Zum Hauptinhalt springen
 
Eingaben löschen
logo logo
FRAGEN & BESCHWERDEN

Phishing: So wollen Betrüger an Ihre Daten

Der Begriff Phishing setzt sich aus den Begriffen "Passwort" und dem englischen Wort "Fishing" zusammen.

Beim Phishing versuchen Internet-Betrüger durch gefälschte E-Mails, SMS, Internetseiten oder QR-Codes an Ihre Nutzerdaten zu kommen, zum Beispiel an Passwörter, persönliche Daten oder Bankdaten, um diese danach für andere Betrügereien zu nutzen. Werden QR-Codes genutzt, spricht man von Quishing.

Wie läuft der Phishing-Betrug ab?

Getarnt als Internetprovider, seriöse Bank oder Versandunternehmen fordern Kriminelle Verbraucherinnen und Verbraucher in ihrer E-Mail oder SMS dazu auf, einen Link anzuklicken.

Der Vorwand: zum Beispiel ein angeblicher Sicherheitsvorfall, der eine Erneuerung des Passwortes oder der persönlichen Daten notwendig macht. 

Auch beim Online-Banking werden Verbraucherinnen und Verbraucher immer wieder Opfer von Phishing-Betrug. In den Nachrichten werden sie gebeten ihre Kontoinformationen zu bestätigen, da sonst die Kreditkarte ablaufe.

Viele Menschen halten diese Mails und Internetseiten für seriös und geben daraufhin ihre Daten auf der gefälschten Internetseite ein.

Die Betrügerinnen und Betrüger sind dann im Besitz der Zugangsdaten und können diese beliebig für ihre Zwecke einsetzen.

Dabei spekulieren die Kriminellen darauf, dass sich unter den Empfängerinnen und Empfängern einer Spam-Mail stets genügend Kundinnen und Kunden der im Absender genannten Organisation befinden. Kein Wunder, dass der Name großer Bankengruppen wie die Sparkassen oder Volks- und Raiffeisenbanken so häufig für Phishing-Spam missbraucht wird.

Tipps, damit Sie kein Opfer von Phishing werden

  • Geben Sie niemals Ihre persönlichen Daten oder Bankinformationen im Internet preis!
  • Ihre Bank wird Sie niemals dazu auffordern, Ihre individuelle PIN oder andere Online-Banking-Schlüssel per E-Mail zu übermitteln oder im Internet irgendwo einzugeben. Im Zweifel kontaktieren Sie bitte immer zuerst Ihre Bank.
  • Achten Sie genau auf die E-Mail-Adresse der absendenden Person: Meist lässt bereits die Adresse erahnen, dass etwas nicht stimmt. Sie enthält oftmals Tippfehler oder hat überhaupt keinen Bezug zum vermeintlichen Absender bzw. zur vermeintlichen Absenderin.
  • Außerdem verwenden Banken, die Post und andere Unternehmen niemals kostenlos einrichtbare E-Mail-Adressen wie GMX, Hotmail, T-Online, Google etc.
  • Häufig sind die E-Mails in schlechtem Deutsch verfasst, da automatische Übersetzungsprogramme genutzt werden.  Aber längst nicht mehr alle Phishing-E-Mails sind durch grammatikalische Fehler zu erkennen. Denn die KI wird von Tag zu Tag besser.
  • In den meisten Fällen erfolgt die Ansprache nur mit „Sehr geehrte Kundin" oder "Sehr geehrter Kunde“ - oder ähnlich allgemein gehalten Ansprachen. Ein Unternehmen, das Sie kennt, oder Ihre Bank sprechen Sie mit vollem Namen an.
  • Betreffzeilen wie z. B. "Datenbestätigung erforderlich" oder "Aktualisierung Ihrer Nutzerdaten" sollten Sie misstrauisch machen. Öffnen Sie daher keine auffälligen E-Mails.
  • Haben Sie Zweifel, ob die Nachricht tatsächlich vom vermeintlichen Absendenden stammt, kontaktieren Sie das Unternehmen, von dem diese Nachricht angeblich geschickt wurde. So können Sie schnell und unkompliziert herausfinden, ob tatsächlich eine solche Nachricht an Sie versendet worden ist.
  • Lassen Sie sich nicht unter Druck setzen. Nehmen Sie sich immer ausreichend Zeit, um die Nachricht zu lesen und das, was man von Ihnen fordert, genau zu überprüfen und zu hinterfragen.
  • Zusätzlich stellen viele Unternehmen auf ihrer Website präventive Informationen zum Thema Phishing bereit. Hier wird z. B. mit Bildern gezeigt, wie eine originale E-Mail-Adresse des Unternehmens aussieht, erklärt, welche Angaben (niemals) von Verbraucherinnen und Verbrauchern per Mail abgefragt werden und auf welche Art und Weise das Unternehmen üblicherweise mit den Kundinnen und Kunden Kontakt aufnimmt. Außerdem werden oft Kontaktdaten angegeben, unter denen Sie sich über Phishing informieren können.
Eine blaue Kreditkarte hängt an einem Angelhaken.

