3. Betrug verhindern

Früher gruben Bankräuber einen Tunnel unter die Bank, um in Tresore voller Geld einzudringen. Heute brechen sie ins Onlinebanking ein. Im dritten Kapitel des Fokusmoduls lernst du ihre Tricks kennen und erfährst, wie du dich schützen kannst.

Für einen digitalen „Einbruch“ brauchen Betrüger zunächst deine Zugangsdaten, also deinen Benutzernamen und dein Passwort bzw. deine PIN. Von wem sie die bekommen? Von dir – wenn sie dich so austricksen, dass du sie ihnen verrätst. Dazu später mehr.

Angenommen, Kriminelle haben sich Zugang zu deinem Online-Konto verschafft. Was können sie mit diesem Zugang anstellen?

Sie können sich einen Überblick über deine Finanzen verschaffen und entscheiden, ob sich ein Betrug überhaupt lohnt. Falls es sich aktuell nicht lohnt, können sie es später immer noch versuchen.

In der Regel sind im Onlinebanking die Kontaktdaten deiner Ansprechperson in der Bank hinterlegt. Das macht es den Kriminellen leichter, im Namen der Bank z. B. mit dir zu telefonieren und dein Vertrauen zu gewinnen. Sie fragen im Telefonat vielleicht auch dein Geburtsdatum oder deine Anschrift ab und sammeln auf diesem Weg weitere Informationen.

Sie können sich als all jene Personen oder Unternehmen ausgeben, die sie in deiner Umsatzliste finden – zum Beispiel als Energieversorger, Internetanbieter oder Vermieterin. Gleichzeitig geraten Menschen aus deinem privaten oder beruflichen Umfeld nun selbst ins Visier der Kriminellen.

Das Hauptziel aller Bankbetrüger ist es, Überweisungen von deinem Konto zu veranlassen. Damit mehr Geld zur Verfügung steht, können sie Lastschriften zurückgeben, Limits erhöhen und Kredite beantragen. Manchmal richten sie dafür auch Zwischenkonten ein oder kaufen Guthabenkarten, Kryptowährungen und Abos.

Dies ist einer der häufigsten Schadensfälle, der gleichzeitig das höchste finanzielle Schadenspotenzial hat: Mit deiner Hilfe können es Kriminelle schaffen, ein neues Gerät für die TAN-App zu registrieren. Auch können sie Giro-, Debit- oder Kreditkarten digitalisieren, sodass sie mit ihren eigenen Smartphones auf deine Kosten bezahlen können. Sie können außerdem neue Karten bestellen und deine Karten sperren.

Kurz gesagt: Haben sich Kriminelle Zugang zum TAN-Verfahren verschafft, können sie in deinem Namen beliebige Finanzgeschäfte abwickeln. Außerdem können sie deine Zugangsdaten ändern und dich so aus dem Onlinebanking aussperren.
Fünf Regeln für sicheres Onlinebanking

Gib niemals Zugangsdaten zum Onlinebanking an Dritte heraus – keine PIN, keine TAN, kein Passwort.

Gib nur Aufträge frei, die du selbst angelegt hast. Folge keiner Aufforderung von Dritten, irgendeinen Auftrag freizugeben.

Reagiere nicht auf Nachrichten bezüglich Log-ins von Dritten in dein Onlinebanking.

Leg sofort auf, wenn jemand am Telefon nach PIN oder TAN fragt, oder blockiere die Person im Messenger. Deine Bank wird dich nie nach Passwörtern fragen.

Sobald du das Gefühl hast, dass etwas nicht stimmt: Wende dich an deine Bank.
Die Tricks, mit denen Kriminelle sich heute Zugang zu Girokonten verschaffen, werden unter dem Begriff Phishing zusammengefasst. Das englische Wort setzt sich zusammen aus „password“ (Passwort) und „fishing“ (Angeln).

Phishing-Versuche ähneln sich oft im Ablauf. Die Kriminellen versuchen, dich mit fadenscheinigen Begründungen dazu zu drängen, auf einen Link in einer Mail zu klicken. Sie schaffen das, indem sie dir drohen, zum Beispiel mit einer Sperrung oder Kündigung. Oder sie erzeugen Zeitdruck durch etwas Positives, zum Beispiel ein vermeintliches Gewinnspiel, das bald abläuft.

Dieses Vorgehen, dich gezielt unter Druck zu setzen, ist ein wesentlicher Teil des gesamten Betrugsprozesses. Wenn solche Methoden eingesetzt werden, spricht man auch von Social Engineering, also „sozialer Manipulation“.

