Herzlich Willkommen beim Anti Phish Quiz.

Hier können Sie spielerisch und gefahrlos üben, Phishingangriffe selbständig zu erkennen und richtig auf diese zu reagieren.

Mit ein bisschen Übung werden Sie so fit wie unser Protagonist Andi Seiber und nehmen Angreifern wie Ganove Fischer den Wind aus den Segeln – oder sollten wir lieber sagen, den Haken von der Angel?

Auf den folgenden Seiten erklären wir Ihnen kurz, was Phishing ist und worauf Sie bei der Kontrolle von E-Mails und Webseiten achten müssen, um Phishingangriffe und weitere Bedrohungen zu erkennen.

Anschließend startet das Anti Phish Quiz. In diesem schlüpfen Sie in die Rolle von Andi Seiber und müssen zeigen, dass Sie auch Herr der Lage bleiben, wenn Ganove Fischer die ganz dicken Köder auspackt.

Falls Sie direkt spielen wollen, drücken Sie auf "Intro überspringen".
Sie können das Spiel jederzeit (mit anderen Fragen) neu starten, indem Sie die Seite erneut aufrufen.

Ganove Fischer fischt nach Daten – denn die bringen mehr Geld als Fische.

Was ist Phishing?

Das Wort Phishing ist ein Sammelbegriff für verschiedene Methoden, die Betrüger nutzen, um persönliche Daten wie Logins, Passwörter, Kreditkarten-, Adress- oder Kontodaten zu erbeuten. Meist nutzen sie dafür Webseiten, auf die ihre Opfer über andere Webseiten, E-Mails, SMS- und Messenger-Nachrichten oder auch über Mitteilungen in sozialen Medien oder Datingportalen geleitet werden.

Die Webseiten sehen meist genau so aus wie bekannte Webseiten von Banken, Online-Bezahldiensten, Telekommunikationsanbietern, Online-Shops oder sozialen Netzwerken. Das Opfer soll glauben, es handle sich um die "echte" Webseite und wird aufgefordert, persönliche Informationen einzugeben.

Wer auf den Trick hereinfällt, übermittelt seine Daten an die Betrüger, welche dann zum Beispiel das Konto des Opfers plündern, dessen Accounts entwenden, Waren über dessen Konten einkaufen oder Straftaten unter Verwendung der erbeuteten Adressdaten begehen.

Ganove Fischer ist nur ein kleines Zahnrad in einem großen Getriebe der organisierten Internetkriminialität. Die Cybercrime-Netzwerke arbeiten hoch professionell und sind weltweit vernetzt. Sie agieren in ihrem eigenen Ökosystem und Wirtschaftskreislauf. So nutzt Herr Fischer beispielsweise von kriminellen Hackern entwickelte Schadsoftware, um Zugangsdaten zu erbeuten. Diese verkauft er wiederum an andere Kriminelle, die dann Konten plündern, Accounts kapern, Firmennetzwerke infiltrieren oder die Betroffenen erpressen. Viele dieser Handlungen laufen vollständig automatisiert und teils innerhalb weniger Sekunden ab.

Tolle Gewinne, gesperrte Konten, unbekannte verstorbene Verwandte im Ausland, Zugang zu nackter Haut – Cyberkriminelle nutzen jede Möglichkeit, ihre Opfer zu manipulieren

Die Psychotricks der Angreifer

Die meisten Phishingangriffe zielen darauf ab, ihre Opfer auf psychologischer Ebene zu unüberlegten Handlungen zu bewegen. Dies kann die Eingabe von Adress- oder Zugangsdaten auf einer Webseite, das Öffnen von virenverseuchten Mailanhängen oder die Installation von Schadsoftware sein.

Das Erzeugen starker Emotionen hilft den Angreifern dabei, ihr Ziel zu erreichen. Positive und negative Überraschungen, Glück, Angst, Panik, Mitleid, Trauer, Verliebtheit, Lust oder gezielte Verwirrung – je stärker die Ablenkung ist, desto besser klappt der Phishingangriff. Oft wird gezielt Hektik erzeugt und Druck aufgebaut, indem dem Opfer vermittelt wird, dass unschöne Konsequenzen drohen, wenn es nicht sofort reagiert – sei es die Sperrung des Kontos, der Verlust von Geld, die Veröffentlichung vertraulicher Informationen oder der Verfall eines angeblichen Gewinns.

Viele Phishingangriffe lassen sich leicht erkennen, bei anderen ist es schwieriger. Gefährlich wird es meist, wenn der in einer Phishingmail behauptete Sachverhalt zufällig genau zu den eigenen Umständen passt, z. B. weil man Kunde bei der gleichen Bank ist oder tatsächlich auf ein Paket des jeweiligen Dienstleisters wartet.

