse (oder jedenfalls weit verbreitete) Dienste tatsächlich mal ein neues Passwort von dir verlangen (das ist übrigens ein guter Grund, sich zu fragen, ob der Dienst wirklich was taugt), dann meist mit Frist von zwei bis vier Wochen und dann auch mit einer Erinnerung. Wenn du das Passwort sofort ändern sollst, weil sonst sofort dein Account gesperrt wird, ist das in aller Regel eine ziemlich billige Betrugsmasche.
• Dateien im Anhang: Dateien im Anhang der Mail einer dir unbekannten Person solltest Du sowieso nicht öffnen. Wenn du eine Nachricht im Phishing-Verdacht hast, gilt das umso mehr, ganz besonders bei .exe oder .zip Dateien. Gleiches gilt für Dateien, die du von Websites runterladen sollst, oder Links, die du anklicken sollst. Die Phishing-Mails im HTML-Format zeigen dann einen „offiziellen“ Link an, hinter dem sich jedoch tatsächlich ein ganz anderer Link verbirgt. Um diesen Link zu entdecken, muss man den Quelltext der HTML-Mail lesen. Das funktioniert über einen Klick mit der rechten Maus-Taste im Nachrichtenfeld und der Auswahl des Menüpunktes „Quelltext anzeigen“.
• Mail-Header: Das kann schon etwas tricky sein, hilft aber am Ende mit sehr großer Sicherheit weiter. Denn oft wird inzwischen zwar ein scheinbar seriöser Absender wie Amazon, Paypal oder eine Bank angezeigt, wenn man aber die Mailadresse (und nicht nur den angezeigten Namen) in Augenschein nimmt, wird schnell klar, dass es sich um eine Phishing-Mail handelt. Das ist nur ein erster Anhaltspunkt, wie Du den ganzen Mail-Header lesen kannst, steht hier bei der Verbraucherzentrale.
• Die Verbraucherzentrale betreibt auch den Phishing-Radar. Hier werden immer die aktuellen Warnungen eingestellt und man kann die gemeldeten Phishing-Mails ansehen. Es lohnt sich, hier ab und zu vorbeizuschauen.