Die Verbreitung von E-Commerce und Wero ruft auch die Panzerknacker auf den Plan, in der digitalen Welt werden sie Phisher genannt. Diese finsteren Gesellen sind gierig auf vertrauliche Informationen wie Zugangsdaten zu Onlinekonten aller Art. Die Bahn hat deswegen sogar die Bezahlung per Lastschrift beschränkt.
Übernahme von Smartphine und Computer
Besonders gewiefte Online-Kriminelle schleichen sich ins Vertrauen von Usern ein, um dann deren Computer oder Smartphone komplett per Fernzugriff übernehmen. Doch zunächst: woher kommt der seltsame Name Phishing?
Was ist Phishing?
Der Name Phishing leitet sich von den englischen Wörtern „password“ (Passwort) und „fishing“ (angeln) ab. Die Phisher werfen Köder aus, etwa in Form von gefälschten Nachrichten, und hoffen, dass jemand darauf hereinfällt und seine Passwörter verrät.
Bankkunden im Visier
Phishing-Angriffe entwickeln sich ständig weiter und werden immer gezielter. Besonders häufig zielen Betrüger auf Bankkunden, neue Bezahlsysteme und den Onlinehandel ab. Hier sind die 12 wichtigsten Maßnahmen gegen Phishing, Vishing und Quishing:
1. Echtheit von Bank-Mails prüfen
Betrüger geben sich häufig als Mitarbeiter bekannter Kreditinstitute aus, wie etwa Sparkasse, Deutsche Bank oder Commerzbank. Dabei nutzen sie auch echte Bank-Logos und bauen das Design in Phishing-Mails und Webseiten nach.
Niemals Vertrauliches per E-Mail oder Telefon
Wichtig zu wissen: Seriöse Banken und PSPs fordern niemals per E-Mail oder Telefon auf, vertrauliche Daten wie PIN, TAN oder vollständige Zugangsdaten preiszugeben.
Keine Links zur Verifizierung ohne echten Anlass
Links zur „Kontoverifizierung“ sind ein klares Warnsignal. Verifizierungen sind in der Regel nur beim Anlegen eines neuen Accounts notwendig, aber nicht bei bestehenden Accounts. Wenn Sie unsicher sind, rufen Sie Ihre Bank direkt an – über die bekannten Kontaktdaten – nicht über Nummern aus der verdächtigen eMail.
2. Vishing: Falsche Bankmitarbeiter enttarnen
Neben E-Mails nehmen sogenannte Vishing-Angriffe zu. Vishing steht für Voice-Passwort-Fishing, also den Zugang per Stimme. Bei dieser Methode geben sich Anrufer als Bankmitarbeiter aus und behaupten beispielsweise, es habe verdächtige Transaktionen gegeben.
Typische Merkmale von Vishing-Angriffen
- Aufforderung, eine Software noch während des Telefonats auf dem Smartphone oder Computer zu nutzen oder gar zu installieren
- Druckaufbau („Ihr Konto wird gleich gesperrt“)
- Aufforderung zur Herausgabe von TANs oder Passwörtern
- Bitte, eine angebliche Sicherheitsüberweisung zu bestätigen
Abwehr von Vishing-Angriffen
- Beenden Sie solche Gespräche sofort
- Sperren Sie die Nummer auf Ihrem Smartphone
- Keine echte Bank und kein Zahlungsdienstleister wird Sie am Telefon nach sensiblen Daten fragen
- Installieren Sie niemals während eines Telefonats eine Software!
Informationen finden Sie dazu auch auf der Website Ihrer Bank oder der Wero-Webseite:
- Sicherheitsinformationen der Sparkasse
- Sicherheitsinformationen der VR-Bank
- Sicherheitsinformationen Wero
3. Wero-Phishing erkennen
Mit der Einführung der neuen Zahlungsart Wero entstehen neue Angriffsmöglichkeiten. Betrüger nutzen dabei die noch geringe Vertrautheit der Nutzerinnen und Nutzer gezielt aus.
Typisches Wero-Phising
- Aufforderung zur „Aktivierung“ Ihres Wero-Kontos über einen Link
- Gefälschte Zahlungsanforderungen
- Nachrichten über angeblich fehlgeschlagene Transaktionen
Wero-Schutzmaßnahmen:
- Aktivieren Sie Wero ausschließlich über Ihre Banking-App
- Prüfen Sie Zahlungsanforderungen genau
- Geben Sie keine Freigaben ohne klare Prüfung frei
Gerade bei einem neuen Systemen wie Wero gilt: Vorsicht ist die Mutter der Porzellankiste.
