Dein Konto vor Phishing, Vishing und Smishing schützen
Der Begriff Phishing beschreibt Identitätsdiebstahlbetrug mit gefälschten Websites und E-Mails oder anderen Nachrichten. Das Ziel eines Phishing-Angriffs besteht darin, Zugriff auf dein Konto und vertrauliche Informationen zu erlangen. Ein Angreifer kann dabei eine eigene Website erstellen, die seriöse Websites nachahmt, oder dir eine Nachricht senden, die scheinbar von einer vertrauenswürdigen Quelle stammt. Phishing-Nachrichten können von einem gefälschten Konto oder einem gehackten Konto stammen.
Angreifer probieren möglicherweise auch ähnliche Taktiken aus, um mithilfe von Vishing (Phishing per Telefon bzw. Voice-Pishing) und Smishing (Phishing per SMS-Textnachricht) an vertrauliche Informationen in deinem Konto zu gelangen. Gib niemals vertrauliche Informationen über das Telefon heraus und klicke nicht auf potenziell gefährdende Links, die du per SMS-Textnachrichten erhältst. Wenn du der Ansicht bist, dass du möglicherweise einen Phishing-Anruf oder eine Phishing-SMS erhalten hast, solltest du dich sofort an den Shopify Support wenden.
In einer Phishing-Nachricht wirst du möglicherweise aufgefordert, die folgenden Dinge zu tun:
- Einen Link besuchen
- Eine Datei herunterladen
- Einen Anhang öffnen
- Mit persönlichen Daten oder Codes für die Zwei-Faktor-Authentifizierung antworten
Wenn du eine dieser Aktionen ausführst, dann kannst du deinen Computer oder dein Mobilgerät mit Malware infizieren, bei der es sich um bösartige Software wie Würmer, Trojaner, Bots und Viren handelt. Nachdem dein Gerät infiziert wurde, kann sich ein Angreifer Zugriff auf deine persönlichen Daten verschaffen.
Der Betrug durch Phishing kann auch direkte Anfragen nach personenbezogenen Daten wie z. B. deinen Bankdaten umfassen.
Bei Phishing-Angriffen wirst du möglicherweise über die folgenden Wege gebeten, personenbezogene Daten zur Verfügung zu stellen:
- Per E-Mail oder ein anderes Nachrichtensystem
- Über ein Formular
- Über eine betrügerische Telefonnummer
- Unter Verwendung einer betrügerischen physischen Adresse
Sogar eine Aufforderung, deine E-Mail-Adresse einzugeben und dein Passwort zurückzusetzen, kann gefährlich sein.
Auf dieser Seite
- Erkennen der Warnzeichen
- Shopify und das Anfordern von vertraulichen Dokumenten
- Verdachtsmomente über einen anderen Kommunikationskanal ansprechen
- Sicherstellen, dass deine Verbindung zu einer Website HTTPS verwendet
- Öffne nur Anhänge oder Links, deren Erhalt du erwartest hast
- Vorsicht bei der Verwendung von öffentlichem WLAN
- Behördliche Richtlinien bei Gefährdung deiner persönlichen Daten befolgen
Erkennen der Warnzeichen
Du kannst dich vor Phishing schützen, indem du die Warnzeichen erkennst. Lese Nachrichten sorgfältig, unabhängig davon, von wem sie stammen, und überprüfe Websites, egal wie vertraut sie erscheinen.
Vage oder allgemein gehaltene Sprache
Obwohl Phishing auf guter Nachforschung basieren und auf dich und dein Unternehmen zugeschnitten werden kann, ist eine sehr allgemein gehaltene Sprache ein Kennzeichen von Phishing-Betrug. Sei vorsichtig bei Nachrichten, die scheinbar von einer Organisation stammen, der du vertraust, die jedoch mit vagen Aussagen wie Lieber Kontoinhaber beginnen.
