Wenn im Mail-Postfach eine Nachricht der Bank angezeigt wird, dass wegen verdächtiger Aktivitäten dringend das eigene Konto überprüft werden müsse, reagieren viele Nutzer:innen erstmal panisch und folgen der Anweisung. Und fallen damit auf eine zunehmende Form von Internetkriminalität herein.

Was ist Phishing?

Das Wort Phishing setzt sich aus den englischen Begriffen „fishing“ (deutsch: angeln, fischen) und „password harvesting“ (deutsch: Passwort ernten) zusammen. Beim Phishing setzten Hacker:innen auf die detailgetreue Imitation von E-Mails und Websites von bekannten Anbietern – zum Beispiel Banken. Mit vertrautem Layout wird versucht, die User:innen auf Websites zu locken, die denen der echten Anbieter mehr als ähnlich sind – sie werfen die Angel aus und warten, dass jemand anbeißt.­

So sieht ein Phishing-Angriff aus. Eine Mail oder SMS von einer Institution, bei der man Kund:in ist. Doch diese Nachrichten stammen nicht vom angeblichen Absender, auch wenn sie täuschend echt aussehen. Oft erkennt man Phishing-Mails erst auf den zweiten Blick als gefährliche Täuschungsversuche, mit denen Kriminelle unsere Login-Daten, Passwörter oder andere wichtige und private Informationen stehlen wollen, um damit dann shoppen zu gehen oder sie zu verkaufen.

Das Prinzip ist perfide, denn was oft als Maßnahme gegen Betrug verkauft wird, ist selbst Betrug. Und Phishing-Mails sind ungleich schwerer zu erkennen als die inzwischen mehr oder weniger bekannten Scam-Mails – von nigerianischen Prinzen, Bankangestellten aus Singapur oder alleinstehenden Frauen aus Osteuropa, die dringend unsere Hilfe brauchen, unsere Gunst gewinnen wollen oder uns wertvolle Anlagetipps geben wollen. Phishing täuscht die Kontaktaufnahme von Unternehmen vor, mit denen man bereits zu tun hat.

Professionelle Präsentation mit Tücken

Der Klick aus der legitim anmutenden E-Mail führt oft auf eine ebenso legitim aussehende Website. Ja, das ist das Online-Interface meiner Bank, mag man denken. Also melde ich mich mal an und schaue, was das Problem ist. Aber die vermeintlich legitime Seite ist nur der Köder, und wer seine Login-Daten hier eingibt, hat angebissen.

Bei Mails von der Bank ist besondere Vorsicht geboten, denn Finanzinstitute schicken kaum bis gar keine E-Mails an ihre Kund:innen. Benachrichtigungen bezüglich neuer Kontoauszüge vielleicht, das war es dann aber auch schon. Aber Phishing-Mails erreichen uns nicht nur von vermeintlichen Bankangestellten. Auch im Namen von großen Online-Versandhäusern oder Paketdienstleistern wird viel gefischt.

Das Ziel: je mehr Daten man abgreifen kann, desto besser. Online-Shops, Zugangsdaten zu Packstationen, selbst bei Dating-Portalen ergeben sich Möglichkeiten zum Abschöpfen von Zugangsdaten. Darum gilt: Genau hinschauen, was für E-Mails man bekommt.

Smishing – Phishing via SMS

Auch per SMS ist Phishing möglich – das Prinzip nennt sich dann Smishing: Die Täter:innen verschicken dabei gefälschte Links zu Internet-Adressen. Die Folge? Vor allem auf Android-Smartphones die ungefragte Installation von Schadsoftware. Mit eine iPhone ist man hier vergleichsweise sicher unterwegs, da das Betriebssystem solche Installationen generell ablehnt oder verhindert. Mit Android-Telefonen ist das Annehmen solcher Links deutlich einfacher. Hier ist Vorsicht geboten

Phishing erkennen – So geht’s:

Aber wie finden wir heraus, welche Mails echt sind und welche von Betrüger:innen stammen? Um nicht in den Köder zu beißen, sind folgende Punkte hilfreich:

