Phishing Mail: Gefahr aus dem Netz

„Phishing“, das klingt nach „fischen“ – und genau das ist es auch. Der Begriff setzt sich aus den englischen Wörtern „password“ und „fishing“ zusammen und bedeutet so viel wie  „Passwörter angeln“. Meist geschieht dies über gefälschte E-Mails, sogenannte Phishing Mails. In diesen fordern die Betrüger – getarnt als seriöse Firma oder Bank – entweder die Angabe von Zugangsdaten wie PIN oder TAN, oder aber sie installieren mithilfe von Anhängen oder Links ein Schadprogramm auf Ihrem Computer, um sensible Daten auszuspähen.

Um sich vor dem Datenklau zu schützen, hilft vor allem eines: Seien Sie aufmerksam! Denn wer genau hinschaut, kann eine betrügerische E-Mail erkennen.

Die 8 Merkmale einer gefälschten E-Mail

1. Mails in fremder Sprache
   Grundsätzlich verdächtig sind Mails in einer Fremdsprache, meist Englisch oder Französisch. Wenn Sie kein Konto bei einer ausländischen Bank oder aber internationalen E-Mail-Verkehr haben, werden Mails an Sie auf Deutsch verfasst sein.
2. Grammatik- und Rechtschreibfehler
   Betrügerische Mails werden häufig nicht auf Deutsch, sondern in einer Fremdsprache verfasst und anschließend übersetzt. Dabei entstehen Fehler in Rechtschreibung und Grammatik. Auch fehlende Umlaute oder kyrillische Buchstaben sind Hinweise auf Spam.
3. Allgemeine Anrede
   „Sehr geehrter Kunde“ – eine Mail, die so beginnt, sollten Sie sofort löschen. Ihre Geschäftspartner oder Ihre Bank werden Sie ganz sicher mit Ihrem Namen ansprechen.
4. Aufforderung zur Dateneingabe
   Zu den wesentlichen Sicherheitsregeln von Banken gehört, dass sie Sie niemals per Telefon oder Mail auffordern, Ihre PIN oder TAN anzugeben. Sollte dies in einer E-Mail an Sie geschehen, verschieben Sie die Nachricht sofort in den Papierkorb.
5. Dringlichkeit 
   Werden Sie in einer Mail aufgefordert, ganz dringend zu handeln, und wird Ihnen womöglich mit der Sperrung Ihres Kontos oder Ihrer Kreditkarte gedroht, wenn Sie nicht entsprechend reagieren, so ist dies ein eindeutiges Merkmal von Phishing Mails.
6. Aufforderung zum Download
   Werden Sie in einer Mail zum Öffnen von Anhängen oder Links aufgefordert und kennen Sie den Absender nicht, ist Vorsicht geboten. In der Regel enthalten solche Dateien ein Schadprogramm. Lassen Sie sich nicht von angedrohten Konsequenzen verunsichern, wenn Sie die beigefügte Datei nicht öffnen!
7. Mails vom Geldinstitut
   Wenn Sie eine Mail von Ihrer Bank bekommen, obwohl Sie ihr nie Ihre E-Mail-Adresse gegeben haben – oder wenn Sie eine Mail von einer Bank erhalten, bei der Sie kein Konto haben –, entfernen Sie die Nachricht aus Ihrem Postfach. Es handelt sich eindeutig um Betrug.
8. Zweifelhafter Header
   Um letzte Zweifel auszuräumen, lesen Sie den Header der Mail. Steht unter „Received from“ nicht die E-Mail-Adresse des Absenders, so ist die Nachricht höchstwahrscheinlich gefälscht.

Sie haben eine E-Mail erhalten, deren Absender Sie nicht kennen oder deren Inhalt Ihnen verdächtig erscheint? Dann  seien Sie misstrauisch und klicken Sie auf keinen Fall auf einen Link oder auf Anhänge. Antworten Sie auch nicht auf die Mail, sondern löschen Sie sie einfach.

Sind Sie unsicher, ob die Mail echt ist, rufen Sie beim angegebenen Absender an und fragen nach. Hilfreich ist es, wenn Sie die Mail vor dem Löschen an den „echten“ Anbieter, zum Beispiel Ihr Geldinstitut, weiterleiten – so kann dieser darauf reagieren und auf seiner Website Kunden vor betrügerischen Mails warnen. 

Auch gut: die Weiterleitung der Mail an die Verbraucherzentrale an die E-Mail-Adresse phishing@verbraucherzentrale.nrw. Sie setzt sie auf ihr Phishing-Radar, auf dem User sich informieren können, welche Phishing Mails aktuell im Umlauf sind. Keine Sorge, das Weiterleiten einer solchen Mail birgt keine Gefahren.

