Finanzen verstehen. Zukunft gestalten.
  • 26.08.2024
  • 8 Minuten

Erkennen Sie Phishing-Mails: So schützen Sie sich vor Betrug.

Haben Sie schon einmal eine Phishing-Mail in Ihrem Postfach gehabt? Damit ist nicht etwa eine fragwürdig geschriebene Einladung zum Angeln gemeint, sondern eine ernst zu nehmende Betrugsmasche von Hackern. Mit Phishing-Mails wollen Betrüger an sensible Informationen und Daten von Ihnen herankommen – und das immer häufiger mit Erfolg.

Während Sie vor einigen Jahren die meisten unseriösen E-Mails fast auf den ersten Blick anhand von schlechter Rechtschreibung und Grammatik sowie verpixelten Grafiken erkennen konnten, fällt es heute schon deutlich schwerer, eine gefälschte E-Mail als solche zu identifizieren. Doch der Reihe nach – was genau ist eine Phishing-Mail überhaupt und wie können Sie sich und Ihre Daten schützen? 

Was sind Phishing-Mails?

Bei Phishing-Mails handelt es sich um betrügerische E-Mails, die vorgeben, von einem vertrauenswürdigen Absender zu kommen. Die Empfänger sollen so dazu gebracht werden, sensible Daten wie zum Beispiel Benutzernamen, Passwörter oder Kontoinformationen preiszugeben. Der Begriff Phishing setzt sich aus den englischen Wörtern „password“ und „fishing“ zusammen – bezeichnet also das Fischen nach Passwörtern. Die Phishing-Betrüger setzen dazu wie beim herkömmlichen Angeln Köder ein: die Phishing-Mails.

Das Grundprinzip ist in den meisten Fällen gleich: Die Betrüger geben sich in der E-Mail als Vertreter eines großen Unternehmens aus – beispielsweise einer Bank, eines Versicherungsinstituts oder eines Online-Shops. Da die Hacker die Phishing-Mail an eine große Anzahl von E-Mail-Adressen schicken, ist die Wahrscheinlichkeit groß, dass sich tatsächlich Kunden dieser Unternehmen unter den Empfängern befinden.

Absender, Aufbau, Formulierungen und Design der E-Mail werden nach Möglichkeit einer echten E-Mail des imitierten Unternehmens nachempfunden. Je professioneller die Betrüger dabei vorgehen, desto schwieriger kann es deshalb sein, eine Phishing-Mail direkt zu erkennen. Inhaltlich beschreiben die Hacker in einer Phishing-Mail in der Regel ein Problem oder eine Änderung, die schnelles Handeln von Ihnen erfordert, um unangenehme Konsequenzen abzuwehren. So sollen Sie beispielsweise Ihre Zahlungsdaten erneut hinterlegen, um eine Sperrung Ihres Kontos oder finanzielle Verluste zu vermeiden.

Die Betrüger fügen in Ihre Phishing-Mail daher meist einen Link ein, auf den Sie klicken sollen, um zur Website, Log-in-Seite oder einem Formular des Unternehmens zu gelangen und Ihre Daten dort einzugeben. Die hinter dem Link befindliche Website haben die Hacker häufig sorgfältig gefälscht und an das Design der echten Seite angepasst, sodass viele Verbraucher auch hier nicht stutzig werden und den Betrug nicht erkennen.

Beispiel-Formulierungen in Phishing-Mails.

Die folgenden Formulierungen können Ihnen in Phishing-Mails von vermeintlichen Banken, Zahlungsdienstleistern und Online-Shops so oder in ähnlicher Form begegnen – begleitet von einem Button oder Link, auf den Sie zur Behebung des Problems klicken sollen:

  1. „Die neuen Datenschutzgesetze verpflichten uns dazu, in regelmäßigen Abständen die Konten unserer Kunden zu überprüfen. Um daher wie gewohnt weiterhin Ihr Konto bei uns nutzen zu können, ist Ihre aktive Mitwirkung erforderlich. […] Bei Missachtung oder Verweigerung müssen wir Ihr Konto leider schließen.“
  2. „Ihre persönlichen Daten bedürfen einer Aktualisierung. Sie sind verpflichtet, Ihre Daten innerhalb der nächsten 14 Tage zu aktualisieren. Kommen Sie dem nicht nach, werden wir Sie schriftlich zur Aktualisierung auffordern, wodurch ein Entgelt für Sie fällig werden kann.“
  3. „Als Kundenservice-Team nehmen wir Ihre Sicherheit sehr ernst. Aus diesem Grund führen wir routinemäßige Sicherheitskontrollen durch. Um Ihre persönlichen Daten fortwährend aktuell zu halten, ist ein Datenabgleich erforderlich. So können wir Sie vor Missbrauch durch Dritte schützen. Wir bitten Sie daher darum, Ihre Daten binnen 48 Stunden zu verifizieren.“
  4. „Ihr Konto in unserem Online-Shop wurde eingeschränkt/gesperrt! Aufgrund verdächtiger Aktivitäten haben wir Ihr Kundenkonto vorübergehend gesperrt. Bitte prüfen Sie innerhalb von 48 Stunden Ihre hinterlegten Daten. Ansonsten müssen wir Ihr Konto löschen.“

Woran erkenne ich eine Phishing-Mail?

Aufgrund einer zunehmenden Professionalisierung und Unterstützung bei der Formulierung betrügerischer E-Mails, zum Beispiel durch Künstliche Intelligenz, wird es immer schwieriger, Phishing zu erkennen. Folgende Merkmale einer E-Mail können auf einen Betrug hindeuten. Doch auch, wenn eine von Ihnen empfangene E-Mail diese Kriterien nicht erfüllt, ist Vorsicht geboten.

  • Unpersönliche Anrede: Da Phishing-Mails in großem Stil an hunderte oder tausende Empfänger geschickt werden, ist die Anrede häufig unpersönlich – beispielsweise „Sehr geehrte/r Kunde/Kundin“. Mitunter sind Hacker jedoch auch an Ihren vollen Namen gekommen oder konnten sich diesen aus Ihrer E-Mail-Adresse ableiten. Die persönliche Anrede mit Vor- und Nachnamen schließt also nicht aus, dass es sich um eine Phishing-Mail handelt.
  • Rechtschreib- und Grammatikfehler: Vor einigen Jahren konnten aufmerksame Leser Phishing-Mails recht schnell anhand von Rechtschreibfehlern, fragwürdiger Grammatik und seltsamer Formulierungen entlarven. Mitunter sitzen die Betrüger im Ausland und lassen die E-Mails von fehleranfälligen Übersetzungsprogrammen ins Deutsche übertragen. Hier hat sich zuletzt jedoch viel entwickelt: Mithilfe von Künstlicher Intelligenz und entsprechenden Programmen ist es nunmehr problemlos möglich, fehlerfreie Texte zu produzieren, ohne die jeweilige Sprache zu beherrschen. Zudem ist nicht ausgeschlossen, dass es sich bei den Hackern um deutsche Muttersprachler handelt.
  • Dringlichkeit: Ein typisches Erkennungsmerkmal von Phishing-Mails ist, dass sie ein Gefühl von Dringlichkeit und Zeitdruck vermitteln. Häufig sollen Sie als Empfänger innerhalb einer konkret benannten Zeitspanne (einem Tag, 48 Stunden, einer Woche) aktiv werden, um negative Folgen abzuwenden.
  • Androhung von Konsequenzen: Sollten Sie nicht auf die Mail reagieren und die gewünschte Aktion ausführen, werden in einer Phishing-Mail negative Konsequenzen angedroht – etwa die Sperrung oder Löschung Ihres Kunden- oder Bankkontos oder der Verlust gespeicherter Daten.
  • Absender-Adresse: Schauen Sie sich den Absender der E-Mail genau an – der zunächst angezeigte Name kann von den Betrügern selbst vergeben worden sein. Die dahinter liegende E-Mail-Adresse könnte jedoch verdächtig aussehen und beispielsweise nichts mehr mit dem imitierten Unternehmen zu tun haben, unseriös sein und ein anderes Länderkürzel verwenden. Häufig können Sie die zugrundeliegende E-Mail-Adresse des Absenders in Ihrem Spam-Ordner, durch Schweben mit dem Mauszeiger über dem Absender oder im Browser durch Anzeigen des Quelltexts der E-Mail einsehen. Aber auch hier gilt: Sieht die E-Mail-Adresse wie eine Adresse des echten Unternehmens aus, heißt dies nicht, dass kein Betrug vorliegt. Heutzutage haben Hacker viele Möglichkeiten, E-Mail-Adressen zu maskieren und falsch anzeigen zu lassen.
  • Link-Adresse: Kernelement fast jeder Phishing-Mail ist der Link, auf den Sie klicken sollen, um Ihre Daten einzugeben. Hier zunächst der Hinweis: Klicken Sie auf keinen Fall auf einen Link, wenn Sie nicht absolut sicher sind, dass die E-Mail seriös ist. Durch den Klick auf einen Link können Sie Schadsoftware herunterladen oder aktivieren und den Hackern leichtes Spiel ermöglichen. Die Adresse, die hinter einem Link oder Button liegt, können Sie sich auch ohne Klick durch Schweben mit dem Mauszeiger oder im Quelltext der E-Mail anzeigen lassen. Vergleichen Sie die Linkadresse mit der echten Internetadresse des angeblichen Absender-Unternehmens und achten Sie auch auf kleinste Buchstabendreher oder abweichende Länder-Domains.
  • Gefälschte Website: Haben Sie doch einmal unbedacht auf einen Link einer potenziellen Phishing-Mail geklickt und wurden zu einer Website weitergeleitet, gilt hier das gleiche Prinzip wie bei den Links: Vergleichen Sie Internetadresse, Ländercode, Design und Logos mit der Internetseite des Unternehmens und achten Sie auf Details. Nachahmungen und Fälschungen sind mittlerweile häufig so gut, dass eine gefälschte Seite gegebenenfalls kaum vom Original zu unterscheiden ist.

