Phishing-Tricks erkennen und sich davor schützen

Phishing kommt vom englischen "password harvesting" ("Passwörter ernten") und "fishing" ("angeln"). Es geht um Versuche, Menschen mit gefälschten Nachrichten, Mails oder SMS auf Betrugsseiten zu locken. Dort versuchen die Angreifer dann Zugangsdaten zu stehlen, etwa fürs Online-Banking, oder Schadsoftware auf die PCs der Opfer zu bringen. Phishing passiert unter Umständen auf gefälschten Internetseiten, die etwa die Amazon-Seite eins zu eins kopieren und nach Anmeldedaten fragen – und diese dann speichern. Die Betrüger versuchen auch, ihre Opfer mit falschen Rechnungen, Abmahnungen, angeblichen Kontolöschungen oder Ähnlichem auf die Seite zu locken.

Eine aktuell sehr beliebte und extrem perfide Betrugsmasche ist der neue Dreiecksbetrug. Dabei bestellen Sie bei Amazon Marketplace, Ebay oder ähnlichen Portalen eine Ware und bezahlen sie per Vorkasse. Der Betrüger nimmt dann Ihre Daten, um die bestellte Ware bei einem anderen Händler in Ihrem Namen auf Rechnung zu bestellen. Sie bekommen kurz darauf die Ware und denken, alles sei in Ordnung. Ein paar Wochen später erhalten Sie Mahnungen, weil Sie die Rechnung nicht gezahlt haben, die oft noch nicht einmal bei Ihnen ankam. Betrüger nutzen beim Bestellen nämlich falsche E-Mail-Konten, damit der Betrug nicht auffliegt. Die Ware müssen Sie dann zurückschicken, das Geld sehen Sie aber nicht wieder. Zudem haben Sie den Stress, zu beweisen, dass Sie die Waren wirklich nicht bestellt haben.

Aus Hacks von Internetseiten gibt es im Internet mittlerweile Milliarden Datensätze zu Dumping-Preisen. Die darin enthaltenen Passwörter sind häufig schon geändert. Der Name und die E-Mail-Adresse bleiben aber in der Regel gleich. Das machen sich Cyberkriminelle zunutze und verschicken automatisch generierte Mails mit persönlicher Ansprache – oft mit vermeintlichen Rechnungen. Wer diesen Trick nicht kennt, möchte sich das Ganze vielleicht genauer anschauen und öffnet den Anhang. Tun Sie das nicht! Sind Sie Kunde beim vermeintlichen Absender? Dann öffnen Sie die zugehörige Internetseite direkt und schauen dort nach oder kontaktieren den Support. Sind Sie kein Kunde, ignorieren Sie die Mail einfach.

Haben die Kriminellen ein E-Mail-Konto gekapert, verschicken sie auch gern mal an das komplette Adressbuch eine Mail, die so aussieht, als hätte der Kontakt eine Datei geteilt. Darin steckt aber ein Trojaner, der die Kontrolle über den PC übernimmt oder persönliche Dateien verschlüsselt und Lösegeld verlangt, sobald man ihn startet. Auch in diesem Fall gilt: Kommt es Ihnen komisch vor, dass Sie diese Datei erhalten? Dann fragen Sie beim Absender auf anderem Wege nach, etwa per Telefon. Öffnen Sie die Datei nicht, wenn Sie nicht sicher sind, dass sie harmlos ist!

Ebenso gern nutzen Betrüger (angeblich) verirrte Mails. Beispielsweise stammen solche Nachrichten scheinbar von der Personalabteilung, enthalten Gehaltsliste oder Budgets und sollten eigentlich an den Chef gehen, sind aber zufällig bei Ihnen gelandet. Hier ist der Trick, die Neugier des Empfängers auszunutzen. Dem ist absolut klar, dass die Mail nicht für ihn gedacht ist, er kann daher auch nicht nachfragen. Aber natürlich interessiert ihn auch, was die anderen so verdienen oder wie hoch das Budget der Abteilung ist. Verzichten Sie darauf, reinzugucken! Es ist äußerst unwahrscheinlich, dass die Mail sich tatsächlich verirrt hat. Stattdessen dürfte sie Malware enthalten.

Mit Makros lassen sich einfache Funktionen in Office programmieren und so etwa Berechnungen für Tabellen erledigen. Kriminelle nutzen Makros aber auch dazu, Ihren PC anzugreifen. Sie sollten sie daher nur dann aktivieren, wenn Sie genau wissen, was diese bewirken. Phishing-Versender nutzen regelmäßig Makros in angehängten Dokumenten und verweisen oft darauf, dass man diese mit mobilen Geräten erstellt hat und Sie sie daher aktivieren müssen, damit sie korrekt angezeigt werden. Das ist Quatsch! Wer so etwas behauptet, will Ihnen Schadsoftware unterjubeln.

Wenn wir geschockt sind, reagieren wir sehr schnell und denken oft nicht richtig nach. Genau das wollen die Internet-Betrüger. Deshalb schicken sie Horror-Botschaften über hohe Rechnungen oder eventuelle Gerichtsverfahren, behaupten, dass etwas mit wichtigen Benutzer-Accounts oder Bankkonten nicht stimmt und Ähnliches. Meist ist ein Link enthalten, der zu einer gefälschten Webseite führt. Dort wollen die Angreifer dann Ihre Anmeldeinformationen abgreifen und setzen darauf, dass Sie in der Eile nicht so genau hinsehen. Deshalb: Egal welche Horror-Botschaften per Mail kommen, bleiben Sie ruhig und denken Sie nach. Ist es wirklich üblich, solche Nachrichten per E-Mail zu erhalten? Und ist das wirklich die korrekte Internetseite?

Corona ist nach wie vor allgegenwärtig – und viele interessieren sich für aktuelle Zahlen, neue Regeln, Masken und mehr. Auch das nutzen die Kriminellen aus und locken etwa mit Super-Sonderangeboten, exklusiven Infos oder Ähnlichem. Die Ware kommt natürlich nie an, und die Informationen gibt es auch so im Netz. Dafür hagelt es saftige Rechnungen, gefälschte Anwaltsschreiben oder Schadsoftware. Seien Sie daher auch bei E-Mails mit Corona-Bezug sehr vorsichtig.

Viele Schutzprogramme untersuchen E-Mail-Anhänge und melden, wenn dort etwas Verdächtiges enthalten ist. Einige Angreifer sind daher dazu übergegangen, Mail-Anhänge aus der Cloud einzubinden. Die Dateien sind dann nicht wirklich angehängt, sondern nur als Link in der Mail und liegen in Wirklichkeit auf Online-Speichern wie OneDrive oder Dropbox. Sofern es sich nicht um sehr große Dateien oder die vertrauenswürdige Firmen-Cloud handelt, sind solche Links zu Cloud-Speichern verdächtig. Seien Sie daher in diesen Fällen besonders skeptisch.

Auch Smartphone-Besitzer sind vor Phishing-Versuchen nicht sicher: Immer häufiger verschicken Kriminelle SMS-Nachrichten, die auf angeblich wartende Pakete oder Sprachnachrichten hinweisen. Die Empfänger sollen einen Link für weitere Infos öffnen und landen auf altbewährten Betrugsseiten. Da die Absender ständig wechselnde Nummern verwenden, lassen sich diese nicht zuverlässig blockieren. Am besten ignorieren Sie solche Nachrichten.

Die meisten Menschen haben einen instinktiven Impuls, anderen in Not zu helfen. Das nutzen Kriminelle aus. Mit Videos von kranken Kindern, deren Eltern sich die Arztrechnung nicht leisten können, Kriegsopfern und Ähnlichem bitten sie um Spenden. Die landen aber natürlich nicht bei den im Video gezeigten Personen. Wenn Sie spenden möchten, tun Sie das besser direkt bei Hilfsorganisationen. Davon gibt es viele für unterschiedlichste Zwecke. Spenden Sie auf keinen Fall mit Kryptowährung. Dahinter steckt so gut wie immer Betrug.

Andere Kriminelle schreiben junge Frauen auf Instagram an, dass sie deren Sugardaddy sein wollen. Ihre Frau sei gestorben und sie bräuchten einfach jemanden zum Reden und seien bereit, dafür viel Geld zu bezahlen. Bei der Bezahlung schicken sie dann einen Screenshot, der zeigen soll, dass etwas nicht geklappt hat. Um das zu korrigieren, sollen die Frauen einen kleinen Betrag schicken, der dann mit dem Sugardaddy verschwindet. Nutzen Sie niemals die PayPal-Funktion "Geld an Freunde senden", wenn es keine Freunde sind.

Neuerdings sehr beliebt ist auch die Masche, sich per SMS oder WhatsApp mit einer unbekannten Nummer zu melden und als Sohn oder Tochter auszugeben. Angeblich sei dies die neue Nummer, man solle sie speichern und doch gleich eine Nachricht schicken. Wer das macht, bekommt eine traurige Geschichte über ein kaputtes Auto oder Ähnliches erzählt. Darauf folgt die Bitte, ob man nicht die Rechnung übernehmen könne, weil gerade das Online-Banking oder die Kreditkarte streikt. Die Beträge liegen im hohen Hunderter- oder niedrigen Tausender-Bereich, sodass Eltern das durchaus einmal vorstrecken würden. Ein Anruf bei der alten Nummer oder über das Festnetz lässt den Schwindel schnell auffliegen.

Am häufigsten tritt Phishing im Zusammenhang mit Banken auf, weil dort logischerweise am meisten Geld zu holen ist. Aber immer häufiger zielen die Betrüger auch auf Accounts, die sie einfach weiterverkaufen können, etwa Konten bei Streaming-Anbietern wie Disney+ und Netflix. Wie die Verbraucherzentrale am 8. Mai 2023 warnte, sind derzeit entsprechende Mails im Umlauf. Darin ist von einem Zwischenfall die Rede, der angeblich das automatische Verlängern des Abos verhindert. Zum Beheben des vermeintlichen Problems locken die Kriminellen auf eine Phishingseite. Achtung: Die Geschichte ist natürlich frei erfunden! Die Betrüger versuchen, damit Ihre Zugangsdaten abzugreifen und zu verkaufen.

KI (künstliche Intelligenz) wie ChatGPT lässt sich nicht nur für legale Zwecke einsetzen. Auch Kriminelle greifen immer häufiger darauf zurück. So nutzen einige Cyberkriminelle beispielsweise KI, um Stimmen nachzuahmen. Damit wirken Anrufe von Familienangehörigen gleich viel echter und die potenziellen Opfer sind schneller bereit, Geld zu überweisen. Angreifern genügen schon ein paar Sekunden, in denen der oder die Imitierte etwas sagt, um per KI eine Stimme zu imitieren. Einziger Schutz: ein Codewort mit Ihrer Familie für Geldangelegenheiten festlegen. Andere Betrüger verwenden KI zum Übersetzen oder Formulieren glaubhafter, fehlerfreier Texte.

Leider machen die Betrüger auch vor Ihrem wohlverdienten Urlaub nicht halt: Betrüger inserieren Fake-Angebote auf bekannten Portalen wie Booking.com. Die Angebote sind oft kopiert und sehen daher echt aus. Die Ferienwohnung selbst gibt es aber nicht oder gehört jemand anderem. Mit Rabatten versuchen die Kriminellen, auf externe Seiten zu locken und zur Vorabzahlung zu verleiten. Wer das macht, ist sein Geld los und steht am Urlaubsort vor verschlossener Tür. Wie Sie sich davor am besten schützen, erklärt COMPUTER BILD im Ratgeber zu Betrug mit Ferienwohnungen.

Was mit Ferienwohnungen geht, klappt leider auch mit Mietwohnungen. Die Masche ist ähnlich: In Wohnungsportalen werden Anzeigen geschaltet. Der Besichtigungstermin findet dann ohne Makler statt, den Wohnungsschlüssel gibt es in einer Schlüsselbox mit Zahlenschloss. Kurz nach der Besichtigung gibt es die Zusage und sogar einen Online-Mietvertrag. Vor der Schlüsselübergabe verlangen die Betrüger dann Kaution und die erste Miete. Zur Übergabe erscheinen aber nur andere Opfer, die ebenfalls auf den Betrug hereingefallen sind. Seien Sie daher auch bei der Wohnungssuche auf der Hut und prüfen Sie Anbieter im Internet. Besichtigungen ohne Begleitperson und Schlüsselboxen sollten Sie skeptisch machen.

Konzerttickets sind oft schnell vergriffen und dann geht die Suche nach Alternativen zu den offiziellen Verkaufsstellen los. Das nutzen Betrüger aus und bieten in Fake Shops, per Phishing-Mail oder über Facebook & Co. Tickets an. Alle diese Angebote sind Fakes: Es gibt gar keine Tickets und wenn Sie zahlen, ist das Geld weg. Prüfen Sie daher die Verkäufer vor dem Kauf ganz genau. Lässt sich bei Google nichts finden oder nur Negatives, lassen Sie besser die Finger davon. Mit privaten Verkäufern vereinbaren Sie ein Treffen und tauschen dort Ticket gegen Bargeld. Kein Betrug, aber Wucher ist sogenanntes Ticket-Scalping. Das machen Anbieter, die Tickets in Minuten nach dem Verkaufsstart aufkaufen und anschließend zu horrenden Preise anbieten, sobald das Konzert offiziell ausverkauft ist. Sie zahlen dort oftmals ein Vielfaches des regulären Preises. Die Konzertkarten erhalten Sie dann zwar, aber COMPUTER BILD rät trotzdem davon ab, da die Preise einfach dreist sind und der Kauf die Scalper unterstützt.

Mit QR-Codes versuchen Kriminelle den Virenschutz auf dem PC zu umgehen. Statt eines schädlichen Links enthalten Phishing-Mails daher immer häufiger QR-Codes. Die sind im Prinzip nichts anderes als ein Link als visuelle Darstellung, lösen beim Virenschutz aber keinen Alarm aus. Seien Sie daher besonders vorsichtig, wenn Sie Mails mit QR-Codes erhalten. Leider gilt das nicht nur für Mails: Auch in Papierform betrügen Kriminelle mit QR-Codes. So gibt es beispielsweise gefälschte Strafzettel, die per QR-Code auf eine angebliche Polizei-Seite zum Bezahlen der Strafe verweisen. Oder Kriminelle überkleben QR-Codes auf Werbeplakaten. Auch hier steckt Betrug dahinter. Beim Scannen sehen Sie sehr klein die URL. Prüfen Sie diese spätestens bei der geöffneten Seite in der Adresszeile. Ist die URL kryptisch oder passt nicht zum Thema, schließen Sie den Browser direkt wieder.

