Dein Konto vor Phishing, Vishing und Smishing schützen
Der Begriff Phishing beschreibt Betrugsversuche zum Identitätsdiebstahl, bei denen gefälschte Websites und E-Mails oder andere Nachrichten verwendet werden. Das Ziel eines Phishing-Angriffs ist es, Zugriff auf dein Konto und auf vertrauliche Informationen zu erhalten. Ein Angreifer bzw. eine Angreiferin kann eine eigene Website erstellen, die eine seriöse Website nachahmt, oder dir eine Nachricht senden, die von einer vertrauenswürdigen Quelle zu stammen scheint. Phishing-Nachrichten können von einem gefälschten Konto oder einem gehackten Konto stammen.
Angreifer:innen versuchen möglicherweise auch, mit ähnlichen Taktiken dein Konto anzugreifen, indem sie Vishing (Voice-Phishing) und Smishing (SMS- oder Text-Phishing) verwenden, um vertrauliche Informationen zu sammeln. Du musst vorsichtig sein, keine vertraulichen Informationen am Telefon preiszugeben und nicht auf potenziell gefährliche Links in SMS-Nachrichten zu klicken. Wenn du vermutest, dass du einen Anruf oder eine SMS für einen Phishing-Versuch erhalten hast, solltest du dich umgehend an den Shopify Support wenden.
Eine Phishing-Nachricht könnte dich auffordern, die folgenden Aktionen auszuführen:
- einen Link besuchen
- eine Datei herunterladen
- einen Anhang öffnen
- mit personenbezogenen Daten oder Codes für die Zwei-Faktor-Authentifizierung antworten
Wenn du eine dieser Aktionen ausführst, kannst du deinen Computer oder dein Mobilgerät mit Malware infizieren. Das ist bösartige Software wie Würmer, Trojaner, Bots und Viren. Nachdem dein Gerät infiziert wurde, kann ein Angreifer bzw. eine Angreiferin auf deine personenbezogenen Daten zugreifen.
Phishing-Betrug kann auch direkte Anfragen nach personenbezogenen Daten, wie z. B. den Anmeldedaten für dein Bankkonto, beinhalten.
Bei Phishing-Betrugsversuchen wirst du möglicherweise auf folgende Weisen zur Angabe personenbezogener Daten aufgefordert:
- per E-Mail oder über ein anderes Nachrichtensystem
- über ein Formular
- über eine betrügerische Telefonnummer
- über eine gefälschte physische Adresse
Sogar die Aufforderung, deine E-Mail-Adresse einzugeben und dein Passwort zurückzusetzen, kann gefährlich sein.
Auf dieser Seite
- Legitime E-Mails von Shopify erkennen
- Die Warnzeichen kennen
- Shopify und Anfragen nach vertraulichen Dokumenten
- Bedenken über einen anderen Kommunikationsweg äußern
- Überprüfen, ob deine Verbindung zu einer Website HTTPS verwendet
- Nur Anhänge oder Links öffnen, die du erwartest
- Vorsicht bei der Nutzung von öffentlichem WLAN
- Regierungsrichtlinien befolgen, wenn deine personenbezogenen Daten kompromittiert wurden
Legitime E-Mails von Shopify erkennen
Shopify versendet E-Mails nur von offiziellen Domains wie @shopify.com, @email.shopify.com, @em.shopify.com und @shopify-billpay.melio.com. E-Mails von öffentlichen E-Mail-Diensten wie Gmail, Yahoo, Apple Mail oder Hotmail stammen nicht von Shopify und sollten als potenzielle Phishing-Versuche behandelt werden.
Sichere Links in Shopify-E-Mails identifizieren
Um eine zuverlässige E-Mail-Zustellung zu gewährleisten, verwendet Shopify möglicherweise einen vertrauenswürdigen Absenderdienst für die Kommunikation mit unseren Händler:innen. Das bedeutet, dass Links in den E-Mails anders aussehen und die Domain shopifysvc.com enthalten können, auf die du sicher klicken kannst.
Überprüfe URLs immer, bevor du darauf klickst. Vermeide es, auf Links in E-Mails zu klicken, es sei denn, du bist dir der Echtheit des Absenders bzw. der Absenderin sicher. Wenn du jemals an der Echtheit einer E-Mail zweifelst, wende dich an den Shopify Support, um Hilfe zu erhalten.
Was zu tun ist, wenn du eine Phishing-E-Mail vermutest
Wenn du versehentlich auf einen Link in einer Phishing-E-Mail geklickt hast, ergreife sofort die folgenden Maßnahmen:
- Ändere das Passwort für dein Shopify-Konto.
- Aktiviere die Zwei-Faktor-Authentifizierung für zusätzliche Sicherheit.
