In jüngster Zeit versuchen Betrüger häufig, persönliche Daten wie Passwörter und Kreditkartennummern per E-Mail, SMS, WhatsApp oder Telefon zu erhalten und zu missbrauchen.
Dieses Verfahren wird Phishing genannt. Es handelt sich um ein Kunstwort, das aus den englischen Begriffen “password harvesting” (Passworternte) und “fishing” (Angeln) abgeleitet wurde. Der Begriff bezieht sich auf den Diebstahl persönlicher Daten mithilfe gefälschter Webseiten, E-Mails oder Kurznachrichten. Die gestohlenen Daten werden zum Beispiel an andere Betrüger weiterverkauft, die dann Bankverbindungen oder Kreditkartennummern missbrauchen, um im Namen der Opfer Einkäufe zu tätigen. Die betrügerischen Versuche der Kriminellen und gängige Phishing-Tricks lassen sich jedoch meistens an bestimmten Merkmalen erkennen.
Phishing per E-Mail
Die Täter verschicken an ihre Opfer manipulierte Dateianhänge oder Links, die beim Anklicken unbemerkt Spionageprogramme auf dem Computer installieren oder auf gefälschte Websites bekannter Unternehmen wie etwa Banken weiterleiten. Auf den gefälschten Websites werden Opfer dann dazu aufgefordert, ihre Zugangsdaten einzugeben. Sie als Verbraucher sollten ruhig misstrauisch sein, wenn Sie Mails erhalten, die angeblich von der Hausbank stammen. Es gibt ein paar einfache Grundregeln, mit denen Sie sich wirksam schützen können:
- Besonders misstrauisch sollten Sie gegenüber E-Mail-Absendern sein, die Sie nicht kennen. Auch E-Mails von bekannten Absendern können manipuliert sein, wenn die Absender zum Beispiel selbst Opfer einer Phishing-Attacke geworden sind. Das ist aber eher die Ausnahme.
- Lassen Sie sich keinesfalls vom Absender der Mail unter Druck setzen, da dies eine beliebte Masche von Betrügern ist.
- Klicken Sie auf keinen Fall unbedacht auf Links von unbekannten Absendern oder dann, wenn Sie unsicher sind, ob es sich um eine reelle Mail handelt.
- Öffnen Sie auch keine Anhänge von unbekannten Absendern oder wenn Sie unsicher wegen der Echtheit der Nachricht sind.
- Geben Sie persönliche Daten wie Geburtsdaten, Adressen und Bankverbindungen nicht gleich an, ohne sicher zu sein, dass deren Abfrage durch vertrauenswürdige Absender bzw. Institutionen erfolgt.
- Antworten Sie nicht auf verdächtige E-Mails. Die Betrüger wissen sonst gleich, dass Sie die E-Mail-Adresse aktiv nutzen und können Ihnen noch mehr Spam- oder Phishing-Mails schicken.
- Staatliche Institutionen, Banken, Finanzdienstleister oder Onlineshops fordern ihre Kunden niemals unaufgefordert auf, ihre Zugangsdaten oder Kontoverbindungen einzugeben oder zu ändern. Rufen Sie im Zweifel lieber das Unternehmen an, von dem die E-Mail angeblich stammen soll.
Tipps zum Erkennen von Phishing-Angriffen
Phishing-E-Mails sind manchmal schwer von echten E-Mails zu unterscheiden, da die Betrüger immer raffinierter vorgehen. Es gibt trotzdem ein paar Merkmale, auf die Sie achten können, um Phishing-Angriffe zu erkennen. Hier sind einige dieser Merkmale:
- Rechtschreibfehler, seltsamer Satzbau und schlechter Schreibstil
- keine persönliche Anrede in der E-Mail
- knapp gesetzte Fristen, die dringenden Handlungsbedarf suggerieren
- Drohungen beim Ignorieren der Mail
- die Aufforderung, persönliche Daten einzugeben oder Anhänge oder Links anzuklicken
- E-Mails in englischer Sprache, mit deren Absender Sie nichts zu tun haben
- der Absender ist ein unbekanntes Unternehmen oder ein bekanntes Unternehmen, hat aber bisher nie per E-Mail Kontakt zu Ihnen aufgenommen
Sehen Sie sich den technischen Aufbau der E-Mail-Adresse an. Kriminelle setzen oft Verschleierungstechniken wie Buchstabendrehungen oder Subdomains ein, um die Namen bekannter Unternehmen zu verwenden. Beim Überprüfen von Links sollten Verbraucher auch darauf achten, wie die URL aufgebaut ist, da sie oft auf eine gefälschte Website (und nicht zu der Ihrer Bank o.ä.) führt. E-Mail-Header mit der IP-Adresse sollten ebenfalls genauer unter die Lupe genommen werden, um zu überprüfen, ob die E-Mail-Adresse des Absenders vertrauenswürdig ist.
