Schütze dein Konto vor Phishing

Der Begriff Phishing beschreibt Identitätsdiebstahlbetrug mit gefälschten Websites und E-Mails oder anderen Nachrichten. Das Ziel eines Phishing-Angriffs besteht darin, Zugriff auf dein Konto und vertrauliche Informationen zu erlangen. Ein Angreifer kann dabei eine eigene Website erstellen, die seriöse Websites nachahmt, oder dir eine Nachricht senden, die scheinbar von einer vertrauenswürdigen Quelle stammt. Phishing-Nachrichten können von einem gefälschten Konto oder einem gehackten Konto stammen.

Hinweis: Wenn du glaubst, dass du personenbezogene Daten über einen verdächtigen Kanal weitergegeben hast und deine Informationen und deine Identität gefährdet sind, dann befolge die von den entsprechenden Behörden herausgegebenen Richtlinien.

In einer Phishing-Nachricht wirst du möglicherweise aufgefordert, die folgenden Dinge zu tun:

  • Einen Link aufrufen
  • Eine Datei herunterladen
  • Einen Anhang öffnen

Wenn du eine dieser Aktionen ausführst, kann Malware – bösartige Software wie Würmer, Trojaner, Bots und Viren – deinen Computer oder dein Mobilgerät infizieren. Nachdem dein Gerät infiziert wurde, kann ein Eindringling auf deine persönlichen Daten zugreifen.

Der Betrug durch Phishing kann auch direkte Anfragen nach personenbezogenen Daten wie z. B. deinen Bankdaten umfassen.

In Phishing-Betrugsfällen wirst du möglicherweise gebeten, personenbezogene Daten über folgende Wege anzugeben:

  • Per E-Mail oder ein anderes Nachrichtensystem
  • Über ein Formular
  • Über eine betrügerische Telefonnummer
  • An eine betrügerische Adresse

Sogar eine Aufforderung, deine E-Mail-Adresse einzugeben und dein Passwort zurückzusetzen, kann gefährlich sein.

Hinweis: Bitte leite alle erhaltenen Phishing-Nachrichten an die Sicherheitsstelle von Shopify (safety@shopify.com) weiter. Indem wir eine Aufzeichnung der Angriffe auf Händler erstellen, kann Shopify daran arbeiten, dich und deine Informationen noch besser zu schützen.

Erkennen der Warnzeichen

Du kannst dich vor Phishing schützen, indem du die Warnzeichen erkennst. Lese Nachrichten sorgfältig, unabhängig davon, von wem sie stammen, und überprüfe Websites, egal wie vertraut sie erscheinen.

Übermäßig allgemein gehaltene Sprache

Obwohl Phishing auf guter Nachforschung basieren und auf dich und dein Unternehmen zugeschnitten werden kann, ist eine sehr allgemein gehaltene Sprache ein Kennzeichen von Phishing-Betrug. Sei vorsichtig bei Nachrichten, die scheinbar von einer Organisation stammen, der du vertraust, die sich jedoch durch vage Aussagen auszeichnet:

Lieber Kontoinhaber,

Ebenso, wenn eine Nachricht eine vielversprechende geschäftliche oder finanzielle Gelegenheit verspricht, aber nicht genügend Details enthält, um zu bestätigen, dass der Absender dich tatsächlich kennt, könnte es sich um einen Betrugsversuch handeln:

Ich bin Frederick, ein Bankangestellter. Bitte kontaktiere mich so schnell wie möglich bezüglich einer möglichen Erbschaft eines verstorbenen Verwandten. Ich kann dir keine Details per SMS mitteilen. Sende mir eine E-Mail an die nachfolgende Adresse.

Geschäftsnachrichten von persönlichen Konten

Raffinierte Angreifer können über deine Online-Präsenz genügend Informationen sammeln, um eine Nachricht zu erstellen, die plausibel von einem echten Kontakt stammen könnte:

Aktualisierung unserer Großhandelspreise

Hallo Stefanie, ich wollte dir nur ein kurzes Update zukommen lassen. Anbei findest du die Tabelle unserer aktuellen Großhandelspreise: stoffpreise-2018-mai.xls

Ich hoffe, du warst mit der letzten Lieferung T-Shirts zufrieden! Bitte lasse mich wissen, falls du Fragen oder Bedenken haben solltest.