- Kontaktiere den Shopify Support, um zu prüfen, ob ein unbefugter Zugriff auf dein Konto stattgefunden hat.
Anzeichen für eine Phishing-E-Mail
Achte auf die folgenden häufigen Anzeichen dafür, dass es sich bei einer E-Mail um einen Phishing-Versuch handeln könnte:
- Unerwartete E-Mails von kostenlosen E-Mail-Diensten.
- Anfragen nach personenbezogenen Daten.
- Schlechte Grammatik und Rechtschreibung.
- Dringende oder bedrohliche Sprache.
- Links zu unbekannten Websites.
Wichtigkeit der Zwei-Faktor-Authentifizierung
Die Aktivierung der Zwei-Faktor-Authentifizierung (auch als Multi-Faktor-Authentifizierung bekannt) für dein Shopify-Konto sorgt für einen sichereren Login-Prozess. Sie fügt eine zusätzliche Schutzebene hinzu und erschwert es unbefugten Nutzer:innen, auf dein Konto zuzugreifen, besonders wenn du vermutest, eine Phishing-E-Mail erhalten zu haben. Erfahre mehr über die Absicherung deines Kontos mit der Zwei-Faktor-Authentifizierung.
Verdächtige E-Mails überprüfen
Wenn du eine E-Mail erhältst, die aussieht, als käme sie vom Shopify Support, dir aber in irgendeiner Weise merkwürdig vorkommt, dann überprüfe ihre Legitimität:
- Überprüfe, ob die E-Mail von einer offiziellen Shopify-Domain wie
@shopify.com,@email.shopify.com,@em.shopify.comund@shopify-billpay.melio.comstammt. - Sei vorsichtig bei ungewöhnlichen Zeichen oder Satzzeichen in der E-Mail-Adresse.
- Kontaktiere im Zweifelsfall den Shopify Support direkt über die offiziellen Kanäle, um eine Bestätigung zu erhalten.
Die Warnzeichen kennen
Du kannst dich vor Phishing schützen, indem du die Warnzeichen verstehst. Lies Nachrichten sorgfältig, egal von wem sie zu stammen scheinen, und prüfe Websites genau, egal wie vertraut sie dir erscheinen.
Vage oder allgemeine Sprache
Obwohl Phishing gut recherchiert und auf dich und dein Unternehmen zugeschnitten sein kann, ist eine allgemeine Sprache ein Kennzeichen von Phishing-Betrugsmaschen. Sei bei Nachrichten misstrauisch, die von einer Organisation zu stammen scheinen, der du vertraust, aber mit vagen Aussagen wie „Sehr geehrte:r Kontoinhaber:in“ beginnen.
Wenn eine Nachricht eine wichtige geschäftliche oder finanzielle Gelegenheit verspricht, aber nicht genügend Details enthält, damit du bestätigen kannst, dass dich der:die Absender:in kennt, könnte es sich ebenfalls um einen Betrugsversuch handeln.
Ich bin Frederick, ein Bankier.
Bitte kontaktiere mich so schnell wie möglich bezüglich eines möglichen Erbes eines verstorbenen Verwandten.
Kann per SMS nicht viel verraten. Schreibe mir eine E-Mail an die unten stehende Adresse.
Geschäftliche Nachrichten von Privatkonten
Raffinierte Angreifer:innen können aus deiner Online-Präsenz genügend Informationen sammeln, um eine Nachricht zu erstellen, die plausibel von einem echten Kontakt stammen könnte.
Aktualisierung der GroßhandelspreiseHallo Georgia,
Ich wollte dich nur kurz informieren. Hier ist eine Tabelle mit unseren aktuellen Großhandelspreisen: fabric-prices-october.xls
Ich hoffe, du warst mit dem letzten Batch an Hemden zufrieden! Lass es mich bitte wissen, wenn du Fragen oder Bedenken hast.
Julia Chan
Account Manager
Example Fabrics
Angreifer:innen können das Geschäftskonto deines Kontakts hacken oder ein gefälschtes Privatkonto erstellen, um eine Phishing-E-Mail-Nachricht zu senden. Wenn zum Beispiel der Benutzername für die private E-Mail deines Kontakts Julia juliachan3857 lautet, könnte ein:e Angreifer:in eine E-Mail von einem Konto mit dem Benutzernamen juliachan9665 senden. Diese Angriffsform basiert auf den folgenden Verhaltensweisen:
- Menschen versenden oft versehentlich E-Mails vom falschen Konto.
- Selbst wenn du Julias private E-Mail-Adresse kennst, schaust du vielleicht nicht so genau hin und bemerkst den Unterschied nicht.
