Mittels Phishing versuchen Kriminelle Zugriff auf Ihre Daten zu erlangen und damit Geld zu erbeuten.
Die Methoden können sehr ausgefeilt sein. Seien Sie auf der Hut.
Die Sparkassen schicken Ihnen keine Nachrichten und rufen auch nicht bei Ihnen an, um nach Ihren Zugangsdaten zu fragen. Melden Sie sich im Zweifel direkt in Ihrer Filiale.
Sie müssen kein Geheimagent sein, um Phishing zu erkennen. Mit einer gesunden Portion Skepsis, dem richtigen Wissen und den passenden technischen Maßnahmen können Sie gefälschte Nachrichten leicht durchschauen und sich wirkungsvoll schützen.
Nehmen Sie Ihre Sicherheit selbst in die Hand:
Sicherheit ist einfacher, als man denkt!
Beim Phishing nutzen Betrüger gefälschte E-Mails oder Websites, die vertrauenswürdige Unternehmen imitieren. Sie fordern die Empfänger auf, sensible Daten wie Zugangsdaten oder Zahlungsinformationen preiszugeben. Diese Nachrichten wirken oft echt, können jedoch an unpersönlichen Anreden, Rechtschreibfehlern oder verdächtigen Links erkannt werden. Das Ziel ist, den Empfänger zu einer unüberlegten Handlung zu verleiten und ihn dazu zu bringen, sensible Informationen preiszugeben.
Die Betrüger geben sich als vertrauenswürdiger Absender aus, etwa als Bank oder Sparkasse, als Unternehmen oder als eine Institution.
Die Empfänger werden unter Zeitdruck gesetzt, weil angeblich sofortiger Handlungsbedarf besteht, sonst habe dies negative Konsequenzen wie Kontosperrung oder Gebühren.
Sie werden dazu aufgerufen, einen Link anzuklicken oder eine angehängte Datei herunterzuladen. Der Link führt zu einer gefälschten, aber täuschend echt aussehenden Website.
Sobald Sie dort Ihre Daten eingebenoder die heruntergeladene Schadsoftware die Daten ausspäht, können die Betrüger diese verwenden und die Konten räumen oder Identitätsdiebstahl begehen. Doch wer die Tricks kennt, kann sich einfach davor schützen.
Beliebte Köder bei Phishing-Angriffen sind beispielsweise:
Angedrohte Kontosperrungen
Erfundene Gewinnversprechen
Die angeblich bald ablaufende Gültigkeit einer Kreditkarte
Ein vorgetäuschter Sicherheitsvorfall, der eine Passwortänderung notwendig macht
Angeblich notwendiges Neuregistrieren wegen geänderter AGB oder Gesetzesänderungen
Angeblich kostenfreie pornografische Inhalte
Zeitlich befristete, extrem günstige Angebote
Eine Rechnung, die noch offen sein soll
Gefälschte Spendenanfragen
Angebliche Steuerbescheide
und vieles mehr – die Betrüger sind sehr erfinderisch …
So versuchen Phisher und Phisherinnen, Sie auszutricksen:
Sie sollen einen Link anklicken, der auf eine gefälschte Website führt.
Sie sollen einen Link anklicken, der zu einer gefälschten App führt.
Sie sollen eine Datei herunterladen, die Malware enthält und Sie ausspioniert.
Sie sollen Ihre sensiblen Daten telefonisch oder persönlich angeben.
Sie sollen einem QR-Code folgen, der ebenfalls auf eine gefälschte Website führt.
Sie sollen eine Bearbeitungsgebühr bezahlen.
Sie sollen eine Hotline anrufen, die in Wahrheit kostenpflichtig ist.
Sie bekommen per SMS eine gefälschte Nachricht von einem Online-Gaming-Dienst, der behauptet, es gäbe Probleme mit Ihrem Kundenkonto. Sie werden aufgefordert, sich über einen Link einzuloggen.
Das kommt Ihnen unglaubwürdig vor? Mit Recht: Klicken Sie nicht auf den Link, da dieser zu einer Phishing-Seite führt, die Ihre Daten stehlen könnte. Loggen Sie sich nur über die offizielle Website ein.
Sie erhalten eine E-Mail, die vorgibt, von Ihrer Sparkasse zu stammen, und behauptet, Ihr Konto sei gesperrt. Sie sollen einem Link folgen und sich einloggen, um das Konto wieder zu entsperren.
Seien Sie gewiss: Ihre Sparkasse würde niemals sensible Daten per E-Mail abfragen. Ignorieren Sie die Nachricht und melden Sie den Vorfall direkt bei Ihrer Bank oder Sparkasse.
Eine Phishing-Mail gibt vor, von einer Gesundheitsorganisation zu stammen, und behauptet, Sie müssten Ihre Versicherungsdaten bestätigen, um eine wichtige Behandlung zu sichern.
Geben Sie sensible Informationen per E-Mail weiter? Bitte nicht: Geben Sie niemals sensible Informationen per E-Mail weiter. Kontaktieren Sie die Institution direkt über deren offizielle Website oder Telefonnummer.
Phishing-Köder kommen meist per E-Mail, aber wie unsere Beispiele zeigen, nutzen Cyberkriminelle zahlreiche Wege, um unter dem Deckmantel seriöser Identitäten persönliche und sensible Daten zu erlangen. Ob per SMS, soziale Netzwerke oder Anrufe – die Methoden sind vielfältig. Hier sind einige der gängigsten Varianten:
Die Phishing-Mails sehen auf den ersten Blick seriös aus. Die Absender tarnen sich als Geldinstitut oder Finanzdienstleister, Streaming-Anbieter oder Online-Shop, Paketzusteller oder Gewinnspielanbieter, Finanzamt oder eine andere Institution. Die Mails enthalten Links, die zu gefälschten Websites führen. Auch diese wirken authentisch, sind aber manipulierte Kopien.
Tipps:
Während Phishing-Mails nach dem Zufallsprinzip an viele – manchmal Millionen – Menschen auf einmal geschickt werden, richtet sich Spear-Phishing wie ein Speer gezielt auf bestimmte Unternehmen oder Organisationen. Hier geht es oft um Finanzbetrug oder Spionage. Manchmal wird das unternehmerische Datennetzwerk durch Schadsoftware lahmgelegt und die Betrüger fordern dann Lösegeld.
Tipps:
Whaling-Angriffe richten sich noch gezielter an leitende Angestellte, Führungskräfte und Amtsträger in Organisationen. Diese Personen sind ausgesprochen interessant für die Cyberkriminellen, weil sie in ihrer Position große Beträge überweisen können, ohne dies von anderer Stelle genehmigen lassen zu müssen. Sie verfügen auch über sensible Informationen wie Lohn- und Gehaltsabrechnungen.
Tipps:
Einige Phishing-Mails enthalten statt eines Links, der dann auf eine gefälschte Website führt, einen QR-Code. Dort werden die Betroffenen dann aufgefordert, ihre Daten einzugeben. Der Trick dabei: Virenscanner können zwar schädliche Links oder Dateianhänge als solche erkennen, nicht jedoch QR-Codes, weil sie diese als harmloses Bild einstufen. Betrügerische QR-Codes werden übrigens nicht nur per E-Mail verschickt, sondern auch per Brief. Diese wirken ebenfalls täuschend echt.
Ein Beispiel sind falsche Bankbriefe. Oft wird der Vorwand genutzt, eine Aktualisierung Ihrer Daten oder die Registrierung eines neuen Gerätes sei notwendig. Scannen Sie den manipulierten QR-Code mit Ihrem Smartphone und folgen dem Link, landen Sie auf einer gefälschten Banking-Seite. Dort werden Ihre Online-Banking-Zugangsdaten, weitere persönliche Daten sowie die Nummer Ihrer Sparkassen-Card/Kreditkarte erfragt, um im Anschluss betrügerische Handlungen mit den erbeuteten Daten vorzunehmen.
Achtung: Auch für die Registrierung in der App S-ID-Check oder die Rücksetzung der S-pushTAN-App erhalten Sie QR-Codes von Ihrer Sparkasse. Im Zweifel gilt: Geben Sie Aufträge bitte nur dann frei bzw. folgen Sie QR-Codes nur, wenn Sie die Aktion selbst zuvor veranlasst haben.
Tipps:
Auch beim Smishing geht es darum, Zugangsdaten abzugreifen. Die Betrüger versenden SMS-Nachrichten, in denen es angeblich um Probleme bei der Paketzustellung oder um Zahlungsaufforderungen von Onlineshops geht. Phishing-SMS kommen nicht immer von unbekannten Mobilfunknummern, sondern manchmal auch von Nummern aus dem Bekanntenkreis. Das kann passieren, wenn diese Person zuvor gehackt wurde oder auf eine Betrugsmasche hereingefallen ist.
Tipps:
Wichtig: Die Sparkassen verschicken in der Regel keine SMS-Nachrichten. Auch nicht, wenn Sie von Ihrer Sparkasse angerufen werden möchten und online einen Rückruf vereinbaren. Melden Sie sich am besten selbst telefonisch in Ihrer Filiale, ehe Sie auf die Forderungen in einer SMS eingehen.
Ähnlich wie bei Schockanrufen wie dem Enkeltrick geben sich die Betrüger beim Vishing (Voice Phishing) als vertrauenswürdige Institution oder Person aus, um auf diese Weise an Geld oder an sensible Daten zu kommen. Die Visher verwenden dabei gefälschte Telefonnummern und inzwischen sogar stimmverändernde Software. Manchmal handelt es sich um automatisierte Anrufe, sogenannte Robocalls.
Tipps:
Phishing-Betrüger nutzen menschliche Schwächen wie Gutgläubigkeit und den Druck, schnell handeln zu müssen, gezielt aus. Doch wenn Sie die typischen Warnsignale im Blick behalten, können Sie sich effektiv schützen und Ihre Daten sichern.
Um Ihr Vertrauen zu gewinnen, tarnen die Betrüger ihre Mails, sodass sie scheinbar von einer seriösen Quelle kommen – etwa von Ihrer Sparkasse, der Polizei oder einem Unternehmen.
Damit Sie schnell und unüberlegt handeln, drohen die Betrüger Ihnen negative Konsequenzen an, etwa die Schließung Ihres Accounts oder hohe Gebühren.
In Phishing-Mails werden Sie meist dazu aufgefordert, einen Link anzuklicken. Dieser führt zu einer gefälschten Website, wo Sie Ihre Zugangsdaten eingeben sollen.
Die Betrüger verlinken zu gefälschten Websites, die täuschend echt aussehen, sich aber von der echten Website Ihrer Sparkasse oder eines anderen Unternehmens unterscheiden lassen.
Ebenfalls typisch für Phishing-Mails ist die Aufforderung, einen Dateianhang downzuloaden. Dieser könnte Schadsoftware enthalten.
Viele betrügerische Mails enthalten Grammatik- und Rechtschreibfehler sowie ungeschickte Formulierungen. Bleiben Sie dennoch auch bei fehlerfreien Nachrichten vorsichtig. Dank künstlicher Intelligenz ist es mittlerweile ein Leichtes, fehlerfrei zu kommunizieren.
Lassen Sie sich niemals dazu verleiten, PINs, TANs, Passwörter oder andere persönliche Informationen weiterzugeben – denn darauf sind die Betrüger aus.
Klicken Sie niemals auf Links oder Anhänge in verdächtigen Nachrichten, zum Beispiel von einem unbekannten Absender. Der Mouse-over-Effekt verrät Ihnen, wohin der Link in Wirklichkeit führt. Wenn Sie den Cursor der Maus über den Link halten, wird Ihnen in der Bildschirmecke angezeigt, wohin der Link führt. Am Mobiltelefon können Sie den Link länger gedrückt halten, um die URL zu lesen. Scannen Sie nur QR-Codes von seriösen Quellen.
Oft sehen gefälschte E-Mails auf den ersten Blick echt aus, aber kleine Details, wie die E-Mail-Adresse des Absenders, können verräterisch sein. Achten Sie auch auf falsche beziehungsweise unübliche Anreden und seien Sie wachsam, wenn Ihnen Stil und Inhalt seltsam vorkommen. Vergleichen Sie im Zweifel mit Mails vom echten Absender, die garantiert echt waren.
Phisher und Phisherinnen täuschen gerne dringenden Handlungsbedarf oder gar eine Notsituation vor, um Sie zu unüberlegten Reaktionen zu drängen. Bewahren Sie einen kühlen Kopf!
Phishing-Seiten verwenden oft ähnliche URLs wie echte Websites. Achten Sie auf kleine Abweichungen und seien Sie besonders vorsichtig, wenn die URL eine ungewöhnliche Endung hat, verkürzt ist oder wenn https:// bzw. das Schlosssymbol fehlen.
Vergleichen Sie Angaben wie Absender, Telefonnummer oder Social-Media-Account mit den Daten auf der offiziellen Website.
Mailen Sie nur an die offizielle Adresse oder rufen Sie die Nummer an, die auf der Website steht – sonst werden Sie womöglich auf eine gefälschte Website oder ein unseriöses Callcenter gelenkt.
Achten Sie auf Stil und Plausibilität des Inhalts. Kontaktieren Sie den vorgeblichen Absender direkt oder informieren Sie sich bei der Verbraucherzentrale oder Polizei, welche Phishing-Maschen es aktuell gibt.
Verdächtige Telefonate sollten Sie kommentarlos beenden, spätestens wenn Sie nach persönlichen Daten gefragt werden. Am besten, Sie nehmen erst gar keine Anrufe mit unterdrückter Nummer an.
Eine der wichtigsten Datenfundgruben der Betrüger sind die sozialen Netzwerke. Beschränken Sie dort Ihre Profildaten und optimieren Sie die Datenschutzeinstellungen.
Die Zwei-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene für Ihre Konten. Neben Ihrem Passwort benötigen Sie einen zweiten Verifizierungsschritt, wie einen Code per SMS oder eine App. Selbst wenn ein Angreifer Ihr Passwort kennt, kann er ohne diesen zweiten Faktor nicht auf Ihr Konto zugreifen. Das reduziert das Risiko unbefugter Zugriffe erheblich.
Diese Tools helfen Ihnen, verdächtige E-Mails, Links und Websites zu erkennen, bevor Sie auf betrügerische Inhalte hereinfallen. Sie filtern Phishing-Nachrichten und blockieren schädliche Websites, die Malware enthalten könnten. So schützen Sie sich effektiv vor Phishing-Angriffen und anderen Cyberbedrohungen.
Mit dem Kontowecker werden Sie in Echtzeit über alle Bewegungen auf Ihrem Konto oder Ihrer Kreditkarte informiert. So können Sie sofort auf verdächtige Transaktionen reagieren und weitere Schäden verhindern.
Wenn Sie vermuten, dass Ihre Debit- oder Kreditkarte gestohlen oder missbraucht wird, können Sie sie sofort über die Sparkassen-App oder den Sperr-Notruf 116 116 sperren. Dies stoppt betrügerische Transaktionen sofort und verhindert, dass Ihr Konto weiter belastet wird.
Ein starkes Passwort besteht aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Verwenden Sie für jeden Account ein einzigartiges Passwort, um zu verhindern, dass Angreifer bei einem Datenleck Zugriff auf mehrere Ihrer Konten erhalten. Ein Passwortmanager wie S-Trust kann Ihnen helfen, starke und sichere Passwörter zu erstellen und zu verwalten.
Falls Sie Opfer eines Phishing-Betrugs geworden sind, können Sie unrechtmäßige Zahlungen mit Ihrer Kreditkarte durch den Chargeback-Service rückgängig machen. Dieser Service ermöglicht es Ihnen, das Geld, das durch betrügerische Transaktionen verloren ging, zurückzufordern. Sie sollten dabei schnell handeln, um den Vorfall bei Ihrer Bank oder Sparkasse zu melden und den Chargeback-Prozess in Gang zu setzen.
Die Sicherheitslösung 3-D Secure bietet bei Online-Kartenzahlungen eine zusätzliche Verifizierung, zum Beispiel per Fingerabdruck oder Gesichtserkennung. Dadurch wird sichergestellt, dass nur autorisierte Transaktionen mit Ihrer Karte durchgeführt werden, selbst wenn Betrüger Ihre Kartendaten gestohlen haben.
Digitale Kompetenzen sind in der modernen Arbeitswelt unabdingbar. Der DsiN-Digitalführerschein (DiFü) ist ein kostenfreies, vom Bundesministerium des Innern und für Heimat (BMI) gefördertes Bildungs- und Zertifizierungsangebot für Digitalkompetenz.
Angepasst an bestehendes
Vorwissen bietet der DiFü einen niedrigschwelligen Zugang zu digitaler Bildung:
Nutzerinnen und Nutzer können ihr digitales Grundwissen testen, im eigenen
Tempo vertiefen und so lernen, digitale Dienste im beruflichen Kontext souverän
anzuwenden. Nutzerinnen und Nutzer können anschließend eine Prüfung ablegen und
den „Digitalführerschein“ erwerben. So vermittelt der DiFü am Ende auch
allgemeine digitale Kompetenzen, die beim sicheren Online-Einkaufen hilfreich
sind.
Alle Kurse, Informationen und die Anmeldung zum Zertifikat finden Sie unter: www.difue.de
Haben Sie den Betrug nicht erkannt und einen Link angeklickt, einen Anhang heruntergeladen oder Daten herausgegeben? Dann empfehlen wir folgende Sofortmaßnahmen:
Wenn Sie eine Phishing-Mail geöffnet haben, klicken Sie auf keinen Fall auf Links und laden Sie keine Anhänge herunter. Falls Sie dies bereits getan haben, ändern Sie sofort Ihre Passwörter und überprüfen Sie Ihre Konten auf verdächtige Aktivitäten. Sperren Sie gegebenenfalls Ihre Karte unter dem Sperr-Notruf 116 116. Informieren Sie Ihre Sparkasse, Ihre Bank oder den Anbieter betroffener Dienste und erwägen Sie den Einsatz eines Virenscanners, um sicherzustellen, dass keine Schadsoftware von den Angreifern auf Ihr Gerät gelangt ist.
Folgende Schritte helfen Ihnen dabei, Phishing zu enttarnen:
Phishing-Mails sind leider keine Seltenheit und lassen sich oft nur schwer vermeiden. Eine Möglichkeit: Sie bekommen eine Phishing-Mail, da Betrüger oder Betrügerinnen beispielsweise über eine Website, die Daten sammelt und verkauft, an Ihre Mail-Adresse oder Mobilfunknummer geraten sind.
Grundsätzlich gilt: Ihr Kreditinstitut wird Sie niemals dazu auffordern, Ihre persönlichen Zugangsdaten preiszugeben – weder per SMS noch per E-Mail oder am Telefon. Gehen Sie deshalb niemals auf die Aufforderung ein, Ihre Login-Daten zu teilen.
Phishing-Mails sind Betrugsmaschen, die meist via E-Mail durchgeführt werden und das Ziel verfolgen, Ihre persönlichen Daten oder Passwörter abzugreifen.
Beim Spear-Phishing handelt es sich im Gegensatz zum klassischen Phishing um einen gezielt bösartigen Angriff auf eine Person oder Gruppe. Die Spear-Phishing-Nachricht enthält in der Regel sehr detaillierte und auf Sie zugeschnittene Inhalte, um möglichst vertrauenswürdig zu erscheinen. Phishing hingegen erfolgt meist nach dem Zufallsprinzip.
Die Telefonnummern bekommen Betrüger nicht von Kreditinstituten oder aus gehackten Online-Banking-Konten, wie manche denken. Meistens werden die Telefonnummern zufällig generiert und angeschrieben oder angerufen. Oder sie stammen von Händlern, die diese Daten in großer Anzahl verkaufen. Auch deshalb ist es empfehlenswert, Telefonnummern und andere persönliche Daten wie Adressen oder E-Mail-Adressen nicht leichtfertig herauszugeben oder zu veröffentlichen.
