Phishing-Mails erkennen

Mit dem sogenannten Phishing versuchen Webbetrüger, Kennwörter und PIN- und TAN-Nummern auf besonders listige Weise zu ergaunern. Mit manipulierten E-Mails versuchen Betrüger, Sie auf manipulierte Internetseiten zu locken. Sowohl der Absender als auch der Inhalt der Nachricht sind gefälscht. Phishing funktioniert nach einem ganz einfachen Prinzip:

  • Der Angreifer schickt Ihnen eine gefälschte E-Mail – im Fachjargon Phishing-Mail genannt – und verwendet als Absender die E-Mail-Adresse Ihrer Hausbank. Absender und Inhalt der Mail sind jedoch gefälscht.
  • In der gefälschten Mail werden Sie unter einem Vorwand aufgefordert, unverzüglich den in der Mail enthaltenen Link anzuklicken und die Webseite der Bank zu besuchen.
  • Der Link in der E-Mail führt jedoch nicht zur Bank, sondern direkt zur Internetseite des Betrügers. Das Tückische: Die gefälschte Seite sieht auf den ersten Blick tatsächlich aus wie das Original.
  • Auf der gefälschten Seite werden Sie aufgefordert, PIN- und TAN-Nummer – oft auch mehreren TAN-Nummern – einzugeben. Wer dieser Aufforderung nachkommt, schickt den digitalen Schlüssel für das eigene Onlinekonto direkt an den Betrüger.

Phishing gibt es nicht nur beim Onlinebanking. Betrüger verwenden dieselbe Masche, um auch Zugangsdaten zu Amazon, GMX, Web.de, Paypal oder anderen Online-Diensten zu ergaunern.

phishing-e-mails-erkennen-herausfinden

phishing-e-mails-erkennen-herausfinden-5

Bei Phishing-Mails sind sowohl der Absender als auch den E-Mail-Text gefälscht. Auf den ersten Blick sehen Phishing-Mails aus wie offizielle E-Mails von Banken und Geldinstituten oder Onlineshops. Nur wenn man näher hinschaut, lassen sich Phishing-Mails enttarnen. Bei folgenden Merkmalen sollten Sie misstrauisch werden:

  • Thema Sicherheit – Im Betreff sowie im Mailtext geht es in Phishing-Mails meist um das Thema Sicherheit. Oft ist die Rede von notwendigen Sicherheitsaktualisierungen, Optimierungen der Homebankingfunktionen oder der Überprüfung der Zugangsdaten – alles klare Indizien für Betrugsversuche. Keine Bank fordert per E-Mail zur Eingabe von PIN- oder TAN-Nummern auf.
  • Dringender Handlungsbedarf – In der E-Mail fordert der Betrüger Sie auf, unverzüglich zu reagieren, da sonst Ihr Homebanking-Zugang gesperrt würde. Diese Masche soll einschüchtern und verunsichern.
  • Rechtschreib- und Grammatikfehler – Viele Angreifer operieren aus dem Ausland. Eindeutiges Zeichen für Betrugsversuche sind daher teils eklatante Rechtschreib- und Grammatikfehler im Mailtext.
  • Gefälschte Links – Typisch für Phishing-Mails sind – meist blau unterstrichene – Links (Verknüpfungen) in der E-Mail. Seien Sie hier besonders vorsichtig: Auch wenn es so aussieht, als würde der Link direkt zur Bank führen, sollten Sie ihn keinesfalls anklicken. Die Betrüger verschleiern das echte Ziel des Links und führen statt zur Bank zur Internetseite des Betrügers. Daher sollten Sie generell keine Links in E-Mails anklicken – insbesondere nicht zur eigenen Hausbank.

Erkennbar sind gefälschte Links meist nur, wenn Sie in den Quelltext der E-Mail schauen. Hierzu klicken Sie mit der rechten Maustaste in das Mailfenster und wählen den Befehl “Quelle anzeigen”. Es erscheint ein Fenster mit dem Quellcode der Nachricht. Wohin der Link wirklich weist, erfahren Sie im Quelltext in der Zeile

<a href=…>.

phishing-e-mails-erkennen-herausfinden-2

Um beim Google Mail die E-Mail im Original anzuzeigen, klicken Sie auf den nach unten weisenden Pfeil und rufen den Befehl “Original anzeigen” auf.

phishing-e-mails-erkennen-herausfinden-3

In den folgenden Beispielen erkennen Sie dann anhand des Originals, dass der in der Phishing-E-Mail angegebene Link, der angeblich zu www.paypal.de gehen soll, in Wirklichkeit zu einer ganz anderen Adresse führt.

phishing-e-mails-erkennen-herausfinden-4

phishing-e-mails-erkennen-herausfinden-6

Die Goldenen Regeln gegen Phishing

Selbst für Experten ist es mitunter nicht einfach, eine echte Mail der Hausbank von einer Phishingmail zu unterscheiden. Um nicht auf die Phishing-Masche hereinzufallen, sollten Sie einige goldene Sicherheitsregeln beachten.

Um Phishing-Angriffe ins Leere laufen zu lassen, genügt vor allem eine gesunde Portion Misstrauen. Niemand würde einem Fremden den Wohnungsschlüssel übergeben, nur weil er vorgibt, die Sicherheit der Fenster und Türen überprüfen zu wollen. Gleiches gilt für E-Mails, die PIN und TAN-Nummern oder Kennwörter verlangen. Mit folgenden Verhaltensregeln haben Webbetrüger keine Chance:

  • E-Mails generell misstrauen – Misstrauen Sie generell jedem, der PIN, TAN oder Zugangskennwörter verlangt – selbst wenn die Aufforderung scheinbar von einem vertrauenswürdigen Absender stammt.
  • Links in E-Mails nicht anklicken – Klicken Sie nie auf Links in E-Mails, insbesondere wenn der Link angeblich zur Webseite Ihrer Bank führt. Um zur Bankseite zu gelangen, starten Sie manuell den Browser und geben Sie die Adresse der Bank von Hand ein, oder verwenden Sie ein zuvor gespeichertes Lesezeichen. Damit verhindern Sie, dass Sie versehentlich auf einer gefälschten Seite landen.
  • Sensible Daten geheim halten – Erklären Sie die Zugangsdaten zur Bank sowie die TAN-Nummern zur Geheimsache. Bewahren Sie sie am besten getrennt an sicheren Verstecken auf. Speichern Sie die Daten keinesfalls im Computer oder in der Homebankingsoftware. Datenspione könnten die gespeicherten Informationen im schlimmsten Fall ausspionieren.
  • Konten überprüfen – Prüfen Sie regelmäßig Ihre Kontoauszüge und achten Sie auf unregelmäßige oder falsche Buchungen.
  • Limits für Onlineüberweisungen – Richten Sie bei Ihrer Bank ein Limit für Onlineüberweisungen ein, etwa 1.000 EUR pro Tag. Webbetrüger können dann nur begrenzt Schaden anrichten.
  • Keine öffentlichen Computer verwenden – Verwenden Sie für Onlinebanking nur den eigenen Computer und keinesfalls öffentliche PCs, etwa in Internetcafes oder Hotels.