Klickst du auf einen Link in einer betrügerischen E-Mail, dann landest du auf einer gefälschten Webseite, die so aussieht, als wäre sie von deiner Bank. Gibst du dort deine Zugangsdaten oder persönliche Daten wie Telefonnummer oder Anschrift ein, landen sie sofort bei den Kriminellen. Achte deshalb immer auf die Adresszeile im Browser – oder klicke am besten gar nicht erst auf den Link.

Phishing passiert nicht nur mit gefälschten Bank-Websites. Auch Versanddienstleister, Onlineshops und andere Anbieter müssen regelmäßig für Betrugsversuche herhalten. Deshalb solltest du für jeden Dienst, ob Onlinebanking oder nicht, ein eigenes Passwort bzw. eine eigene PIN verwenden. Mehr über Passwörter und Log-ins erfährst du im DiFü, auf DiFü-News und im DsiN-Ratgeber „Benutzerkonten sichern“.
Wirf einen Blick auf die folgenden 12 E-Mails. Viele Adressen und Links sind absichtlich verpixelt, denn jede dieser Nachrichten ist eine echte Phishing-Mail. Das heißt auch: Sie enthält konkrete Anhaltspunkte für einen Betrugsversuch. Entdeckst du alle Hinweise?
Diese plumpe Phishing-Mail ist schnell entlarvt: Die Absendeadresse gehört eindeutig nicht zu einer Bank. Auch die unpersönliche Ansprache und der Rechtschreibfehler passen ins Bild einer Fälschung.

Auch diese Absendeadresse passt nicht zum Namen des Absenders. Neben der unpersönlichen Ansprache und der Drohung mit einer Kontosperrung gibt es ein viertes Indiz: Bei Kreditinstituten liegen „fehlende Angaben“ jedweder Art nicht im Zuständigkeitsbereich einer „Newsletter-Redaktion“.

In dieser Nachricht wird der Empfänger oder die Empfängerin ebenfalls nicht persönlich angesprochen, sondern nur als „Sparkasse Kunde“ mit fehlendem Bindestrich. Als Absender fungiert sogar die „Spakasse“. Die Drohkulisse wurde hier gleich aufs gesamte Vertragsverhältnis ausgeweitet. Es gilt aber nach wie vor: Unerwartete vertragliche Angelegenheiten kommen nur per Post.

Auch Betrüger warnen vor Betrügern. Solche E-Mails haben mitunter Betreffzeilen wie „Montag, 03.07.2023“. Dadurch soll die Mail wirken, als stamme sie von einem automatischen „Anti-Betrugs-System“. Ansonsten enthält diese Mail die üblichen Hinweise auf Phishing: Drohkulisse, Rechtschreibfehler, keine persönliche Ansprache. Gerade bei dieser Variante kann aber eine namentliche Anrede erfolgen.

Sehr beliebt sind Phishing-Attacken per SMS („Smishing“). Sie enthalten oft gefälschte Links von Versanddienstleistern zur Sendungsverfolgung eines Pakets. Weil die Masche oft erfolgreich ist, fischen Kriminelle nun auch per SMS nach Onlinebanking-Zugängen.

Smishing verrät sich immer über die Links. In einer SMS sind sie im Klartext ersichtlich. Die Adressen sind unterschiedlich schwer als Fälschung erkennbar. Manchmal gibt es nur kleinste Abweichungen wie Vertipper oder eine unpassende Domain-Endung. Banken versenden grundsätzlich keine unangeforderten SMS mit Links.

Die Zwei-Faktor-Authentisierung ist der aktuelle Sicherheitsstandard fürs Onlinebanking. Kriminelle nutzen das aus: Per SMS oder gar per Mail täuschen sie im Namen der Bank Log-in-Versuche mit unbekannten Geräten oder Überweisungen vor und fordern dich zur Überprüfung, Bestätigung oder Ablehnung auf – natürlich per Klick auf einen Link.

Ohne deine Zustimmung passiert aber gar nichts. Niemand kann sich einloggen, niemand kann etwas überweisen. Dafür ist die Zwei-Faktor-Authentisierung ja gedacht. Und deshalb löschst du die gefälschte Mail einfach, ohne auf irgendeinen Link zu klicken.

Kriminelle geben sich nicht immer als Bank aus. Mitunter schreiben sie im Namen eines Onlineshops – unabhängig davon, ob du dort etwas bestellt hast oder nicht. Dabei gaukeln sie dir Zahlungsfehler oder Zusatzkosten vor, die mit einem Klick auf einen Link zu lösen sind.