--

Julia Chan

Account Manager

Stoffmanufaktur ABC

Um einen Angriff zu verüben, können sich Betrüger in das Geschäftskonto deines Kontakts hacken oder ein gefälschtes persönliches Konto erstellen. Wenn zum Beispiel der Benutzername für die persönliche E-Mail deines Kontakts Julia juliachan3857 lautet, könnte ein Angreifer eine E-Mail von einem Konto mit diesem Benutzernamen senden juliachan9665. Diese Angriffsform hängt von zwei Faktoren ab:

  • Menschen senden versehentlich E-Mails von einem falschen Konto.
  • Selbst wenn du Julias persönliche E-Mail-Adresse kennst, wirst du vielleicht nicht genau hinsehen.

Rechtschreibfehler, schlechte Grammatik und Stilvariationen

Kriminelle nehmen Style-Guides nicht so ernst wie professionelle Texter für das Web. Neben Tippfehlern und Grammatikfehlern können Variationen in den folgenden Kategorien auf einer einzelnen Seite zeigen, dass eine Website betrügerisch ist:

  • Rechtschreibung.
  • Klein- und Großschreibung
  • Zahlen
  • Interpunktion
  • Formatierung

Alarmistischer oder überzogener Tonfall

Achte auf zeitkritische Anfragen, die dich zum Handeln ohne längeres Nachdenken bringen wollen. Beispielsweise wird dir Shopify keine Nachricht senden wie diese:

Wir hatten einen katastrophalen Serverausfall. Antworte in den nächsten 24 Stunden mit deinem Benutzernamen und Passwort oder du verlierst dauerhaft den Zugriff auf Ihren Shop.

Achte ebenso auf Nachrichten, in denen Angebote gemacht werden, die zu gut sind, um wahr zu sein, z. B. 90 % Rabatt von einem Reiseunternehmen, das nur verfügbar ist, wenn du jetzt handelst.

URLs, die nicht richtig aussehen

Phishing-Versuche können URLs enthalten, die, so lange du nicht genau hinschaust, legitim erscheinen. Viele Phishing-Versuche verwenden URLs, die absichtlich so ausgewählt wurden, dass sie einer URL ähneln, mit der du bereits vertraut bist. Ein Beispiel findest du in der nachfolgenden Tabelle: Normalerweise beziehst du deine Schwimmkleidung von Sportkleidung ABC unter der legitimen URL, erhalten dann jedoch eine E-Mail mit einem Link zur gefälschten URL. Daran kannst du direkt erkennen, dass es sich um einen Phishing-Versuch handelt.

Die echte URL verweist dich auf eine Site in der Domain example-apparel.com, die Eigentum von Example Apparel ist, und die gefälschte URL verweist dich auf eine schädliche Website in der Domain com-aquatic.net, die wahrscheinlich im Besitz von Kriminellen ist.

Merkmale von zulässigen und unzulässigen URLs
Legitime URL Betrügerische URL
sportkleidung-abc.com/aquatic/badehosen sportkleidung-abc.com-aquatic.net/badehosen

Verdachtsmomente über einen anderen Kommunikationskanal ansprechen

Spreche mit dem vermeintlichen Absender einer verdächtigen Nachricht persönlich oder über das Telefon und adressiere Bedenken über eine Webseite, indem du mit jemandem in der entsprechenden Organisation sprichst.

Wenn du dich telefonisch mit dem Absender in Verbindung setzt, verwende eine Nummer, die du gespeichert hastoder die in mehreren seriösen Online-Quellen erscheint. Wenn du z. B. eine verdächtige Anfrage nach Informationen von deiner Steuerbehörde per E-Mail erhältst, dann rufe die Behörde unter der Nummer auf der letztjährigen Steuererklärung an. Rufe keine Nummer an, die auf einer verdächtigen Website oder E-Mail angezeigt wird.

Sicherstellen, dass deine Verbindung zu einer Website HTTPS verwendet

Wenn du eine Verbindung zu einer Website herstellst, auf der du zur Eingabe eines Benutzernamens und eines Kennworts oder anderer sensibler Daten aufgefordert wirst, überprüfe, ob neben der URL in deinem Browser ein Schlosssymbol angezeigt wird.

Das Schlosssymbol weist darauf hin, dass die Verbindung zur Site mit dem HTTPS-Protokoll verschlüsselt ist. URLs für verschlüsselte Verbindungen beginnen eher mit https:// als mit http://. Verbindungen, die http:// verwenden, senden Daten im Klartext, das heißt, sie können unterwegs abgefangen und gelesen werden.

Bevor du auf einen Link zu einer beliebigen Seite klickst, auf der du wahrscheinlich Informationen eingeben wirst, vergewissere dich, dass die URL mit https:// beginnt.

Interagiere nicht mit Anhängen, Links oder Formularen, es sei denn, du erwartest sie und weißt, was sie enthalten. Sie können dich nicht nur auf eine schädliche Website zum Diebstahl deiner Daten umleiten, sondern dein Gerät auch mit Malware infizieren.

