Der Service ist zur Zeit leider nicht verfügbar. Bitte versuchen Sie es später noch einmal.

Das Magazin von Volkswagen Financial Services.

  • 11.10.2018
  • 6 Minutes

Online-Banking: So schützen Sie sich besser gegen Phishing-Betrüger.

Phishing ist der Versuch, über betrügerische E-Mails, Webseiten oder Anrufe an vertrauliche Daten zu gelangen. Meist haben die Betrüger es dabei auf Ihr Bankkonto abgesehen. Finden Sie heraus, wie Sie Phishing schneller erkennen und sich besser dagegen schützen können.

Virtueller Arm greift bei Phishing durch den Bildschirm auf die Tastatur

Die E-Mail kam Tobias aus Berlin gleich merkwürdig vor. Sie stammte angeblich von seiner Bank und machte ihn auf ein Sicherheitsproblem mit seinem Account aufmerksam. Um dieses zu lösen, sollte er umgehend auf einen Link klicken. Doch anstatt der Aufforderung zu folgen, telefonierte Tobias mit seiner Bank. Nach einem klärenden Gespräch stellte er fest, dass die E-Mail eine Fälschung war und er beinahe Opfer eines Phishing-Angriffs geworden wäre.

Phishing verursacht jährlich Schäden in Millionenhöhe.

Damit ist er kein Einzelfall. Das Bundeskriminalamt (BKA) zählt in seiner aktuellsten Cybercrime-Statistik für 2017 über 1.425 Phishing-Vorfälle im Online-Banking. Dadurch entstand ein Schaden in Höhe von 5,7 Millionen Euro.

Die Phishing-Angriffe in Deutschland gehen damit im Vergleich zu den Vorjahren zurück, doch das BKA warnt davor, die Gefahr zu unterschätzen . Gerade im Bereich der Internetkriminalität gebe es eine große Dunkelziffer von nicht erfassten Straftaten. Deshalb ist es wichtig, Phishing-Angriffe rechtzeitig zu erkennen und sich davor zu schützen.

Phishing ist nicht gleich Phishing.

Was genau ist aber Phishing? Phishing ist ein Kunstwort, das sich aus den englischen Wörtern Password (Passwort) und Fishing (angeln, fischen) zusammensetzt. Beim Phishing arbeiten Betrüger unter anderem mit gefälschten E-Mails, Anrufen oder SMS. Dabei gaukeln sie ihren Opfern eine falsche Identität vor, um ihnen persönliche Informationen wie Passwörter, Kreditkarteninformationen oder TAN-Nummern „abzufischen“ und damit selbst Geschäfte zu machen. Das BKA stuft Phishing daher in den meisten Fällen als Identitätsdiebstahl ein.

Trügerische E-Mails wie im Beispiel oben sind der Klassiker. Der Betrug erfolgt laut BSI dabei meist in zwei Schritten.

  1. Sie erhalten eine vertrauenswürdig aussehende E-Mail eines Ihnen bekannten Unternehmens. Das kann ein Onlineshop sein oder Ihre Bank. Auf den ersten Blick sieht die E-Mail täuschend echt aus, von der Grafik bis zu den Formulierungen. Als Phishing noch ein neues Phänomen war, konnte man die E-Mails häufig am fehlerhaften Deutsch erkennen, da die Angreifer meist aus dem Ausland stammten. Doch mittlerweile sind Phishing-Betrüger professioneller, sodass das Erkennen einer gefälschten E-Mail schwieriger ist. 
  2. Der zweite Schritt erfolgt dann, sobald Sie auf einen Link in der Mail klicken, der Sie auf eine – ebenfalls echt aussehende – Webseite weiterleitet. Das wird „Spoofing“ (Verschleierung) genannt. Hier erfolgt das eigentliche Phishing, wenn Sie dazu aufgefordert werden, vertrauliche Informationen preiszugeben. 

Doch neben betrügerischen E-Mails gibt es auch andere Arten von Phishing. Fachleute unterscheiden zwischen mehreren Unterformen. Diplom-Informatiker Dr. Thomas Prinz von der Universität Jena schlägt in einem Informationspapier eine Aufteilung in Spear Phishing, Smishing, Pharming und Vishing  vor.

Spear Phishing oder gezieltes Phishing richtet sich an eine im Vorfeld sorgfältig ausgewählte Zielgruppe. Dabei handelt es sich in der Regel nicht um Privatpersonen, sondern um Manager, Abteilungsleiter oder Unternehmensmitarbeiter aus dem IT-Bereich. In den meisten Fällen geht es dabei um Industriespionage. Die Täter tarnen beim Spear Phishing ihre Angriffe als Nachrichten des Systemadministrators und hoffen so, an empfindliche Unternehmensinformationen zu kommen.

