Guides

Wie man E-Mail-Phishing-Angriffe verhindert - eine Kurzanleitung.

E-Mail-Phishing-Angriffe sind eine der größten Cyber-Bedrohungen in unserer digitalen Welt. Hier erfahren Sie, wie Sie Ihre Online-Konten vor Hackern schützen können.

Eine Phishing-E-Mail zu erkennen ist nicht immer einfach; aber dieser Guide hilft dir.

Phishing-E-Mails sind einer der häufigsten Angriffsvektoren im Internet, der eine unterschätzte Bedrohung für Ihre Online-Sicherheit darstellt. Betrüger versuchen, an Ihre sensiblen Daten, z. B. Ihre Anmeldedaten und Kennwörter, zu gelangen, indem sie sich mit gefälschten E-Mails und Landing Pages als große Organisationen ausgeben. Aber mit ein paar Tipps können Sie sich leicht vor Phishing-Angriffen schützen.

E-Mail-Phishing-Angriffe gibt es schon seit fast 30 Jahren. Zum ersten Mal wurde der Begriff 1995 verwendet, und damals waren Phishing-Versuche noch sehr leicht zu erkennen. Da diese Angriffe jedoch immer raffinierter werden, fallen immer mehr Menschen auf Phishing-Angriffe herein und müssen sich über aktuelle Trends und Taktiken der Angreifer informieren, um sich und ihre Online-Konten zu schützen. Dazu gehören: E-Mail-Spoofing, ähnlich aussehende Domänen (Typosquatting), Spear-Phishing, Smishing, Vishing, bösartige Anhänge, Seiten zum Abfangen von Zugangsdaten und vieles mehr. Ein recht neues Risiko sind gezielte Phishing-E-Mails, die sich an hochrangige Opfer richten und speziell für sie verfasst werden. Diese Technik macht es noch schwieriger, solche gezielten Phishing-E-Mails als Betrug zu erkennen. Einige prominente Angriffe wie der WannaCry-Ransomware-Angriff begannen mit einer solchen gezielten Phishing-E-Mail, die es den böswilligen Hacker ermöglichten weitere Systeme zu infiltrieren.

Der durchschnittliche Internetnutzer muss sich jedoch (noch) keine Sorgen über gezielte Angriffe machen, auch wenn künstliche Intelligenz diese Bedrohung in naher Zukunft für jeden wahrscheinlicher machen könnte. Derzeit besteht die häufigste Phishing-Taktik darin, Ihnen eine Phishing-E-Mail zu schicken, die so aussieht, als käme sie von jemand anderem, z. B. von einem seriösen Unternehmen, bei dem Sie vielleicht ein Konto haben. Kriminelle nutzen diese Standard-Phishing-E-Mails, um sich Zugang zu Ihren Online-Konten zu verschaffen und so Ihr Passwort oder Ihr Geld zu stehlen oder Malware auf Ihren Geräten zu installieren. Da E-Mail ein wichtiges Kommunikationsmittel ist und bleiben wird, ist es für jeden wichtig, sich über Phishing-Angriffe zu informieren.

Schalte die Privatsphäre ein.

E-Mail-Phishing-Scams erklärt

E-Mail-Phishing ist einer der häufigsten Online-Scams: Böswillige Akteure geben sich als Unternehmen wie Amazon, Facebook oder Tuta Mail aus und versenden E-Mails, die vorgeben, von diesen Organisationen zu stammen, um Passwörter oder andere sensible Informationen zu stehlen.

Mit anderen Worten: E-Mail-Phishing ist eine Form des Social Engineering, die von Kriminellen eingesetzt wird, die versuchen, sich Zugang zu Konten oder Systemen zu verschaffen, für die sie keine Zugriffsberechtigung haben. Eine Phishing-E-Mail ist so getarnt, dass sie wie eine legitime E-Mail von einem Dienst oder einer Plattform aussieht und fast immer einen Link enthält, über den Sie aufgefordert werden, sich bei Ihrem Konto anzumelden, um eine bestimmte Aktion durchzuführen.

