Was ist Phishing?

Datenfischer unterwegs

Phishing ist ein Kunstwort aus „Password" und „fishing" und steht für das Stehlen von Passwörtern. Datenfischer verschicken in großem Stil E-Mails oder auch SMS, die so aussehen als kämen sie zum Beispiel von Amazon, Ebay oder Ihrer Sparkasse. Auch im Namen von Social-Media-Dienstleistern wie Facebook kann es zu Phishing-Versuchen kommen. Über einen gefälschten Link wollen Betrüger an Ihre Passwörter kommen. Gegen den Passwortklau hilft vor allem eines: Aufmerksam sein.

Datenfischer wollen nur Ihr Bestes: Ihre Daten

„Ihr Konto wurde vorübergehend gesperrt“ oder „Sie müssen Ihre Zugangsdaten aktualisieren“ – so oder ähnlich lauten meist die Betreffzeilen der E-Mails, die Ihnen beim Phishing Ihre Passwörter stehlen wollen. Die dringend klingende E-Mail lockt Sie über einen Link auf täuschend echt aussehende Kopien der originalen Internetseite. Auf den manipulierten Seiten sollen Sie dann Geheimzahl (PIN) oder Einmalpasswort (TAN) eingeben. Vermeintlich, um Ihr Konto wieder freizuschalten. Stattdessen erbeuten die Datendiebe hochsensible Informationen.

Die E-Mail-Masche kommt auch schon mal als Spendenanfrage oder Steuerbescheid daher. Als Gewinnnachricht oder Rabatt-Angebot. Phishing-E-Mails enthalten zum Teil auch Anhänge. Diese können auf ihrem Gerät unwissentlich Schadsoftware installieren („Drive per Download-Verfahren“), die ebenfalls Daten abfängt oder zu einer Abo-Falle führen. Öffnen Sie deshalb niemals einen E-Mail-Anhang, wenn Sie diesen nicht durch eine vorherige Absprache erwarten.

Passwortklau-Links stecken auch in Nachrichten, die Sie in Onlinespielen von Mitspielern erhalten. Seien Sie auch wachsam bei ungebetenen SMS oder Nachrichten aus einer App auf Ihrem Smartphone. Phishing-Attacken gibt es auch noch in analoger Form auf dem Postweg oder per Telefon.

So funktioniert Phishing

Der beste Schutz gegen Phishing ist gesundes Misstrauen

Sie können sich gegen Passwort-Diebstahl recht gut schützen. Am wirkungsvollsten: Reagieren Sie nicht auf Nachrichten unbekannter Herkunft. Ignorieren Sie die Aufforderung, irgendwo Daten einzugeben. 

Ihre Sparkasse wird Sie niemals darum bitten, aus einer E-Mail heraus Internetseiten zu öffnen und dort Kontodaten einzugeben. Das gilt auch für jede andere Bank und jeden professionellen Internet-Händler.

Melden Sie verdächtige E-Mails Ihrer Sparkasse. Leiten Sie sie an warnung@sparkasse.de  weiter. Ihre Sparkasse prüft die Sache und verhindert die weitere Verbreitung.

Hier finden Sie aktuelle Sicherheitsmeldungen zu Phising, Trojanern und Co.

So erkennen Sie den Passwort-Klau:

  • Oft sind die Betreffzeilen und Texte in schlechtem Deutsch verfasst. Leider wird die Qualität aber immer besser, sodass Sie die E-Mails und Internetauftritte der Betrüger nicht immer leicht auf einen Blick erkennen können.
  • Die Anrede ist in vielen Fällen unpersönlich: „Sehr geehrte/r Kundin/Kunde“. Aber Achtung: Mittlerweile kann die Anrede auch persönlich gestaltet sein und Ihren Namen enthalten.
  • In der Regel geht es um Kontosperrungen, angeblichen Identitätsklau, Zustimmung zur Datenschutzgrundverordnung, Datenabgleich oder Ähnliches. Die E-Mails machen dem Empfänger gezielt Druck oder Panik. Oder sie versprechen Gewinne und Sonderangebote. 
  • Der Text fordert Sie auf, einem Link zu folgen und auf einer Internetseite Daten einzugeben.
  • Die Adresse in der Internetzeile weist häufig Schreibfehler oder Buchstabendreher auf.
  • Gefälschte Internetseiten haben in der Adresszeile Ihres Browsers in der Regel kein geschlossenes Schlosssymbol. Die Zeile beginnt mit http:// statt mit dem verschlüsselten https://
Grafik: Tipps zur Erkennung von Phishing-Mails

So schützen Sie sich vor Passwort-Klau:

  • Ignorieren Sie E-Mails, SMS und App-Nachrichten von unbekannten Absendern.
  • Öffnen Sie keine unerwarteten Anhänge, diese können Schadsoftware enthalten.
  • Folgen Sie niemals den Links aus solchen Nachrichten heraus. Geben Sie auf diesen Internetseiten keine sensiblen Kontodaten ein. 
  • Tippen Sie die Internet-Adresse Ihrer Sparkasse immer selbst ein.
  • Das Schlosssymbol in Ihrem Browser muss bei Bankgeschäften im Internet immer geschlossen sein. 
  • Die Internetzeile muss für eine verschlüsselte Verbindung mit https:// (statt dem normalen http://) beginnen.
  • Achten Sie bei der Internetadresse auf die korrekte Rechtschreibung.
  • Prüfen Sie das „Zertifikat“ der Internetseite: Banken und viele Internet-Händler bieten Identitätsdaten an. Sie können diese im Symbol neben der Adresszeile abfragen. Zum Beispiel Ihr Internetschutzprogramm oder der Browserbetreiber bestätigen dann die Echtheit der Seite mit „Verifiziert von…“. 
  • Nutzen Sie für Ihre Bankgeschäfte nur private, gesicherte WLAN-Verbindungen. Die Startseiten öffentlicher WLANs könnten gefälscht sein.
  • Bei Unsicherheit bezüglich der Echtheit, wenden Sie sich über eine seriöse Kontaktmethode direkt an Ihren Anbieter und fragen Sie lieber einmal mehr nach.

So reagieren Sie, wenn Sie auf Passwortdiebe hereingefallen sind:

Wenn Sie bereits auf eine fremde E-Mail geantwortet oder nach Anklicken eines Links vertrauliche Daten eingegeben haben, dann:

  • Ändern Sie sofort die Zugangsdaten für Ihre Bankgeschäfte im Internet.
  • Sagen Sie sofort Ihrer Sparkasse Bescheid. Sie kann weiteren Schaden verhindern.
  • Löschen Sie die E-Mail nicht, sie dient im Ernstfall als Beweismittel.
  • Falls Sie die schädliche E-Mail noch haben, senden Sie sie an warnung@sparkasse.de
  • Erstatten Sie Strafanzeige.

Wie funktioniert SMS-Phishing?

Phishing per SMS-Textnachricht – auch als Smishing bekannt – ist eine Art Cyberangriff, der Sie mit Hilfe irreführender SMS-Nachrichten dazu verleiten will, wertvolle Informationen preiszugeben. Als Bank getarnt, fordert ein Betrüger den Empfänger in einer SMS dazu auf, seine Daten zu aktualisieren oder etwas im Account zu überprüfen. Ansonsten drohe beispielsweise, dass das Konto gesperrt wird.

 Die Nachricht enthält einen Link zu einer Website, auf der der Nutzer seine Login-Daten eingibt. Durch diese Eingabe erhalten Betrüger die Kombination von Nutzername und Passwort zu einem Account.

 Um eine Überweisung von einem Konto durchzuführen, braucht der Betrüger nun noch eine TAN. Oft rufen SMS-Phisher dafür einfach beim Betrogenen an und fragen danach.

