Kompetenz "Phishing erkennen"?

Unsicheres E-Banking?

Kürzlich konnte man in den Medien lesen, dass ein Benutzer beim E-Banking mit Revolut (eine Art Internet-Bank, Details spielen hier keine Rolle) CHF 30’000 verloren habe. In der Folge wurde viel Sinnloses und Unqualifiziertes geschrieben, bis sich nach ein paar Tagen herausstellte: Das Geld wurde nicht beim Bezahlvorgang entwendet, sondern der Benutzer hatte seine Daten selbst preisgegeben, weil er auf einen Phishing-Versuch hereingefallen war. Das Pikante: Der Geschädigte ist Leiter eines IT-Beratungsunternehmens. (Stand heute: Vielleicht steht morgen wieder eine neue Erkenntnis in den Medien.)

Nein: Phishing!

Man kann über die Dummheit der Geschädigten lachen. Das ist aber nicht zielführend: Ich kenne selbst Leute, die auf ähnliche Betrügereien hereingefallen sind und die keineswegs dumm sind. Die Kriminellen werden immer raffinierter und möglicherweise ist es nur eine Frage der Zeit, bis auch ich auf einen Betrüger hereinfalle.

Aber wir sollten dafür sorgen, dass wir und unsere Lernenden die reflexive Fähigkeit haben, Betrügereien zu erkennen, selbst wenn es sich um immer neue Maschen handelt.

Teste dich selbst

Mach einmal den Versuch und teste deine reflexive Fähigkeit, die oben abgebildete Mail als Phishing-Versuch zu erkennen. Scrolle hinauf, schau dir das Bild an und schreibe alle Punkte auf (oder merke sie dir), die auf Phishing hindeuten. Scrolle erst dann wieder weiter und vergleiche deine Ergebnisse mit meiner Liste.

Merkmale für Phishing

An diesen Merkmalen solltest du erkennen, dass es sich bei der Mail um einen Phishing-Versuch handelt:

  1. ***** SPAM *****: schon die Server-Software hat Verdacht geschöpft.
  2. Absendermail: Die Mailadresse gehört nicht zur Bank.
  3. Betreff: Gibt nicht sinnvoll den Inhalt wieder. So etwas wie “Kreditkarte gesperrt” wäre passender.
  4. Titel: vgl. Betreff.
  5. Nicht mehr «über das Internet»: Sonst aber schon? Sehr unwahrscheinlich.
  6. «um die Anmeldung zu aktivieren»: Eine Karte kann aktiviert werden, eine Anmeldung nicht.
  7. «Bitte klicken Sie bitte»: Das ist kein Deutsch nicht.
  8. (8a/8b) Als Absender «Cembra Money Bank” (Grossbuchstaben), beim Tooltip (kleines Pop-up-Fenster, das angezeigt wird, wenn die Maus den Text berührt) jedoch «Cembra money bank»
  9. Link-URL: Wie die Mailadresse (vgl. 2) müsste auch die URL auf eine sinnvolle Domain verweisen.

Sehr gut, wenn du diese Merkmale identifiziert hast. Noch besser, wenn du das Hauptmerkmal herausgefunden hast, das auf dem Screenshot nicht eingezeichnet werden kann, dann könntest du dir sogar die ganze vorangehende Analyse schenken: Deine Bank würde gar nie in dieser Weise per E-Mail mit dir kommunizieren!

Diese reflexive Fähigkeit sollten wir als Digitalkompetenz irgendwo in unseren Lehrplänen finden. Andere Schulen haben sie bereits drin…