4. Phishing im E-Commerce erkennen
Häufig zielen Phishing-Angriffe auf Kunden von großen Onlineshops, bekannten Dienstleistern und etablierten Marktplätzen wie eBay, Amazon oder Kaufland ab.
Typisches E-Commerce-Phishing
- Gefälschte Bestellbestätigungen
- Hinweise auf angebliche Zahlungsprobleme
- Aufforderung zur Aktualisierung von Kontodaten.
Schutz vor Phishing
- Prüfen Sie, ob Sie tatsächlich eine Bestellung getätigt haben
- Öffnen Sie keine Links aus unerwarteten E-Mails
- Loggen Sie sich direkt über die offizielle Website ein, um den Status zu prüfen
Im E-Commerce gilt das gleiche wie bei den Banken. Seriöse Anbieter werden Sie niemals auffordern, vertrauliche Daten per E-Mail oder Telefon preiszugeben.
5. Links und Domains kontrollieren
Phishing-Webseiten unterscheiden sich oft nur minimal von echten Seiten. Ein fehlender Buchstabe oder eine andere Domain-Endung kann entscheidend sein.
Schutz vor Phishing
- Geben Sie wichtige URLs nicht in eine Suchmaschine, sondern direkt in die Browserzeile ein
- Nutzen Sie gespeicherte Lesezeichen
6. Schutz vor Quishing
Quishing ist eine spezielle Form des Phishings, bei der QR-Codes verwendet werden. Der Begriff setzt sich aus „QR“ und „Phishing“ zusammen.
Beim Quishing verwenden Betrüger manipulierte QR-Codes, die beim Scannen auf gefälschte Webseiten führen oder schädliche Aktionen auslösen.
Typische Angriffsmethoder für Quishing
- Aufkleber mit QR-Codes auf Parkautomaten oder Ladesäulen
- Gefälschte QR-Codes in E-Mails oder Briefen
- QR-Codes auf angeblichen Rechnungen oder Werbematerialien
- QR-Codes auf gefälschen Webseiten
Beim Quishing werden Sie nach dem Scannen auf eine täuschend echte Seite weitergeleitet und anschließend zur Eingabe sensibler Daten aufgefordert.
Warum ist Quishing besonders gefährlich?
QR-Codes sind für Nutzer schwer zu überprüfen. Anders als bei normalen Links sehen sie die Zieladresse meist erst nach dem Scannen. Das macht es Betrügern leicht, ihre Opfer zu täuschen.
Schutz vor Quishing
- Seien Sie besonders vorsichtig bei QR-Codes im öffentlichen Raum
- Scannen Sie QR-Codes nur aus vertrauenswürdigen Quellen
- Prüfen Sie die angezeigte URL nach dem Scannen genau
- Geben Sie keine sensiblen Daten auf unbekannten Seiten ein
7. Fake-Shops enttarnen
Der Onlinehandel wächst stetig – und mit ihm die Zahl betrügerischer Online-Shops. Sogenannte Fake-Shops wirken auf den ersten Blick seriös, verfolgen jedoch nur ein Ziel: Ihr Geld zu kassieren, ohne eine Gegenleistung zu liefern. Mit den folgenden Hinweisen können Sie solche Shops frühzeitig erkennen und vermeiden.
Unrealistisch günstige Preise
Ein häufiges Merkmal von Fake-Shops sind extrem niedrige Preise. Wenn Markenprodukte deutlich unter dem üblichen Marktpreis angeboten werden, sollten Sie misstrauisch werden. Betrüger nutzen gezielt Schnäppchenangebote, um Käufer zu locken.
Fehlende oder fehlerhafte Pflichtseiten: Impressum und Widerrufsbelehrung
Im EU-Raum besteht Impressumspflicht und für Onlineshops der verpflichtende Hinweis auf die 14-tägige Widerrufspflicht. Ein seriöser Shop stellt klare Angaben zu Unternehmen, Adresse und Kontaktmöglichkeiten und Widerruf bereit. Fehlen diese Informationen oder wirken sie unvollständig oder falsch, ist Vorsicht geboten.
Unklare oder fehlende Kontaktmöglichkeiten
Fake-Shops bieten oft nur eingeschränkte Kontaktmöglichkeiten, etwa nur eine E-Mail-Adresse ohne Telefonnummer.
Auffällige Domain und URL
Die Internetadresse kann Hinweise auf einen Fake-Shop geben. Häufig nutzen Betrüger ungewöhnliche Domain-Endungen oder leicht veränderte Schreibweisen bekannter Marken. Achten Sie auf Tippfehler oder zusätzliche Zeichen.
