Das ist Phishing

So schützen Sie sich vor betrügerischen Maschen

Phishing ist ein Kunstwort aus „Passwort“ und „fishing“ und steht für das Abgreifen oder Kopieren von persönlichen Daten und Passwörtern via E-Mail, Smartphone oder Brief. Sogenannte Datenfischer versuchen, durch betrügerische Maschen an Ihre Informationen zu gelangen, um diese gewinnbringend zu verkaufen. Hier erfahren Sie, welche Methoden es gibt und wie Sie sich schützen können.   

Während Phishing-Nachrichten früher oft mit Rechtschreibfehlern gespickt, von dubiosen Absenderinnen oder Absendern verfasst oder mit falschem Logo versandt wurden, ist es heute schwieriger geworden, die Betrügerinnen oder Betrüger auf den ersten Blick zu enttarnen. Die Taktiken sind perfider und professioneller geworden. Umso wichtiger ist es daher, sich mit dem Thema auseinander zu setzen und sich über die verschiedenen Betrugsmaschen zu informieren. Machtlos sind Sie dieser Cyberkriminalität nämlich nicht ausgeliefert. 

Die gängigsten Arten von Phishing

Phishing per E-Mail

„Ihr Konto wurde vorübergehend gesperrt“ oder „Sie müssen Ihre Zugangsdaten aktualisieren“ – so oder ähnlich lauten meist die Betreffzeilen der E-Mails, die Ihnen beim Phishing Ihre Passwörter abgreifen wollen. Die dringend klingende Mail lockt Sie über einen Link auf täuschend echt aussehende Kopien der originalen Internetseite. Auf den manipulierten Seiten sollen Sie dann beispielsweise Geheimzahl (PIN) oder Einmalpasswort (TAN) eingeben. Vermeintlich, um Ihr Konto wieder freizuschalten. Stattdessen erbeuten die Datenfischer hochsensible Informationen.

Die E-Mail-Masche kommt manchmal auch in Form einer Spendenanfrage oder eines Steuerbescheids, als Gewinnnachricht oder Rabattangebot. Phishing-E-Mails enthalten zum Teil auch Anhänge. Diese können auf ihrem Gerät unwissentlich Schadsoftware installieren („Drive per Download-Verfahren“), die ebenfalls Daten abfängt oder zu einer Abo-Falle führt. Öffnen Sie deshalb niemals einen E-Mail-Anhang, wenn Sie diesen nicht durch eine vorherige Absprache erwarten. Passwortabgreif-Links stecken auch in Nachrichten, die Sie in Onlinespielen von Mitspielenden erhalten. 

Phishing per SMS

Phishing per SMS-Textnachricht – auch Smishing genannt – ist eine Art Cyberangriff, bei dem Sie mithilfe irreführender SMS-Nachrichten dazu verleitet werden sollen, wertvolle Informationen preiszugeben. Beispielsweise als Bank getarnt, fordert eine Betrügerin oder ein Betrüger Sie in einer SMS dazu auf, Ihre Daten zu aktualisieren oder etwas in Ihrem Account zu überprüfen. Meist ist die Nachricht mit einer Drohung verbunden – zum Beispiel, dass bei Nichtbefolgen Ihr Konto gesperrt wird

Die SMS enthält oft einen Link zu einer Fake-Website, auf der Sie Ihre Login-Daten eingeben sollen. Dadurch kann der Betrüger beziehungsweise die Betrügerin die Kombination aus Nutzungsname und Passwort abgreifen.

Wenn es darum geht, Ihnen Geld zu stehlen, benötigen die Cyberkriminellen im Anschluss nur noch eine TAN. Dazu rufen sie manchmal sogar bei der betroffenen Person an, geben sich als Bankangestellte aus und fragen nach. 

So erkennen Sie eine Phishing-SMS

Phishing-SMS können sowohl von einer unbekannten Nummer als auch von einer Nummer aus Ihrem Adressbuch kommen. Im letzteren Fall könnte es sein, dass Ihre Bekannte oder Ihr Bekannter Opfer einer Betrugsmasche wurde. Überprüfen Sie immer vorab den Stil und die Orthografie der Nachricht. Davon lässt sich oft ableiten, ob es sich wirklich um den Schreibstil der bekannten Person handelt.

