Internet und Online-Banking sind eine feine Sache. Doch Betrüger haben das Netz längst für sich entdeckt. Gefälschte E-Mails sind in Zeiten des Internets quasi gang und gäbe. Doch mit etwas Obacht können Sie eine falsche Phishing-Mail erkennen. Wie, verrät GiroGuiDE!
Früher reichten Betrüger gefälschte Überweisungsträger ein. Zugegeben: Die Methode ist selbst in modernen Internet-Zeiten durchaus noch üblich, doch Kriminelle sind mittlerweile lieber im World Wide Web aktiv. Eine Methode, um an Ihr Geld zu kommen, ist das sogenannte Phishing.
- Erklärt: Was ist Phishing?
- Tipps: Phishing erkennen
- Aufgepasst bei Anhängen
- Vorsicht beim Online-Banking
- Was tun im Schadensfall?
1. Moderner Online-Betrug: Was ist Phishing?
Phishing? Korrekt. Das Wort ist eine Ableitung der englischen Worte „password harvesting“ (Passworte sammeln) sowie „fishing“ (fischen) und steht für die betrügerische Absicht, über gefälschte Webseiten, E-Mails oder Kurznachrichten an Ihre persönlichen Daten zu kommen. Zum Beispiel Kontodaten oder Zugangsdaten für Shoppingportale wie Amazon. Sinn und Zweck: Ihr Girokonto plündern oder auf Ihrem Namen und damit auf Ihre Rechnung einkaufen. Mitunter wollen die Betrüger auch sogenannte Spyware (Spionage-Software) auf Ihrem PC installieren und so Ihre Daten ausspionieren. Die Absichten – Ihre Daten und Ihr Geld – sind die gleichen.
Doch wie funktioniert Phishing konkret? Hierzu machen Betrüger die Seiten bekannter Unternehmen wie zum Beispiel von Banken, Telefonanbietern, Amazon oder Paypal nach. Und zwar täuschend echt. Tatsächlich sehen Sie auf den ersten und selbst zweiten Blick keinen Unterschied zu den Originalen. Dennoch: 100 Prozent perfekt ist der Betrug selten. Eine Phishing-Mail zu erkennen ist gar nicht so schwer. Und eben damit ist der Betrug von vornherein unterbunden. Was Sie brauchen, sind lediglich ein gesundes Misstrauen und ein genaues Hinschauen.
2. 10 Tipps: Wie Sie eine Pishing-Mail erkennen
Wie können Sie also Pishing bzw. eine Pishing-Mail erkennen? Unser 10-Punkte-Check verrät es Ihnen…
01. Betreffzeile
Das erste Indiz einer gefälschten Mail ist die Betreffzeile. Lesen Sie „Aktualisierung Ihrer Kundendaten“, „Reaktivierung Ihres Online-Zugangs“ oder „Ihrer Kreditkarte droht eine Sperre“ ist die Mail meist Betrug. Solche Nachrichten würden besonders Banken niemals per Mail schicken, sondern per Post.
02. Absender
Schauen Sie sich außerdem den Absender an. Möglich (und wahrscheinlich) dass dieser Paypal, Amazon, Telekom oder Commerzbank lautet. Doch wenn Sie mit dem Cursor auf den Namen gehen, erhalten Sie die URL. Diese entlarvt in der Regel Betrüger. Statt „commerzbank.de“ lautet die Adresse plötzlich „commerzbank-office.de“ oder „commerzbank-online.de“.
03. Beziehung
Apropos: Stehen Sie überhaupt in einer Geschäftsbeziehung mit dem Absender? Sind Sie bei der Commerzbank, Telekom oder Amazon kein Kunde, erhalten aber dennoch eine Mail? Dann ist der Betrug offensichtlich.
04. E-Mail
Achten Sie außerdem auf Ihre eigene Mail. Nutzen Sie zum Beispiel für Ihre Bankgeschäfte eine gmx-Adresse, bekommen aber eine Mail der Bank auf eine t-online-Adresse, stimmt etwas nicht.
05. Sprache
Viele Betrüger sitzen im Ausland. Achten Sie daher auf die Sprache, besonders in Grammatik und Rechtschreibung. Tauchen permanent Fehler auf, können Sie recht leicht eine Phishing-Mail erkennen.
06. Anrede
Typisch für Phishing-Mails ist zudem eine allgemeine Anrede wie „Sehr geehrte Frau…“ oder „Lieber Nutzer…“. Ihre Bank oder Ihr Netzbetreiber kennen jedoch Ihren Namen und sprechen Sie mit diesem direkt an.
07. Links
Stutzen sollten Sie auch, wenn die E-Mail Sie zum Klicken eines Links auffordert. Schauen Sie sich die Webadresse genau an. Ist diese korrekt? Also „amazon.de“ und nicht „amazon-deutschland.de“? Hierzu brauchen Sie übrigens nicht den Link klicken, sondern lediglich mit der Maus „drübergehen“. Darauf erscheint links unten im Browser die Webadresse.
08. HTTPS
Apropos Links: Als Standard gilt heute HTTPS (Hypertext Transfer Protocol Secure) statt HTTP. Entsprechende Seiten sind in der Adresszeile Ihres Browsers mit einem Schloss markiert. Dieses soll zeigen: Die Verbindung ist sicher, weil verschlüsselt. Bei der Übertragung sensibler Daten ist HTTPS Pflicht.
09. Daten
Richtig misstrauisch sollten Sie sein, wenn Sie Ihre Nutzerdaten nennen sollen. Weder Bank noch Amazon noch Telekom & Co. fragen solche sensiblen Daten online ab. Schon gar nicht Zugangsdaten und Passwörter.
10. Fristen
Zuletzt sind Handlungsdruck oder gar Drohungen ein klares Indiz für Phishing. Droht Ihnen die E-Mail mit der Sperrung Ihrer Kreditkarte, wenn Sie nicht sofort handeln? Fallen Sie nicht darauf herein. Im Zweifel hätten Banken Ihre Karten oder Ihr Online-Banking längst gesperrt, eine „Drohung“ zuvor gibt es nicht. Löschen Sie also die Mail. Oder rufen Sie Ihre Bank an und fragen persönlich nach.
3. Achtung Spyware: Öffnen Sie niemals Anhänge!
Im Fazit können Sie also tatsächlich eine Pishing-Mail erkennen. Wenn Sie die Mail genau studieren. Selbst wenn Betrüger mittlerweile sehr professionell zu Werke gehen. Gut gemachte Mails mit den offiziellen Logos des vermeintlichen Absenders und ein sauberes Deutsch in Rechtschreibung und Grammatik sind laut dem BSI (Bundesamt für Sicherheit in der Informationstechnik) heute leider die Norm.
Wichtig: Klicken Sie niemals auf angehängte Dateien. Selbst wenn diese Datei nur ein Bild ist. Mit solchen Dateien tarnen Betrüger gern Trojaner oder Spyware, die Ihren PC ausspionieren, lahmlegen oder verschlüsseln sollen. Öffnet sich bei einem Klick plötzlich eine Website, schließen Sie diese sofort. Beginnt plötzlich ein Download, ziehen Sie notfalls den Stecker Ihres PCs. Bei einem Laptop drücken Sie einige Sekunden die Power-Taste, dann schaltet sich dieser ohne das typische Herunterfahren sofort ab.
Ein Trick für solche Anhänge ist übrigens auch eine Rechnung, etwa von Ihrem Telefonanbieter wie Telekom oder 1&1. Achten Sie auf eine korrekte Anrede und schauen Sie sich den Anhang genau an. Ist die Rechnung von einer Ihnen vollkommen unbekannten Firma, löschen Sie die Mail. Reagieren Sie nicht auf solche Mails, antworten Sie nicht. Löschen Sie sie. Sind Sie unsicher, fragen Sie per Telefon direkt beim Absender nach. Nutzen Sie hierzu aber nicht die Kontaktdaten aus der E-Mail. Diese wären im Falle eines Betrugs ebenfalls gefälscht und leiten Sie zu falschen „Mitarbeitern“ weiter. Schauen Sie stattdessen selbst im Internet nach den Kontaktdaten oder rufen Sie eine Telefonauskunft an.