Manche Phishingangriffe werden sogar individuell an den Empfänger angepasst. Dann kann es vorkommen, dass der Text eigene Adressdaten oder gar Passwörter enthält oder man z. B. eine fingierte Bewerbung für eine tatsächlich vom eigenen Unternehmen ausgeschriebene Stelle bekommt.

Auf Bauchgefühl und gesunden Menschenverstand vertrauen

Herr Seiber ist doch eher skeptisch, wenn ihm ein Unbekannter ein neues iPhone schenken will.

So gemein die Psychotricks der Angreifer auch sind, wer gelernt hat, erst einmal einen kühlen Kopf zu bewahren und E-Mails skeptisch zu hinterfragen, hat gute Chancen, den Schwindel zu erkennen.

Vertrauen Sie auf Ihr Bauchgefühl und überprüfen Sie, ob Mails die zuvor genannten Methoden einsetzen oder typische Phishinginhalte aufweisen:

Will Ihnen ein Unbekannter etwas schenken?
Versucht Sie jemand unter Druck zu setzen?
Sollen Sie Kontoinformationen bestätigen oder aktualisieren, obwohl die jeweilige Institution dies zuvor noch nie verlangt hat? (Banken machen das in der Regel nicht.)
Haben Sie etwas gewonnen, ohne an einem Gewinnspiel teilgenommen zu haben?
Sollen Sie persönliche Daten eingeben oder einen unerwarteten E-Mail-Anhang öffnen?
Behauptet jemand, Ihren Computer, Ihr E-Mail-Postfach oder einen Account gehackt und Daten, Passwörter oder private Aufnahmen entwendet zu haben?
Braucht ein Paketdienstleister plötzlich mehr Daten oder will Geld, um Ihr Paket liefern zu können?
Sendet Ihnen jemand eine Rechnung, obwohl Sie nichts gekauft oder in Auftrag gegeben haben?
Verspricht man Ihnen unübliche hohe Renditen oder einfache Möglichkeiten, viel Geld zu verdienen?
Behauptet jemand, eine geheime Methode gefunden zu haben, um schnell Geld zu verdienen oder Krankheiten zu heilen?

All diese Sachverhalte sind deutliche Warnzeichen, dass es sich um keine seriöse Nachricht handelt. Falls Sie sich dennoch unsicher sind, nehmen Sie über einen andere Kanal (Telefonnummer oder eine offizielle E-Mail-Adresse) Kontakt mit der jeweiligen Person oder Institution auf und fragen Sie nach.

Über manche Phishingmails kann man auch mal lachen.

Die offensichtlichen Angriffe

In einigen Fällen ist sehr offensichtlich, dass etwas nicht stimmt:

Spam-Markierung: Die meisten E-Mail-Provider versuchen Sie bei der Erkennung von Cyberangriffen zu unterstützen, indem sie entsprechende E-Mails als Spam einstufen. Zwar liegt die Spamerkennung hin und wieder falsch, dennoch sollten Sie diese Warnung immer ernst nehmen. Trainieren Sie Ihren Spamfilter, indem Sie Phishingmails als "Spam" markieren und falsch erkannte Mails als "kein Spam".
Schlechte Sprache: Enthält die Nachricht kaputte Umlaute oder offensichtliche Formulierungsfehler? Die meisten Angreifer haben keine Deutschkenntnisse und nutzen Übersetzungstools zum Erstellen der Texte. Durch das Aufkommen von KI-Textgeneratoren wird die Sprache allerdings auch in Phishingmails immer besser.
Kaputtes Layout oder nur Bilder statt Text: Sieht das Layout der E-Mail komisch oder kaputt aus? Ist das sonst übliche Firmenlogo des Absenders verfälscht? Oder enthält die E-Mail nur Bilder (ggf. auch mit Textinhalten) statt Text? Das sind klare Anzeichen für einen Betrugsversuch.
Kein bisheriger Kontakt: Wenn Ihnen ein Unternehmen schreibt, mit dem Sie noch nie etwas zu tun hatten, ist dies auffällig. Falls Ihnen entsprechende Mails komisch vorkommen, antworten Sie nicht und klicken Sie auch nicht auf möglicherweise vorhandene "Abmelden"-Links, die suggerieren, Sie könnten die E-Mails des Absenders abbestellen. Oft bestätigen Sie den Angreifern damit, dass sie eine aktive Mailadresse gefunden haben. Dann erhalten Sie noch mehr Spam.
Unrealistische Szenarien: Überlegen Sie, ob der geschilderte Inhalt realistisch ist. Kennen Sie jemanden, der etwas tolles bei einem Gewinnspiel gewonnen hat, ohne daran teilzunehmen? Oder jemanden, der vom Sofa aus mit seinem Handy jeden Tag 2.000 Euro verdient? Spätestens wenn Ihnen ein Prinz aus Fernost schreibt, dass Sie im Testament des Schwippschwagers des Exmannes Ihrer Großtante vierten Grades mit einigen Millionen Euro bedacht wurden, dürfen Sie es machen wie Andi Seiber und einfach mal herzlich über so viel Unsinn lachen, bevor Sie die E-Mail löschen.