Klicken Sie außerdem nicht einfach auf einen Link – egal, ob es sich um eine bekannte oder unbekannte Nummer handelt. Bei bekannten Nummern wird meist eine persönliche Nachricht verfasst. Beispielsweise, dass Sie den Link aufrufen müssen, um Fotos des jüngsten Urlaubs zu sehen.

Wichtig: Die Sparkassen verschicken in der Regel keine SMS-Nachrichten. Auch nicht, wenn Sie von Ihrer Sparkasse angerufen werden möchten und online einen Rückruf vereinbaren. Melden Sie sich am besten selbst telefonisch in Ihrer Filiale, ehe Sie auf die Forderungen in einer SMS eingehen. 

So können Sie sich schützen

Illustration: Haken angeln nach Daten

Am wichtigsten sind gesundes Misstrauen und Aufmerksamkeit. In manchen Fällen sticht einem die Phishing-Nachricht direkt ins Auge, in anderen müssen Sie etwas genauer hinsehen. Diese Tipps helfen Ihnen beim Erkennen von Fake-Mails, SMS oder Briefen. 

1. Überprüfen Sie die Nachricht auf Rechtschreibfehler

Oft sind Betreffzeilen und Text in schlechtem Deutsch verfasst. Leider wird die Qualität jedoch immer besser, sodass Sie die E-Mails und Internetauftritte der Betrüger oder Betrügerinnen nicht unbedingt auf den ersten Blick erkennen können. Lesen Sie sich daher die Nachricht unbedingt aufmerksam durch, um mögliche Ungereimtheiten zu enttarnen. 

2. Achten Sie auf den Absender und die Absender-Endung

Haben Sie eine verdächtige Mail erhalten, sollte Ihr Blick direkt zum vermeintlichen Absender wandern. In manchen Fällen stimmt dessen Mail-Adresse beispielsweise gar nicht mit dem angeblichen Firmennamen überein. Dadurch wissen Sie, dass es sich um eine Betrugsmasche handelt. 

3. Informieren Sie sich beim angeblichen Absender

Wenn Sie Zweifel an der Echtheit einer Nachricht haben, wenden Sie sich über eine seriöse Kontaktmethode direkt an den jeweiligen Absender und fragen lieber einmal mehr nach. Das ist bei Firmen meist über eine Telefonnummer auf der Webseite oder ein Kontaktformular möglich. 

4. Prüfen Sie die Mobilfunknummer

Was für die Mailadresse gilt, gilt auch für die Mobilfunknummer. Sollte Sie eine SMS skeptisch stimmen, können Sie die Mobilfunknummer einfach bei Google eingeben. Meist hatten auch andere schon Probleme mit der Nummer und konnten sie bereits als Fake melden. 

5. Kontrollieren Sie die Ansprache

Die Anrede ist in vielen Fällen unpersönlich: „Sehr geehrte/r Kundin/Kunde“. Aber Achtung: Mittlerweile kann die Anrede auch persönlich gestaltet sein und Ihren Namen enthalten. 

6. Teilen Sie niemals Login-Daten oder andere persönliche Informationen

Das Wichtigste für den Umgang im Netz: Teilen Sie niemals einfach Ihre Passwörter oder persönlichen Informationen. Ihre Daten sind heilig – und müssen von Ihnen auch so behandelt werden. Am besten verwenden Sie einen Passwortmanager. Dieser hilft Ihnen dabei, Phishing zu umgehen. 

7. Achten Sie auf ungewöhnliche Kontaktaufnahmen von Bekannten

Ein gängiges Problem bei sozialen Netzwerken wie beispielsweise Facebook: Das Profil einer Bekannten oder eines Bekannten wird gehackt und Sie erhalten plötzlich eine Direktnachricht mit der Aufforderung, Informationen preiszugeben oder auf einen speziellen Link zu klicken. Informieren Sie sich in diesem Fall am besten bei der betroffenen Person persönlich und fragen nach, ob es sich um eine bewusst gesandte Nachricht handelt. 