  • Ungutes Bauchgefühl
    Ein guter Basisschutz beginnt beim eigenen Bauchgefühl. Wenn uns etwas komisch vorkommt, ist es das wahrscheinlich auch.
  • Falsches E-Mail-Konto
    Wer mehrere E-Mail-Konten hat – zum Beispiel eine private und eine berufliche –, überlegt zuerst, mit welcher dieser Kennungen man sich bei seiner Bank registriert hat. Wird die Nachricht an die falsche – also eine andere – Adresse zugestellt, ist klar: Das ist ein Phishing-Versuch.
  • Unpersönliche Ansprache
    Werden wir nicht mit dem korrekten Vor- und/oder Nachnamen angesprochen, sondern unpersönlich, etwa mit „Sehr geehrter Nutzer“ oder einfach „Hallo“, deutet das darauf hin, dass die Betrüger:innen unseren Namen gar nicht kennen.
  • Frage nach Zugangsdaten
    Werden wir direkt nach unseren Zugangsdaten gefragt, oder sollen auf einen Link klicken, um sie dort einzugeben? Das machen seriöse Unternehmen in der Regel nicht.
  • Dubioser Anhang
    Finden sich im Anhang der Mail Dokumente, von denen wir nichts wissen oder die wir nicht erwarten oder angefragt haben? Dann sollten wir sie auf keinen Fall öffnen, egal um welchen Dateityp es sich handelt.
  • Komischer Link
    Ähnlich wie beim Absender gilt auch bei Links: Die URL, die sich hinter einem Linktext verbirgt, kann eine andere sein. Wohin ein Link führt, finden wir heraus, wenn wir mit dem Mauszeiger auf den Link zeigen – aber nicht klicken! Unten links im Fenster wird dann die URL eingeblendet. Auch hier gilt: Augen auf!
  • Rechtschreib- und Grammatikfehler
    Finden sich in der Mail Fehler bei Rechtschreibung, Grammatik oder Satzbau? Auch wenn sie noch so klein sind – sie entlarven Betrüger, denn seriöse Mails sind in der Regal auch fehlerfrei. 
Was ist ein E-Mail-Header?

Die meisten Mail-Programme zeigen im sogenannten Header standardmäßig nur die wichtigsten Informationen, das ist meistens der Absendername und der Betreff der Mail. Die erweiterte Ansicht erreicht man oft, indem man etwa auf einen kleinen Pfeil nach unten klickt, der im Bereich des Headers zu sehen ist. Dann erscheint unter anderem die genaue Absenderadresse. Hier ist es wichtig, genau hinzusehen, um auch kleine Ungenauigkeiten wie Buchstabendreher oder fehlende Buchstaben zu erkennen.

  • Absender und E-Mail-Header:
    Der Absendername mag plausibel klingen, aber von welcher E-Mail-Adresse wurde die Mail verschickt? Die erweiterte Ansicht des E-Mail-Headers zeigt auch die dazugehöre E-Mail-Adresse – und die verrät Betrugsversuche relativ zuverlässig. Lautet der Absendername etwa „Sparkasse Berlin“, die Mail-Adresse aber spark345@junk.mail.to, ist Vorsicht angesagt.

Wie schütze ich mich?

Vor allem mit Vorsicht und Bedacht. Wer die obenstehenden Regeln beachtet, ist auf der sicheren Seite. Außerdem gilt: Immer darauf achten, wer mich warum kontaktiert. Von wem kommt die E-Mail und kennt mein vermeintlicher Dienstleister diese Adresse überhaupt? Habe ich überhaupt ein Konto bei dieser Bank? Und habe ich wirklich etwas bestellt oder erwarte ein Paket?

Wer nicht sicher ist, wählt etwa den Weg übers Telefon und ruft beim angeblichen Absender an oder schreibt eine Nachricht auf einem anderen Weg. Das gilt vor allem bei Nachrichten von Freund:innen und Bekannten, die etwa dubiose Links enthalten. Geht es um Zugangsdaten zu einem Online-Konto, ist es hilfreich, die Adresse der Website per Hand in den Browser einzugeben und sich dort einzuloggen.