Unsichere Zahlungsmethoden
Ein klares Warnsignal ist die Einschränkung auf unsichere Zahlungsmethoden wie Vorkasse oder Kryptowährungen. Seriöse Shops bieten in der Regel mehrere Optionen an, darunter auch Methoden mit Käuferschutz.
Kopierte Inhalte und schlechte Qualität
Viele Fake-Shops verwenden gestohlene Produktbilder und kopierte Texte. Achten Sie auf schlechte Übersetzungen, Rechtschreibfehler oder uneinheitliche Darstellungen.
Gefälschte Shopsiegel
Siegel von Trusted Shops oder dem Händlerbund werden häufig missbräuchlich verwendet. Prüfen Sie, ob das Siegel anklickbar ist und tatsächlich auf eine offizielle Zertifizierungsseite führt.
Gefälschte Kundenbewertungen
Ausschließlich positive, sehr allgemeine Kommentare können ein Hinweis auf Manipulation sein. Suchen Sie gezielt nach unabhängigen Erfahrungsberichten.
Druck durch künstliche Verknappung
Hinweise wie „Nur noch 2 Stück verfügbar“ oder „Angebot endet in 10 Minuten“ sollen Sie zu schnellen Entscheidungen drängen. Fake-Shops nutzen diese Taktik gezielt.
Ungewöhnliche Versandangaben
Sehr lange Lieferzeiten oder unklare Versandinformationen können darauf hindeuten, dass der Shop gar keine echte Ware verschickt.
Fehlende https-Verbindung
Achten Sie auf eine sichere Verbindung (https) und ein gültiges SSL-Zertifikat. Eine Webseite mit SSL-Zertifikat erkennen es am kleinen Schlösschen in der Browserzeile.
Was tun im Verdachtsfall?
- Den Shopnamen zusammen mit Begriffen wie „Erfahrungen“ oder „Betrug“ suchen
- Die Angaben im Impressum überprüfen
- Die Adresse in den Fakeshop-Finder der Verbraucherzentrale eingeben
Was tun nach einem „Kauf“ im Fakeshop?
- Kontaktieren Sie Ihre Bank oder Ihren Zahlungsanbieter
- Versuchen Sie, die Zahlung zu stoppen oder zurückzubuchen
- Erstatten Sie Anzeige bei der Polizei
8. Zwei-Faktor-Authentifizierung nutzen
Viele Angriffe scheitern, wenn ein zweiter Sicherheitsfaktor aktiv ist. Nutzen Sie die 2FA-Funktion überall, wo es möglich ist.
9. Achtung Anhang!
Alle Shopsysteme versenden eine Reihe automatisierter Mails wie Bestellbestätigung oder Rechnung. Diese automatisiert versendeten Mails sind notwendig, um den Bestellprozess abzuwickeln – dabei enthalten sie auch Anhänge mit den Allgemeinen Geschäftsbedingunegn (AGB) oder der in der EU vorgeschriebenen Widerrufsbelehrung.
Im Zweifel Anhänge nicht öffnen
Betrüger verschicken gerne angebliche Rechnungen oder Versandbestätigungen mit manipulierten Anhängen. Öffen Sie Anhänge niemals, wenn Sie unsicher über die Herkunft der E-Mail sind.
10. Öffentliche Netzwerke bei Zahlungen vermeiden
Ihr Hotel bietet ein kostenloses WLAN an? Das ist prima zum surfen, aber greifen Sie trotzdem möglichst nicht über öffentliche WLAN-Netze auf Bankkonten oder Online-Shops zu.
11. Starke Passwörter verwenden
123456 und ABCD sind eine Einladung an Hacker. Nutzen Sie starke, einzigartige Passwörter und verwenden Sie Sonderzeichen wie !;. Verwenden Sie unterschiedliche Passwörter für verschiedene Accounts. So verhindern Sie, dass ein kompromittiertes Passwort mehrere Konten gefährdet.
12. Sensibilisierung & Aufmerksamkeit
Der wichtigste Schutz bleibt Ihre Aufmerksamkeit. Hinterfragen Sie ungewöhnliche Nachrichten, prüfen Sie Details und handeln Sie niemals unter Druck.
Fazit
Phishing ist längst nicht mehr auf einfache E-Mails beschränkt. Angriffe erfolgen über verschiedene Kanäle, insbesondere im Bankenumfeld und bei neuen Bezahlsystemen wie Wero. Aber wer die typischen Muster kennt und sich fortlaufend informiert, reduziert das Risiko.