Alle Beispiele für E-Mail Adressen, Namen, Instituten und Passwörtern sind frei erfunden und sollen das Thema besser erklären.
Heute ist es mir nicht mehr peinlich. Denn heute weiß ich, es kann jeden jederzeit erwischen.
Ich musste selbst einmal richtig auf die Fr**se fliegen, damit ich heute meinen Kunden optimal helfen kann.
Wir hatten 2011, und ich war mir sicher, dass ich nicht zu denen gehöre, die gehacked werden.
Noch besser: ich war davon überzeugt, dass ich auf der absolut sicheren Seite bin.
Hast du auch schon einmal gedacht: „Warum sollte ausgerechnet ich gehackt werden?“
Genau, das dachte ich auch.
Oder: „Mein Passwort ist kompliziert genug. Das knackt schon keiner.“
Tja, bis es dann doch irgendwann passierte.
Meine Dummheit wurde an diesem Tag so konsequent bestraft, dass meine Einstellung zu Internetsicherheit für immer verändert werden sollte.
Internetsicherheit steht seitdem über allem, wenn ich mit WordPress-Websites arbeite.
Eine Gute Sache hatte mein Erlebnis also:
Meine Kunden profitieren heute davon.
Bis heute wurde keine meiner Websites oder eine meiner Kunden gehacked.
Dabei könnte es dir überall und jederzeit passieren.
Im Internet bist du nie ganz sicher.
Jeder Fehler, kann und wird ausgenutzt werden, sobald ein Hacker oder Bot ihn erkennt.
Ich will, dass du verstehst, wie wichtig Internetsicherheit ist und solche Fehler in Zukunft vermeidest!
Aber zurück zu meiner peinlichen Geschichte.
Was mir passiert ist, gehört wahrscheinlich zum Dümmsten, was ich mir je beim Einrichten einer Website „geleistet“ habe.
Und damit du vielleicht etwas daraus etwas lernen kannst, musst du diese Geschichte erfahren.
Auch wenn ich nicht gut dabei weg komme.
Wenn du das gleich liest wirst du vielleicht denken „So leichtsinnig bin ja noch nicht mal ich!“.
Da magst du Recht haben.
Aber jeder macht mal diesen einen Fehler.
Und das war so:
Es war eine Vereins-Website, die von mehren Personen gepflegt werden sollte.
Damals hatte ich keine Ahnung von Bots, von Bruteforce Attacken oder Passwortstärken.
Ich hatte meine zwei bis drei (aus heutiger Sicht relativ kurzer) Standard-Passwörter mit immerhin einem Sonderzeichen. Damit war das Thema Passwörter für mich erledigt.
„Alles in Odnung!“ dachte ich – Ich bin sicher im Netz unterwegs und gehacked werden nur die großen Plattformen.“
Es sollte eine Ausnahme sein, damit sich jeder Beteiligte leichter einloggen kann.
Jetzt kommts:
Deshalb habe ich einfach die Kombination vom Zahlenschloss von einem Ausrüstungskontainer des Vereins als Login für die WordPressseite genommen.
Vier Ziffern.
„****“
Mehr nicht.
Ganz easy für alle, die sich einloggen wollten!
„Easy!“ Genau das muss sich auch der Brute Force-Bot gedacht haben, der irgendwann die Vereinsseite entdeckt hat.
Das Passwort war vermutlich innerhalb von Sekunden geknackt.
Hier ein Fun Fact:
Ein Passwort aus 8 Zeichen mit Kleinbuchstaben und Zahlen kann heute in unter 10 Minuten geknackt werden.
Benutzt du auch Großbuchstaben im Passwort, dauert es immerhin unter 10 Stunden.
Ich erinnere mich ziemlich gut an den Anruf von Andreas (Name geändert).
„Hast du die Werbung auf der Website eingebaut? Überall auf der Website sind Links zu irgendwelchen Seiten über Yachten.“
In dem Moment war klar, dass es passiert war.
Ich war wie eingefroren und konnte gar nichts machen.
Ich saß nur da, starrte vor mich hin und dachte in einer Endloschleife.
„Schei*e, was soll ich jetzt machen?! Schei*e, was jetzt?! Schei*e, was jetzt?! …“
Dieses Gefühl der Hilflosigkeit wünsche ich keinem!
Das Problem war am Ende überschaubar.
Es war Glück im Unglück, denn am Ende ist kein großer Schaden entstanden.
Die Website war nach kurzer Zeit ohne Malware und sicheren Passwörtern wieder online.
Seitdem gilt bei meinen Projekten: „Vorsicht ist die Mutter der Porzellankiste.“
Einleitung: Die größte Sicherheitslücke
Was ist die größte Sicherheitslücke bei Cyberangriffen?
Die Antwort wird vielen nicht schmecken, denn die harte Wahrheit ist einfach und unangenehm.
Du selbst bist eine der größten Sicherheitslücken, wenn es um Internetsicherheit geht.
Ob du eine große oder kleine Sicherheitslücke bist, hängt dabei von verschiedenen Faktoren ab.
Es kommt ganz darauf an, wie vorsichtig du dich im Internet bewegst.
Welche Verhaltensregeln befolgst du beim surfen?
Wie misstrauisch bist du im Internet?
Wie viel weißt du über Onlinesicherheit?
Diese Fragen entscheiden darüber, ob du ein leichtes Ziel für Angreifer bist oder ob sich Hacker und Cyberkriminelle an dir die Zähne ausbeißen.
Du musst nur ein paar Regeln befolgen und eventuell ein paar deiner Gewohnheiten ändern.
Worauf es ankommt zeige ich dir jetzt.
Tipp 1: Gesundes Misstrauen sobald du online gehst
Sorge mit einem „leicht paranoiden“ Mindset für mehr Internetsicherheit!
Viren, Malware und Trojaner können dir nur dann schaden, wenn sie deinen Computer oder dein mobiles Gerät infizieren.
In vielen Fällen passiert das nur dann, wenn du aktiv eine infizierte Datei auf dein Gerät herunterlädst und öffnest.
Jede Datei, die du herunterlädst oder per E-Mail bekommst, kann also Schadsoftware enthalten.
Wirklich jede.
Ich halte mich deshalb seit Jahren an diese 4 Regeln, bevor ich Dateien downloade oder öffne.
- Lade dir nur Dateien herunter, wenn du der Quelle 100% vertraust.
- Bei Anhängen in E-Mails gilt: Gehe auf Nummer sicher, dass der Absender vertrauenswürdig ist.
- Achte auf Websites darauf, dass die URL korrekt ist und dass ein SSL Zertifikat installiert ist. (Wie das geht, erfährst in diesem Artikel)
- Wenn du ein Virenschutzprogramm installiert hast, solltest du Dateien vor dem Öffnen scannen.
E-Mail Dienste wie Gmail oder Web.de haben integrierte Spamfilter. Nutze sie und schalte sie auf keinen Fall aus, denn sie sind deine erste Verteidigungslinie.
Links können dich überall hinschicken, egal was im Linktext steht. Wenn du mit der Maus über einen Link fährst, siehst du meistens im unteren Teil deines Browsers, zu welcher URL der Link führt.
Jeden einzelnen Link überprüfen, ist extrem nervig. Deshalb sie dir sicher, dass du dich auf einer Website bewegst, der du vertraust.
Wie du dich besser gegen Phishing Angriffe schützt, erfährst in Punkt 4.
So erkennst du, ob ein SSL-Zertifikat installiert ist
SSL (Secure Sockets Layer) Zertifikate verschlüsseln ein- und ausgehenden Datenverkehr von deinem Browser zu einer Website. Das macht vor allem Bezahlvorgänge und Datenübertragungen sicherer. So können die Daten von Dritten nicht mitgelesen werden.
Die komplette URL einer SSL-gesicherten Verbindung beginnt IMMER mit „https://„. Zusätzlich siehst du in der Adresszeile deines Browsers ein geschlossenes Vorhängeschloss-Icon.
Ist auf der Website kein SSL installiert, bekommst du das auch angezeigt oder du wirst gar nicht erst auf die Website gelassen. Stattdessen zeigen viele Browser eine Warn-Seite an.
Ein Hinweis auf eine unsichere Verbindung ist ein Warnsymbol in der Browserzeile und/oder die URL der Website beginnt mit „http://„.
Bitte sorge dafür, dass das du deinen Browser immer auf dem neusten Stand hälst.
Tipp 2: Starke Passwörter sind das Fundament für eine solide Internetsicherheit
Wir sind nun mal faul, wenn es um das erfinden von Passwörtern geht.
Lange und komplexe Codewörter sind zwar sicher, aber schwer zu merken. Besonders dann, wenn wir uns für jeden Account einen neuen Sicherheitscode ausdenken sollen.
Viele Menschen denken sich irgendwann mal ein mehr oder weniger sicheres Passwort aus und benutzen es in allen ihren Online-Profilen.
Ich gehörte einst selbst zu diesem Club.
Aber diese Faulheit kann sich schnell rächen.
Wann ist ein Passwort wirklich sicher?
Das Internetsicherheits-Unternehmen Hive Systems berechnet mit einem eigenen System die Sicherheit von Passworten.
Wie du in der Grafik oben sehen kannst sind einfache Passwörter unter 8 Zeichen extrem unsicher.
Die Zeitangaben sind rein rechnerische Werte. Wenn dein Passwort in weniger als einem Jahr geknackt werden kann, ist das laut Hive Systems sehr unsicher.
Alles, was in der Tabelle grün markiert ist, gilt als sicher.
Je kürzer das Passwort, desto komplexer muss es sein.
Komplex bedeutet ein Mix aus Groß- und Kleinbuschstaben, Zahlen und Sonderzeichen.
Laut Tabelle sind Passwörter ab 13 Zeichen aus Groß- und Kleinbuschstaben, Ziffern und Sonderzeichen wirklich sicher. Z.B.: „Gk5!kd344HO?r“
Wenn du nur Kleinbuschstaben für dein Passwort benutzen willst, brauchst du mindestens 17 Zeichen, damit es sicher ist. Z.B.: „uzgjhlkopoeuibegf“
Passwortmanager für ein maximal sicheres Passwort
Komplexe Passwörter aus zufälligen Buchstaben, Zahlen und Sonderzeichen kann sich kein normaler Mensch merken.
Schon gar nicht, wenn du für verschiedene online-Konten unterschiedliche Kennwörter benutzen willst.
In dem Fall ist ein Passwortmanager hilfreich, mit dem du deine Logindaten verwaltest. Ein Passwortmanager kann ein Gamechanger für deine Internetsicherheit sein.
Wenn du eine Kennwortverwaltung benutzt, musst du dir nur ein Masterpasswort merken. Damit loggst du dich in den Manager ein.
In der Passwort-Verwaltung selbst organisierst du alle deine Logindaten. Jetzt kannst individuell maximal komplexe Passwörter vergeben.
Je nach Programm bietet eine solche Anwendung verschiedene weitere Funktionen. So haben einige Programme einen VPN, einen Darknet-Scanner oder einen Passwort-Generator mit an Bord.
Anbieter sind
- Dashlane
- Bitwarden
Passwort vs. Passphrase
In den letzten Jahren haben einige Experten für Cypersicherheit empfohlen, anstelle von Passwörtern so genannte Passphrasen zu verwenden.
Eine Passphrase ist ein Passwort, das aus verschiedenen Wörtern zusammen gesetzt wird.
Passphrases lassen sich viel leichter merken als eine chaotische Zeichenkette.
Auch die englische Behörde „The National Cyber Security Centre“ (NCSC) empfiehlt Passprases statt Passwörtern.
Das NCSC hält eine Passphrase aus 3 Wörtern für ausreichend.
Ich füge hier hinzu dass deine Phrase dann mindestens 17 Zeichen lang sein sollte.
Diese Methode zum Absichern von online-Konten ist sicherer und besser zu merken.
Warum das so ist, erfährst du jetzt.
Bei Kennwörtern ist Kompexität nicht das wichtigste.
Noch wichtiger ist die Länge des Kennworts.
Ein Beispiel.
Ein 17 Zeichen-Kennwort nur aus Kleinbuchstaben ist laut Hive Systems sehr sicher. Jetzt benutzen wir das Konzept der Passphrase und die Empfehlung des NCSC für die Erstellung.
Drei zufällige Worte mit mindestens 17 Zeichen.
Wie wäre es mit „Pommes“, „Nagel“ und „Steuer“?
Das fertige Passwort lautet jetzt „pommesnagelsteuer“. 17 Zeichen. Sicher! Bäm!
Mit Groß- und Kleinbuchstaben ist das Kennwort noch sichererer.
Mit einem Sonderzeichen nochmal mehr.
Benutze keine Wörter aus deinem persönlichen Umfeld, sondern denke dir irgendwelche Random-Wörter aus.
Wenn du eine Passphrase baust
- Der Sicherheitscode sollte mindestens 17 Zeichen lang sein.
- Benutze Wörter, die keinen Bezug zu dir oder dein Lebensumfeld haben. Vermeide Namen und Daten von dir oder deinem Umfeld.
- Beginne jedes neue Wort mit einem Großbuchstaben. So machst du es Hackern noch schwerer. (zum Beispiel: „PommesNagelSteuer“)
Tipp 3: Benutze Zweifaktor-Authentifizierung
Oder kurz 2FA. In diesem Zusammenhang wird dir auch die Abkürzung „MFA“ begegnen. MFA kann zwei oder sogar drei Faktoren zur Absicherung beinhalten.
Diese Verfahren erhöht die Internetsicherheit erheblich!
Zwei-Faktor-Authentifizierung (2FA) ist ein zusätzliches Sicherheitsverfahren, das zwei verschiedene Methoden nutzt, um deine Identität zu bestätigen.
- Dein Passwort
- Einen Code, den du per App, E-Mail oder SMS erhältst.
Selbst wenn Cyberkriminelle dein Passwort hacken oder Stehlen, ist dein Account in diesem Fall relativ sicher.
Sie brauchen auch den 2FA-Code, um sich in deinen Account einzuloggen.
Es gibt verschiedene Arten der 2 Faktor Authentifizierung:
- Ein SMS-Code wird auf dein Smartphone geschickt.
- Ein 2FA Code wird per APP wie dem Google Authentifikator oder Authy generiert.
- Ein spezielles USB Device dient als Hardware Schlüssel.
2FA ist aktuell ein wirksamer zweiter Sicherheitslayer für für mehr Internet-Sicherheit.
Nutze diese Technik!
Bekannte 2FA Apps, die du für mehr Internetsicherheit nutzen kannst
Grundsätzlich stellen große Firmen wie Microsoft oder Google 2FA Apps kostenlos zur Verfügung.
Hier direkt ein paar 2FA-Apps großer Anbieter:
- Authy by Twilio
- Google Authentificator
- Microsoft Authentificator
- 2FA Authenticator
- Duo Mobile
- Aegis Authenticator
Tipp 4: E-Mail Phishing entlarven und umgehen
Cyberbedrohungen wie Phishing ist Teil unseres Lebens geworden und eine weit verbreitete Betrugsmasche im Internet.
Das Ziel sind deine persönlichen und geheimen Daten und im schlimmsten Fall deine (digitale) Identität.
Diese Angriffe aus dem Internet zielen nicht auf dein Passwort oder deinen Account. Das Ziel bei diesem Angriff ist der Mensch.
Der klassische Phishing Angriff kommt per E-Mail. Aber auch in den Postfächern von sozialen Netzwerken werden Nutzer mit Phishing-Nachrichten bombardiert.
Die Schwachstelle bist du und deine Psyche.
Das Risiko, Opfer zu werden ist besonders für unerfahrene Internet Benutzer hoch.
Phishing läuft immer wieder recht ähnlich ab:
Es wird ein Notfall wird so glaubhaft wie möglich simuliert, auf den du reagieren sollst.
Das Ziel ist immer gleich.
Du sollst Angst bekommen und sensible Daten preisgeben um den vorgetäuschten Notfall abzuwenden.
Klingt albern?
Es ist aber so.
In Phishing Nachrichten wird dir eine dringende Situation vorgespielt, auf die du reagieren sollst. Es wird Angst erzeugt, denn es drohen angeblich ernste Konsequenzen. Das kann der Verlust eines Kontos sein, eine Domain oder ein Konto wird gelöscht oder es drohen angeblich juristische Konsequenzen wegen irgendeinem Schei*.
Die meisten Menschen wollen genau das um jeden Preis verhindern und denken sich, es wird schon stimmen, also machen sie mit.
Am Ende sollst du meistens auf einen Link klicken und auf einer Website vertrauliche Informationen von dir preisgeben. Das können Zugangsdaten, Tan-Nummern oder Kreditkarteninformationen sein.
Grundsätzlich gilt:
Keine social Media Plattform, keine Bank oder sonstige Institution wird Zugangsdaten oder Tan-Nummern oder irgendwas von dir abfragen. Niemals.
Sei in solchen Situationen also maximal misstrauisch. Besorge dir mehr Informationen, bevor du irgendwo drauf klickst. Persönliche Daten sollten dir heilig sein. Behalte sie, wo es nur geht für dich.
Das BSI informiert dich ebenfalls umfangreich, wie du dich gegen Phishing wehren kannst.
Ich habe zwei BSI-Artikel gefunden die für dich interessant sein werden. Unten in den Quellen habe ich dir alles verlinkt.
Die Vielfalt von hinterhältigen Phishing-Angriffen
Es gibt verschiedene Arten des Phishings. Hier sind einige Varianten, die du kennen solltest.
- E-Mail-Phishing: Du erhältst eine gefälschte E-Mails und sollst auf Links klicken und/oder vertrauliche Daten preisgeben.
- Spear-Phishing: Eine spezialisierte Form des Phishings. Die E-Mail enthält persönliche Details über das Opfer und soll so maximales Vertrauen erzeugen. Dieser Angriff ist schwerer zu erkennen.
- Whaling: Dieser Angriff richtet sich an hochrangige Personen in Betrieben oder Firmen um an Firmengeheimnisse zu kommen.
- Smishing: Phishing per SMS. Das Opfer soll auf einen schädlichen Link in einer SMS klicken. Beispiel: SMS von der Bank
- Vishing: Phishing per Telefonanruf. Das beste Beispiel ist der „Enkeltrick“: Ein angeblicher Enkel ruft bei Senioren an und bittet um Geld. Mehr Varianten des Enkeltricks findest du beim Weißen Ring.
- Pharming: Gefälschte Websites, auf denen Daten abgefragt werden. Oft leiten Phishing Mails auf Pharming-Websites.
Phishing E-Mails noch besser erkennen
Wenn eine Email dich, deine Finanzen, oder online Accounts von dir betreffen, vergewissere dich, dass die Mail vertrauenswürdig ist.
Die Methoden Krimineller werden immer raffinierter und machen es schwer, Fakes von echten Mails zu unterscheiden.
Das Design von gefälschten Emails werden immer glaubhafter und auch Fake Websites großer Unternehmen oder Banken werden immer professioneller geklont.
Das macht es manchmal schwer, Betrugsmails zu erkennen.
Ich gebe dir Tipps, wie du eine E-Mail auf Echtheit prüfen kannst.
An diesen Zeichen erkennst du mögliche Phishingversuche
- In der E-Mail ist die Rede von einem dringenden Notfall mit dem Bankkonto, der Kreditkarte, der Facebookseite, oder, oder, oder… .
- Unpersönliche Ansprache (z.B.: sehr geehrter Kunde, Sehr geehrte/r Herr/Frau, sehr geehrte/r deine@email.de).
- Falsche Grammatik oder Rechtschreibfehler.
- Wenn du direkt aufgefordert wirst, dich irgendwo einzuloggen oder Daten einzugeben.
Wenn du eine E-Mail oder eine andere Nachricht, die dir komisch vorkommt, atme kurz durch und tue folgendes:
1) Absender E-Mail prüfen
Prüfe ob es sich wirklich um eine offizielle Absender Email handelt.
Ein Beispiel (alle Namen sind frei erfunden):
Nehmen wir an, der Absender einer verdächtigen E-Mail ist „deineoffizielle Bank“. Du bist Kunde bei dieser Bank, also nimmst du diese Nachricht nartürlich ernst.
Die offizielle Website lautet „https://deineoffiziellebank.de/“. Der Absender sollte in diesem Szenario also ungefähr so aussehen: „absender@deineoffiziellebank.de“.
Die Absenderadresse dieser Mail sieht aber ganz anders aus. z.B.: „phishing@lkjdsflkjldskfjlsefjldks.ru“.
Jetzt sollten deine Alarmglocken läuten.
Lösche die Mail!
2) In Google nach der Betreffzeile suchen
Die Chance ist groß, dass die Betreffzeile einer Phishing Mail bereits im Internet besprochen wurde. Du findest bei einer Google Recherche meistens gute Infos, ob es sich um einen Betrugsversuche handelt oder nicht.
1) ORIGINAL Absender kontaktieren
Wenn du dir immer noch unsicher bist, zögere nicht und kontaktiere den Original Absender.
Rufe direkt bei dem Unternehmen an, von dem du die vermeintlich dringende Nachricht erhalten hast.
Öffne die offizielle Website und frage dort direkt nach, ob sie diese Mail geschickt haben. Wenn du telefonisch niemanden erreichst, schreibe eine E-Mail. Im Zweifel nimmst du die E-Mail im Impressum. Diese E-Mails werden gelesen.
Tipp 5: Mache es Session Hijackern so schwer wie möglich
Session Hijacking = Sitzungs Entführung
Session Hijacking ist ein Cyberangriff, bei dem jemand heimlich die Verbindung eines eingeloggten Benutzers zu einer Website übernimmt. Das kann passieren, wenn ein Hacker einen fremden Session-Cookie übernimmt.
Stelle dir einen Session-Cookie wie einen Schlüssel zu einer Website vor, und ein Hacker kann diesen Schlüssel stehlen, um sich als der eingeloggte Benutzer auszugeben.
Dazu braucht er am Ende nicht mal eine Login-Daten!
Um es kurz zu machen:
Hacker können deinen Login übernehmen, wenn du vergisst dich auszuloggen.
Damit kann sogar in manchen Fällen eine 2FA Sicherung umgangen werden.
Deshalb logge dich immer aus, bevor du die Website mit deinem Onlinebanking oder Social Media Account schließt.
Sobald du dich in ein Onlinekonto einloggst, startest du eine so genannte „Session“.
Wenn du die Website schließt und dich nicht vorher abmeldest, bleibt diese Session weiterhin bestehen.
Diese Session kann „entführt“ und übernommen werden!
Was heißt das?
Wer eine aktive Session eines eingeloggten Accounts übernimmt, kann diesen fremden Account direkt übernehmen, und zwar eingeloggt.
Wie kann so etwas passieren?
Diesen Cyberangriff bekommst du gar nicht mit, denn er passiert im Hintergrund. Der Angreifer befindet sich zwischen deinem Computer und dem Server und versucht so genannte Session-Cookies abzufangen.
Der Datenverkehr in öffentlichen WLAN-Netzen gilt als besonders gefährdet.
- Offene WLAN Netzwerke
- Bösartige Browser Erweiterungen
- Unsichere Websites (http:// statt https://)
So kannst du dich besser gegen Session Highjacking schützen
- Immer schön Ausloggen. Logge dich immer aus, bevor du eine Website verlässt, auf der du eingeloggt bist.
- Vermeide öffentliche WLAN Netze.
- HTTPS verwenden: Achte darauf, dass eine sichere Verbindung zu deinen besuchten Websites aufgebaut wird. Das erkennst du an einem geschlossenen Vorhängeschloss-Symbol oder einem Schild in der Browser-Adresszeile.
- Sitzungs-Timeout: Dies ist für fortgeschrittene Benutzer. Du kannst ein einem Browser wie Firefox die Lebensdauer einer Session einstellen. https://support.mozilla.org/en-US/questions/1042479
- 2-Faktor-Authentifizierung (2FA): 2FA ist auch hier ein zusätzlicher Schutz. Selbst wenn ein Angreifer Zugriff auf deine Sitzung hat, erschwert 2FA den Zugang zu deinem Account erheblich.
- Ich persönlich deaktiviere mein WLAN am Smartphone, sobald ich das Haus verlasse.
Mit diesen Tipps erhöhst du deine Internetsicherheit drastisch. Wenn du alle Empfehlungen in diesem Artikel beherzigst, surfst du sicherer als die meisten Internet User.
FAQ
Quellen
Passwörter und Passphrasen
- https://www.ncsc.gov.uk/collection/top-tips-for-staying-secure-online/three-random-words
- https://www.hivesystems.com/blog/are-your-passwords-in-the-green
2FA
https://www.bizfactory.tech/blog/2fa-vs-mfa-was-ist-der-unterschied
Phishing
- https://weisser-ring.de/betrugsmaschen
- https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/phishingradar-aktuelle-warnungen-6059
- https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/Passwortdiebstahl-durch-Phishing/Schutz-gegen-Phishing/schutz-gegen-phishing_node.html
- https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/Passwortdiebstahl-durch-Phishing/Wie-erkenne-ich-Phishing-in-E-Mails-und-auf-Webseiten/wie-erkenne-ich-phishing-in-e-mails-und-auf-webseiten_node.html
- https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Checklisten/BSI-ProPK-Checkliste-Phishing.pdf?__blob=publicationFile&v=1