Online-Betrug – Phishing

Symbolbild zum Thema Phishing
© Initiative Sicher Handeln

Phishing (Englisch, in Anlehnung an fishing = das Fischen) ist eine der wohl bekanntesten Betrugsformen: Kriminelle verschicken gefälschte E-Mails, SMS oder Messenger-Nachrichten. Diese sehen so aus, als kämen sie von vertrauenswürdigen Institutionen – z. B. von der Bank, einem Online-Shop, einer Behörde, einem Transportunternehmen oder sogar von Bekannten.

In diesen Nachrichten fordern dich Betrüger auf, einen Anhang zu öffnen. Oder sie wollen dich dazu verleiten, auf einen Link zu klicken. Dieser führt auf eine betrügerische Seite. Oft ist dort eine täuschend echt wirkende Oberfläche nachgebaut. Dort sollst du sensible Daten eingeben. Betrüger haben es mit Phishing in der Regel auf Zugangs-, Adress- oder Zahlungsdaten abgesehen. Teilweise geht es beim Phishing auch um deine Identität – Betrüger fragen dann beispielsweise nach einer Ausweiskopie.

Alle Nachrichten haben eines gemein: Die Täter bauen Druck auf. Es sei eine dringende Handlung erforderlich. Beispielsweise, weil ein Paket im Zoll feststecke. Demnach stünde der Zustellung nur die Zahlung einer „Zollgebühr” im Weg. Es geht in der Regel um eher geringe Beträge. Doch wer seine Daten preisgibt, kann einen immensen finanziellen Schaden erleiden.

Beispiel einer Phishing E-Mail (Screenshot/Beispielbild)
© Initiative Sicher Handeln

So erkennst du den Betrug

  • Du erhältst Nachrichten (bspw. per E-Mail, SMS oder Messenger), die dich zu einer schnellen (dringlichen) Handlung auffordern.
  • Du wirst in der Nachricht unpersönlich oder falsch angesprochen („Werte/werter Kundin/Kunde”, „Sehr geehrte Damen und Herren”, „Guten Tag”).
  • Die Nachricht enthält Rechtschreib- und Grammatikfehler und/oder stammt von einer Adresse, die nicht der üblichen Adresse des angeblichen Absenders entspricht (z. B. kryptische E-Mail-Adresse oder ausländische Rufnummer).
  • Dir wird für den Fall, dass du nicht reagierst, mit Konsequenzen – beispielsweise einer Sperre des Kontos – gedroht.

 

So schützt du dich

  • Nimm dir Zeit: prüfe Nachrichten eingehend und orientiere dich dabei an typischen Merkmalen für Betrug.
  • Klicke niemals auf Links von unbekannten Absendern. Generell solltest du Websites besser direkt aufrufen, in der Regel findest du dort die Nachrichten erneut.
  • Öffne auf keinen Fall Dateianhänge, die du nicht selbst angefragt hast.
  • Gib niemals sensible Informationen wie Zugangs- oder Zahlungsdaten auf Websites ein, die dir verdächtig vorkommen.
  • Bist du dir unsicher, besprich dich mit Bekannten oder Verwandten oder wende dich auf vertrauten Wegen direkt an den vermeintlichen Absender.

 

Praxisbeispiel

Du bekommt eine E-Mail von „deiner Bank”, in der steht, dass dein Konto überprüft werden muss. Es ist ein Link enthalten: „Kontostand bestätigen”. Wenn du klickst, landest du auf einer Seite, die sehr echt wirkt, aber tatsächlich kontrollieren Betrüger dein Passwort und deine TAN. Wenn du diese angibst, können sie dein Konto plündern.

Wie hilft die SHS-Regel?

ISH Icon Stoppen: Ausrufezeichen auf grünen Hintergrund

 

Stoppen

Wenn du eine Nachricht bekommst, die Druck aufbaut („Sofort handeln!”, „Ihr Konto wird/wurde gesperrt!”), halte inne. Seriöse Anbieter schicken solche Nachrichten selten ohne Vorwarnung oder Einordnung und sie verlangen nicht, dass du sofort und unüberlegt reagierst.

 

Hinterfragen

Frage dich „Erwarte ich überhaupt eine solche Nachricht von dem Absender?”. Schau dir die Absender-Adresse genau an – endet diese auf der echten Domain? Auch eine unpersönliche Anrede, Rechtschreibfehler bzw. ungewöhnliche Formulierungen können Hinweise auf Phishing sein. Grundsätzlich gilt: Klicke niemals auf Links in Nachrichten, die du nicht selbst angefordert hast. Geh stattdessen lieber direkt in den Browser – rufe die jeweilige Website direkt auf, statt dem Link in der Mail zu folgen.

ISH Icon Schützen: offene Klammer auf grünen Hintergrund

 

Schützen

Wenn dir etwas verdächtig vorkommt, melde die Mail der Bank. Oft gibt es dafür spezielle Phishing-Meldestellen. Lösche die Nachricht anschließend. Wenn du auf den Link geklickt und bereits Daten angegeben hast, ändere sofort dein Passwort. Nimm ggf. Kontakt mit der Bank oder dem Betreiber der echten Website auf. Informiere zudem Freunde oder Familie, damit auch sie vorsichtig sind.

Schon gewusst?

Phishing funktioniert auch per Brief. Betrüger locken dich mittels QR-Codes (siehe Quishing) auf fingierte Websites oder wollen dich dazu bringen, deine Identität bei der Post zu verifizieren. Dann dienst der Brief der Vorbereitung eines Identitätsdiebstahls. Du eröffnest in diesen Fällen beispielsweise Konten oder hilfst dabei, dass Betrüger auf deinen Namen einen Kredit aufnehmen. Bisweilen sind Betrüger dabei erfinderisch und erzählen dir, dass du einen solchen Vorgang im Auftrag der Bank lediglich „testen” sollst. Damit sollst du nicht stutzig werden, wenn du darauf aufmerksam gemacht wirst, dass du gerade ein Konto eröffnest bzw. einen Kredit abschließt.