Eine recht neue und extrem kostspielige Masche ist der Kredit-Betrug. Den gibt es in zwei Varianten. Bei der ersten locken die Kriminellen mit großen Gewinnen durch den Handel mit Kryptowährungen oder durch das Anbieten von Spenden für Opfer von Kriegen auf ihre Seiten. Damit Sie handeln oder spenden können, sollen Sie dann ein Konto eröffnen. Dazu ruft Sie sogar jemand an und begleitet Sie durch die Erstellung. Zum Schluss ist dann eine Video-Ident-Verifizierung notwendig, bei der Sie Ihr Gesicht und Ihren Ausweis in die Kamera halten. Was Sie nicht wissen: Im Hintergrund hat der Kriminelle nicht nur das Konto eröffnet, sondern auch gleich einen Kredit beantragt und eigene Zugangsdaten eingegeben. Wer darauf hereinfällt, hat ziemlich viel Aufwand und Ärger am Hals, um zu beweisen, dass er oder sie nichts von dem Kredit wusste. Die zweite Masche ist noch hinterlistiger: Die Kriminellen bieten Wohnungen an und verlangen vor der Besichtigung alle Daten inklusive Bankdaten und Schufa-Auskunft. Das wirkt gar nicht so ungewöhnlich. Mit den Daten wenden sich die Kriminellen dann aber an Ihre Bank, um die Online-Banking-App zu ändern oder neu zu registrieren. Die Bank schickt dafür einen Bestätigungscode per Post an Ihre Adresse. Viele denken sich aber nichts dabei, weil der Brief ja wirklich von der Bank stammt und folgen den Anweisungen, um den Code einzugeben. Damit übernehmen die Kriminellen die Kontrolle über Ihr Konto, fordern einen Kredit an und räumen das Konto leer. Auch hier ist es nicht einfach, aus der Situation rauszukommen, da die Opfer die Übernahme selbst bestätigt haben. Um sich zu schützen gilt: Eröffnen Sie Konten immer selbst und wenn Ihre Bank Ihnen unaufgefordert Bestätigungscodes schickt, fragen Sie bei der Bank nach, wofür der ist.

Es gibt eine Menge Hinweise darauf, ob hinter einer Mail ein Phishing-Versuch steckt oder nicht. Viele sind jedoch nicht auf den ersten Blick zu erkennen:

Bei allen Vorsichtsmaßnahmen kann es passieren, dass man doch mal auf eine gut gemachte Masche hereinfällt. Dann ist schnelles Handeln gefragt. Hier die wichtigsten Tipps, was Sie in so einem Fall tun sollten:

Phishing-Mails lassen sich als Spam bei der Bundesnetzagentur melden. Da hinter den Nachrichten aber keine eingetragenen Firmen, sondern Internet-Kriminelle stecken, führt eine Beschwerde in den meisten Fällen zu nichts. Eine weitere Möglichkeit: Bei vielen E-Mail-Anbietern lässt sich Spam melden, damit solche Nachrichten automatisch aus dem Posteingang aller Nutzer verschwinden. Wie genau das geht, ist von Anbieter zu Anbieter unterschiedlich. Bei Gmail zum Beispiel antworten Sie auf die E-Mail, klicken auf die drei Punkte und auf Phishing melden. Sollten Sie tatsächlich Schaden durch Phishing genommen haben, melden Sie den Vorfall der Polizei und Ihrer Bank oder dem Anbieter, bei dem der Schaden entstanden ist. Unter Umständen bekommen Sie dadurch im Schadensfall wenigstens Ihr Geld zurück.

Das Sicherheitsunternehmen Cloudflare hat Phishing-Mails weltweit untersucht und die Unternehmen gefunden, die Phishing-Versender am häufigsten für ihre Betrügereien missbrauchen. Bei Mails von diesen Absendern sollten Sie daher besonders genau hinschauen, ob die auch wirklich echt sind:

Weitere Unternehmen finden Sie im Blog-Beitrag bei Cloudflare. Auffällig ist, dass die Liste sehr viele Firmen aus dem Banken-/Finanz-Sektor enthält. Zudem sind natürlich auch die beliebtesten Hersteller und Internetdienste mit dabei. Sind Sie sich nicht sicher, ob eine Mail echt ist oder nicht, rufen Sie den Support des Unternehmens an und fragen Sie nach.