Was ist Phishing und warum sollte ich mich davor schützen?
Der Begriff Phishing ist an das englische Wort fishing (engl. für Angeln, Fischen) angelehnt und bezeichnet einen per E-Mail durchgeführten Betrugsversuch. Bildlich gesprochen geht es um das Angeln von Passwörtern, wodurch persönliche Daten missbraucht oder der Inhaber eines Bankkontos geschädigt werden sollen. Der Empfänger erhält hierbei eine seriös wirkende E-Mail zum Beispiel von PayPal, Amazon, Apple oder sogar vom vermeintlich eigenen Chef. Diese E-Mails können beispielsweise gefährliche Weblinks (URLs) enthalten, die auf gefälschte Webseiten verlinken, um die anschließend eingegebenen Daten zu missbrauchen. Anhand der in der URL enthaltenen Zieldomain (hier „Wer Bereich“ genannt) kann überprüft werden, zu welcher Seite der Weblink führt und das Risiko kann durch den Nutzer abgeschätzt werden.
Detaillierte Informationen zu Phishing und Social Engineering Schutz finden Sie auf unserer Seite zu Phishing Basiswissen.
Über NoPhish
Die Forschungsgruppe SECUSO des KIT (früher TU Darmstadt) hat ein Lernkonzept zur Erkennung von Phishing-Mails entwickelt: NoPhish. Hierfür werden verschiedene Materialien kostenlos zur Verfügung gestellt, die dem Nutzer grundlegendes Wissen über Phishing-E-Mails und der häufig enthaltenen URLs vermitteln sollen.
Das Anti-Phishing Lernkonzept: wissenschaftlich
Anhand eines gratis zur Verfügung gestellten Quiz können Lernerfolge im Bezug auf das Erkennen von betrügerischen URLs erzielt und überprüft werden. Das Quiz kann entweder online im Webbrowser oder in der App auf einem Android Handy durchgeführt werden.
Zu Beginn gibt es eine kurze Einführung zum Thema Phishing-E-Mails, inklusive einiger Phishing Beispiele. Im ersten Level wird der Aufbau der URL erklärt. Hierbei wird deutlich gemacht, dass es am wichtigsten ist, den „Wer-Bereich“ (SECUSO) der URL immer zu überprüfen. (Bildquelle: NoPhish App)
Der Teilnehmer hat hierbei die Möglichkeit nach dem Überprüfen der angezeigten URL zu entscheiden, ob es sich um einen „Phish“ oder ein Original handelt. Ein fröhlicher oder trauriger Emoji signalisiert, ob man die richtige Entscheidung getroffen hat. Als kleiner Ansporn stehen in jedem Level nur drei Leben zur Verfügung. (Bildquelle: NoPhish App)
Zusätzlich wird häufig auch nach einer korrekt beantworteten Frage nach dem „Wer-Bereich“ der URL gefragt, um das Erlernte zu festigen. Mit jedem weiteren Level steigt der Schwierigkeitsgrad der zu erkennenden URLs und auch die Anzahl der zu bewältigenden Fragen nimmt zu. Wurden alle acht Level überlebt kann sich jeder Teilnehmer per E-mail (nophish@secuso.org) ein Zertifikat ausstellen lassen.
Fazit: Absolut empfehlenswert für Privatanwender und Unternehmen beidermaßen
Das kostenfreie Anti-Phishing Lernkonzept wird durch die Kombination aus Informationen und den anschließenden Quiz-Fragen ansprechend umgesetzt. Der Nutzer kann spielend den Umgang mit Phishing-E-Mails und den häufig darin enthaltenen URLs erlernen. Die breit gefächerten Themen sorgen sicher auch bei Nutzern für einen Wissenszuwachs, die sich schon mit dem Thema befasst haben. Jedoch sind die Level sehr ausführlich gestaltet und können etwas langwierig sein. Aufgrund des direkten Lerneffekts kann SECUSOs Anti-Phishing Lernkonzept empfohlen werden, um Internetbetrug zu erkennen.