Smishing bezieht sich auf das Phishing per SMS. In einer scheinbar echten Textnachricht eines Unternehmens werden Empfänger per Link auf eine Webseite umgeleitet, auf der ein Trojaner platziert wurde, um zum Beispiel Passwörter oder Geheimzahlen abzugreifen.

Pharming ist die Version von Phishing, bei der Internetnutzer eine korrekte HTTP-Internetadresse ins Adressfeld ihres Browsers eingeben, zum Beispiel die Webadresse ihrer Bank. Statt jedoch auf der Webseite der Bank zu landen, sehen Nutzer eine über Java Script gefälschte Seite. Der Nutzer glaubt also, dass er auf einer seriösen Seite ist, gibt aber in Wirklichkeit auf einer Fake-Seite empfindliche Informationen an Betrüger weiter.

Vishing ist ein Synonym für Phishing am Telefon. Diese Art von Phishing wird jedoch seltener. Beliebter wird dagegen das mobile Phishing, also Angriffe auf mobile Endgeräte wie Tablets oder Smartphones.

Die internationale Anti-Phishing-Organisation APWG warnt außerdem vor einem weiteren neuen Trend: Phishing auf sozialen Netzwerken. Von Januar bis März 2018 fanden nach Erhebungen der Organisation die meisten Phishing-Angriffe auf Facebook statt.

Online-Banking ist häufigstes Ziel von Phishing-Betrügern.

Die Phishing-Betrüger haben es dabei vor allem auf eins abgesehen – Ihr Geld. 

In Deutschland erfolgen nach Einschätzungen des BKA die meisten Phishing-Angriffe beim Online-Banking.  Auch weltweit zielten nach Angaben der APWG im ersten Quartal 2018 mehr als die Hälfte aller Phishing-Angriffe auf Webseiten mit Online-Zahlungen und Finanzinstitute ab.

Kein Wunder, denn sowohl Online-Banking als auch mobiles Banking sind mittlerweile ein fester Bestandteil unseres Alltags. Nach einer Umfrage des Branchenverbandes Bitkom nutzten 2018 bereits drei von vier Internetnutzern in Deutschland Online-Banking.

Auf Internetbanking aufgrund von Phishing zu verzichten kann daher nicht die Lösung sein. Was können Sie stattdessen tun, um sich beim Online-Banking besser zu schützen?

Der beste Schutz gegen Phishing? Gesundes Misstrauen!

Vorsicht und gesundes Misstrauen sind der beste Schutz gegen Phishing. Das beginnt bereits bei einem guten Virenprogramm und einer Firewall, sowohl auf Ihrem PC als auch auf dem Laptop sowie mobilen Geräten.

Sobald Ihnen eine E-Mail oder eine Webseite seltsam vorkommt, sollten Sie Ihre Bank kontaktieren. Achten Sie beim Öffnen der Seite auf das SSL-Sicherheitszertifikat, das Sie am kleinen Vorhängeschloss-Symbol im Adressfeld erkennen können, und seien Sie generell vorsichtig bei der Eingabe von vertraulichen Daten wie Kontodaten, Passwörtern, PINs oder TANs. Übrigens: Ihre Bank wird Sie niemals in einer E-Mail auffordern, diese Informationen preiszugeben. Wenn Sie dies in einer Mail sehen, können Sie davon ausgehen, dass es sich dabei um Phishing handelt.

Klicken Sie außerdem nie auf einen Link in einer SMS, auf Facebook oder in einer E-Mail, um Ihre Kontodaten abzugleichen. Denn auch das ist fast immer ein Hinweis auf Phishing. Gleiches gilt für MMS. Wenn Sie eine MMS von einem unbekannten Absender erhalten, sollten Sie diese sofort löschen. Oftmals enthalten diese MMS Trojaner, die sich auf Ihrem Smartphone einnisten und so eine Vielzahl von Informationen abgreifen könnten.

Werden Sie auf der Webseite Ihrer Bank an ungewohnter Stelle dazu aufgefordert, Ihre Daten einzugeben, brechen Sie den Vorgang lieber ab. Öffnen Sie stattdessen die entsprechende Webseite in einem neuen Tab und geben Sie die Internetadresse entweder manuell, über Ihre Bookmarks oder über die Browser-Erinnerung ein. Überprüfen Sie anschließend, ob Sie an gleicher Stelle zum Eingeben Ihrer Informationen aufgefordert werden. Lesen Sie außerdem immer die Warnhinweise Ihrer Bank gegen mögliche Phishing-Attacken.

Wenn Sie Ihr Smartphone zum Banking verwenden, empfiehlt es sich, wenn möglich, ausschließlich die von Ihrer Bank dafür bereitgestellte oder autorisierte App zu nutzen. Ein weiterer Rat: Nutzen Sie verschiedene Mailadressen, wenn Sie Konten bei verschiedenen Banken haben. So machen Sie es Kriminellen schwerer, Sie in die Falle zu locken.
Sicherheitsexperte Per Thorsheim hat außerdem noch einen Tipp gegen Phishing auf Smartphones: Wenn Sie unerwartet nach Ihrem Passwort oder Ihrer PIN gefragt werden, geben Sie als Test ein falsches Passwort oder eine falsche PIN ein und schauen Sie was passiert. Erhalten Sie im Anschluss eine Fehlermeldung, kam die Anfrage wirklich von Ihrem Betriebssystem. Wird der fehlerhafte Code akzeptiert, handelt es sich höchstwahrscheinlich um Phishing. Doch auch dieser Trick funktioniert nicht immer. Einige Betrüger installieren bewusst scheinbar echt wirkende Fehlermeldungen. Wenn Sie sich unsicher sind, ob die Anfrage echt ist, ändern Sie vorsichtshalber über die Sicherheitseinstellungen Ihr Kennwort.

Wenn Sie dennoch in die Falle getappt sind... 

Doch bei aller Vorsicht ist natürlich auch klar, dass es keine absolute Sicherheit gegen Phishing gibt. Wenn Sie glauben, dass Sie Opfer eines Angriffs sind, sollten Sie umgehend Ihre Bank informieren und den Vorfall melden. Lassen Sie dabei alle Online-Banking-Zugänge sowie gegebenenfalls auch Giro- und Kreditkarten sperren, damit die Täter nicht mehr auf Ihr Konto zugreifen können. Fast alle Banken haben hierfür eine 24-Stunden-Notfall-Hotline. Auch wenn sich im Nachhinein herausstellt, dass es falscher Alarm war, ist das sofortige Sperren sicherer. Denn die Phishing-Prüfung kann eine Weile dauern und die Betrüger brauchen meist nicht lange, um ein Konto zu leeren. War es letztlich doch kein Phishing, ist das Konto schnell wieder entsperrt.

Bestätigt die Bank allerdings Ihren Verdacht, ist es ratsam bei der Polizei Anzeige gegen Unbekannt zu stellen. Denn die Täter haben wahrscheinlich nicht nur Sie im Visier gehabt und so können Sie andere Nutzer vor dem gleichen Fehler bewahren. Für die Ermittlungen ist es außerdem hilfreich, wenn die URLs der Betrüger-Links sowie Kopien des Kontoauszugs vorliegen.

Und das verlorene Geld? Banken sind in der Regel gegen Phishing versichert. Ob Sie aber Ihr Geld zurückbekommen, muss von Fall zu Fall neu entschieden werden. Ein wichtiger Faktor hierbei ist die Frage nach der Fahrlässigkeit. Ein Klick auf den Phishing-Link könnte zum Beispiel dann als fahrlässig eingestuft werden, wenn Ihre Bank Sie im Vorfeld ausdrücklich vor diesem konkreten Link gewarnt hatte.

Daher gilt: Je vorsichtiger und aufmerksamer Sie beim Online-Banking sind, desto besser können Sie sich gegen einen Phishing-Angriff schützen. 

Auch interessant:

Vergabe von sicheren Passwörtern am Laptop

Aktuell

Ratgeber

Von 1234 bis qwert: Wie sicher sind eigentlich Ihre Passwörter?

Ein Kennwort für alle Plattformen. Klingt gut? Für Hacker definitiv, für Ihre Sicherheit ganz und gar nicht. Doch wie erstellt man ein sicheres Passwort?

  • 11.10.2018
  • 5 Minuten
Frau küsst Sparschwein

Aktuell

Geld & Zukunft

Geliehenes Geld: Der passende Kredit für jedes Anliegen.

Für jedes Anliegen gibt es verschiedene Finanzierungsmöglichkeiten, die Sie nutzen können, um den eigenen Geldbeutel zu schonen.

  • 11.10.2018
  • 5 Minuten
Vorbereitung zum Auswandern: Geld, Atlas

Aktuell

Familie & Leben

Startkapital fürs neue Leben.

Wer auswandert, braucht Mut, Abenteuerlust – und Startkapital. Wie Sie Ihr Abenteuer gut abgesichert starten, erfahren Sie hier.

  • 11.10.2018
  • 4 Minuten