Phishing, Smishing, Spear-Phishing & Co.: Diese Varianten gibt es noch.

Ein Betrug kommt selten allein – da das Phishing für Betrüger ein äußerst lukratives Geschäft darstellt, sind in Massen an Normalverbraucher verschickte E-Mails nicht die einzige Betrugsvariante. Neben Phishing gibt es daher unter anderem auch noch Smishing, Quishing, Vishing, Spear-Phishing und Whale-Phishing.

Smishing: Betrug per SMS.

Genau wie per E-Mail können Betrüger Verbraucher auch bestens per Handy erreichen. Haben sie lange Listen an Handynummern durch Hackerangriffe und Datenlecks in die Finger bekommen, können Kriminelle eine Vielzahl von Menschen gleichzeitig per SMS ködern. Gängige Betrugsmaschen stellen das Verschicken gefälschter Paketbenachrichtigungen zur Sendungsverfolgung oder Paketabholung oder gefälschter Zahlungsverifizierungen von Online-Shops dar. Auch Eltern werden zunehmend ins Visier genommen und per SMS mit „Hallo Mama/hallo Papa, das hier ist meine neue Handynummer“ dazu verleitet, einen vermeintlichen Chat mit ihren Kindern zu beginnen und durch Vortäuschung von Notsituationen Zahlungen zu leisten.

Quishing: Betrug per QR-Code.

Quishing bezeichnet das Password-Fishing mithilfe von QR-Codes. Diese können im Rahmen von Phishing oder Smishing in E-Mails und SMS oder auf gefälschten Websites verwendet werden, aber auch im echten Leben zum Einsatz kommen. Zuletzt hat das sogenannte Ladesäulen-Quishing für Schlagzeilen gesorgt: Die an Ladesäulen für Elektroautos vom Betreiber angebrachten QR-Codes, um den Ladevorgang zu starten und zu bezahlen, wurden mancherorts von Betrügern mit gefälschten QR-Codes überklebt, um die Zahlungsdaten der Kunden abzugreifen.

Vishing: Betrug am Telefon.

Der Neologismus Vishing bezeichnet das Password-Fishing via Voice – also per Stimme am Telefon. Betrüger rufen Sie dabei an und geben sich als Mitarbeiter einer seriösen Firma oder Institution – etwa einer Bank, eines IT-Unternehmens oder sogar der Polizei – aus, um Sie zur Preisgabe sensibler Informationen oder sogar realer Wertgegenstände an der Haustür zu bewegen.

Der Betrug per Telefon ist besonders schwierig zu entlarven, da sich auch echte Mitarbeiter telefonisch kaum zuverlässig ausweisen können. Ist die Stimme am anderen Ende sympathisch und wirkt die Person professionell und kompetent, verschenken wir leicht unser Vertrauen. Sensible Informationen – wie Kundennummern, Log-in-Daten, Anwesenheitszeiten oder sogar Kreditkartendaten – können mitunter fast beiläufig im Nebensatz abgefragt und anschließend für weitere kriminelle Zwecke missbraucht werden. Lassen Sie sich deshalb auch am Telefon nicht allzu leicht zur Weitergabe privater Informationen hinreißen und prüfen Sie die im Display angezeigte Telefonnummer gegebenenfalls per Rückwärtssuche. Wird der Anrufer als unbekannt oder mit unterdrückter Nummer angezeigt oder ruft aus dem Ausland an, sollten Sie genau überlegen, ob Sie den Anruf überhaupt entgegennehmen.

Spear-Phishing: Betrug von Unternehmen.

Nicht nur als Privatperson, sondern auch im Berufsleben sind Sie vor Betrügern und Phishing nicht gefeit. Das sogenannte Spear-Phishing (vom engl. ‚spear‘, dt. ‚Speer‘) nimmt im übertragenen Sinne die Speerspitze von Unternehmen ins Visier und schickt Betrugsmails an Mitarbeiter der mittleren bis oberen Führungsebene, die über internes Fachwissen und Entscheidungsgewalt verfügen. Die Angreifer geben sich häufig als Geschäftspartner, Lieferanten oder Vorgesetzte aus und haben zum Ziel, an sensible Unternehmensdaten, Geschäftsgeheimnisse oder militärische Informationen zu gelangen oder die Autorisierung von Zahlungen zu erreichen. So werden beispielsweise gefälschte Rechnungen tatsächlicher Geschäftspartner an die Buchhaltung geschickt. Fallen die Mitarbeiter auf den Betrug herein, können große Summen erbeutet werden.

Eine Sonderform des Spear-Phishings ist das Whaling oder Whale-Phishing. Dabei werden die sinnbildlichen Wale, also die dicken Fische in Unternehmen und Institutionen geködert: hochrangige Unternehmensverantwortliche, Direktoren, Geschäftsführer, Vorstände oder politische Amtsträger. Diese verfügen über besondere Entscheidungsgewalt, detaillierte Unternehmensdaten und können hohe Zahlungen autorisieren. Die Betrüger imitieren in ihren E-Mails häufig Kollegen oder gleich- bzw. höherrangige Mitarbeiter eines anderen Unternehmens, um im Zuge des Mailaustausches an Informationen zu kommen oder zu gewünschten Handlungen zu animieren.

Im Gegensatz zum klassischen Phishing müssen Betrüger beim Spear-Phishing und Whaling ihre Opfer deutlich personalisierter ansprechen. Dazu stecken sie in vielen Fällen viel Zeit und Aufwand in die vorherige Recherche oder machen sich das gelungene Hacking eines E-Mail-Postfachs zunutze, um in einen bereits vorhandenen Mailaustausch einzugreifen, auf vorher Besprochenes Bezug zu nehmen und ihre Fälschungen besonders authentisch zu gestalten.

So schützen Sie sich vor Phishing & Co.

Zwar werden Phishing-Mails und andere Betrugsversuche tendenziell immer professioneller und schwieriger zu erkennen – mithilfe der folgenden Tipps können Sie sich dennoch schützen.

  1. Tipp: Seien Sie misstrauisch! Ein gesundes Misstrauen und Bewusstsein für das Risiko, das mit allen E-Mails, SMS, Anrufen, QR-Codes und Links einhergeht, sind Ihre besten Berater. Kommt Ihnen an einer Nachricht etwas seltsam oder verdächtig vor oder haben Sie ein ungutes Bauchgefühl, sollten Sie darauf vertrauen.
  2. Tipp: Hinterfragen Sie die Plausibilität. Stellen Sie sich die Frage, ob das in der E-Mail skizzierte Problemszenario sowie die angedrohten Konsequenzen plausibel sind. Ist es realistisch, dass Ihre Bank Ihre Kontaktdaten per E-Mail aktualisieren möchte? Kann es stimmen, dass Ihr Bank- oder Kundenkonto direkt gesperrt wird, wenn Sie nicht reagieren? Seien Sie sich bewusst, dass keine seriöse Bank und kein Unternehmen Sie aus heiterem Himmel und per E-Mail dazu auffordern wird, Ihre Bank- oder Kreditkartendaten in ein Formular einzutragen.
  3. Tipp: Prüfen Sie die oben genannten Merkmale einer Phishing-Nachricht. Achten Sie bei jeder eingehenden Nachricht auf die oben genannten Warnzeichen wie eine unpersönliche Ansprache, Fehler, gefälschte E-Mail- und Internetadressen, verpixelte Logos und fragwürdige Aufforderungen.
  4. Tipp: Nichts tun! Sind Sie unsicher, ob eine an Sie verschickte Nachricht echt ist, besteht der beste Schutz zunächst im Nichtstun. Antworten Sie nicht auf die E-Mail, klicken Sie nicht auf Links, öffnen Sie keine Anhänge und laden Sie nichts herunter. Haben Sie einen Link geöffnet und beschleicht Sie nun ein ungutes Gefühl, gilt das Gleiche: Egal, wie seriös eine Website aussieht – geben Sie keine Anmeldedaten oder andere sensible Informationen in ein entsprechendes Formular ein. Warten Sie ab und überzeugen Sie sich erst auf zuverlässige Weise von der Echtheit einer Nachricht, bevor Sie eine Handlung ausführen.
  5. Tipp: Nehmen Sie Kontakt zum Unternehmen hinter dem Absender auf. Erhalten Sie eine E-Mail von Ihrer Bank, Versicherung oder einem anderen Unternehmen und sind sich nicht sicher, ob es sich um eine seriöse Nachricht handelt: Fragen Sie nach! Kontaktieren Sie die betreffende Organisation auf einem Ihnen bereits vorher bekannten und zuverlässigen Weg. Auf keinen Fall sollten Sie direkt auf die eingegangene E-Mail antworten oder eine in der Mail angegebene Telefonnummer anrufen – denn dort treten Sie im Zweifelsfall nur erneut mit den Betrügern in Kontakt.
  6. Informationen einholen. Recherchieren Sie im Vorhinein oder nach dem Erhalt einer suspekten E-Mail nach aktuellen Warnhinweisen zu Betrugsversuchen. Auf der Seite der Verbraucherzentrale können Sie zum Beispiel aktuelle Warnungen zum Thema Phishing einsehen. Bei VW FS geben wir Ihnen auf unserer Website Tipps zur Sicherheit im Online-Banking sowie aktuelle Hinweise und Informationen dazu, wo Sie im Notfall schnell Hilfe bekommen.

Mithilfe dieser Tipps können Sie einen Köder der Phishing-Betrüger im Fall der Fälle besser erkennen – und verhindern, dass diese mit Ihrem Vermögen fette Beute machen.

Produktinformationen.

Das Tagesgeldkonto.

Sie möchten Ihr Geld flexibel anlegen? Mit unseren Tagesgeldkonten können Sie von Ihrem Girokonto flexibel umbuchen und sichern sich die Guthabenzinsen.

Das Wertpapierdepot.

Sie sind an einem Wertpapierdepot interessiert? Entdecken Sie das kostenfreie Wertpapierdepot über die wallstreet:online capital.

Der Plus Sparbrief.

Legen Sie Ihr Geld für eine vertraglich vereinbarte Laufzeit fest und profitieren Sie von festen Zinsen.