Wenn der Linktext eine URL ist, stelle sicher, dass sie mit der URL in dem Link übereinstimmt. Zum Beispiel leitet dich ein Link, der im Text einer E-Mail als https://help.shopify.com geschrieben ist, möglicherweise zu einer Phishing-Seite mit einer anderen URL weiter.

Viele Phishing-Attacken versuchen, sich das Online-Banking zu Nutze zu machen. Wenn du eine verdächtige E-Mail von deiner Bank mit einem speziellen Angebot für eine Kreditlinie erhältst, klicke nicht auf den Link. Gib stattdessen die URL deiner Bank manuell in einem neuen Fenster ein und prüfe, ob das Angebot in Verwaltungsbereich deines Kontos angezeigt wird.

Vorsicht bei öffentlichem WLAN

Keine Frage: Öffentliches WLAN ist praktisch, wenn du unterwegs bist. Aber es bietet Kriminellen auch viele verschiedene Möglichkeiten, Zugang zu deinen Informationen zu erhalten. Du kannst deine Risiken reduzieren, indem du Maßnahmen ergreifst, um dich selbst und deine Daten zu schützen.

Überprüfe die Hotspot-Namen

Ein Angreifer kann seinen eigenen unverschlüsselten WLAN-Hotspot erstellen, der nach einem legitimen Hotspot im selben Bereich benannt ist, z. B. das Netzwerk in einem Café. Wenn du dich mit dem Phishing-Hotspot verbindest, kann der Angreifer dich auf seine eigene Seite führen, auf der du Malware ausgesetzt werden kannst oder um die Eingabe privater Informationen gebeten wirst.

Stelle vor dem Verbinden sicher, dass der Hotspot, den du verwenden möchtest, legitim ist. Wenn du den Namen des Hotspots nicht an einem eindeutigen Ort sehen kannst, frage einen Mitarbeiter.

Deaktiviere Zugangspunkte zu deinem Endgerät

Selbst wenn du mit einem legitimen öffentlichen WLAN-Hotspot verbunden bist, kannst du immer noch gefährdet sein, wenn du dich im gleichen Netzwerk wie ein Angreifer befindest. Öffentliche WLAN-Netzwerke sind weitaus unsicherer als private Netzwerke wie das bei dir zu Hause oder im Büro.

Schütze dich, indem du die Dateifreigabe in deinem Netzwerk deaktivieren und die Firewall aktivierst, bevor du eine Verbindung herstellst. Auch mit diesen Vorsichtsmaßnahmen ist es noch immer keine gute Idee, vertrauliche Inhalte über ein öffentliches Wi-Fi-Netzwerk zu senden oder zu empfangen.

Sende und empfange sensible Daten über ein VPN

Ein virtuelles privates Netzwerk stellt eine sichere Verbindung zwischen deinem Gerät und den Servern des VPN-Unternehmens her. Von dort leiten die VPN-Server deine Informationen an das Internet weiter. Wenn ein Angreifer Zugriff auf die Daten erhält, die du über einen öffentlichen WLAN-Hotspot sendest und empfängst, sind die Daten verschlüsselt und für den Angreifer nicht zu gebrauchen.

Techradar und PC Mag sind gute Ausgangspunkte, wenn du erfahren möchtest, wie man ein VPN auswählt.

Ohne ein VPN ist die sicherste Option, auf die Übertragung sensibler Informationen über öffentliche WLANs zu verzichten.

Folge den behördlichen Richtlinien bei Gefährdung deiner persönlichen Daten

Personenbezogene Daten bestehen aus Daten, die dazu verwendet werden können, eine bestimmte Person zu identifizieren oder sich sogar als diese auszugeben. Zu den Arten von personenbezogenen Daten gehören:

  • Vollständiger Name
  • E-Mail-Adresse.
  • Adresse
  • Telefonnummer
  • Kreditkartennummer
  • Nationale Identitätsnummer (wie SIN, SSN oder Reisepass).
  • Führerschein
  • Geburtsdatum

Wenn du über einen verdächtigen Kanal personenbezogene Daten zur Verfügung gestellt hast oder dein Shopify-Konto kompromittiert wurde, lese die Leitfäden deiner zuständigen Behörden, z. B. die folgenden Informationen der Regierungen Kanadas und der Vereinigten Staaten.

Kanada

Was du tun kannst:

Einen Bericht einreichen:

Vereinigte Staaten

Was du tun kannst:

Einen Bericht einreichen:

Bereit, mit Shopify zu verkaufen?

Kostenlos ausprobieren