4. Achtung beim Online-Banking via TANs
Besondere Obacht sollten Sie natürlich beim Online-Banking zeigen. Nutzen Sie zum Beispiel Ihr Smartphone zur Generierung der TANs? Dann nutzen Sie nicht das gleiche Smartphone für Ihr Banking. Experten raten hier zu einem anderen mobilen Endgerät oder den PC. Nutzen Sie dennoch dasselbe Smartphone zur TAN-Generierung und für Ihr Online-Banking, ist das nicht sicher.
Tatsächlich ist es von den Banken beim mTAN-Verfahren (mobile TAN) sogar untersagt, das gleiche Handy zum Empfangen der TAN sowie zum Online-Banking zu nutzen. Weil Kriminelle hier leichtes Spiel haben. Diese könnten einfach eine zweite SIM-Karte bei Ihrem Telefonanbieter ordern oder Schwachstellen im Mobilfunknetz nutzen. Achten Sie außerdem darauf, dass Ihr Smartphone nicht per Kabel oder Bluetooth mit Ihrem Rechner verbunden ist.
Sicherer als die mTAN ist übrigens die Chip-TAN. Bei diesem identifizieren Sie sich mit Ihrer Girocard und einem speziellen Kartenleser, dem TAN-Generator. Dieser ist für rund zehn Euro erhältlich.
5. Sperr-Notruf: Was Sie im Schadensfall tun müssen
Sollten Sie doch Opfer einer Pishing-Attacke werden, gehen Sie zur Polizei. Stellen Sie auf jeden Fall Strafanzeige wegen Identitätsdiebstahl sowie Betrug. Selbst wenn der Täter unbekannt ist und (wahrscheinlich) irgendwo im Ausland sitzt. Verdächtige Mails sollten Sie außerdem Ihrem Mail-Anbieter melden. So kann dieser solche Mails künftig besser herausfiltern.
Geben Sie auf dubiosen Seiten Daten zu Ihrer Girocard oder Kreditkarte preis, rufen Sie umgehend Ihre Bank an. Lassen Sie notfalls Ihre Karten sperren. Haben Sie die Nummer Ihrer Bank nicht zur Hand, können Sie Ihre Karten auch unter dem gebührenfreien Sperr-Notruf 116 116 sperren lassen. Dieser ist 24 Stunden am Tag sowie 365 Tage im Jahr erreichbar. Die meisten Banken und Sparkassen sind Mitglied, einige Ausnahmen – DKB, Targobank, Ferratum Bank, Wüstenrot – gibt es aber durchaus. American Express, MasterCard und Visa sind ebenfalls im im Boot. Über den Sperr-Notruf können Sie übrigens auch den Zugang zu Ihrem Online-Banking sperren. Außerdem Kundenkarten mit Zahlungsfunktion, SIM-Karten oder die elektronische Identitätsfunktion der neuen Personalausweise.
Ist Ihre Bank nicht Teilnehmer des Sperr-Notrufs, müssen Sie diese direkt verständigen und eventuell um Sperren der Karten oder Ihres Online-Bankings bitten. Solche „Bitten“ erledigen die Banken natürlich umgehend. Entsprechende Notfallnummern erfahren Sie auf der Webseite Ihrer Bank. Manche Banken bieten zudem auf ihrer Webpräsenz Notfall-Cards mit allen wichtigen Nummern zum Download und Ausdrucken an, die Sie in Ihre Brieftasche stecken können.
Wie gesagt: Der beste Schutz vor Phishing ist gesundes Misstrauen. Vor allem, wenn es um sensible Daten geht. Im Zweifel ist es immer besser, eine fragwürdige Mail zu löschen. Und schon gar nicht einen Anhang zu öffnen. Selbst wenn dieser angeblich eine Rechnung ist. Sollte diese doch echt sein, meldet sich der Rechnungssteller mit Sicherheit erneut bei Ihnen.