Andy Seiber erklärt mal kurz das Internet.

Die technischen Tricks

Die Handlungsbereitschaft der Opfer zu schaffen ist nur der erste Schritt eines erfolgreichen Phishingangriffs. Damit der Schwindel nicht direkt auffällt, versuchen die Angreifer diesen mit technischen Tricks zu verschleiern.

Um diese Tricks zu entlarven, braucht man ein paar wenige Grundkenntnisse über das Internet. Besonders wichtig ist zu verstehen, was eine Domain bzw. eine Subdomain ist, denn dann kann man echte Webseiten viel besser von unechten unterscheiden. Glücklicherweise ist das aber gar nicht kompliziert:

Nehmen wir das Beispiel Wikipedia. Die deutsche Wikpedia-Seite hat die Internetadresse de.wikipedia.org. Dabei ist wikipedia.org die Domain des Wikipedia-Projekts. Die Adresse de.wikipedia.org ist eine Subdomain – also eine der Hauptdomain untergeordnete Adresse, die für die deutsche Variante der Enzyklopädie angelegt wurde. Solche Subdomains enden immer mit einem Punkt gefolgt von der Hauptdomain, zu der sie gehören (.wikipedia.de).

Jeder kann gegen eine jährliche Gebühr eine Domain bei einer Registrierungsstelle erwerben. Die einzige Voraussetzung ist, dass diese noch nicht vergeben ist.

Subdomains kann man hingegen kostenlos und ohne Einschränkungen anlegen, sobald man die übergeordnete Domain besitzt. Außerdem kann der Domainbesitzer E-Mails von sämtlichen Adressen versenden, bei denen die Domain oder eine Subdomain hinter dem @-Zeichen steht, z. B. von beispiel@de.wikipedia.org.

Das war für den Moment auch schon alles, was Sie wissen müssen, um die wichtigsten Tricks der Angreifer zu verstehen. Schauen wir uns jetzt an, welche das sind!

Ganove Fischer überlegt, bei welchem Haken sein Opfer wohl anbeißen könnte.

Die technischen Tricks

Die häufigsten Tricks zur Vertuschung von Cyberangriffen:

E-Mail Absendername gefälscht: Einige Mailprogramme zeigen die E-Mail-Adresse des Absenders in der Standardansicht nicht an, sondern nur dessen Namen. Angreifer nutzen dies aus, um ihren Opfern von einer beliebigen Mailadresse zu schreiben. Sie geben einfach einen dem Empfänger bekannten Namen an und hoffen, dass dieser die falsche E-Mail-Adresse nicht bemerkt. Manchmal registrieren sie auch gezielt eine E-Mail-Adresse, die den entsprechenden Namen enthält.
Prüfen Sie bei ungewöhnlichen Mails immer, ob es sich um die Ihnen bekannte Mailadresse Ihres Kontakts handelt. Fragen Sie andernfalls telefonisch oder über die bekannte E-Mail-Adresse nach.
E-Mail Absender komplett gefälscht: Die technischen Prozesse zur Zustellung von E-Mails lassen es leider zu, Mails mit jeder beliebigen Absenderadresse an jede Empfängeradresse zu senden. Hierfür muss nicht einmal ein E-Mail-Konto existieren. So ist es für jeden möglich, eine E-Mail mit der Absenderadresse kanzleramt@bundesregierung.de zu versenden. In den allermeisten Fällen erkennen Mailserver solche Betrugsversuche bei eingehenden Mails und verweigern die Annahme. Dies setzt aber voraus, dass sowohl der Mailserver als auch die Domain, zu der die Absenderadresse gehört, entsprechend konfiguriert wurden. Bei privaten Domains oder den Domains kleinerer Organisationen ist dies manchmal nicht der Fall. Dann kann es tatsächlich sein, dass solche Mails zugestellt werden. Manchmal nutzen Angreifer dies auch aus, um ihren Opfern E-Mails von ihrer eigenen E-Mail-Adresse aus zu senden und zu behaupten, sie hätten den E-Mail-Account gehackt (was in der Regel nicht stimmt).
Bleiben Sie aus den genannten Gründen auch dann skeptisch, wenn Sie ungewöhnliche Mails von Ihnen bekannten Absendern erhalten. Es besteht auch immer das Risiko, dass diese gehackt wurden und zum Spamversand missbraucht werden.

Ganove Fischer glaubt den richtigen Haken für sein Opfer gefunden zu haben.

Die technischen Tricks

Mailversand von einer falschen Domain: Angreifer registrieren oft Domains, welche den echten Domains bekannter Institutionen ähneln oder kleine Rechtschreibfehler enthalten. Vielen Nutzern fällt nicht auf, dass in spakasse.de ein r fehlt oder dass facebook.life keine offizielle Facebook-Domain ist.
Falls Ihnen eine Mail merkwürdig vorkommt, schauen Sie sich die Domain der Absenderadresse immer genau an.
Fehlende oder falsche Empfängerangabe: Auch die Empfängerangabe ist manchmal ein Indiz für Phishingmails. Es kann sein, dass diese gänzlich fehlt, dass Sie selbst gar nicht in der Empfängerliste auftauchen oder dass die Mail an weitere, Ihnen vollkommen unbekannte Personen versandt wurde.
Alle Varianten deuten darauf hin, dass mit dieser Mail wahrscheinlich etwas nicht stimmt.
Gefährliche Dateianhänge: Angreifer versenden oft Schadsoftware in E-Mail-Anhängen und tarnen diese beispielsweise als Rechnungen. Besonders aufpassen sollte man bei Dateien mit der Endung .exe, Microsoft-Office-Dateien (Word, Excel, etc.) sowie Zip- oder Rar-Archiven. Bei exe-Dateien kann es sich um Viren handeln. In Microsoft Office Dokumenten können sogenannte Makros eingebaut werden, mit deren Hilfe sich Schadsoftware installieren lässt. Dies wird häufig genutzt, um Verschlüsselungstrojaner (Ransomware) zu installieren und die Opfer anschließend zu erpressen. Falls Sie eine Office Datei aus einem E-Mail-Anhang öffnen, stimmen Sie niemals der Ausführung von Makros zu – selbst dann nicht, wenn im Dokument steht, dies wäre für die korrekte Darstellung notwendig. Zip- und Rar-Dateien werden häufig benutzt, um die zuvorgenannten Dateiarten an Virenscannern vorbeizuschleusen. Dabei werden die Archive meist verschlüsselt gespeichert und müssen mit einem in der Mail enthaltenen Code entschlüsselt werden (was die Virenscanner nicht automatisch können).
Falls Sie derartige Anhänge erhalten, öffnen Sie diese nicht oder fragen Sie bei Ihnen bekannten Absendern vor dem Öffnen nach, falls Sie nicht mit einem solchen Anhang rechnen.

Mit der richtigen Verpackung wird sein Opfer bestimmt anbeißen.

Die technischen Tricks

Verwirrende Links: Kriminelle registrieren meist Domains, die vertrauenswürdig wirken sollen. Dabei entstehen z. B. Konstrukte wie konto-aktivierungsdienst.com oder paket-status-abfrage.net. Damit es noch offizieller wirkt, wird die echte Anbieterdomain manchmal als Subdomain genutzt, z. B. dhl.de.paket-status-abfragen.net.
Der wohl wichtigste Tipp in diesem Tutorial: Schauen Sie sich jeden Link vor dem Öffnen genau an. In den meisten Mailprogrammen sehen Sie die Zieladresse eines Links, wenn Sie mit dem Mauszeiger über diesen fahren.
Verschleierte Zieladresse: Ein Link besteht aus einer Zieladresse und einem frei wählbaren Text. In einigen Phishingmails sieht man ausgeschriebene (vertrauenswürdige) Links, welche die Angreifer als Text eingetragen haben. Die Zieladresse ist aber eine ganz andere. So kann es sein, dass dhl.de/sendungsverfolgung angezeigt wird, der Link beim Aufruf aber eine andere Webseite öffnet.
Prüfen Sie die Zieladresse vor dem Öffnen auch, wenn diese bereits als Text angezeigt wird.
Umleitungen: Manchmal nutzen Angreifer Kurz-URL-Dienste oder andere Webseiten mit Weiterleitungsfunktionen, um das eigentliche Ziel eines Links zu verschleiern. Beim Aufruf des Links wird man (ggf. auch mehrfach) weitergeleitet, sodass am Ende ein anderer Link in der Adresszeile des Browsers steht, als der, den man geöffnet hat.
Prüfen Sie bei jedem Linkaufruf, ob Sie wirklich bei der angedachten Internetseite gelandet sind. Bei 0cn.de und einigen weiteren Kurz-URL-Diensten können Sie übrigens ein Pluszeichen (+) ans Ende der Kurz-URL anfügen und so beim Aufruf die Zieladresse des Kurzlinks erfahren, ohne direkt dahin weitergeleitet zu werden.
QR-Codes statt Links: Damit Spamfilter auffällige Links nicht kontrollieren, bauen Angreifer immer häufiger QR-Codes in Ihre Phishingmails ein und fordern die Opfer zum scannen der Codes auf.
Scannen Sie den Code nicht oder stellen Sie zumindest sicher, dass ihre Scan-App den Link nur anzeigt und nicht öffnet.

Zum Schluss wird es leider noch einmal ernst.

Ein paar letzte Tipps

Zum Schluss noch ein paar allgemeine Tipps zu Ihrer Sicherheit:

Schutz durch Software: Nutzen Sie einen Virenscanner und halten Sie diesen sowie Ihr Betriebssystem auf dem aktuellen Stand.
Keine externen Bilder laden: Falls es Ihr E-Mail-Programm zulässt, stellen Sie ein, dass es ohne Ihre Einwilligung keine auf externen Servern abgelegten Bilder anzeigen soll. Der Abruf dieser Grafiken kann den Angreifern verraten, dass Sie die Nachricht erhalten und geöffnet haben.
Kontrollieren Sie verdächtige Anhänge und Links: Falls Sie sich unsicher sind, ob eine Domain echt ist oder nicht, geben Sie diese in eine Suchmaschine ein um zu überprüfen, ob es offizielle Informationen dazu gibt. Falls Sie keinen Virenscanner installiert haben, der E-Mail-Anhänge automatisch überprüft, können Sie diese zur Kontrolle bei Virustotal.com hochladen. Die Webseite scannt diese dann mit fast 100 verschiedenen Virenscannern.
Spam-Links nicht aus Neugier öffnen: Auch wenn Sie bereits erkannt haben, dass es sich bei einer Nachricht um Phishing handelt: Rufen Sie die übermittelten Links nicht aus Neugier auf. Dies kann den Angreifern verraten, dass Sie die E-Mail erhalten haben, über welche IP-Adresse sie gerade surfen, welchen Browser und welches Betriebssystem Sie nutzen. Es kann auch sein, dass direkt versucht wird, eine Schadsoftware im Browser zu laden.
Antworten Sie niemals auf Spam-Mails: Vielleicht wäre es unterhaltsam, die Scammer ein bisschen an der Nase herumzuführen? Lassen Sie das, denn Sie wissen nicht, wer auf der anderen Seite sitzt und welche Folgen ihr Handeln hätte. Internetkriminialität wirkt oft abstrakt, ist aber in der realen Welt oft mit Fällen schwerster Kriminalität verknüpft. So werden beispielsweise Menschen nach Myanmar oder Kambodscha verschleppt und gezwungen in sogenannten Scam-Fabriken zu arbeiten. Wer sich wehrt oder eine zu geringe "Erfolgsquote" hat, muss mit Folter rechnen. Lassen Sie sich daher nicht leichtfertig auf eine Kommunikation ein.

Los gehts. Sie sind gut gewappnet.

Jetzt wissen Sie schon richtig viel über Phishing und Cyberangriffe. Es ist an der Zeit, das Gelernte auch anzuwenden. Im Anti Phish Quiz können Sie dies gefahrlos anhand üblicher Phishing- und Spammails üben.

Entscheiden Sie für jede angezeigte Mail, ob sie gefährlich ist oder nicht.
Achten Sie auf alle zuvor erläuterten Merkmale von Phishingangriffen. Details zu angezeigten Links und E-Mail-Adressen erhalten Sie, wenn Sie die Maus über diese bewegen oder sie auf Ihrem Mobilgerät antippen. Am Ende erhalten Sie eine Auswertung zu Ihren Stärken und Schwächen.

Wer möchten Sie sein?
Falls Sie nicht in die Rolle von Andi Seiber schlüfen möchten, können Sie hier auch Ihren eigenen oder frei erfundene Daten eingeben. Und nein, das ist noch nicht der erste Phishingversuch. 😉
Die Daten werden nur in Ihrem Browser gespeichert und nicht an uns übertragen.

Anrede & Name

Name Ihrer Firma & Webseite

Name Ihrer Bank & Webseite

Ihre E-Mail-Adresse

Die Informationen werden in den Beispielmails verwendet. Nutzen Sie sie, um Betrugsversuche von legitimen Nachrichten zu unterscheiden.