Achtung, Phishing!

So unterscheiden Sie Original und Betrugsversuch

Sicherheit 6 min Lesedauer 18.09.2024
Achtung, Phishing

Aktuell werden auch unsere Kundinnen und Kunden direkt angesprochen. In E-Mails mit dem Betreff „Bestätigen Sie Ihre Kontodaten so schnell wie möglich!" wird behauptet, wir hätten ein neues Sicherheitssystem, das nun aktiviert werden müsse. Dazu soll sich in der verlinkten Seite angemeldet werden. Natürlich arbeiten wir ständig an unserer Sicherheit, aber die Mail ist einfach nur ein Betrugsversuch, um an Ihre Zugangsdaten zu kommen. Solche Informationen würden wir immer in Ihre Post-Box stellen und natürlich auch nicht darum bitten, Ihre Daten in einer verlinkten Seite einzugeben.

Mit Phishing-Mails versuchen Betrüger an Ihre Passwörter und vertrauliche Daten zu kommen. Diese sind schwer zu erkennen, weil sie meist täuschend echt aussehen und sich immer weiterentwickeln. Woran Sie den Betrugsversuch trotzdem gut erkennen, lesen Sie hier:

Das Ziel von Phishing-Versuchen ist immer genügend vertrauliche Daten zu erhalten, um damit betrügerische Transaktionen vorzunehmen. Dazu imitieren Phishing-Mails meist die aktuelle Kommunikation eines Unternehmens. Sie übernehmen das Layout und die Sprache der entsprechenden Firma und passen ihre Geschichte an aktuelle Entwicklungen an.

Als Aufhänger gelten zum Beispiel geänderte Geschäftsbedingungen, neue Produkte oder Services eines Unternehmens oder gesetzliche Regelungen. In den Mails wird dann an die Mithilfe der Phishing-Opfer appelliert, damit diese ihre persönlichen Daten preisgeben.

Welche aktuellen Maschen gibt es?

  • Eine neue Betrugsmasche namens „Quishing“ setzt gezielt auf QR-Codes in gefälschten Briefen. Betrügerinnen und Betrüger nutzen gefälschte QR-Codes, um Kundinnen und Kunden auf manipulierte Webseiten zu leiten. Diese Masche tritt vermehrt in Briefen auf, die scheinbar von Banken stammen. Aber auch im öffentlichen Raum, etwa an E-Ladesäulen oder auf gefälschten Strafzetteln, werden solche QR-Codes genutzt. Schützen Sie sich, indem Sie QR-Codes nur von vertrauenswürdigen Quellen scannen und immer genau die angezeigte Webadresse prüfen. Nutzen Sie gegebenenfalls Apps, die die URL vorab anzeigen, oder fragen Sie direkt bei Ihrer Bank oder dem Anbieter nach.

  • Immer wieder werden auch E-Mails mit der Information, dass Ihr Bankkonto wegen Russland-Sanktionen gesperrt wurde, versendet. Um es zu entsperren, sollen Sie auf einen Link klicken und persönliche Daten oder gar Zugangsdaten angeben. Tatsächlich ist ihr Konto gar nicht gesperrt, aber bald leer oder Sie haben eine Schadsoftware auf Ihrem PC. Wird eine Telefonnummer für Rückfragen angegeben, rufen Sie nie die Nummer in der E-Mail an, sondern wählen Sie immer die offizielle Telefonnummer oder Homepage der Bank.
  • Ein weiterer sehr beliebter Aufhänger für Betrugsversuche sind Apps, die Kund*innen installieren sollen, um z.B. bei ihrer Bank handlungsfähig zu bleiben.
  • Eine im Namen der ING versendete Phishing-Mail fordert die Empfänger*innen gerade auf, unsere App ING Banking to go zu installieren. Der mitgelieferte Link führt aber nicht in den App Store, sondern auf eine gefälschte Seite. Hier sollen nicht nur persönlichen Daten und Passwörter, sondern auch Kreditkartendaten eingegeben werden. Danach dauert es vermutlich nicht lange, bis das Konto leergeräumt ist.
  • Ein weiterer Betrugsversuch tarnt sich als SMS oder Mail eines Paketzustellservices. Auch hier sollen die Empfänger*innen die App des Paketservices herunterladen, um den Status ihrer Sendung einzusehen. Statt einer App installieren die Betroffenen eine Schadsoftware, die das Gerät außer Gefecht setzt. Diese Masche betrifft hauptsächlich Nutzer von Android Geräten.
  • Zusätzlich gibt es echte Dauerbrenner, wie z.B. die „Sicherheitsprüfung“ durch eine Bank oder einen Onlineshop. Angeblich wurden verdächtige Kontenbewegungen festgestellt. Um wieder auf das Konto zugreifen zu können, sollen – Sie ahnen es bereits – die kompletten Daten inklusive der Passwörter mitgeteilt werden.