Diese E-Mails enthalten oft eine stressauslösende Frist wie “Bestätigen Sie Ihr Passwort jetzt oder Ihr Konto wird innerhalb von 24 Stunden gesperrt und alle Daten gehen verloren”. Dieses Gefühl der Dringlichkeit nutzt eine Schwäche in unserer Psyche aus, und der Empfänger der Phishing-E-Mail klickt eher schnell auf den Link, um Ärger zu vermeiden, und tappt so in die Falle. Manchmal enthält die E-Mail anstelle eines Links einen Anhang, der bösartigen Code enthält, der ausgeführt wird, wenn das Opfer ihn herunterlädt und öffnet.

So könnte eine betrügerische Website aussehen: Das a im zweiten Link wurde durch das kyrillische ɑ ersetzt. So könnte eine betrügerische Website aussehen: Das a im zweiten Link wurde durch das kyrillische ɑ ersetzt. So könnte eine betrügerische Website aussehen: Das a im zweiten Link wurde durch das kyrillische ɑ ersetzt.

Da der Versand von E-Mails kostenlos ist, ist Phishing eine der am häufigsten genutzten Taktiken der Internetkriminalität weltweit. Während die Zahl der Phishing-E-Mails steigt, nehmen auch die Schutz- und Präventionsmethoden zu. Dennoch werden immer einige Phishing-E-Mails durchrutschen und es bis in Ihren Posteingang schaffen, und Sie selbst sind die letzte Verteidigungslinie. Lesen Sie weiter, um zu erfahren, warum Ihr Posteingang Ziel von Phishing ist und wie Sie verhindern können, dass Phishing-Angriffe erfolgreich sind!

Warum werden E-Mail-Konten mit Phishing-E-Mails angegriffen?

Ihr E-Mail-Konto enthält viele sensible Informationen und ist der Dreh- und Angelpunkt Ihres digitalen Lebens. Um sich auf den meisten Websites wie Amazon, PayPal, eBay usw. zu registrieren, müssen Sie eine E-Mail-Adresse angeben, und wichtige Institutionen wie Banken senden Ihnen Informationen per E-Mail. Dies macht Ihr E-Mail-Konto aus zwei Gründen zur Zielscheibe Nummer eins.

  1. Viele Menschen erhalten Phishing-E-Mails, die so gefälscht sind, dass sie aussehen, als kämen sie von Facebook, Google, ihrer Bank usw., und sie auffordern, ihre Anmeldedaten einzugeben, nachdem sie auf einen Link geklickt haben.

  2. Phishing-Angriffe zielen auch direkt auf Ihre Mailbox ab und versuchen, Zugang zu Ihren Mailbox-Anmeldedaten zu erhalten. Dies ist sogar noch gefährlicher, denn wenn die Angreifer Zugang zu Ihrer Mailbox haben, können sie ein einfaches Passwort für alle Online-Konten, die mit Ihrer E-Mail-Adresse verknüpft sind, zurücksetzen und so Zugang zu mehreren Ihrer Online-Konten erhalten, um diese zu missbrauchen. Aus diesem Grund empfehlen wir bei Tuta, dass Sie Ihr Postfach mit einer Zwei-Faktor-Authentifizierung schützen, am besten mit U2F.

Schalte die Privatsphäre ein.

Woran erkenne ich, dass es sich bei einer E-Mail um Phishing handelt?

Phishing-E-Mails versuchen in der Regel, sich als große Organisationen auszugeben, bei denen Sie vielleicht ein Konto haben. Das macht die Sache knifflig, denn auf den ersten Blick könnte man meinen, die E-Mail beziehe sich auf Ihr echtes Konto auf der Plattform, für die sich der Scam ausgibt. Mit ein paar Tipps können Sie sicherstellen, dass Phishing-E-Mails Sie nicht dazu verleiten, Ihr Passwort preiszugeben oder bösartige Anhänge herunterzuladen.

  1. Prüfen Sie immer die E-Mail-Adresse des Absenders genau. Oft weicht der Absender vom technischen Absender ab, was ein häufiger Trick von E-Mail-Scammern ist.

  2. Wenn Sie aufgefordert werden, Ihre Anmeldedaten über einen Link einzugeben, sollten die Alarmglocken läuten. Wenn Sie glauben, dass eine E-Mail legitim sein könnte, verwenden Sie Ihre bevorzugte Suchmaschine - die hoffentlich eine Alternative zu Google ist - um die Website über einen offiziellen Link zu finden, bevor Sie sich anmelden. Verwenden Sie nicht den in der E-Mail angegebenen Link! Viele Dienste führen inzwischen ein Protokoll der an Ihr Konto gesendeten Sicherheitsnachrichten, und Sie können dort den Status von zweifelhaft aussehenden E-Mails überprüfen.

  3. Prüfen Sie den Link sorgfältig: Wenn die Angreifer zum Beispiel versuchen, Ihr Tuta-Login zu stehlen, wird der angegebene Link ähnlich aussehen, aber nicht perfekt übereinstimmen. Anstelle von Tuta.com könnten die Angreifer 7uta.com verwenden.

Achten Sie außerdem auf die folgenden Details, um zu entscheiden, ob eine E-Mail ein Phishing ist oder nicht. Typische Anzeichen für Phishing sind:

  • Aufforderung zum sofortigen Handeln
  • Rechtschreibfehler und schlechte Grammatik
  • Angebote, die zu gut klingen
  • Behauptungen, Sie hätten Geld gewonnen
  • Adressierung an die falsche Person
  • Sie kommen von einer seltsamen Absenderdomäne oder einer Gmail-Adresse
  • Verdächtige Anhänge
  • Aufforderung, auf einen Link zu klicken und Ihr Passwort zu ändern

Es ist nicht immer einfach, eine Phishing-E-Mail zu erkennen, aber die obige Liste der in typischen Phishing-E-Mails verwendeten Beispiele wird Ihnen helfen. Im Zweifelsfall gilt: Ignorieren Sie die E-Mail lieber, als eine Aktion durchzuführen, die Ihr echtes Konto in Gefahr bringen könnte.

Schalte die Privatsphäre ein.

Wie wir bösartige E-Mails in Tuta stoppen

In den letzten Jahren haben wir vermehrt Phishing-E-Mails gesehen, die versuchen, sich als offizielle Tuta-Mitarbeiter auszugeben, um Anmeldedaten zu stehlen. Deshalb haben wir Tuta verbessert, um es böswilligen Angreifern noch schwerer zu machen, unsere Nutzer zur Herausgabe wertvoller Passwörter oder Zugangsdaten zu verleiten.

Wir haben eine Funktion eingeführt, die Benutzern hilft, die sich fragen, wie sie Phishing-E-Mails melden und Phishing-Angriffe verhindern können. Wenn Phishing-E-Mails in Tuta Mail gemeldet werden, wird allen anderen Benutzern, die ähnliche E-Mails erhalten, ein Warnbanner über der mutmaßlichen Phishing-E-Mail angezeigt. Dies wird allen helfen, Phishing-E-Mails zu erkennen und nicht auf Phishing-Angriffe hereinzufallen. Darüber hinaus werden Phishing-E-Mails von unserem Sicherheitsteam überprüft und die Absender werden manuell blockiert, damit sie unsere Server und damit Ihr Postfach nicht erreichen.

Warnbanner, das einer potenziellen Phishing-E-Mail in Tuta Mail hinzugefügt wird. Warnbanner, das einer potenziellen Phishing-E-Mail in Tuta Mail hinzugefügt wird. Warnbanner, das einer potenziellen Phishing-E-Mail in Tuta Mail hinzugefügt wird.

Mehr Informationen über den verstärkten Phishing-Schutz in Tuta finden Sie in den Release Notes hier.

Anti-Missbrauchsfunktionen in Tuta Mail

  1. Wir kennzeichnen E-Mails, wenn die E-Mail-Adresse des Absenders falsch ist. Wenn Sie mit dem Browser eingeloggt sind, zeigt Ihnen die Kopfzeile Ihres Tuta-Postfachs den Namen und die E-Mail-Adresse des Absenders an, so dass Sie leicht erkennen können, wenn eine E-Mail von einem falschen Absender stammt. In der App wird die E-Mail-Adresse des Absenders nicht automatisch angezeigt, aber Sie können sie leicht überprüfen, indem Sie auf den Namen des Absenders tippen.

  2. Tuta ist einer der wenigen Webmail-Dienste, der Sie warnt, wenn der “technische Absender” vom “Absender” abweicht, damit Sie gefälschte E-Mails erkennen können.

  3. Die Angreifer täuschen oft eine zeitliche Dringlichkeit vor und fordern Sie auf, Ihre Anmeldedaten einzugeben, indem Sie einem angegebenen Link folgen. Fallen Sie niemals auf solche Mails herein, das ist eine typische Phishing-Mail-Strategie.

Unser wichtigster Tipp zur Vermeidung von Phishing-Angriffen ist ganz einfach:

Ändern Sie niemals Ihr Passwort, wenn Sie aus heiterem Himmel per E-Mail dazu aufgefordert werden.

Wie Sie erkennen, ob sich jemand als Tuta ausgibt

Nun möchten wir Ihnen erklären, wie wir sicherstellen, dass niemand Ihre Tuta-E-Mail-Adresse und Ihr Passwort ausspionieren kann, indem er sich für uns ausgibt. Zunächst einmal - und das ist das Wichtigste - werden Sie, wenn Sie eine E-Mail vom Tuta-Team erhalten, niemals aufgefordert, auf einen Link zu klicken, um Ihr Passwort oder andere Anmeldedaten zu bestätigen oder zu aktualisieren.

Wir fragen Sie nie nach Ihrem Passwort.

In Tuta haben wir es kinderleicht gemacht, eine E-Mail zu erkennen, die versucht, sich als das Tuta-Team auszugeben: Wie das Beispiel der Phishing-E-Mail unten zeigt, enthalten diese E-Mails KEINE rote Tag-Zeile (blau bei Verwendung des blauen Themas). Das folgende Beispiel zeigt den Unterschied. Die untere E-Mail wurde von einem zufälligen Tuta-Benutzer verschickt, der versucht, sich als eines unserer Teammitglieder auszugeben, die obere kommt tatsächlich von einem unserer Teammitglieder - in diesem Fall von Hanna. Da Tuta-E-Mails nur in den Tuta-Mail-Clients auf Android, iPhones und PCs abgerufen werden können, ist es für uns sehr einfach, alle offiziellen E-Mails, die von uns kommen, visuell zu unterscheiden - wie Sie an dem farbigen “Tuta Team” erkennen können.

Beispiel einer Phishing-E-Mail und Tuta-E-Mail im Vergleich. Beispiel einer Phishing-E-Mail und Tuta-E-Mail im Vergleich. Beispiel einer Phishing-E-Mail und Tuta-E-Mail im Vergleich.

Eine E-Mail vom offiziellen Tuta-Team zeigt immer eine rote Tag-Zeile (blaue Tag-Zeile bei Verwendung des blauen Themas) mit “Tuta Team”.

Handelt es sich bei der E-Mail von uns um eine Ankündigung - wie im untenstehenden Screenshot - wird kein Name und keine E-Mail-Adresse neben der Tag-Zeile angegeben. Wenn die E-Mail von unserem Support-Team oder einem unserer Teammitglieder stammt, steht die E-Mail-Adresse neben dem roten (oder blauen) Tuta-Team-Tag.

Dieser Tag kann nicht von jemandem hinzugefügt werden, der sich für uns ausgibt und versucht, Ihr Tuta-Passwort zu stehlen. Diese Tag-Zeile ist in den Code unserer E-Mail-Clients für Android, iOS, Windows, Linux und macOS eingebaut und wird nur bei offiziellen E-Mails des Tuta-Teams angezeigt.