Dasselbe gilt auch beim Versand von Paketen. Insbesondere zu Weihnachten häufen sich gefälschte Mails oder SMS von Paketdienstleistern wie DHL, GLS oder DPD. Meist fehlen angeblich Zoll- oder Portokosten, die es nun nachzuzahlen gilt – natürlich per Klick auf einen Link. Die Verbraucherzentrale NRW hat eine lange Liste solcher Fake-SMS zusammengestellt.

Noch perfider ist der „digitale Enkeltrick“. Hier senden vermeintliche Familienangehörige von einer neuen Handynummer aus eine Nachricht per Messenger oder SMS und fragen in einer konkreten Notlage nach Geld. Auf DiFü-News folgen wir der Empfehlung von Polizei und Verbraucherzentrale: in solchen Fällen immer beim Familienmitglied nachhaken. Und zwar auf der bislang bekannten „alten“ Handynummer, der Festnetznummer oder persönlich.

Als vermeintlicher Absender kommt prinzipiell jede Person oder jede Organisation infrage, die Vertrauen beim Empfänger weckt. Diese betrügerische SMS wurde im Namen der Bundesanstalt für Finanzdienstleistungsaufsicht (kurz: BaFin) versendet. Die Aufsichtsbehörde versendet jedoch grundsätzlich keine Nachrichten an Bankkunden – erst recht nicht mit Link.

Bild: Verbraucherzentrale NRW

Im beruflichen Umfeld ist der sogenannte CEO-Fraud weit verbreitet. Hierbei handelt es sich um eine vermeintliche E-Mail der Geschäftsführung oder von anderen Führungskräften, mitunter auch von Mitgliedern bestimmter Unternehmensabteilungen.

Angestellte werden in der E-Mail oder im Verlauf des Mailverkehrs aufgefordert, Geld auf ein Konto zu überweisen, zum Beispiel von Versandhändlern oder Geschäftspartnern im Inland oder Ausland. Auch zum Erwerb von Guthabenkarten wird aufgefordert. Die Überweisung ist meistens dringend, aber immer vertraulich.

Besonders häufig werden Unternehmen mit schlechtem Betriebsklima zum Opfer. Denn dort trauen sich Angestellte seltener, zur Sicherheit beim Absender nachzuhaken. Oft haben die Kriminellen auch zuvor das Unternehmen gehackt und sich Zugang zu E-Mail-Konten verschafft.

„CEO-Fraud“ trifft aber auch Bildungseinrichtungen. Die Uni Bochum und die Uni Stuttgart zeigen Beispiele aus dem Schriftverkehr.

Bild: Hessisches Landeskriminalamt

Immer wieder erhalten Verkäufer:innen betrügerische Nachrichten auf Kleinanzeigen-Portalen, die eine Zahlungsabwicklung z. B. über die Funktion „Sicher Bezahlen“ vorschlagen. Auch hier leiten Kriminelle auf eine Webseite, um Bankdaten abzugreifen.

In dieser Nachricht fällt die plumpe Formulierung „Geld bekommen“ ins Auge. Und das Bezahlen auf Kleinanzeigenplattformen funktioniert ohnehin anders.

Oft kommt es zu Telefonanrufen durch vermeintliche Bankangestellte bei Kund:innen, die eine TAN-App nutzen und zuvor auf Phishing-Seiten ihre Daten eingegeben haben. Das Ziel der Kriminellen ist es nun, das TAN-Verfahren (hier das „pushTAN“-Verfahren) und somit die gesamten Finanzen zu übernehmen.

In dem Telefonat wirst du aufgefordert, deine TAN-Registrierung im Onlinebanking zurückzusetzen. Anschließend erhältst du eine echte(!) SMS deiner Bank mit neuen Registrierungsdaten auf dein Handy. Die Betrüger nennen dir nun am Telefon entweder einen Link oder du erhältst eine gefälschte E-Mail mit diesem Link. Auf der Fake-Seite hinter dem Link sollst du dann die gerade erhaltenen TAN-Registrierungsdaten eingeben.

Falls du nicht längst aufgelegt hast, tu es spätestens jetzt, schließe die Webseite und melde deiner Bank den Betrugsversuch.
Eine besonders fiese Masche ist übrigens die IBAN-Manipulation bei Rechnungen. Technisch versierte Kriminelle schaffen es, in den Datenverkehr einzugreifen und E-Mails zu sich selbst umzuleiten. Dort können sie in einer angehängten Rechnung eine andere IBAN hinterlegen und die manipulierte Mail anschließend zustellen.

