30. November 2023, 10:36 Uhr | Lesezeit: 6 Minuten
Phishing-Mails nerven nicht nur, durch sie können Verbraucher im schlimmsten Fall auch viel Geld verlieren. Regelmäßig warnt TECHBOOK daher vor neuen Maschen. Dabei lassen sich Phishing-Mails mit einem einfachen Trick entlarven.
Sie kommen angeblich von Banken, Online-Shops oder Streaming-Diensten und wollen Nutzer mit unterschiedlichen Begründungen dazu bringen, ihre sensiblen Daten herauszugeben – sogenannte Phishing-Mails. Fallen Nutzer darauf herein, gelangen Daten wie Name, Adresse und Telefonnummer, aber auch Zugangsdaten oder Konto- und Kreditkartendaten in die Hände von Betrügern. Im Zweifelsfall bedeutet das einen enormen Schaden. Wer plötzlich eine E-Mail von einem Anbieter oder Dienstleister bekommt, sollte daher immer vorsichtig sein. TECHBOOK-Redaktionsleiterin Rita Deutschbein verrät, auf welche Merkmale Sie achten sollten und wie Sie Phishing-Mails zuverlässig erkennen.
Übersicht
Oft genutzte Phishing-Tricks
Besonders häufig nutzen Betrüger die Namen von Banken wie der DKB, ING, Sparkasse, Volksbank, Commerzbank etc. für ihre Maschen, denn hier wittern sie schnelles Geld. Um an möglichst umfangreiche Datensätze zu gelangen, gaukeln sie in ihren Phishing-Mails vor, dass Kontoinhaber aufgrund einer besonderen Lage schnell aktiv werden müssen. So seien beispielsweise falsche Abbuchungen registriert worden, weshalb man sich mit seinen Login-Daten authentifizieren und die Zahlung bestätigen oder ablehnen soll, um Folgekosten oder eine Kontosperrung zu vermeiden. Möglicherweise konnte eine Abbuchung aufgrund eines Fehlers auch nicht erfolgen, weshalb angeblich ebenfalls eine Bestätigung nach einem Login erforderlich ist.
Häufig genutzte Szenarien sind auch Änderungen oder Umstellungen bei den Banken selbst – etwa ein Update für eine App, neue Nutzungsbedingungen oder die Überprüfung der Aktualität von Kunden-Datensätzen. Alles in Verbindung mit einem Link oder einem QR-Code, über den sich die Empfänger für weitere Informationen einloggen sollen.
Wie auch immer die Phishing-Mail formuliert ist, sie schildert stets eine prekäre Situation, die schnelles Handeln erfordert. Meist wird den Empfängern dann auch nur kurz Zeit gelassen, um zu reagieren. Das soll Druck aufbauen.
Lesen Sie auch: Neue Telefon-Betrugsmasche ködert mit KI-Stimme
Phishing-Mails wirken oft seriös
Es hält sich immer noch der Glaube, dass sich Phishing-Mails leicht erkennen lassen, da sie in schlechtem Deutsch geschrieben sind, vor Fehlern strotzen oder auch grafisch nicht besonders gut gemacht sind. Das ist aber nicht der Fall. Die Betrüger sind klug und erstellen E-Mails, die täuschend echt aussehen und den Eindruck erwecken, sie kämen vom genannten Absender, etwa einer Bank oder einem Streaming-Dienst. Oftmals scheint sogar die Absenderadresse seriös und in einzelnen Fällen werden die Empfänger sogar mit Namen angesprochen. Wie kann das sein?
Wird ein Portal gehackt, gelangen riesige Datenmengen in die Hände von Betrügern, die diese nicht selten weiterverkaufen. So kann es durchaus sein, dass jemand Ihren Namen, Ihre E-Mail-Adresse oder gar genutzte Plattformen kennt. Im Zufallsprinzip erstellen die Betrüger dann Phishing-Mails, in der Hoffnung, dass der gewählte Absender ein Dienst oder Anbieter ist, der vom Empfänger tatsächlich genutzt wird. So kann es vorkommen, dass Sie eine scheinbar von Ihrer Bank stammende E-Mail erreicht, in der Sie namentlich angesprochen werden. Das gaukelt Seriosität vor. Wenn diese E-Mail dann noch im passenden Layout erstellt ist und das entsprechende Logo zeigt, sind viele Nutzer schnell überzeugt und klicken eingebundene Links bedenkenlos an. Die Falle schnappt zu.
Hinter den Links verbergen sich meist täuschend echte Webseiten, die zur Eingabe von Login-Daten auffordern. Doch auch, wer bei diesem Schritt skeptisch wird und die Website ohne Eingabe wieder verlässt, ist nicht sicher. Denn nicht selten installiert sich mit dem Klick auf den Link im Hintergrund ein Trojaner, mit dem Betrüger die Nutzer noch Tage und Wochen später ausspionieren können.
Lesen Sie auch: „Erhöhtes Gefährdungspotenzial“! Gericht kritisiert Sicherheit von beliebtem TAN-Verfahren
Mit diesen Tricks erkennen Sie Phishing-Mails auf einen Blick
Trotz aller Mühe seitens der Betrüger, gibt es einige Kniffe, mit denen sich die Phishing-Mails relativ leicht und zuverlässig erkennen lassen.
Geheimtipp Dark Mode
Wie eingangs erwähnt, nutzen die Betrüger die Logos und das Layout der Banken, Shops und Dienste, um Echtheit vorzugaukeln. Auch Signaturen werden oft eingefügt. Doch im Dark Mode lassen sich diese in den Phishing-Mails hineinkopierten Details ganz leicht erkennen. Gefälschte Logos und Signaturen sind dann nämlich weiß umrandet, da sie nicht die spezielle Formatierung ihrer echten Vorbilder aufweisen.
Der Dark Mode, oder auch Dunkelmodus, lässt sich vor allem auf dem Smartphone einfach einstellen. Es gibt ihn aber auch auf dem PC und Laptop – entweder systemübergreifend oder für einzelne Anwendungen wie Gmail oder Microsoft Outlook.
Mail-Absender prüfen
Als Absender wird beispielsweise die DKB, ING oder Amazon angegeben. Auf den ersten Blick scheint die E-Mail somit von diesem Unternehmen zu stammen. Klicken Sie den Absender aber einfach mal an. Dann öffnet sich nämlich die vollständige E-Mail-Adresse. Stammt diese nicht von @dkb.de, @ing.de oder @amazon.de, ist sie aller Wahrscheinlichkeit nach gefälscht.
Vorsicht vor Links
Generell wird Ihre Bank Sie nie auffordern, einen Link in einer E-Mail zu klicken. Sind Sie dennoch unsicher, prüfen Sie den Link, bevor Sie ihn anklicken. Das geht, indem man mit dem Mauszeiger über ihm schwebt. In einem Pop-up-Fenster – das sich meist unten öffnet – erscheint dann die vollständige Linkadresse. Sie sollte dem Absender klar zuzuordnen sein. Vorsicht auch bei Abkürzungen wie etwa bit.ly! Dahinter verbergen sich gefälschte Webseiten.
Sparkasse, Volksbanken, DKB … Bankkunden aufgepasst! Fiese Abzocke im Umlauf
Mails mit Schockmoment Das sind die fiesen Tricks der Phishing-Betrüger
LKA warnt Achtung! Gefälschte Bank-Briefe im Umlauf
Weitere Vorsichtsmaßnahmen
Sollten Sie eine E-Mail von einem Dienstleister, Ihrer Bank oder dergleichen bekommen, in der Sie zu einer Reaktion aufgefordert werden, hilft es immer, direkt auf der Website nachzusehen, ob die Aussage auch stimmt. Dabei sollte man darauf achten, entweder die App zu nutzen oder die Adresse direkt in die Zeile des Browsers einzugeben. Vermeiden Sie es, die Website per Google-Suche anzusurfen. Denn auch die Ergebnisse auf Google können manipuliert sein. Womöglich führt ein oben gelisteter Eintrag Nutzer dann ebenfalls auf eine gefälschte Website.
So bestätigte uns der Sprecher der DKB, Hauke Kramm, in einem Gespräch: „Betrüger ahmen beim Suchmaschinenbetrug die Website und sogar die Login-Maske von Banken nach und positionieren diese für einen gewissen Zeitraum prominent in diversen Suchmaschinen.“ So würden die Betrüger nicht nur an Login Daten für das Banking gelangen. Einige dieser Webseiten enthielten auch Trojaner, die bereits beim Öffnen der Seite heimlich Schadsoftware auf den Computer lädt.
Um sich vor möglicher Schadsoftware zu schützen, sollte man daher auch niemals Anhänge aus E-Mails herunterladen, auf die man nicht explizit gewartet hat. Denn es ist ein Leichtes für Betrüger, hier etwa Trojaner oder Malware zu verstecken.
Lesen Sie auch: Das wurde aus dem E-Mail-Dienst Hotmail
- Keine Bank verlangt per E-Mail, Telefon oder SMS die Eingabe einer PIN oder TAN.
- Geben Sie niemals mehrere TAN hintereinander ein.
- Googeln Sie im Zweifel den Absender einer E-Mail beziehungsweise die Absender-Telefonnummer einer SMS. Da Betrüger dieselbe Masche meist dutzende Male anwenden, wird es entsprechende Warnungen dazu geben.
- Achten Sie auf einen guten Spam-Filter.
- Seien Sie skeptisch und lassen Sie sich nicht unter Druck setzen. Kein Anbieter und keine Bank sperrt so ohne Weiteres das Konto. Schon gar nicht innerhalb weniger Tage.