8. Öffnen Sie bei Verdacht keine Mailanhänge

Sollten Sie den Verdacht hegen, mit einer Nachricht stimmt irgendetwas nicht, öffnen Sie niemals Mailanhänge und klicken Sie nicht auf Links. Diese können eine Schadsoftware enthalten. 

9. Setzen Sie auf mehrere Login-Faktoren und starke Passwörter

Nutzen Sie neben einem Passwort noch ein weiteres Login-Verfahren. Beispielsweise den Fingerabdruck oder die Gesichtserkennung. Außerdem sollten Sie nicht überall dasselbe Passwort verwenden und darauf achten, dass es möglichst stark und abwechslungsreich ist. 12345 lässt sich zum Beispiel schnell erraten. 

10. Seien Sie sich dessen bewusst: „Https“ muss kein Garant für Sicherheit sein

Gefälschte Internetseiten haben in der Adresszeile Ihres Browsers oft kein geschlossenes Schlosssymbol. Die Zeile beginnt dann mit „http://“ statt mit dem verschlüsselten „https://“. Allerdings leiten Betrüger oder Betrügerinnen mittlerweile auch auf sichere Websites mit Https-Verschlüsselung über. 

11. Nutzen Sie VPN

Das Abfangen von Daten kann auch über öffentliches WLAN geschehen – das gibt es meist an Flughäfen, Cafés oder Einkaufszentren. Zwar wird das heutzutage durch die moderne Technik immer schwieriger, allerdings schaffen es Cyberkriminelle dennoch manchmal, den Datenverkehr mitzulesen. Nutzen Sie daher unterwegs immer ein virtuelles privates Netz (VPN), um Ihre Informationen zu verschlüsseln. Das gilt besonders dann, wenn Sie Bankgeschäfte erledigen.

12. Downloaden Sie Antiviren-Programme von Web-Browsern

Online gibt es etliche Programme, die Sie gegen Viren und Phishing-Angriffe schützen. Browser wie Chrome oder Firefox machen das, indem sie Sie gar nicht erst auf die schädliche Seite lassen. Zum doppelten Schutz können Sie sich aber auch zusätzlich Anti-Viren-Programme installieren. 

13. Lassen Sie sich nicht hetzen

Meist geht es in den Betrugsnachrichten um Kontosperrungen, angeblichen Identitätsdiebstahl, Zustimmung zur Datenschutzgrundverordnung, Datenabgleich oder Ähnlichem. Die E-Mails machen der Empfängerin oder dem Empfänger gezielt Druck oder Panik. Oder sie versprechen Gewinne und Sonderangebote.

Lassen Sie sich daher nicht von emotionalen Texten aus der Ruhe bringen. Meist steckt eine Betrugsmasche dahinter. 

Das sollten Sie im Betrugsfall tun

Wichtig ist, ruhig zu bleiben! Sie sind nicht allein. Viele Menschen wurden schon von betrügerischen Maschen getäuscht. Sollten Sie bereits auf einen Link geklickt oder auf eine Mail geantwortet haben, können Sie handeln:

  • Ändern Sie umgehend Ihre Zugangsdaten – am besten auf einem anderen Endgerät.
  • Geben Sie gegebenenfalls Ihrer Sparkasse Bescheid. Sie kann weitere Schäden verhindern.
  • Löschen Sie die betrügerische Mail oder SMS nicht. Sie dient im Ernstfall als Beweismittel.
  • Betrifft die Nachricht Ihr Konto, senden Sie sie an warnung@sparkasse.de.
  • Erstatten Sie Strafanzeige.
  • Installieren Sie ein Virenschutzprogramm und lassen es Ihren PC untersuchen.
  • Bei Unsicherheit können Sie eine Expertin oder einen Experten heranziehen.
  • Wechseln Sie gegebenenfalls die Mailadresse oder Mobilfunknummer. Über die Notwendigkeit kann Sie eine Fachkraft informieren.  