Wenn eine Nachricht eine vielversprechende geschäftliche oder finanzielle Gelegenheit verspricht, aber nicht genügend Details enthält, um zu bestätigen, dass der Absender dich tatsächlich kennt, könnte es sich auch um einen Betrugsversuch handeln.
Ich bin Frederick, ein Bankangestellter.
Bitte kontaktiere mich so schnell wie möglich bezüglich einer möglichen Erbschaft eines verstorbenen Verwandten.
Ich kann dir keine Details per SMS mitteilen. Sende mir eine E-Mail an die nachfolgende Adresse.
Geschäftsnachrichten von persönlichen Konten
Raffinierte Angreifer können über deine Online-Präsenz genügend Informationen sammeln, um eine Nachricht zu erstellen, die wirklich von einem echten Kontakt stammen könnte.
Aktualisierung unserer Großhandelspreise
Hallo Stefanie,
ich wollte dir nur ein kurzes Update zukommen lassen. Anbei findest du die Tabelle unserer aktuellen Großhandelspreise: stoffpreise-oktober.xls
Ich hoffe, du warst mit der letzten Lieferung T-Shirts zufrieden! Bitte lasse mich wissen, falls du Fragen oder Bedenken haben solltest.
Julia Chan
Account Manager
Stoffmanufaktur ABC
Angreifer können sich in das Geschäftskonto deines Kontakts hacken oder ein gefälschtes persönliches Konto erstellen, um eine Phishing-E-Mail-Nachricht zu senden. Wenn zum Beispiel der Benutzername für die persönliche E-Mail deines Kontakts Julia juliachan3857
ist, könnte ein Angreifer eine E-Mail-Nachricht von einem Konto mit dem Benutzernamen juliachan9665
senden. Diese Angriffsform macht sich die folgenden Verhaltensweisen zu Nutze:
- Menschen senden oft aus Versehen E-Mail-Nachrichten von einem falschen Konto.
- Selbst wenn du Julias persönliche E-Mail-Adresse kennst, wirst du vielleicht nicht genau hinschauen und den Unterschied erkennen.
Alarmierender oder überzogener Tonfall
Achte auf zeitkritische Anfragen, die dich zum Handeln ohne längeres Nachdenken bringen wollen. Zum Beispiel:
Wir hatten einen katastrophalen Serverausfall. Antworte in den nächsten 24 Stunden mit deinem Benutzernamen und Passwort oder du verlierst dauerhaft den Zugriff auf deinen Shop.
E-Mail-Nachrichten können Angebote enthalten, die zu gut sind, um wahr zu sein. Beispielsweise könnte dir ein Reisebüro einen Rabatt von 90 % anbieten, der nur verfügbar ist, wenn du sofort handelst.
Rechtschreibfehler, schlechte Grammatik und Stilvariationen
Eine betrügerische Website oder E-Mail-Nachricht kann durchaus professionell aussehen, kann jedoch Rechtschreib- und Grammatikfehler enthalten. Um festzustellen, ob eine Website oder E-Mail-Nachricht betrügerisch ist, suche in den folgenden Bereichen nach einer falschen Verwendung oder nach Unstimmigkeiten:
- Rechtschreibung
- Klein- und Großschreibung
- Zahlen
- Interpunktion
- Formatierung
Verdächtige URLs
Phishing-Versuche können URLs enthalten, die, so lange du nicht genau hinschaust, legitim erscheinen. Viele Phishing-Versuche verwenden URLs, die absichtlich so ausgewählt wurden, dass sie einer URL ähneln, mit der du bereits vertraut bist. Wenn du beispielsweise normalerweise deine Schwimmkleidung von Sportbekleidung ABC unter der tatsächlichen URL erwirbst, dann jedoch eine E-Mail-Nachricht mit einem Link zu einer gefälschten URL erhältst, kannst du daran erkennen, dass es sich um einen Phishing-Versuch handelt.
