Phishing ist 2025 raffinierter denn je: gefälschte Login-Seiten, kompromittierte QR-Codes, KI-generierte E-Mails – und immer häufiger bösartige
Browser-Erweiterungen, die Passwörter abgreifen oder Werbung einschleusen. Dieser Guide zeigt Dir kompakt,
wie Du Angriffe erkennst, verhinderst und Spuren sauber beseitigst.
1) Grundlagen: Wie Phishing heute funktioniert
- E-Mail/SMS-Phishing: Täuschend echte Nachrichten mit „Dringend!“-Ton, Links auf gefälschte Login-Seiten.
- Spear-Phishing: Zielgerichtete Angriffe mit persönlichen Details (z. B. angebliche Schul-/Vereinsinfos).
- MFA-Fatigue: Viele 2FA-Aufforderungen hintereinander, bis Du genervt bestätigst.
- QR-Phishing (Quishing): Manipulierte QR-Codes in Plakaten, Flyern oder E-Mails führen auf Fakesites.
- Malware-Erweiterungen: Add-ons, die Cookies auslesen, Suchmaschine kapern oder Keylogging betreiben.
2) Erkennen: Warnzeichen für Phishing
Link & Adresse
- Domain sorgfältig prüfen:
example.com≠examp1e.com(Zahl/Buchstabe vertauscht). - Auf https:// und korrektes Zertifikat achten (Schloss-Symbol ≠ Garantie, aber Mindeststandard).
- Nie auf verkürzte/obskure Links klicken, ohne sie zu entpacken/zu prüfen.
Sprache & Stil
- Dringlichkeit, Drohungen („Konto gesperrt“, „letzte Mahnung“).
- Ungewöhnliche Grammatik/Ansprache, falsche Logos oder CI.
Anhang & Formular
- Unerwartete Dateien (ZIP/EXE/ISO/Makro-DOCX).
- Login/2FA-Eingaben außerhalb der gewohnten Domain.
3) Bösartige Erweiterungen: So prüfst Du Add-ons
- Quelle: Nur aus offiziellen Stores installieren (Chrome Web Store, Firefox AMO, Microsoft Edge Add-ons).
- Entwickler & Historie: Gibt es eine Webseite, Support, klare Datenschutzerklärung? Plötzliche Namenswechsel sind verdächtig.
- Bewertungen: Achte auf Muster: Viele 5-Sterne-Einzeiler an einem Tag = suspekt. Lies 1-Sterne-Kritik.
- Berechtigungen: „Auf alle Websites zugreifen“, „Alle Daten lesen und ändern“ nur, wenn absolut nötig.
- Updates: Nach Besitzerwechseln werden Add-ons manchmal „nachgerüstet“ (Adware/Tracker) – regelmäßig prüfen.
Merke: Je weniger Erweiterungen, desto kleiner die Angriffsfläche.
4) Vorbeugen: Sichere Einstellungen & Gewohnheiten
Browser-Härtung
- Automatische Updates aktiv lassen.
- Content-Blocker nutzen (seriös, wenige Add-ons).
- Drittanbieter-Cookies restriktiver einstellen.
- Download-Schutz/Smartscreen nicht deaktivieren.
Konten & Passwörter
- Passwort-Manager einsetzen, einzigartige Passwörter.
- 2FA aktivieren (App-Codes/Hardware-Key statt SMS).
- Wiederherstellungsoptionen aktuell halten.
Umgang mit Nachrichten
- Nie Links aus E-Mails anklicken → Adresse selbst eintippen oder Lesezeichen nutzen.
- QR-Codes nur aus vertrauenswürdigen Quellen scannen.
- Bei „MFA-Spam“: Ablehnen & Absender prüfen, ggf. Passwort sofort ändern.
5) Bereinigen: Was tun nach einem Vorfall?
- Netz trennen (WLAN aus/Flugmodus) bei offensichtlichem Malware-Verdacht.
- Passwörter ändern – zuerst E-Mail-Konto, dann wichtige Dienste (Bank, Cloud, Shops). 2FA aktivieren.