So können Sie andere schützen

Da es sich bei Phishing um versuchten Betrug und somit eine Straftat handelt, sollten Sie in jedem Fall die Polizei kontaktieren. Wenn Sie Opfer eines Phishing-Angriffs wurden, ist zudem eine Strafanzeige wichtig. Phishing ist kein Kavaliersdelikt.

Eine wichtige Anlaufstelle ist auch die Verbraucherzentrale. Sie teilt auffällige Meldungen über das „Phishing-Radar“. Um die Vorfälle zu sammeln, ist sie auf Ihre Hilfe angewiesen. Melden Sie also auffällige E-Mails bei: phishing@verbraucherzentrale.nrw. Die weitergeleiteten E-Mails werden von der Verbraucherzentrale Nordrhein-Westfalen ausgewertet.

Übrigens: Wie bereits erwähnt, findet Phishing nicht nur online statt – neben Briefen gibt es weitere analoge Wege, mit denen Betrüger oder Betrügerinnen an Ihre Daten gelangen wollen. Welche das sind und wie Sie dagegen vorgehen können, erfahren Sie hier.

Die wichtigsten Fragen und Antworten

Bewahren Sie Ruhe und ändern Sie auf einem anderen Endgerät die Zugangsdaten. Betraf der Angriff Ihre Bankdaten, informieren Sie anschließend Ihre Sparkasse. Löschen Sie außerdem niemals die Phishing-Nachricht. Diese zählt nämlich als Beweismittel und kann bei strafrechtlicher Verfolgung wichtig sein. 

Folgende Schritte helfen Ihnen dabei, Phishing zu enttarnen:

  • Achten Sie auf die Rechtschreibung und Orthografie
  • Lesen Sie sich den Absender und die Absenderendung durch
  • Überprüfen Sie die Ansprache
  • Lassen Sie sich nicht unter Druck setzen 

Phishing-Mails sind leider keine Seltenheit und lassen sich oft nur schwer vermeiden. Eine Möglichkeit: Sie bekommen eine Phishing-Mail, da Betrüger oder Betrügerinnen beispielsweise über eine Website, die Daten sammelt und verkauft, an Ihre Mail-Adresse oder Mobilfunknummer geraten sind. 

Grundsätzlich gilt: Ihr Kreditinstitut wird Sie niemals dazu auffordern, Ihre persönlichen Zugangsdaten preiszugeben – weder per SMS noch per E-Mail oder am Telefon. Gehen Sie deshalb niemals auf die Aufforderung ein, Ihre Login-Daten zu teilen. 

Phishing-Mails sind Betrugsmaschen, die meist via E-Mail durchgeführt werden und das Ziel verfolgen, Ihre persönlichen Daten oder Passwörter abzugreifen. 

Beim Spear-Phishing handelt es sich im Gegensatz zum klassischen Phishing um einen gezielt bösartigen Angriff auf eine Person oder Gruppe. Die Spear-Phishing-Nachricht enthält in der Regel sehr detaillierte und auf Sie zugeschnittene Inhalte, um möglichst vertrauenswürdig zu erscheinen. Phishing hingegen erfolgt meist nach dem Zufallsprinzip. 

Die Telefonnummern bekommen Betrüger nicht von Kreditinstituten oder aus gehackten Online-Banking-Konten, wie manche denken. Oft stammen sie von Händlern, die diese Daten in großer Anzahl verkaufen. Auch deshalb ist es empfehlenswert, Telefonnummern und andere persönliche Daten wie Adressen oder E-Mail-Adressen nicht leichtfertig herauszugeben oder zu veröffentlichen.

9 Tipps für sicheres Online-Banking

Sie haben es selbst in der Hand, Ihr Online-Banking sicherer zu machen. Beachten Sie unsere Tipps, um Ihre Daten zu schützen.

Was ist Spyware?

Spyware ist Software, die in der Regel Daten ausspioniert. Diese Daten werden dann unbemerkt an Dritte übertragen.

Was ist ein Trojaner?

Trojaner sind Schadprogramme, die meist Spionagefunktionen enthalten. Sie nisten sich im Computer des Users ein und spähen Daten aus.