So erkennen Sie Phishing-SMS

  • Phishing-SMS kommen entweder von unbekannten Nummern oder von einer Nummer aus Ihrem Adressbuch. Kommt eine Phishing-SMS von einer bekannten Nummer, kann es sein, dass das Handy dieser Person infiziert wurde. Checken Sie den Stil und die Orthographie der Nachricht Daran lässt sich schon häufig erkennen, ob die Nachricht tatsächlich von der Person kommt.
  • Meist werden Sie in der SMS aufgefordert, einem Link zu folgen. Dies sollten sie in jedem Fall unterlassen.
  •  Ist das Handy ihres Kontakts betroffen, erhalten Sie meist persönlichere Nachrichten. Häufig sollen Sie einem Link folgen, um beispielsweise Fotos des letzten Urlaubs zu sehen. Werden Sie stutzig, sobald Sie persönliche Daten eingeben müssen. In seltenen Fällen, buchen Sie mit dem Anklicken des Links bereits kostspielige Dienste.
  • Wenn Sie von Ihrer Sparkasse angerufen werden möchten und online einen Rückruf vereinbaren, erhalten Sie von uns keine SMS. Sollten Sie dennoch eine bekommen, melden Sie sich bitte lieber zur Sicherheit noch einmal telefonisch bei Ihrer Filiale.
  • Paketdienste wie DHL verschicken ebenfalls keine Benachrichtigungen via SMS. Öffnen Sie also in keinem Fall den enthaltenden Link.

Woher haben die Betrüger die Telefonnummern?

Die Telefonnummern bekommen die Betrüger nicht von Kreditinstituten oder aus gehackten Online-Banking-Konten, wie manche denken. Oft stammen sie von Händlern, die diese Daten in großer Anzahl verkaufen. Auch deshalb ist es empfehlenswert, Telefonnummern und andere persönliche Daten wie Adressen oder E-Mail-Adressen nicht leichtfertig herauszugeben oder zu veröffentlichen.

Wie kann ich mich schützen?

Grundsätzlich gilt: Ihr Kreditinstitut wird Sie niemals dazu auffordern, Ihre persönlichen Zugangsdaten preiszugeben – weder per SMS noch per E-Mail oder am Telefon. Gehen Sie deshalb niemals auf die Aufforderung ein, Ihre Login-Daten oder eine TAN preiszugeben.

Das können Sie tun, um andere Verbraucher zu schützen:

Da es sich bei Phishing um versuchten Betrug und somit eine Straftat handelt, sollten Sie in jedem Fall die Polizei kontaktieren. Wenn Sie Opfer eines Phishing-Angriffs wurden, ist zudem eine Strafanzeige wichtig. Phishing ist kein Kavaliersdelikt. Im Jahr 2015 wurden pro Fall beispielsweise rund 4.000 Euro pro gemeldetem Fall erbeutet.

Eine wichtige Anlaufstelle ist auch die Verbraucherzentrale. Sie teilen auffällige Meldungen über das „Phishing-Radar“. Um die Vorfälle zu sammeln, ist sie auf Ihre Hilfe angewiesen. Melden Sie also auffällige E-Mails bei: phishing@verbraucherzentrale.nrw. Die weitergeleiteten E-Mails werden von der Verbraucherzentrale Nordrhein-Westfalen ausgewertet.

9 Tipps für sicheres Online-Banking

Sie haben es selbst in der Hand, Ihr Online-Banking sicherer zu machen. Beachten Sie unsere Tipps, um Ihre Daten zu schützen.

Was ist Spyware?

Spyware ist Software, die in der Regel Daten ausspioniert. Diese Daten werden dann unbemerkt an Dritte übertragen.

Was ist ein Trojaner?

Trojaner sind Schadprogramme, die meist Spionagefunktionen enthalten. Sie nisten sich im Computer des Users ein und spähen Daten aus.