Check24 Vertrauenswürdig

Febr. Auf Vergleichsportalen wie Check24 kann jeder Stromtarife, Autoversicherungen und mehr vergleichen.

Schutz vor Phishing und Erkennung von Phishing-E-Mails

Cyberkriminelle ("Phisher") wollen meistens auf gefälschten Websites, sensiblen Datenbanken von Bank- oder Kreditkartenkunden oder auch von Zahlungsverkehrsdienstleistern spionieren. Dabei handelt es sich um Phishing-E-Mails - E-Mails oder Sofortnachrichten, die über E-Mail-Datenbanken oder nach dem Zufallsprinzip generierte Anschriften an eine große Anzahl von Empfängern gesendet werden. Ein Teil der Phishing-E-Mails lässt sich leicht als Betrugsversuch ausmachen.

Unglücklicherweise machen es Internetbetrüger immer schwieriger für ihre potentiellen Opfer, reale von falschen E-Mails zu unterscheid. Viele Phishing-Mails scheinen auf den ersten Blick extrem vertrauenswürdig zu sein. Häufig wird z.B. der Namen der Geschäftsbank als Sender mitangegeben. Mit dem offiziellen Firmenlogo der Nationalbank wird die Authentizität der E-Mail nicht nachgewiesen. Sowohl die individuelle Begrüßung als auch die Debitorennummer sind hier nicht enthalten.

Die Inhalte der E-Mail können extrem ernst und trügerisch sein. Selbst wenn der Verweis auf den ersten Blick ernst zu sein scheint, würde Ihre Hausbank Sie niemals bitten, personenbezogene Informationen über einen Verweis zu überprüfen. Mit einer korrekten Unterschrift wird die Authentizität der E-Mail nicht nachgewiesen. Sie können die komplette E-Mail anklicken und mit einem Klick an die Phishing-Website leiten.

Bei den E-Mails bemühen sich die Versender unter einem falschem Deckmantel um den Zugriff auf vertrauliche Verbraucherdaten. Das kann z.B. die Umstellung auf SEPA, ein vermeintlich gehackter Account oder eine verfallene TAN-Liste sein. In diesem Zusammenhang werden die Empfänger gebeten, vertrauliche Informationen wie z. B. Kundennummer, Kennwort, PIN oder TANs anzugeben. Zugleich sehen sich Kriminelle mit Folgen wie Account- oder Kreditkartensperre konfrontiert, wenn nicht sofort Eingaben gemacht werden.

Zum Beispiel wird die Startseite der Geschäftsbank 1:1 nachgestellt. In der Regel meldet sich der Benutzer auf einer gesicherten Online-Banking-Seite an. Trifft er eine Übertragung oder eine Einzugsermächtigung, werden die Angaben in verschlüsselter Form an die jeweilige Landesbank übermittelt. Bei einem Phishingangriff geht der Kundin nur davon aus, dass sie ihre Angaben an die Datenbank übermittelt.

Phishing-Fans senden oft auch Dateien mit ihren Emails. In der Regel sind dies Online-Formulare, in denen unterschiedliche Angaben unmittelbar einzugeben sind. Die Cyberkriminelle können auf die Information zurückgreifen und sie für ihre eigenen Bedürfnisse mißbrauchen. Im Bedarfsfall kann der Auftraggeber selbst haftbar gemacht werden:

Seit dem 1. Januar 2009 haften Bankkunden nur noch bei schwerer fahrlässiger oder vorsätzlicher Verletzung des Schadens. Ergibt der Kundin oder dem Kunden auf einer falschen Website mehrere TAN-Nummern, könnte die Hausbank dies als nachlässig erachten. In den meisten Fällen haften Bankenkunden jedoch nicht, sobald sie den Zugriff auf das Online-Banking blockiert haben.

Tritt z. B. nach der Dateneingabe eine Störmeldung auf, sollte sich der Accountinhaber sofort von seinem Account abmelden. Sollte es z. B. nicht mehr möglich sein, sich für das Online-Banking zu registrieren, sollte die Hausbank sofort benachrichtigt werden. Unregelmässigkeiten sind sofort an die Hausbank und tatsächliche Schäden an die Bundespolizei zu melden. In der Regel senden Kreditinstitute nur in Ausnahmefällen E-Mails.

Zu den typischen Fehlern in Phishing-Mails gehören z. B. Buchstabenfehler, wie z. B. Kyrillisch, oder das Fehlen von Umlauten. Phishing-Versuche sind in diesem Falle besonders gut durchschaubar, da die Kreditinstitute natürlich nur grammatisch und orthographisch richtige E-Mails verschicken. E-Mails in Englisch oder Französisch sind höchstwahrscheinlich Phishing-Versuche.

Bankenkunden aus Deutschland bekommen von ihren Institutionen E-Mails ausschliesslich in Deutsch. Auch wenn es sich um eine Auslandsdirektbank handele, sollte die Hausbank zur Sicherung angesprochen werden. In der Regel wenden sich die Kreditinstitute an ihre Kundschaft mit ihrem Firmennamen und nicht mit "Sehr geehrte Kunden" oder "Sehr geehrte Nutzer". Allerdings ist eine individuelle Begrüßung kein zuverlässiger Hinweis auf die Authentizität einer E-Mail, da besonders anspruchsvolle Online-Kriminelle bereits im Voraus die Identität ihrer potentiellen Betroffenen ermittelt haben.

Bei Phishing-E-Mails werden die Kunden der Bank in der Regel unter Zugzwang gebracht. Zum Beispiel droht der Versender oft mit Folgen wie Konto- oder Kreditkartensperrung, wenn der Auftraggeber einen Verweis nicht innerhalb kurzer Zeit bestätig oder empfindliche Angaben nicht macht. Bei Phishing-E-Mails werden die Bankkunden oft zur Eingabe persönlicher Angaben wie z. B. Kennwort, PIN oder TAN gebeten. Dabei können die Konsumenten mit einem Versuch des Betrugs rechnen, da die Bank ihre Kundschaft nie auffordern würde, vertrauliche Angaben per E-Mail oder telefonisch zu machen.

Phishing-E-Mails beinhalten oft Verknüpfungen oder Anhänge ("Dateianhänge", z.B. Formulare), die eingegeben werden müssen. Allerdings beinhalten E-Mails von Kreditinstituten keine Anhänge und nur in Einzelfällen einen Verweis. In Zweifelsfällen sollten Bank-Kunden die Website selbst abrufen, indem sie sie manuell in das Adressfeld des Webbrowsers eingeben.

Bei E-Mails können auch die Absenderdaten verfälscht werden. Der eigentliche Versender der E-Mail ist durch diese Zahlenfolge klar erkennbar.