Link in einer Phishing Mail geklickt – was nun?

Haben Sie auf einen Link in einer verdächtigen Mail geklickt, kann es sein, dass Sie sich ein Schadprogramm, beispielsweise einen Trojaner, auf Ihren Rechner geladen haben. Gleiches gilt, wenn Sie die Anhänge einer Betrugsmail öffnen.

• In diesem Fall ist der erste Schritt: Aktualisieren Sie Ihr Virusprogramm und lassen Sie es den gesamten Computer nach Schadsoftware untersuchen.
• Stellen Sie dabei fest, dass sich tatsächlich ein Schadprogramm auf Ihrem Computer befindet, ändern Sie all Ihre Passwörter und Sicherheitsabfragen, die Sie eventuell auf dem Computer hinterlegt haben.
• Überprüfen Sie auch, ob Virusprogramm, Internetbrowser und Betriebssystem automatisch Backups erstellen. Falls nicht, richten Sie es für die Zukunft so ein.
• Lesen Sie außerdem sorgfältig Ihre Kontoauszüge und informieren Sie im Schadensfall umgehend Ihre Bank. Diese kann übrigens haftbar gemacht werden, sollte Ihnen durch Betrug Geld abgebucht worden sein.
• Bleiben Sie hartnäckig, wenn die Bank eine Schadensersatzforderung ablehnt, und nehmen Sie sich im Zweifel einen Anwalt – in den meisten Fällen bekommen Kunden ihr Geld von den Banken erstattet.

Alarmstufe Rot: Daten auf Betrüger-Website eingegeben

Nicht schön, aber leider wahr: Haben Sie erst einmal Ihre Daten auf einer gefälschten Website eingegeben, befinden sich diese in den Händen von Kriminellen. Was können Sie nun gegen den Identitätsdiebstahl tun?

• Haben Sie Ihre Adresse oder Telefonnummer angegeben, seien Sie besonders achtsam, wenn Sie demnächst Post oder Anrufe von Unbekannten erhalten.
• Bei der Weitergabe von PIN oder TAN für das SEPA-Verfahren informieren Sie bitte umgehend Ihre Bank, lassen Sie gegebenenfalls Ihre Konten sperren und ändern Sie auf jeden Fall Ihre Passwörter.
• Kontrollieren Sie sorgsam Ihre Kontoauszüge. Stellen Sie außerdem Strafanzeige bei der Polizei.

Wer online einkauft, seine Bankgeschäfte regelt oder Reisen und Mietwagen bucht, muss stets private Daten preisgeben – und kann somit grundsätzlich Opfer von betrügerischen E-Mails werden. So entfielen laut dem Statistik-Portal Statista beispielsweise im 2. Quartal 2016 12,4 Prozent der Phishing-Angriffe auf soziale Netzwerke, 25,4 Prozent – und damit der größte Anteil – auf Banken. Auch User von Amazon, eBay oder PayPal wurden bereits Phishing-Opfer. Um sich vor derlei Angriffen zu schützen, gilt: Bleiben Sie wachsam!

Folgendes sollten Sie beachten:

• Ist die Website, auf der Sie Ihre Daten angeben möchten, verschlüsselt? Das Präfix „https“ zeigt Ihnen an, dass die Website sicher ist. Fehlt das „s“, sollten Sie auf die Eingabe Ihrer Daten verzichten.
• Lesen Sie den Link, den Sie anklicken möchten. Schreibfehler oder Verknüpfungen auf andere Websites können Zeichen für Phishing sein. Es ist daher ratsam, niemals den Link anzuklicken, sondern manuell die Adresse Ihres Geldinstituts oder des Shops einzugeben, von dem die Mail angeblich kommt.
• Loggen Sie sich nicht über öffentliche WLAN-Netze bei Ihrer Bank oder bei Onlineshops ein – sie könnten von Betrügern aufgebaut sein. Nutzen Sie stattdessen eine mobile Verbindung oder warten Sie, bis Ihnen Ihr privates WLAN wieder zur Verfügung steht.
• Seien Sie auch bei Mails von Freunden, Ihrem Arbeitgeber, Fluglinien oder sonstigen bekannten Absendern vorsichtig – schließlich können auch sie Opfer von Phishing geworden sein.
• Melden Sie gefälschte Mails oder Websites dem echten Anbieter – so helfen Sie dabei, die Täter zu schnappen.