Dieses Abfangen von Daten wird „Man-in-the-Middle-Angriff“ genannt und ist neben dem eigentlichen Betrug eine eigenständige Straftat (§202b StGB). Der Trick ist nur schwer zu durchschauen, dafür aber auch genauso schwer durchzuführen. Ein Hinweis: Die IBAN beginnt meist nicht mit DE, weist also auf ein Konto im Ausland hin. Soll das Geld ein Unternehmen in Deutschland erhalten, dann lohnt es, telefonisch dort nachzuhaken.

Weitere aktuelle Beispiele für Phishing-Mails findest du beim Bundesamt für Sicherheit in der Informationstechnik (BSI) und beim Phishing-Radar der Verbraucherzentrale NRW. Wenn du Lust auf ein interaktives Phishing-Quiz hast, wirf einen Blick auf das Jigsaw-Quiz, die BAK-Games und die Seiten des Karlsruher Instituts für Technologie. Dort gibt es auch eine App zum Thema Phishing.
Du hast nun ein Gefühl für die faulen Tricks bekommen. Die folgende Liste zeigt dir noch einmal im Überblick, wie du Phishing-Versuche von seriösen E-Mails unterscheiden kannst. Denn die Indizien sind fast immer dieselben.
Kriminelle spielen mit deinen Ängsten und erzeugen Stress. Sie möchten, dass du unüberlegt auf einen Link klickst, weil die Zeit abläuft. Aber keine Panik: Niemals wird dich deine Bank bedrohen oder unter Druck setzen. Und innerhalb weniger Tage musst du erst recht nichts entscheiden.

Obwohl Kriminelle mittlerweile auch KI ausnutzen, enthalten viele Phishing-Mails noch immer Rechtschreibfehler, Grammatikfehler und Auffälligkeiten im Ausdruck. Oft fehlt auch eine Anrede. Banken, Lieferdienste und Online-Shops sprechen dich immer persönlich mit deinem Vor- oder Nachnamen an. Kriminelle hingegen versenden eher selten persönlich adressierte Mails.

In der Regel stimmt die E-Mail-Adresse des Absenders nicht mit der Adresse der Bank oder des Anbieters überein. Schau genau hin und vergleiche die E-Mail-Adresse mit der Internetadresse der echten Webseite. Ist sie kryptisch, fehlerhaft oder länger als üblich, handelt es sich in der Regel um einen Phishing-Versuch.

Achtung: Verwechsle nicht den Namen mit der E-Mail-Adresse. Der Name des Absenders lässt sich sehr leicht fälschen, die E-Mail-Adresse nicht bzw. nur sehr schwer. Unabhängig davon gilt: Prüfe immer beides. Sobald etwas auffällig ist, solltest du doppelt vorsichtig sein.

Prüfe immer, wohin ein Link führt, bevor du draufklickst. Diese zwei Wege haben sich bewährt:

Wenn du deine Mails im Browser aufrufst, kannst du mit der Maus über den Link fahren (ohne ihn anzuklicken!). Die URL des Links siehst du in der unteren Leiste im Browser.

Alternativ kannst du mit der rechten(!) Maustaste auf den Link klicken und die Adresse dahinter kopieren. Füge sie in ein Textdokument ein, bei Windows z. B. in den Editor, beim Mac in „Notizen“.

Stellst du fest, dass die Adresse nicht zu deiner Bank gehört, hast du einen Phishing-Angriff abgewehrt.

Viele Phishing-Mails werden bereits von deinem E-Mail-Anbieter in den Spam-Ordner verschoben, weil sie massenhaft versandt wurden. Befinden sich dort unangeforderte E-Mails von Banken, Versanddienstleistern oder Online-Shops, dann kannst du praktisch sicher sein, dass sie unseriös sind.
Im Zweifel gilt die Regel: Hör auf deinen Bauch. Wenn dir etwas auffällig vorkommt, hat das wahrscheinlich einen guten Grund. Ein Anruf bei deiner Bank schadet nie. Ruf deshalb lieber einmal zu oft als einmal zu selten an.

Falls du auf Phishing reingefallen bist: Keine Panik. Wenn du deine Zugangsdaten nicht grob fahrlässig an Dritte weitergegeben hast, erstattet deine Bank in der Regel den finanziellen Schaden. In Kapitel 4 dieses Fokusmoduls erfährst du, wie du vorgehst.

Weitere Tipps zum Erkennen und Vorbeugen von Phishing-Mails findest du bei DiFü-News, bei DsiN und beim BSI.