RSS Feed abonnieren
Feedback senden

Sicherheits-Tipps gegen Datenklau

Phishing-Schutz: So erkennt und behandelt man betrügerische E-Mails

Phishing-Mails, mit denen Gauner an Ihre Passwörter und andere Daten wollen, sind heute oft nicht mehr von seriösen zu unterscheiden – zumindest nicht auf den ersten Blick. Experten-Tipps, wie man sich am besten schützt.

Foto: Adobe Stock

Foto: Adobe Stock

Bis vor einigen Jahren waren betrügerische E-Mails oft ganz einfach zu erkennen: Rechtschreib- und Grammatikfehler, keine Anrede, ab und zu kyrillische Schriftzeichen im europäischen Zeichensatz oder statt der Umlaute Ä, Ö und Ü ae, oe und ue. Da wusste man als Empfänger schon, dass man diese Mail am besten sofort löscht.

Neue Betrugsmethoden

Doch die Netzabzocker haben hinzugelernt: Die Mails, mit denen sie heute versuchen, an die Passwörter von Bankkunden oder Online-Einkäufern zu kommen, sind sehr viel professioneller geworden. „Diese Phishing-Mails werden vermeintlich im Namen von Banken oder großen Onlineshops versendet“, sagt Matthias Gärtner, Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik.

In den Phishing-Mails heißt es oft, die Zugangsdaten müssten bestätigt werden oder die Kreditkartendaten seien abgelaufen, manchmal hat angeblich auch jemand eine Frage zu einem Artikel, den man auf einer Online-Plattform wie Ebay versteigert.

Wie die Abzocke funktioniert

Diese Mails haben alle eines gemeinsam: einen Link, der auf die Internetseite des Absenders zu führen scheint. Tatsächlich führen sie aber auf Seiten, die oft nur täuschend echt aussehen. „Wer sich dort mit seinen Kontodaten anmeldet, hat den Betrügern häufig alle Informationen gegeben, damit sie auf Kosten des Internetnutzers einkaufen oder sich Geld von dessen Konto überweisen können“, sagt Gärtner.

Alternativ wird mit dem Besuch der Homepage oder dem Öffnen eines angehängten Dokuments, das eine Rechnung oder Mahnung sein soll, eine Schadsoftware auf dem Rechner installiert, mit der die Passwörter abgefischt werden oder Online-Banking manipuliert wird.

Phishing-Mails erkennen

Eine Mail mit betrügerischer Absicht zu erkennen, ist noch relativ einfach, wenn man gar nicht Kunde des vorgegaukelten Absenders ist. Ein Beispiel: Internetnutzer, die kein Ebay-Konto haben, müssen auf eine Mail, die in Zusammenhang mit der Online-Plattform steht, im Prinzip gar nicht reagieren.

Das gilt auch, wenn man sein Konto beispielsweise bei der Sparkasse hat, aber scheinbar bei der Postbank seine Kontoinformationen aktualisieren soll. „Bevor man sich also vom Inhalt einer solchen Mail möglicherweise unter Druck setzen lässt, sollte man den gesunden Menschenverstand einsetzen“, sagt Matthias Gärtner.

Ist man tatsächlich Kunde des angeblichen Absenderunternehmens, muss man oft sehr genau hinschauen. Beispiel: Eine große Supermarktkette hat scheinbar einen Gutschein über 500 Euro geschickt. Klingt verlockend. In manchen Mailsystemen wie Googlemail oder Mail von Apple reicht es schon, mit der Maus auf den Absendernamen zu fahren oder ihn anzuklicken. Dann sieht man, welche E-Mail-Adresse sich tatsächlich dahinter verbirgt. Hat diese nichts mit dem eigentlichen Unternehmensnamen zu tun, wird sie nicht echt sein.


Foto: Screenshot
Foto: Screenshot

Absender überprüfen

Schwieriger wird es, wenn die hinterlegte Mail-Adresse vom scheinbaren Absender stammen könnte, wenn also beispielsweise eine Mail kommt, die vorgibt, von Amazon zu sein, und als hinterlegte Adresse „info@amazon.eu“ angegeben ist. Dann hilft nur eines: Entweder beim Absender nachfragen oder die angezeigte Mailadresse googeln.

Wer nach der Amazon-Mail-Adresse mit EU-Endung sucht, stößt sehr schnell auf eine Internetseite von Amazon selbst, auf der erwähnt wird, dass die unternehmenseigenen Mails nur mit den Endungen .de und .com verschickt werden. Eine Mail mit einer EU-Endung muss also eine Abzock-Mail sein.

Foto: Screenshot
Foto: Screenshot

Hinterlegten Link kontrollieren

So wie man eine Absenderadresse checkt, kann man auch einen Link in einer Mail überprüfen. Fährt man mit der Maus darüber, bekommt man in vielen Mailsystemen eine Vorschau des tatsächlich hinterlegten Links. Zeigt diese Vorschau eine URL, die keine Ähnlichkeit zum Unternehmensnamen aufweist, ist die Wahrscheinlichkeit groß, dass es sich nicht um eine echte Mail handelt.