- Erweiterungen prüfen & entrümpeln: Alle Unbekannten entfernen; nur das Nötigste behalten.
- Browser zurücksetzen: Einstellungen → „Standardeinstellungen wiederherstellen“ (Chrome/Edge) bzw. „Bereinigen“ (Firefox: „Abgesicherter Modus“ oder „Firefox bereinigen“).
- Cookies/Cache löschen (Zeitraum: „Gesamte Zeit“).
- Systemscan mit seriösem Schutztool (Windows: Defender Offline-Scan; macOS: aktuelles Systemupdate + vertrauenswürdiger Scanner).
- Sitzungen abmelden: Bei großen Konten (Google, Microsoft, Apple, Passwort-Manager) alle aktiven Sitzungen/verbundenen Geräte prüfen und abmelden.
- Finanzen/Identität beobachten: Unbekannte Abbuchungen, Mail-Weiterleitungen, Weitergabe an Support melden.
6) Browser-Anleitungen (Kurz & knackig)
Google Chrome
- Erweiterungen prüfen: Menü → Erweiterungen → Verdächtige entfernen.
- Zurücksetzen: Einstellungen → Zurücksetzen und bereinigen → Standardeinstellungen wiederherstellen.
- Neu installieren (falls nötig): Profil sichern (Lesezeichen/Passwörter via Sync/Export), Chrome entfernen & sauber neu installieren.
Microsoft Edge
- Erweiterungen: Menü → Erweiterungen → Unerwünschte entfernen.
- Zurücksetzen: Einstellungen → Reset → Standardeinstellungen wiederherstellen.
- SmartScreen aktiv halten (Sicherheit).
Mozilla Firefox
- Add-ons: Menü → Add-ons und Themes → Verdächtige entfernen.
- Abgesicherter Modus: Menü → Hilfe → Mit deaktivierten Add-ons neu starten.
- „Firefox bereinigen“ setzt Add-ons zurück und behält wichtige Daten.
7) Mobile: Android & iOS/iPadOS
Android
- Nur Play-Store nutzen; Unbekannte Apps deaktiviert lassen.
- Chrome/Android System WebView aktuell halten.
- Verdächtige App deinstallieren → Play Protect Scan ausführen → Gerät neu starten.
- Browserdaten löschen, Berechtigungen von Apps prüfen (Mikro/Kamera/Overlay).
iOS/iPadOS
- Nur App Store verwenden; automatische Updates aktiv.
- Verdächtige Profile/VPN-Konfigurationen entfernen (Einstellungen → Allgemein → VPN & Geräteverwaltung).
- Safari/Browserdaten löschen; „Einstellungen zurücksetzen“ nur im Notfall.
8) Checkliste: Schnell-Audit in 10 Minuten
- ☐ Browser aktuell? Auto-Updates aktiv?
- ☐ Erweiterungen ≤ 5 und alle vertrauenswürdig?
- ☐ Passwort-Manager aktiv, 2FA an den wichtigsten Konten?
- ☐ Cookies/Cache in letzter Zeit geleert?
- ☐ Phishing-Mails immer über die echte Domain prüfen?
- ☐ QR-Codes nur aus seriösen Quellen gescannt?
- ☐ Regelmäßiger Systemscan/Offline-Scan durchgeführt?
FAQ
Woran erkenne ich eine gefälschte Login-Seite am sichersten?
An der Domain. Tippe die Adresse selbst ein oder nutze ein Lesezeichen. Verlasse Dich nicht auf Logos/Design.
Sind alle Erweiterungen gefährlich?
Nein, aber jede Erweiterung vergrößert die Angriffsfläche. Nutze nur wenige, etablierte Add-ons und prüfe Berechtigungen.
Ich habe meine Daten auf einer Fakesite eingegeben – was jetzt?
Sofort Passwort ändern (zuerst E-Mail), 2FA einschalten, aktive Sitzungen abmelden und ungewöhnliche Aktivitäten beobachten.
Reicht der eingebaute Browser-Schutz?
Er ist eine gute Basis. Entscheidend sind Dein Verhalten (Linkprüfung), Updates, wenige Add-ons und 2FA.
