Du hast es schon unzählige Male gehört: „Klick nicht auf Links in E-Mails!“ Dafür gibt es normalerweise einen guten Grund. Das ist bei weitem einer der häufigsten Gründe, warum ich sehe, wie Kunden gebissen werden. Aber was macht Links in E-Mails schlecht? Was ist das Schlimmste, was passieren kann, wenn ich auf einen Link klicke? Dieses Thema ist für die meisten Menschen undurchsichtig, also lass es uns ein für alle Mal klären.
Wie E-Mail-Links funktionieren
E-Mails werden in der Regel in einer Sprache formatiert, die HTML genannt wird. Das ist die gleiche Sprache, mit der auch Websites erstellt werden. E-Mails sind im Grunde kleine Webseiten, die an deinen Posteingang geschickt werden. Es ist zwar möglich, reine Text-E-Mails (ohne HTML) zu verschicken, aber das wird heutzutage nur noch selten gemacht.
Praktisch alles, was du mit einer Webseite machen kannst, kannst du auch mit einer E-Mail machen. Dazu gehört auch die Verlinkung. Hyperlinks („Links“) sind möglich, weil HTML im Hintergrund arbeitet. Was genau ist also mit Hyperlinks möglich?
Nichts Neues, oder? Wohin führt dich dieser Link also? Das ist manchmal schwer zu sagen. Dieser spezielle Link führt dich zu meiner Homepage. Aber was ist mit dem nächsten Link?
Auch dieser Link führt dich zu meiner Homepage. Warum? Weil der HTML-Code, den ich im Hintergrund eingefügt habe, es so will. Man kann nie wissen, wohin ein Link dich führt, wenn man weiß, was er sagt. Das gilt auch für Bilder und Schaltflächen.
Was sind die Gefahren von E-Mail-Links?
Phishing
Phishing ist der Begriff für das Versenden von E-Mails (die als Köder dienen) mit einem Link zu einer gefälschten Website. Auf der Seite angekommen, wird der Nutzer dazu verleitet, sensible Informationen preiszugeben. Der Link führt dich zum Beispiel zu einer gefälschten Website, die wie deine Bank aussieht, und du versuchst, dich mit deinem Benutzernamen und Passwort einzuloggen. Der Bösewicht hat nun deine Anmeldedaten erbeutet. Und wenn er clever ist, leitet er dich danach auf die echte Seite weiter. Du würdest wahrscheinlich nichts davon mitbekommen.
Downloads von Malware oder „Viren“
Der Link kann dich zu einer Website führen, die deinen Computer mit Malware wie Ransomware oder einem Keylogger (einem „Virus“, der alles aufzeichnet, was du in deinen Computer eingibst, z. B. Passwörter und Kreditkartennummern) infiziert. Es kann aber auch sein, dass der Virus direkt heruntergeladen wird, ohne eine Webseite aufzurufen. Bösartige Webseiten sind die häufigste Art, wie Computer in meinem Job infiziert werden.
Warum es schwer ist, das Echte vom Falschen zu unterscheiden
Die meisten der E-Mails, die du bekommst, sind in Ordnung. Das Problem ist nur, dass du nicht weißt, welche davon echt sind. Einige gefälschte E-Mails sind für die meisten Menschen offensichtlich gefälscht, voller Rechtschreibfehler und dubioser Vorschläge. Aber manche sehen auch sehr professionell aus.
Gehacktes E-Mail-Konto
Wenn ein Spammer ein E-Mail-Konto hackt, kann er eine E-Mail an alle in dem Konto gespeicherten Kontakte verschicken. Das ist gefährlich, denn es kann sein, dass du eine Phishing-E-Mail bekommst, die in Wirklichkeit von einem echten Konto einer dir bekannten Person stammt. Wenn die E-Mail nicht ungewöhnlich erscheint, kannst du das nicht erkennen.
Spoofing von E-Mail-Adressen
Spoofing ist im Grunde genommen „fälschen“. Es ist möglich, die Absenderadresse so zu fälschen, dass es so aussieht, als käme sie von jemandem, den du kennst, während sie in Wirklichkeit vom E-Mail-Konto des Bösewichts stammt. Es kann sehr schwer oder unmöglich sein, zu erkennen, ob eine E-Mail-Adresse gefälscht ist. Dazu muss man sich den E-Mail-Header ansehen, der selbst anfällig für Manipulationen ist.
Weiterleitung einer Phishing-E-Mail
Manchmal sind die Leute einfach naiv und leiten eine E-Mail mit einem bösartigen Link weiter. Vielleicht merken sie gar nicht, dass er da ist, und sind vielleicht selbst ein Opfer geworden. Das kommt vor.
Welche E-Mail-Links kann ich anklicken?
Nun, wenn du auf keinen der Links klickst, hast du kein Problem. Aber das ist nicht realistisch. Nur sehr wenige Menschen werden diesen Rat befolgen. Die gute Nachricht ist, dass du das auch nicht musst. Ich schlage vor, Links wie Anhänge zu behandeln. Klicke sie nur an, wenn du sie erwartest.
Beispiele, wann du klicken solltest
Du hast gerade etwas bei Amazon bestellt. Du kannst gerne auf den Link zur Sendungsverfolgung in der E-Mail klicken, die sie dir schicken. Achte nur darauf, dass es genau das ist, was du erwartest. Wenn du einen Link zur Sendungsverfolgung erhältst, den du nicht erwartet hast, oder für ein Produkt, das du nicht kennst, löschst du die E-Mail sofort.
Du hast dich gerade für ein Konto auf einer Website angemeldet. Wenn sie dir einen Link schicken, um deine E-Mail-Adresse zu bestätigen, ist es in Ordnung, darauf zu klicken. Aber vergewissere dich auch hier, dass es genau das ist, was du erwartest und dass du dich genau daran erinnerst, dass du es angefordert hast.
Beispiele, wann du NICHT klicken solltest
Du bekommst eine unerwartete E-Mail von deiner Bank. Vielleicht steht darin, dass du dich einloggen und etwas Wichtiges erledigen sollst. Klicke nicht auf den Link, den sie dir geben. Wenn du nicht wusstest, dass sie kommt, gibt es keine Garantie dafür, dass es sich um eine legitime E-Mail handelt.
Dein Freund schickt dir einen Link, mit dem du nicht gerechnet hast. Klicke ihn nicht an. Denk daran, dass die Adresse des Absenders gefälscht oder sein Konto gehackt worden sein kann. Ja, ich weiß, das ist alles furchtbar nervig, aber gibt es noch etwas, was wir tun können?
Was du tun kannst, anstatt auf Links zu klicken
Wenn es sich um deine Bank oder ein anderes Institut handelt, gehe einfach selbst auf die Website und logge dich ein. Tippe die Adresse manuell in den Browser ein oder klicke auf dein Lesezeichen. So kannst du sehen, ob es etwas zu erledigen gibt, ohne Gefahr zu laufen, auf einer Phishing-Seite zu landen.
Im Fall der E-Mail deines Freundes oder deiner Freundin ist es wahrscheinlich, dass er oder sie den Link in die Nachricht kopiert und eingefügt hat. Das bedeutet, dass du die vollständige Adresse sehen kannst. Du kannst die Adresse einfach selbst in den Browser kopieren/einfügen, ohne auf etwas zu klicken. Bevor du das tust, solltest du natürlich sicherstellen, dass du die Website erkennst und dass sie nicht falsch geschrieben ist. Achte darauf, dass sie wie folgt aussieht:
http://www.youtube.com/adgasLKUkjFJos&odg
und nicht wie folgt:
http://www.yuutube.com/adgasLKUkjFJos&odg
Andere Dinge zu bedenken
Es liegt an dir, wie weit du das Ganze angehen willst. Ich habe mir zum Beispiel vorgenommen, niemals auf Links in E-Mails zu klicken, die mich darüber informieren, dass mein Gehaltsscheck überwiesen worden ist. Ja, das passiert wirklich, und ich bekomme jede Woche eine, aber automatisierte wiederkehrende E-Mails können gefährlich sein. Sie werden häufig gefälscht, weil die Betrüger wissen, dass wir sie erwarten.
Die Quintessenz ist, dass du sie meiden solltest, wenn du sie nicht ausdrücklich kennst und ihnen nicht vertraust. Mehr gibt es dazu nicht zu sagen. Mach dir das zur Gewohnheit und du kannst einen der größten Fehler in Sachen Internetsicherheit vermeiden.
Hey, ich bin Keith …
… ich begleite dich ab heute auf meinem neuen kleinen Berliner Blog in die Welt des Webdesigns & des visuellen Marketings.
Ich selbst habe Wirtschaftsinformatik in Leipzig studiert und mir alles Wichtige in Sachen Webdesign parallel zum Studium beigebracht.
Mittlerweile arbeite ich selbstständig und betreue in Berlin viele mittelständische Kunden.
Hier werden auch alle möglichen Beiträge rund um digitales Marketing und die Start-up-Szene in Deutschland erscheinen.
Falls dich meine Welt fasziniert und du mehr über CSS, JS & HTML5 lernen möchtest, abonniere doch gerne meinen Newsletter!
Best wishes from Berlin – dein Keith Beerman! <3