Die echte URL verweist dich auf eine Site in der Domain example-apparel.com
, die Eigentum von Example Apparel ist, und die gefälschte URL verweist dich auf eine schädliche Website in der Domain com-aquatic.net
, die wahrscheinlich im Besitz von Kriminellen ist.
Legitime URL | Betrügerische URL |
---|---|
sportkleidung-abc.com/aquatic/badehosen | sportkleidung-abc.com-aquatic.net/badehosen |
Shopify und das Anfordern von vertraulichen Dokumenten
Shopify fragt dich niemals direkt über eine E-Mail-Nachricht in Form eines Texts oder Bilds oder als Dateianhang nach vertraulichen Informationen.
Im Folgenden findest du Beispiele für vertrauliche Dokumente:
- Jegliche Form von IDs
- Passwörter
- Kreditkartendaten
- Bankinformationen
- Nationale Identitätsnummern, wie z. B. SIN (Sozialversicherungsnummer in Kanada) oder SSN (Sozialversicherungsnummer in den USA)
Shopify bittet dich immer, vertrauliche Dokumente ausschließlich über eine sichere Upload-Seite hochzuladen, die mit app.shopify.com
oder .shopify.com
beginnt.
Verdachtsmomente über einen anderen Kommunikationskanal ansprechen
Sprich mit dem vermeintlichen Absender einer verdächtigen Nachricht persönlich oder über das Telefon und adressiere Bedenken über eine Webseite, indem du mit jemandem in der entsprechenden Organisation sprichst.
Wenn du dich telefonisch mit dem Absender in Verbindung setzt, verwende eine Nummer, die du gespeichert hast oder die in mehreren seriösen Online-Quellen erscheint. Wenn du z. B. eine verdächtige Anfrage nach Informationen von deiner Steuerbehörde per E-Mail erhältst, dann rufe die Behörde unter der Nummer auf der letztjährigen Steuererklärung an. Rufe keine Nummer an, die auf einer verdächtigen Website oder in einer E-Mail-Nachricht angezeigt wird.
Sicherstellen, dass deine Verbindung zu einer Website HTTPS verwendet
Wenn du eine Verbindung zu einer Website herstellst, auf der du zur Eingabe eines Benutzernamens und eines Kennworts oder anderer sensibler Daten aufgefordert wirst, stelle sicher, dass neben der URL in deinem Browser ein Schlosssymbol angezeigt wird.
Das Schlosssymbol weist darauf hin, dass die Verbindung zur Site mit dem HTTPS-Protokoll verschlüsselt ist. URLs für verschlüsselte Verbindungen beginnen eher mit https://
als mit http://
. Verbindungen, die http://
verwenden, senden Daten in einfachem Text, was bedeutet, dass sie unterwegs abgefangen und gelesen werden können.
Bevor du auf einen Link zu einer beliebigen Seite klickst, auf der du Informationen eingeben musst, vergewissere dich, dass die URL mit https://
beginnt.
Öffne nur Anhänge oder Links, deren Erhalt du erwartest hast
Interagiere nicht mit Anhängen, Links oder Formularen, es sei denn, du erwartest sie und weißt, was sie enthalten. Sie können dich nicht nur auf eine schädliche Website zum Diebstahl deiner Daten umleiten, sondern dein Gerät auch mit Malware infizieren.
Wenn der Linktext eine URL ist, stelle sicher, dass sie mit der URL in dem Link übereinstimmt. Zum Beispiel leitet dich ein Link, der im Text einer E-Mail als https://help.shopify.com
geschrieben ist, möglicherweise zu einer Phishing-Seite mit einer anderen URL weiter.
Viele Phishing-Attacken versuchen, sich das Online-Banking zu Nutze zu machen. Wenn du eine verdächtige E-Mail-Nachricht von deiner Bank mit einem speziellen Angebot für einen Kreditrahmen erhältst, klicke nicht auf den Link. Gib stattdessen die URL deiner Bank manuell in einem neuen Fenster ein und prüfe, ob das Angebot im Dashboard deines Kontos angezeigt wird.
