Achtung, das hätte schiefgehen können!
Cyber-Gefahren sind real! Diese E-Mail und die Login-Seite sind Teil einer Simulation von Cyberangriffen und wurde von Ihrem Unternehmen beauftragt. Die Simulation dient zu Lern-Zwecken. Sie zeigt Ihnen Schritt für Schritt, wie Sie Gefahren durch Phishing-E-Mails in Zukunft erkennen und verhindern können.
- Es besteht keine Gefahr für Ihre Accounts oder Ihre Daten – die Simulation dient lediglich zu Schulungszwecken. Sie müssen nichts weiter unternehmen.
- Diese Simulation ist anonymisiert. Ihr Arbeitgeber erhält keine individuellen Daten. Es ist nicht einsehbar, wer auf die Mails geklickt hat.
- Die E-Mail die sie eben geöffnet haben enthielt eindeutige Hinweise auf Phishing. Weiter unten finden Sie eine Schritt-für-Schritt Erklärung die Ihnen anschaulich die Merkmale dieser Phishing-Mail zeigt. Bitte nehmen Sie Ihren Kolleg*innen nicht die Chance auf ein Aha!-Erlebnis, indem Sie die Inhalte oder die Infos teilen.
Hinweis 1: Allgemeiner, dringlicher Anlass
Klassische Phishing-E-Mails nutzen oft allgemeine und dringliche Anlässe, die auf möglichst viele potentielle Nutzer zutreffen können. Typisch sind Anlässe die vermeintlich ihren Bankzugang, ihre Accounts oder auch ihren Mobilfunkanbieter betreffen. In Phishing-Emails mit allgemeinem Anlass sind meistens auch keine persönlichen Anreden enthalten.
Auch die Absender-Adresse zeigt deutlich, dass die E-Mail nicht von Microsoft gesendet wurde. Aber Achtung: Da Kriminelle auch Absender-Adressen fälschen können, ist auch ein scheinbar korrekter Versender keine Sicherheit für eine echte E-Mail.
Hinweis 2: Vermeintlicher Zeitdruck
Um so viele potenzielle Opfer wie möglich zu „angeln“ (engl. Fishing bzw. sinngemäß Phishing), wird meist eine hohe Dringlichkeit simuliert. Dies wird vor allem im Betreff durch Schlagworte wie hier z.B. mit „Dringend“ betitelt. Auch Drohungen, wie „Ihr Konto wird gesperrt, wenn sie nicht bis zum…“, ist ein oft genutzter Trick.
Hinweis 3: Gefälschte Links und unbekannte URLs
Achtung! Obwohl sich der Versender als Microsoft Office ausgibt, führt der Link nicht auf eine offizielle Microsoft-Seite. Grundsätzlich gilt: Enthält eine E-Mail einen Link, sollten Sie diesen vor dem Öffnen unbedingt prüfen. Wie das funktioniert erfahren Sie weiter unten.
So einfach prüfen sie das echte Ziel eines Links: Positionieren Sie den Mauszeiger einfach über einem Link, ohne diesen zu klicken. Das reale Ziel des Links zeigt sich unter Ihrer Maus oder unten am Bildschirmrand. Kennen Sie die URL nicht, sollten Sie auf keinen Fall auf den Link klicken. Diese "Mouse-over"-Technik können Sie für jeden Link, im Browser oder in E-Mails, anwenden.
Probieren Sie es doch gleich in der Mail oder direkt an diesem Beispiel aus: www.google.de
Hinweis 4: Anmelde-Seite unter falscher Domain
Kriminelle können bestehende Login-Seiten schnell und einfach nachmachen. Sobald Sie auf diesen Seiten etwas eingeben, ist das Passwort sofort in den Händen der Kriminellen. Es gibt folgende Warnzeichen, wenn Sie sich nach dem Klick auf einen Link anmelden sollen:
- Die URL stimmt nicht. Oft versuchen Kriminelle, mit ähnlich lautenden Domains (bspw. Microsolft365 statt Microsoft365) oder passend klingenden Namen (wie weiterbildung.cloud-360.de) den Nutzer zu täuschen.
- Sie sind bereits im System eingeloggt. Falls Sie sich bereits im Web im System eingeloggt haben, wird Sie das System normalerweise nicht zu einem erneuten Login auffordern.
Weitere Hinweise auf der Phishing-Seite waren fehlende Links zum Impressum, AGB und Datenschutzerklärungen. Auch der Cookie-Banner lässt sich nicht weg klicken. Desweiteren fehlen wichtige Elemente wie die Anmeldeoptionen der echten Login-Seite:
Hier können Sie uns Feedback zu der Simulation und der Erklär-Seite geben.
Im Rahmen der Phishing-Simulation eventuell Logos von Drittanbieter zu illustrativen oder didaktischen Zwecken genutzt. Dies dient lediglich dem Schulungszweck. Es besteht keine Verbindung mit dem Markeninhaber.