Gefährliche E-Mails sollte man nicht öffnen – das ist eine Binsenweisheit, und doch ist es manchmal schwer, Fake-Mails zu entlarven. Europas größtes IT- und Tech-Magazin c’t vermittelt in seiner aktuellen Ausgabe 19/22 Hintergrundinfos und Tipps, damit Nutzer leichter die Spreu vom Weizen trennen können.
Perfekte 1:1-Kopien von PayPal- oder Rechnungsmails haben wir alle schon mal erhalten. Richtig tricky wird es, wenn Kriminelle E-Mails mit echten Daten aus Datenleaks versenden. Um die zu erkennen, braucht es Hintergrundwissen und Vorsichtsmaßnahmen: Nutzer sollten alle verfügbaren Software-Updates für Betriebssystem, Browser und Mailprogramm installieren, da diese Sicherheitslücken schließen. Darüber hinaus empfiehlt es sich, Mailclient oder Webmail-Account standardmäßig auf die Textansicht umzustellen. „HTML-Mails führen leicht in die Irre, wohingegen im Textmodus das tatsächliche Linkziel sofort zu sehen ist“, erklärt c’t-Experte Ronald Eikenberg.
Jede Mail sollte einem Plausibilitätscheck unterzogen werden: Kenne ich den Absender? Erwarte ich eine Mail von ihm? Was ist sein Anliegen? „Besteht der geringste Zweifel, sollten Nutzer für Klarheit sorgen“, sagt Eikenberg. Das macht man, indem man beim Absender am besten telefonisch nachfragt. Wer immer noch unsicher ist, kann Absenderadressen über den Reputationsdienst „Simple Email Reputation“ checken.
Bei Phishing-Mails werden Empfänger meist direkt oder indirekt gebeten, einen Anhang oder Link zu öffnen. Die Office –Formate sind dabei Angreifers Liebling, aber es gibt unzählige weitere Dateiformate, die Schaden anrichten. „Anhänge sollte man nur dann öffnen, wenn man sich der Echtheit einer Mail sicher ist“, so Eikenberg. Gleiches gilt für Links: Phisher verlängern legitime Domains gern durch unauffällige Zusätze wie „sparkasse-onlinebanking“ statt „sparkasse.de“. Zur Analyse verdächtiger Links empfehlen sich Online-Dienste wie Browserling, VirusTotal oder urlscan.io.
Auch für das Verschicken von Mails gibt es Tipps: „Angefangen beim eigenen Absendernamen über die Darstellung im Textformat, den Betreff, das Format von Dateianhängen bis zur sinnvollen E-Mail-Signatur können wir dafür sorgen, dass unsere Mails als sicher eingestuft werden“, rät Eikenberg. Damit jeder die Tipps für den sicheren Mailversand beherzigen kann, stehen Sie unter https://ct.de/sicher-mailen frei zum Abruf bereit.
In vielen Fällen sind andere, modernere Kommunikationskanäle besser geeignet als E-Mails: Messenger-Apps wie Signal und WhatsApp verschlüsseln Nachrichten standardmäßig, außerdem kann der Empfänger leicht überprüfen, von welchem Absender eine Nachricht stammt. Darüber lassen sich auch Dateien sicher übertragen.
Für die Redaktionen: Auf Wunsch schicken wir Ihnen gern die komplette Artikelstrecke zur Rezension.
Perfekte 1:1-Kopien von PayPal- oder Rechnungsmails haben wir alle schon mal erhalten. Richtig tricky wird es, wenn Kriminelle E-Mails mit echten Daten aus Datenleaks versenden. Um die zu erkennen, braucht es Hintergrundwissen und Vorsichtsmaßnahmen: Nutzer sollten alle verfügbaren Software-Updates für Betriebssystem, Browser und Mailprogramm installieren, da diese Sicherheitslücken schließen. Darüber hinaus empfiehlt es sich, Mailclient oder Webmail-Account standardmäßig auf die Textansicht umzustellen. „HTML-Mails führen leicht in die Irre, wohingegen im Textmodus das tatsächliche Linkziel sofort zu sehen ist“, erklärt c’t-Experte Ronald Eikenberg.
Jede Mail sollte einem Plausibilitätscheck unterzogen werden: Kenne ich den Absender? Erwarte ich eine Mail von ihm? Was ist sein Anliegen? „Besteht der geringste Zweifel, sollten Nutzer für Klarheit sorgen“, sagt Eikenberg. Das macht man, indem man beim Absender am besten telefonisch nachfragt. Wer immer noch unsicher ist, kann Absenderadressen über den Reputationsdienst „Simple Email Reputation“ checken.
Bei Phishing-Mails werden Empfänger meist direkt oder indirekt gebeten, einen Anhang oder Link zu öffnen. Die Office –Formate sind dabei Angreifers Liebling, aber es gibt unzählige weitere Dateiformate, die Schaden anrichten. „Anhänge sollte man nur dann öffnen, wenn man sich der Echtheit einer Mail sicher ist“, so Eikenberg. Gleiches gilt für Links: Phisher verlängern legitime Domains gern durch unauffällige Zusätze wie „sparkasse-onlinebanking“ statt „sparkasse.de“. Zur Analyse verdächtiger Links empfehlen sich Online-Dienste wie Browserling, VirusTotal oder urlscan.io.
Auch für das Verschicken von Mails gibt es Tipps: „Angefangen beim eigenen Absendernamen über die Darstellung im Textformat, den Betreff, das Format von Dateianhängen bis zur sinnvollen E-Mail-Signatur können wir dafür sorgen, dass unsere Mails als sicher eingestuft werden“, rät Eikenberg. Damit jeder die Tipps für den sicheren Mailversand beherzigen kann, stehen Sie unter https://ct.de/sicher-mailen frei zum Abruf bereit.
In vielen Fällen sind andere, modernere Kommunikationskanäle besser geeignet als E-Mails: Messenger-Apps wie Signal und WhatsApp verschlüsseln Nachrichten standardmäßig, außerdem kann der Empfänger leicht überprüfen, von welchem Absender eine Nachricht stammt. Darüber lassen sich auch Dateien sicher übertragen.
Für die Redaktionen: Auf Wunsch schicken wir Ihnen gern die komplette Artikelstrecke zur Rezension.