Alarmierender oder übertrieben aufgeregter Ton
Sei vorsichtig bei zeitkritischen Anfragen, die versuchen, dich zu unüberlegtem Handeln zu verleiten. Zum Beispiel:
Wir hatten einen katastrophalen Serverausfall. Antworte innerhalb der nächsten 24 Stunden mit deinem Benutzernamen und Passwort, sonst verlierst du dauerhaft den Zugriff auf deinen Shop.
E-Mail-Nachrichten können Angebote enthalten, die zu gut scheinen, um wahr zu sein, wie z. B. ein Rabatt von 90 % von einem Reiseunternehmen, der nur verfügbar ist, wenn du jetzt handelst.
Rechtschreibfehler, schlechte Grammatik und Stilabweichungen
Obwohl eine betrügerische Website oder E-Mail-Nachricht professionell aussehen mag, kann sie Tipp- und Grammatikfehler enthalten. Um festzustellen, ob eine Website oder E-Mail betrügerisch sein könnte, achte auf die falsche Verwendung oder auf Inkonsistenzen bei Folgendem:
- Rechtschreibung
- Groß- und Kleinschreibung
- Zahlen
- Satzzeichen
- Formatierung
Verdächtige URLs
Phishing-Versuche können URLs enthalten, die legitim erscheinen, wenn man nicht genau hinsieht. Viele Phishing-Versuche verwenden URLs, die absichtlich so gewählt wurden, dass sie einer URL ähneln, mit der du bereits vertraut bist. Wenn du zum Beispiel normalerweise Badebekleidung bei „Example Apparel“ unter der legitimen URL kaufst und eine E-Mail mit einem Link zu einer gefälschten URL erhältst, kannst du erkennen, dass es sich bei dieser E-Mail um einen Phishing-Versuch handelt.
Die echte URL leitet dich zu einer Website auf der Domain example-apparel.com weiter, die „Example Apparel“ gehört. Die gefälschte URL leitet dich zu einer bösartigen Website auf der Domain com-aquatic.net weiter, die wahrscheinlich Kriminellen gehört.
| Legitime URL | Gefälschte URL |
|---|---|
| example-apparel.com/aquatic/swimmies | example-apparel.com-aquatic.net/swimmies |
Shopify und Anfragen nach vertraulichen Dokumenten
Shopify bittet dich niemals direkt per E-Mail um vertrauliche Informationen, sei es als Text, Bild oder Dateianhang.
Im Folgenden findest du Beispiele für vertrauliche Dokumente:
- jede Form von Ausweisdokumenten
- Passwörter
- Kreditkarteninformationen
- Bankinformationen
- nationale Identifikationsnummern, wie SIN (Social Insurance Number) oder SSN (Social Security Number)
Shopify fordert dich nur über eine sichere Upload-Seite, die mit app.shopify.com oder .shopify.com beginnt, zur Einreichung vertraulicher Dokumente auf.
Bedenken über einen anderen Kommunikationsweg äußern
Sprich mit dem:der vermeintlichen Absender:in einer verdächtigen Nachricht persönlich oder am Telefon. Bedenken bezüglich einer Webseite klärst du am besten, indem du mit jemandem aus der Organisation sprichst.
Wenn du den Absender bzw. die Absenderin telefonisch kontaktierst, verwende eine Nummer, die du bereits gespeichert hast oder die auf mehreren seriösen Online-Quellen angezeigt wird. Wenn du beispielsweise eine verdächtige Informationsanfrage von deinem Finanzamt per E-Mail erhältst, rufe die Behörde unter der Nummer an, die auf deiner Steuererklärung des letzten Jahres steht. Rufe keine Nummer an, die auf einer verdächtigen Website oder in einer E-Mail-Nachricht angezeigt wird.
Überprüfen, ob deine Verbindung zu einer Website HTTPS verwendet
Wenn du eine Verbindung zu einer Website herstellst, auf der du möglicherweise aufgefordert wirst, einen Benutzernamen und ein Passwort oder andere vertrauliche Daten einzugeben, überprüfe, ob neben der URL in deinem Browser ein Schlosssymbol angezeigt wird.
Das Schlosssymbol zeigt an, dass die Verbindung zur Website über das HTTPS-Protokoll verschlüsselt ist. URLs für verschlüsselte Verbindungen beginnen mit https:// anstatt mit http://. Verbindungen, die http:// verwenden, senden Daten in einfachem Text, was bedeutet, dass sie unterwegs abgefangen und gelesen werden können.
Bevor du auf einen Link klickst, über den du Informationen eingeben sollst, überprüfe, ob die URL mit https:// beginnt.