Quishing - QR-Code Phishing

Ein QR-Code (Quick Response Code) ist ein zweidimensionaler Barcode, der wie ein schwarz-weißes Quadrat aussieht. Wer diesen Code mit seinem Smartphone scannt, gelangt zum Beispiel auf Webseiten, zu Kontaktinformationen, Bezahlmethoden, Veranstaltungen und Tickets. Der Vorteil: Schneller und einfacher Zugriff auf Internetseiten, ohne ewig lange Adressen eingeben zu müssen. Heute findet man die QR-Codes fast überall: auf Plakaten, Ladesäulen, Parkautomaten oder in Restaurants.

Eigentlich praktisch, gäbe es da nicht eine neue Betrugsmasche, die bereits in Frankreich, Italien, Belgien, der Schweiz und Deutschland verbreitet ist: QR-Code-Phishing, auch „Quishing“ genannt.

Dabei werden z. B. echte QR-Codes von Ladesäulen für Elektroautos oder Parkautomaten mit gefälschten überklebt. Wer den Code scannt, landet auf einer Bezahlseite, die der echten Internetseite zum Verwechseln ähnlich sieht. Wer auf dieser gefälschten Bezahlseite seine Kreditkartendaten eingibt, riskiert die Abbuchung hoher Geldbeträge, erhält aber nicht die gewünschte Leistung.

Diese Masche gibt es aber nicht nur digital, sondern auch per Post. Zum Beispiel in Form von Briefen mit QR-Code, in denen beispielsweise Banken zur Aktualisierung des photoTAN-Verfahrens auffordern. Wer den Code auf dem Brief scannt und dann den Anweisungen folgt, gibt meist seine Zugangsdaten zum Online-Banking preis. Und schon werden ungewollt Geldbeträge vom Konto abgebucht.

Auch falsche QR-Codes zur Bezahlung von vermeintlichen Strafzetteln, die an der Windschutzscheibe hängen, führen zu betrügerischen Bezahlseiten.

So schützen Sie sich vor Quishing

  • Überprüfen Sie den Link hinter dem QR-Code. Nutzen Sie dazu einen QR-Code-Scanner, der diesen anzeigt.
     
  • Klicken Sie verdächtige oder verkürzte Links nicht an.
     
  • Verwenden Sie eine Sicherheitssoftware, die gefährliche Webseiten blockiert.
     
  • Seien Sie an Ladesäulen und Parkautomaten wachsam: Wurde der Code überklebt? Dann scannen Sie ihn nicht.
     
  • Wenn Sie den Code per Brief erhalten, nehmen Sie Kontakt zum Unternehmen auf, aber nicht über die im Brief angegebene Telefonnummer, und fragen Sie nach der Echtheit des Schreibens.
     
  • Laden Sie Park- oder Ladesäulen-Apps nur aus offiziellen Stores herunter, nicht über QR-Codes.
     
  • Aktiviere Sie eine 2-Faktor-Authentifizierung bei Ihrer Bank und für Ihre Online-Konten, so dass Unbefugte darauf keinen Zugriff haben.
     
  • Werden Sie misstrauisch, wenn eine dringende Aufforderung zum Handeln versandt wird (Sicherheitsproblem, Zahlungsaufforderung), die einen QR-Code enthält. Seriöse Firmen fordern bei solchen Problemen keine Reaktion mittels QR-Codes.
     
  • Wenn Sie Opfer eines Betrugs geworden sind, wenden Sie sich sofort an die Polizei und Ihre Bank.

Sie haben Fragen rund ums Thema eCommerce? Wir sind für Sie da.

Füllen Sie einfach unser Kontaktformular aus.

Logo des Bundesministeriums der Justiz und für Verbraucherschutz
Icon mit Facebook-Symbol vor grün-blauem, runden Hintergrund
Icon mit Instagram-Symbol vor grün-blauem, runden Hintergrund
Icon mit LinkedIn-Symbol vor grün-blauem, runden Hintergrund
Icon mit Youtube-Symbol vor grün-blauem, runden Hintergrund
Icon mit Newsletter-Symbol vor gelbem, runden Hintergrund