Foto: Screenshot
Foto: Screenshot

Achtung, manchmal sieht der Link auf den ersten Blick echt aus und erst, wenn man mit der Maus darüberfährt, sieht man, was sich dahinter versteckt. Lassen Sie sich darum nicht von einem bekannten Unternehmensnamen in der URL täuschen. Und auch nicht vom angezeigten https:// in der Mail, das eigentlich für eine verschlüsselte Seite steht, aber auch gefälscht sein kann.

Foto: Screenshot
Foto: Screenshot

Sicherheitshalber sollte man nie einen Link in einer Mail anklicken, sondern die Original-Webadresse des fraglichen Anbieters manuell eingeben, um das eigene Konto zu überprüfen. So kann man erst gar nicht auf die gefälschte Seite weitergeleitet werden.

Hat man bereits geklickt, sollte man auf das Zertifikat der Seite achten. Es ist erkennbar an einem Schloss vor der URL in der Browserzeile und ein Indikator für eine sichere Webseite. „Fehlt es, ist es sehr gut möglich, dass man einen Phishing-Link angeklickt hat“, sagt Gärtner. Gefälschte Webseiten lassen sich in der Regel auch an unüblichen Namenszusätzen zum bekannten Unternehmensnamen in der Browserzeile erkennen.

Vertrauliche Daten schützen

„Außerdem sollten sich Internetnutzer immer dessen bewusst sein, dass weder Banken noch Shopping-Plattformen vertrauliche Daten wie PINs oder TANs in einem Mailformular oder auf den Login-Seiten abfragen“, sagt Gärtner. Grundsätzlich sollte man sich auch nie unter Druck setzen lassen, beispielsweise durch Sätze wie: „Wenn Sie nicht sofort handeln, wird Ihr Konto gesperrt.“ Im Falle einer solchen oder ähnlichen Drohung ist es immer besser, beim angeblichen Absender telefonisch nachzufragen, ob er diese Mail tatsächlich geschickt hat.

Was man nach einem Reinfall unternehmen sollte

Hat man seine Kontodaten auf einer betrügerischen Seite eingegeben und bemerkt das zu spät, heißt es schnell sein: „Sofort die Zugangsdaten ändern“, rät IT-Sicherheitsexperte Gärtner. Sonst läuft man Gefahr, dass der Betrüger dies macht und man von seinem Konto ausgesperrt ist. Außerdem sollte man umgehend den echten Absender kontaktieren, also beispielsweise die Bank oder die Versteigerungs- oder Shopping-Plattform.

„Zudem ist es wichtig, in den kommenden Tagen im Blick zu behalten, ob sich im Konto etwas tut, was man nicht veranlasst hat“, sagt Gärtner. So könnten Abzocker zum Beispiel versuchen, Geld von einem Bankkonto zu überweisen oder auf den Namen des Betroffenen einzukaufen. Spätestens dann ist es übrigens notwendig, bei der Polizei Anzeige gegen unbekannt zu stellen.

Mehr zum Thema:

Nicht nur die großen Firmen, politische Institutionen und prominente Personen – längst sind auch Privatanwender immer stärker ins Visier von Hackern geraten. Wie man sich zu Hause am besten davor schützt.

Wirtschaft, Infrastruktur, Privathaushalte: Hacker haben unser gesamtes Leben ins Visier genommen. So wurde etwa jedes zweite deutsche Unternehmen in den vergangenen zwei Jahren zum Angriffsziel. Und die Bedrohung wird immer größer.

Möglichst lang und aus Buchstaben, Zahlen und Sonderzeichen sollen Passwörter für Internetplattformen sein, um nicht gehackt zu werden. Allerdings: So kann sie sich auch kaum jemand merken. Passwortmanager können dabei helfen.

Passwörter sollten mindestens acht Zeichen enthalten – verschiedene und ohne erkennbare Logik, versteht sich. Wie Sie heimlich, still und leicht System und Sicherheit ins notwendige Wirrwarr bringen, erklärt hier ein IT-Experte.

aktualisiert am 03.01.2017

Wenn das Smartphone geklaut ist, lässt sich oft noch etwas damit tun. Aber nur, wenn man sich vorher um spezielle Anti-Diebstahl-Apps und die richtigen Geräteeinstellungen gekümmert hat. Was da inzwischen geht, erklären wir Ihnen hier.

Im Web einzukaufen, kann schnell und bequem gehen. Doch halt! Wer nicht aufpasst, könnte einem Fake-Shop auf den Leim gehen – und nach der Bestellung gar nichts für sein Geld bekommen. Dagegen kann man sich wappnen.

Diese Beiträge könnten Sie auch interessieren:

Zum Anfang