Nur erwartete Anhänge oder Links öffnen
Interagiere nicht mit Anhängen, Links oder Formularen, es sei denn, du erwartest sie und weißt, was sie enthalten. Sie können dich nicht nur auf eine bösartige Website umleiten, die darauf ausgelegt ist, deine Informationen zu stehlen, sondern sie können auch dein Gerät mit Malware infizieren.
Wenn der Linktext eine URL ist, überprüfe, ob er mit der URL im Link selbst übereinstimmt. Zum Beispiel könnte ein Link, der im Text einer E-Mail als https://help.shopify.com angegeben ist, dich auf eine Phishing-Seite mit einer anderen URL weiterleiten.
Viele Phishing-Angriffe zielen auf das Online-Banking ab. Wenn du eine verdächtige E-Mail-Nachricht von deiner Bank mit einem Sonderangebot für eine Kreditlinie erhältst, klicke nicht auf den Link. Gib stattdessen die URL deiner Bank manuell in einem neuen Fenster ein und prüfe, ob das Angebot in deinem Dashboard angezeigt wird.
Vorsicht bei der Nutzung von öffentlichem WLAN
Öffentliches WLAN ist praktisch, wenn du nicht zu Hause oder bei der Arbeit bist, aber es bietet Angreifenden viele verschiedene Möglichkeiten, auf deine Informationen zuzugreifen. Du kannst deine Risiken reduzieren, indem du Maßnahmen ergreifst, um dich und deine Daten zu schützen.
Hotspot-Namen überprüfen
Angreifende können einen eigenen unverschlüsselten WLAN-Hotspot erstellen, dessen Name einem seriösen in der gleichen Gegend ähnelt, wie z. B. dem Netzwerk in einem Café. Wenn du dich mit dem Phishing-Hotspot verbindest, können die Angreifenden dich auf ihre eigene Seite leiten, wo du Malware ausgesetzt sein oder aufgefordert werden könntest, private Informationen einzugeben.
Bevor du eine Verbindung zu einem Hotspot herstellst, vergewissere dich, dass der Hotspot, den du verwenden möchtest, legitim ist. Wenn du den Hotspot-Namen nicht an einem gut sichtbaren Ort findest, frage eine:n Mitarbeiter:in vor Ort.
Zugriffspunkte auf dein Gerät deaktivieren
Selbst wenn du dich mit einem legitimen öffentlichen WLAN-Hotspot verbunden hast, kannst du immer noch gefährdet sein, weil du dich im selben Netzwerk wie Angreifende befindest. Öffentliche WLAN-Netzwerke sind viel weniger sicher als private Netzwerke, wie z. B. das bei dir zu Hause oder im Büro.
Schütze dich, indem du die Dateifreigabe in deinem Netzwerk deaktivierst und deine Firewall aktivierst, bevor du eine Verbindung herstellst. Selbst mit diesen Vorkehrungen ist es immer noch keine gute Idee, vertrauliche Inhalte über ein öffentliches WLAN-Netzwerk zu senden oder zu empfangen.
Vertrauliche Daten nur über ein VPN senden und empfangen
Ein virtuelles privates Netzwerk (VPN) stellt eine sichere Verbindung zwischen deinem Gerät und den Servern des VPN-Unternehmens her. Von dort aus leiten die VPN-Server deine Informationen an das Internet weiter. Wenn Angreifende auf die Daten zugreifen, die du über einen öffentlichen WLAN-Hotspot sendest und empfängst, sind die Daten verschlüsselt und für sie unbrauchbar.
Techradar und PC Mag sind gute Anlaufstellen, wenn du erfahren möchtest, wie du ein VPN auswählst.
Ohne VPN ist die sicherste Option, die Übertragung vertraulicher Informationen über öffentliches WLAN zu vermeiden.
Befolgen von Regierungsrichtlinien bei Kompromittierung personenbezogener Daten
Personenbezogene Daten (PII) bestehen aus Daten, die verwendet werden könnten, um eine bestimmte Person zu identifizieren oder sich sogar als diese auszugeben. PII umfassen die folgenden Arten von Informationen:
- vollständiger Name
- E-Mail-Adresse
- Postanschrift
- Telefonnummer
- Kreditkartennummer
- nationale Identitätsnummer, wie z. B. SIN, SSN oder Reisepass
- Führerschein
- Geburtsdatum
Wenn du personenbezogene Daten über einen verdächtigen Kanal bereitgestellt hast oder dein Shopify-Konto kompromittiert wurde, beachte die Leitfäden deiner Regierung, wie z. B. diese Informationen der kanadischen und US-amerikanischen Regierung.
Kanada
Was zu tun ist:
Meldung erstatten:
Vereinigte Staaten
Was zu tun ist:
Meldung erstatten: