Kurz nicht aufgepasst, auf den falschen Link geklickt und zack: Das Geld auf dem Konto ist weg. Phishing, also digitaler Raub, ist zum Alltag geworden. Es gibt aber Wege, sich selbst zu schützen. Wie, das zeigen wir in einem Überblick.
Bevor ich mich bei der GLS Bank beworben habe, verbrachte ich einen Nachmittag damit, sie im Internet zu recherchieren. Woher kommt die Bank? Was genau macht sie? Wofür steht sie? Ich habe also den Algorithmus damit gefüttert.
Schon zwei Tage später bekam ich eine E-Mail. Hier wurde ich aufgefordert, mich über einen Link beim GLS Onlinebanking anzumelden. Scheinbar sei mein Konto wegen eines Updates nur eingeschränkt nutzbar. Dabei hatte ich zu diesem Zeitpunkt gar kein Konto bei der GLS Bank. Schnell war klar: Die Mail ist Betrug. Da ich keinen VPN benutzt habe und meine Mail-Adresse irgendwo im Internet auffindbar ist, konnten Betrüger*innen sehen, was ich gesucht habe.
Solche E-Mails kennen fast alle aus ihrem Postfach. Entweder warnt Amazon vor Problemen bei meiner Bestellung, weil Paypal das Konto wegen „betrügerischer Aktivitäten gesperrt“ hat, oder die Maria-Elisabeth Schaeffler will mal wieder ihr Millionenerbe verschenken. Was diese Mails eint, ist ein Link auf den man klicken und Daten abgeben soll. Es handelt sich um Phishing.
Diese Spielart der Cyberkriminalität zielt darauf ab, durch elektronische Kommunikationsmittel persönliche Daten, vor allem Passwörter, zu erbeuten. Dieser Identitätsdiebstahl ermöglicht es den Betrüger*innen, Konten bei Webshops einzurichten, um auf Kosten der Betroffenen einzukaufen oder Bankkonten für Geldwäsche zu unterhalten. Der Finanzbereich ist besonders attraktiv, da Überweisungen unmittelbar getätigt werden können, ohne dass Kontoinhaber*innen es bemerken. Je komfortabler das Onlinebanking ist, desto einfacher haben es Betrüger*innen.
Phishing erkennen: Wie sich Betrüger*innen digital tarnen
Die bekannteste Art des Phishings sind E-Mails, Social-Media-Netzwerke wie LinkedIn und Instagram, aber auch SMS sind bei den Tätern beliebt. Es geht darum, die Opfer in falscher Sicherheit zu wiegen. Dabei hilft eine möglichst glaubwürdige Fassade. Die SMS oder E-Mail muss echt aussehen.
Theoretisch eignet sich jeder Kommunikationskanal, in der Regel werden sogar mehrere genutzt. Da für erfolgreiche Phishing-Attacken die Kooperation der Opfer notwendig ist, werden diese zuerst auf einem Kanal durch eine Nachricht aufgefordert, sich auf einer Website anzumelden oder eine App zu installieren. Dort sollen sie dann ihren Nutzernamen und das Passwort eingeben. In einigen Fällen werden auch Telefonate mit angeblichen Mitarbeiter*innen inszeniert, die Betroffenen dabei helfen sollen, sich zurechtzufinden oder eine erfolgreiche Anmeldung zu bestätigen.
Nachdem die Daten bei den Betrüger*innen eingegangen sind, kann es ganz schnell gehen. Den Verlust bemerken viele erst durch offene Rechnungen, von denen sie nichts wussten. Auf dem Smartphone hingegen sind Fehlfunktionen ein gutes Anzeichen.
Was also tun, um Phishing frühzeitig zu erkennen?
1. Tipp gegen Phishing: Auf den Absender achten
Hat DHL eine SMS von einer unbekannten Nummer gesendet, obwohl du immer die App nutzt? Das könnte ein Hinweis auf Phishing sein. Vor allem bei unerwarteten Nachrichten lohnt es sich, genau auf den Absender zu achten. Öffne am besten den Mailheader, damit du die Adresse des Absenders sehen kannst, nicht nur den Namen, den er angegeben hat. Generische Adressen wie service@firma-mustermann.com erscheinen auf den ersten Blick vertrauenswürdig und werden genau deshalb für Phishing genutzt. Die Endung .com könnte dich stutzig werden lassen, weil deutsche Unternehmen in der Regel die Endung .de nutzen.
Prüfe zur Sicherheit durch eine Onlinesuche, ob die Adresse authentisch ist.
2. Tipp gegen Phishing: Auf Details im Logo achten
Phishing-Mails bedienen sich häufig am Corporate Design eines Unternehmens und nutzen das Logo oder die Firmenfarben. Als Kund*in kannst du diese Mails mit alten Nachrichten des Unternehmens vergleichen. Häufig wirken die Fakes bei genauerer Betrachtung ein wenig schlechter bearbeitet.
3. Tipp gegen Phishing: Auf den Inhalt achten
Steht in der Mail eine generelle Anrede wie „Lieber Kunde“ oder „Sehr geehrte Frau“, solltest du wachsam werden. Die meisten Unternehmen legen hohen Wert auf Kundenbindung, weshalb authentische Nachrichten beinahe immer deinen Namen enthalten würden.
Oft wird auch versucht die Zielpersonen unter Zeitdruck setzten, damit sie im Panikmodus sofort alles anklicken. Wenn also mit einer Kontosperre gedroht oder von der zweiten Mahnung die Rede ist, auf die du dir partout keinen Reim machen kannst, schaue zweimal hin. Drohgebärden und unmögliche Fristen sind für ein normales Unternehmen unüblich. Auch wenn es schwer fällt: Versuche Ruhe zu bewahren und kontaktiere das Unternehmen im Zweifelsfall selbst.
Einfach zu erkennen sind weit gestreute Phishingversuche. Sie enthalten oft Grammatik- und Rechtschreibfehler. Wenn die Nachrichten wie schlechte Übersetzungen klingen, kannst du fast sicher sein, dass es sich um Betrug handelt – und die Nachricht löschen.
4. Tipp gegen Phishing: Mitarbeitende für digitalen Betrug sensibilisieren
Phishing betrifft nicht nur Privatpersonen sondern auch Unternehmen. Der potenzielle Gewinn für Betrüger*innen und der finanzielle Schaden für die Opfer sind im Geschäftsbereich weitaus höher. Daher kommt es hier öfter zu ausgeklügelten und gezielten Angriffen mit intensiver Vorbereitung.
Mitarbeiter*innen stehen teilweise wochenlang mit Betrüger*innen in Kontakt, die sich als Kolleg*innen oder Dienstleister ausgeben. Am Ende folgt immer eine Überweisung einer hohen Summe, die von der Bank nicht storniert werden kann, da alles richtig von den Verantwortlichen abgezeichnet wurde.
Der beste Weg, um sich zu schützen, ist im Zweifel Fachleute zu Rate zu ziehen.
Wir haben noch einen Film-Tipp für dich: Dabei spielt die GLS Bank auch eine Rolle und unser Kollege Christoph Wolf gibt Auskunft. Du kannst den Film entweder auf der NDR-Website schauen oder auf Youtube.
Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Wenn das Pishing an einem Wochenende erfolgreich war, hat das Opfer leider keinerlei Möglichkeit, die Überweisung zu stoppen. Die Überweisung geht Montag morgens raus, bevor man jemanden bei der Bank telefonisch erreichen kann.
Eine Notfallnummer, vielleicht bankenübergreifend wie die 116116 wäre da vielleicht hilfreich.