Vorsicht bei der Verwendung von öffentlichem WLAN
Keine Frage: Öffentliches WLAN ist praktisch, wenn du Zuhause oder bei der Arbeit bist. Aber es bietet Angreifern auch viele verschiedene Möglichkeiten, Zugang zu deinen Informationen zu erhalten. Du kannst deine Risiken reduzieren, indem du Maßnahmen ergreifst, um dich selbst und deine Daten zu schützen.
Überprüfe die Hotspot-Namen
Ein Angreifer kann seinen eigenen unverschlüsselten WLAN-Hotspot erstellen, dessen Name dem eines legitimen Hotspots in derselben Gegend entspricht, z. B. dem Netzwerk in einem Café. Wenn du dich mit dem Phishing-Hotspot verbindest, kann der Angreifer dich auf seine eigene Seite führen, auf der du Malware ausgesetzt werden kannst oder um die Eingabe privater Informationen gebeten wirst.
Stelle vor dem Verbinden mit einem Hotspot sicher, dass dieser legitim ist. Wenn du den Namen des Hotspots nicht an einer offensichtlichen Stelle findest, frage einen Mitarbeiter vor Ort.
Zugangspunkte zu deinem Endgerät deaktivieren
Selbst wenn du mit einem legitimen öffentlichen WLAN-Hotspot verbunden bist, kannst du immer noch gefährdet sein, wenn du dich im gleichen Netzwerk wie ein Angreifer befindest. Öffentliche WLAN-Netzwerke sind weitaus unsicherer als private Netzwerke wie das bei dir zu Hause oder im Büro.
Schütze dich, indem du die Dateifreigabe in deinem Netzwerk deaktivierst und die Firewall aktivierst, bevor du eine Verbindung herstellst. Auch mit diesen Vorsichtsmaßnahmen ist es noch immer keine gute Idee, vertrauliche Inhalte über ein öffentliches WLAN-Netzwerk zu senden oder zu empfangen.
Sensible Daten ausschließlich über ein VPN senden und empfangen
Ein virtuelles privates Netzwerk stellt eine sichere Verbindung zwischen deinem Gerät und den Servern des VPN-Unternehmens her. Von dort leiten die VPN-Server deine Informationen an das Internet weiter. Wenn ein Angreifer Zugriff auf die Daten erhält, die du über einen öffentlichen WLAN-Hotspot sendest und empfängst, sind die Daten verschlüsselt und für den Angreifer nicht zu gebrauchen.
Techradar und PC Mag sind gute Ausgangspunkte, wenn du erfahren möchtest, wie man ein VPN auswählt.
Ohne ein VPN ist die sicherste Option, auf die Übertragung vertraulicher Informationen über öffentliche WLANs zu verzichten.
Behördliche Richtlinien bei Gefährdung deiner persönlichen Daten befolgen
Personenbezogene Daten bestehen aus Daten, die dazu verwendet werden können, eine bestimmte Person zu identifizieren oder sich sogar als diese auszugeben. Personenbezogene Daten enthalten die folgenden Informationen:
- Vollständiger Name
- E-Mail-Adresse
- Adresse
- Telefonnummer
- Kreditkartennummer
- Nationale Identitätsnummer (wie SIN, SSN oder Reisepass)
- Führerschein
- Geburtsdatum
Wenn du über einen verdächtigen Kanal personenbezogene Daten zur Verfügung gestellt hast oder dein Shopify-Konto kompromittiert wurde, lese die Leitfäden deiner zuständigen Behörden, z. B. die folgenden Informationen der Regierungen Kanadas und der Vereinigten Staaten.
Kanada
Was du tun kannst:
Einen Bericht einreichen:
Vereinigte Staaten
Was du tun kannst:
Einen Bericht einreichen: