Als Angriff erkennen lassen sich E-Mails und Webseiten mitunter, wenn man ganz genau hinschaut.

Leider werden die Phishingmails immer professioneller und sind immer schwieriger erkennen, doch es gibt ein paar Kriterien, auf die Sie die Mail und die Webseite prüfen sollten.

"Sehr geehrte Kundin, sehr geehrter Kunde,

Von den technischen Diensten der bank ist die Erneuerung der Software vom on-line System für den zugang der Kunden zum Bankdienstleistungen vorgenommen worden. Wir bitten Sie inständig Link nach unten zu verfolgen, für den Start der Bestätigung der Ausnutzung der Benutzerinformationen.

"https://www.dr3sdner-bank.de/conf_procedure.asp?start_session"

Die vorliegende Vorschrift ist an alle Bannkunden abgeschickt worden und das ist eine Pflichterfüllung.

Wir bedaknen uns für die Zusammenarbeit."

• Ansprache

In einer Mail der Bank werden Sie immer mit Vor- und Nachname angesprochen.

• Aufruf der Bank

Ihre Bank wird Sie nie per Mail dazu auffordern, Ihre Daten zu aktualisieren.

• Sprache und Formulierungen

Die Texte sind häufig in schlechtem Deutsch verfasst.

• URL

Die Links zu den Webseiten sind leicht veränderte URLs der Originalwebseiten:
Beispielsweise wird statt www.die-online-bank.de die Adresse www.die-on1ine-bank.de verwendet. Manchmal sind die URLs auch deutlich länger als das Browser-Fenster sie anzeigen kann.

• Absender der Mail

Die Absenderadresse ist meist unbekannt und sollte zu Misstrauen führen.

• Aufforderung zur PIN und TAN-Eingabe

Banken fragen nie auf der gleichen Seite nach der PIN und nach der TAN. Häufig werden auf den gefälschten Seiten beide Angabe auf einer Seite erfragt, teilweise wird auch nach mehreren TANs gefragt (siehe Beispiel oben).

Sonstiges

• Quellcode

Bei Betrachtung des Quellcodes von E-Mails und Webseiten (also nicht der angezeigte HTML-Code) fallen ggf. verdeckte Links oder aktive Codes auf.

• Art der Verbindung

SSL-gesicherte Verbindungen (erkennbar an https://... anstelle von http://... und einem Schlosssymbol) führen zu Fehlermeldungen, weil der gefälschte Webserver seine Authentizität nicht nachweisen kann - leider werden derartige Warnhinweise vom Benutzer oft nicht beachtet und ungelesen "weggeklickt". 

• Verlinkungen bzw. Textlinks

Zum Schutz kann das Deaktivieren der HTML-Anzeige im E-Mail-Client beitragen. Verdeckte Links können so beispielsweise dem Benutzer nicht mehr untergeschoben werden. Bei aktivierten HTML kann man die verdeckten Links erkennen, wenn man mit der Maus über die verlinkten URLs fährt. In der Statuszeile des E-Mail-Clients wird dann normalerweise angezeigt, auf welche Adresse der Link verweist. Wenn diese nicht mit dem Textlink in der Nachricht übereinstimmt, spricht man von einem verdeckten Link und Vorsicht sollte geboten sein.