Eine verschlüsselte Tuta-E-Mail-Ankündigung Eine verschlüsselte Tuta-E-Mail-Ankündigung Eine verschlüsselte Tuta-E-Mail-Ankündigung

Offizielle Tuta-Team-E-Mail-Domäne: @tutao.de

Als wir mit der Entwicklung von Tuta begannen, wussten wir, dass es für einen E-Mail-Dienst von entscheidender Bedeutung ist, dass sich niemand für uns oder Mitglieder unseres Teams ausgeben kann. Allerdings kann sich jeder eine beliebige Tuta- oder Tutanota-E-Mail-Adresse registrieren.

Um dieses Dilemma zu lösen, haben wir von Anfang an unsere Firmen-Domain und nicht Tuta / Tutanota-Domains als offizielle E-Mail-Adressen verwendet. Unsere Firma, die hinter Tuta steht, heißt Tutao GmbH. Wenn Sie eine E-Mail vom Tuta-Team erhalten, wird die Mailadresse immer auf @tutao.de enden.

Schalte die Privatsphäre ein.

Wir können Ihr Passwort nicht zurücksetzen, um Ihr Tuta-Konto zu schützen.

Kriminelle missbrauchen gerne die Passwort-Rücksetzfunktion per E-Mail, um sich über Phishing-Mails Zugang zu Online-Konten zu verschaffen. Um Ihr verschlüsseltes Postfach so gut wie möglich zu schützen, gibt es keine Möglichkeit, eine Rücksetzung Ihres Tuta-Passworts per E-Mail anzufordern. Stattdessen generieren wir während der Kontoerstellung einen einmaligen Wiederherstellungscode, mit dem Sie Ihr Passwort jederzeit zurücksetzen können.

Wenn Sie Ihr Passwort nicht zurücksetzen lassen können, kann das auch kein Krimineller, der sich für Sie ausgibt. Denken Sie daran, Ihr Passwort und Ihren Wiederherstellungscode an einem sicheren Ort aufzubewahren. Nur Sie selbst können Ihr Passwort mit Hilfe Ihres Wiederherstellungscodes zurücksetzen.

Erkennen von verdächtigen E-Mails

Auch die Erkennung von Phishing-E-Mails von anderen Diensten ist mit Tuta einfach. Wenn Sie eine verdächtige E-Mail erhalten, können Sie auf das Symbol ”…” oben rechts in Ihrem Postfach klicken und dann “E-Mail-Kopfzeilen anzeigen” wählen. Daraufhin öffnet sich ein kleines Fenster, in dem die technischen Absenderinformationen der fraglichen E-Mail angezeigt werden. Hier können Sie den Status der DKIM-, DMARC- und SPF-Prüfungen überprüfen, um festzustellen, ob der Absender dieser E-Mail gefälscht ist oder nicht.

Außerdem werden die meisten gefälschten E-Mails bereits mit einer Phishing-Warnung versehen, wie im obigen Screenshot mit dem Titel “Warnbanner, das einer potenziellen Phishing-E-Mail in Tuta Mail hinzugefügt wird” zu sehen ist. Dies kann dank aller Tuta-Benutzer, die Phishing-E-Mails melden, angezeigt werden und hilft somit anderen Benutzern, sicher zu bleiben!

Wenn es verdächtig aussieht, ist es das auch

Wenn Sie eine E-Mail erhalten, die verdächtig aussieht, ist es sehr wahrscheinlich, dass es sich um eine Phishing-E-Mail handelt. Im Zweifelsfall fragen Sie einfach nach. Sie können uns ganz einfach auf Mastodon, BlueSky, Twitter, LinkedIn, Facebook oder Instagram und natürlich per E-Mail finden.

Wenn Sie eine potenzielle Phishing-E-Mail von einer Tuta-Domain erhalten, leiten Sie sie bitte an abuse@tutao.de weiter.

Vielen Dank und bleiben Sie sicher!

Illustration eines Telefons mit Tuta-Logo auf dem Bildschirm, daneben ein vergrößertes Schild mit einem Häkchen, das die hohe Sicherheit der Tuta-Verschlüsselung symbolisiert.

Empfohlen: Leitfaden für E-Mail-Sicherheit: 3 einfache Schritte, um Ihre E-Mails vor Hackern zu schützen, sowie Leitfaden zur Passwortsicherheit: Wie Sie ein sicheres Passwort wählen.