Schon beim Öffnen einer Phishing-Mail sollten Sie vorsichtig sein. E-Mails im HTML-Format können Schadprogramme enthalten, die bereits beim Öffnen der Mail starten. Aus diesem Grund sollten Sie immer darauf achten, wie Sie ihre E-Mails empfangen und gegebenenfalls die Anzeige der E-Mail im HTML-Format deaktivieren. Wird eine Phishing-Mail als solche erkannt, ist sie am besten sofort zu löschen. Wenn jedoch eine Phishing-Attacke stattgefunden hat, ist es wichtig, die Mail als Beweismittel aufzubewahren und zum Beispiel die Bank zu informieren, sofern die Mail angeblich von dieser stammen sollte. Der Online-Zugang, das Konto und die Kredit- und EC-Karten sollten dann sofort gesperrt werden, um zu verhindern, dass weitere Schäden entstehen. Dafür gibt es die bundesweite Telefonnummer 116 116, welche Sie rund um die Uhr anrufen können, um die Sperrung durchzuführen.
Melden von Phishing-Attacken
Wenn Sie eine Phishing-E-Mail erhalten, sollten Sie sie an phishing@verbraucherzentrale.nrw weiterleiten, anstatt sie einfach zu löschen. Die Verbraucherzentrale wertet diese E-Mails aus und informiert über aktuelle Betrugsfälle auf ihrer “Phishing-Radar“-Seite. Sie sollten auch den tatsächlichen Anbieter (etwa Ihre Bank) informieren, falls möglich. Dadurch kann dieser gegebenenfalls Schritte gegen den Betrugsversuch unternehmen.
SMS-Betrug
Betrüger nutzen auch SMS, um Kasse zu machen. Seien Sie vorsichtig, wenn Sie eine SMS erhalten, die sich auf Ihren Mobilfunkanschluss beziehen soll und einen Link enthält. Häufig handelt es sich um angebliche Mailbox-Nachrichten, Probleme mit Ihrem Mobilfunkvertrag oder anderes. Klicken Sie niemals auf den Link und laden Sie keine Apps aus unbekannten Quellen herunter.
Betrug per Telefon
Phishing-Angriffe per Telefon sind ebenfalls verbreitet. Betrüger geben sich oft als Mitarbeiter großer Unternehmen oder sogar als staatliche Behörden aus, um an persönliche Daten oder Passwörter zu gelangen. Lassen Sie sich nicht unter Druck setzen und geben Sie niemals persönliche Informationen am Telefon weiter. Wenn Sie Zweifel haben, fordern Sie schriftliche Unterlagen an, bevor Sie Geld überweisen. Wenn Sie einen verdächtigen Anruf erhalten, sollten Sie nicht der im Display angezeigten Telefonnummer vertrauen, da diese manipuliert sein könnte und der Anruf nicht von dieser Nummer kommt. Legen Sie auf und melden Sie den Vorfall der betroffenen Institution oder Behörde, wenn möglich. Wenn Sie wiederholt von einer bestimmten Nummer angerufen werden, können Sie diese in Ihrem Telefon sperren.
Phishing-Falle über WhatsApp
WhatsApp oder andere Messenger-Dienste sind ebenfalls Mittel der Betrüger, um Nutzer in Phishing-Fallen zu locken. Sie können beispielsweise Kettenbriefe versenden, um Nutzer dazu zu bringen, den Link mit ihren Kontakten zu teilen. Wenn Sie eine Nachricht erhalten, die Sie dazu auffordert, an einem Gewinnspiel teilzunehmen oder eine App herunterzuladen, seien Sie immer skeptisch und klicken Sie nicht gleich auf den Link.