Womit sind Betrüger besonders erfolgreich?

Eine gut gemachte Phishing-Mail sieht nicht nur gut aus. Sie schafft es bei Ihnen ein sofortiges Handlungsbedürfnis auszulösen und sämtliches Misstrauen auszuschalten. Das klappt besonders gut mit folgenden Methoden:

  • Androhung von Gebühren: Bei einer drohenden Strafzahlung werden die meisten Menschen unvorsichtig und tun alles, um die Zahlung zu vermeiden.
  • Zeitdruck: Sie sollen schnell reagieren, sonst drohen schlimme Konsequenzen. Vor allem aber sollen Sie keine Zeit haben über den Sinn der Mail nachzudenken oder nochmal nachzufragen.
  • Appell an die Neugier: Was für ein Paket kommt bald an? Sie haben etwas gewonnen? Oder eine Rechnung erhalten? Der Reflex einfach nachzuschauen ist manchmal so groß, dass man erst klickt und dann nachdenkt.

Woran erkennen Sie den Betrugsversuch?

Erfolgreich sind die Kriminellen immer dann, wenn sie es schaffen ihre Opfer unter Druck zu setzen. Ein knappes Zeitfenster für die Antwort und unangenehme Konsequenzen bei Nicht-Reaktion sind ein gutes Indiz dafür, dass es sich bei dem Kontakt nicht um das echte Unternehmen handelt. Zusätzlich können Sie mit ein paar ganz einfachen Tricks herausfinden, ob Sie das Original oder eine Fälschung vor sich haben:

  • Nutzen Sie den „Mouse-over-Effekt“: Fahren Sie mit der Maus über den mitgelieferten Link in einer Mail. Dann sehen Sie sehr schnell, ob der Link tatsächlich zur Website Ihrer Bank führt oder ganz woanders hin.
  • Geben Sie den Betreff der E-Mail in einer Suchmaschine ein. Oft wurde die Phishing-Mail bereits gemeldet und Sie finden entsprechende Informationen im Netz.
  • Fragen Sie nach: Kontaktieren Sie das Unternehmen, das Sie angeblich angeschrieben hat – und zwar über die offizielle Website oder Telefonnummer. So gehen Sie ganz sicher und wissen direkt, ob die erhaltene Mail gefälscht ist.

Übrigens: Kein echtes Unternehmen wird Ihnen als einzige Handlungsmöglichkeit einen Link in einer E-Mail zur Verfügung stellen. Ihre Daten aktualisieren, Passwörter ändern, Umsätze prüfen etc. können Sie auch direkt in Ihrem Kundenkonto. Und das erreichen Sie über die offizielle Website.

Was können Sie tun, um sich vor Betrugsversuchen zu schützen?

Der beste Schutz ist es einfach gar nicht zu reagieren. Löschen Sie verdächtige Mails und SMS. Legen Sie bei Anrufen, die Ihnen merkwürdig vorkommen, lieber den Hörer auf. Lassen Sie sich nicht unter Druck setzen.

Sollen Sie, wie bei den aktuellen Betrugsversuchen, eine App installieren? Dann suchen Sie die App in den offiziellen App Stores und nutzen keinesfalls den mitgelieferten Link.

Haben Sie bereits auf einen Link geklickt oder sogar Ihre Daten weitergegeben? Dann handeln Sie sofort.

Kontaktieren Sie das entsprechende Unternehmen. Ändern Sie Ihre Passwörter oder sperren den Zugang zu Ihrem Konto. Zusätzlich sollten Sie Ihren Rechner auf Schadsoftware prüfen.

Ihre Kontoumsätze sollten Sie ab jetzt genau im Blick behalten. Bei verdächtigen Transaktionen informieren Sie sofort Ihre Bank und erstatten Sie Anzeige bei der Polizei.

Als ING-Kunde sind Sie auf der sicheren Seite

Sollte jemand Ihre Zugangsdaten zum Internetbanking oder der App Banking to go missbrauchen, ersetzen wir Ihnen den finanziellen Schaden.

Deine erste App ohne „Häääää?"

Leicht zu verstehen, leicht zu bedienen, immer dabei: Mobile Banking kann bei uns wirklich jeder. Einfach mal ausprobieren, kann ja nix schiefgehen.

Illustration eines Mannes, der Münzen verteilt