Wie schütze ich mich vor Phishing-Attacken?

Durch Phishing-Attacken verschaffen sich Betrüger Zugriff auf Bankkonten und Online-Dienste. Der folgende Artikel zeigt, wie diese Angriffe funktionieren und wie man sich dagegen schützen kann.

Die E-Mail sieht aus, als käme sie von der Sparkasse. Logo und Schriftbild stimmen, der Inhalt klingt auf den ersten Blick plausibel. Die Sparkasse habe eine Datensicherung vorgenommen. Nun brauche es noch einen letzten manuellen Schritt des Kunden, damit sein Konto vollständig geschützt sei. Darunter befindet sich eine Schaltfläche mit der Aufschrift "Daten sichern". Wer darauf klickt, wird auf ein Formular weitergeleitet, das nach den Zugangsdaten zum Online-Banking fragt.

Achtung, Betrug!

Doch Vorsicht: Die Mail stammt nicht von der Sparkasse, sondern von Betrügern. Es handelt sich um eine typische Phishing-Attacke. Der Begriff "Phishing" stammt aus der Hacker-Szene und leitet sich vom englischen Wort "fishing" (auf Deutsch: fischen, angeln) ab. Die Kriminellen angeln nach Zugangsdaten. Als Köder versenden sie massenweise E-Mails im Namen einer vertrauenswürdigen Institution, in denen sie unter einem Vorwand nach Daten wie Benutzernamen, Passwort und TAN-Nummern fragen.

Meist geben die Mails vor, von einer Bank, einem Kreditkartenunternehmen oder einem Zahlungsdienstleister wie PayPal zu stammen. Mit den erbeuteten Zugangsdaten greifen die Betrüger auf das Guthaben ihrer Opfer zu. E-Commerce-Plattformen wie eBay oder Amazon sind bei den Betrügern als angebliche Absender ebenfalls beliebt. In diesem Fall nutzen die Verbrecher die Identität ihrer Opfer, um in deren Namen betrügerische Kaufs- oder Verkaufsgeschäfte abzuwickeln.

Wie erkenne ich Phishing-Mails?

Bei oberflächlicher Betrachtung wirken Phishing-Mails zwar oft täuschend echt. Auf den zweiten Blick weisen sie jedoch typischerweise einige Merkmale auf, anhand derer sie sich von echten Nachrichten unterscheiden lassen. Da hinter den Attacken vielfach ausländische Tätergruppen stehen, fallen Phishing-Mails nicht selten durch ein gebrochenes Deutsch oder eine ungewöhnliche Ausdrucksweise auf. Zudem fordern sie meistens eine unverzügliche Antwort. So drohen sie etwa eine Kontosperre an, falls der Empfänger nicht innerhalb von zwei Tagen reagiert.

blocberry - GettyImages

Ein weiteres Erkennungsmerkmal ist die unpersönliche Anrede. Phisher versenden ihre E-Mails aufs Geratewohl an Tausende von Adressen. Die Namen der Empfänger sind ihnen in der Regel nicht bekannt. Banken und Online-Portale kennen hingegen ihre Kunden und sprechen sie mit Namen an. Vor allem bittet keine Bank per E-Mail um die Angabe sensibler Daten. Passwörter und TAN-Nummern werden ausschließlich auf dem Postweg kommuniziert. Davon abgesehen verfügen die Banken häufig nicht einmal über die Mail-Adresse ihrer Kunden.

So schütze ich mich vor Phishing

Ist unklar, ob die Nachricht tatsächlich von der Bank stammt, macht es Sinn, dort anzurufen. Die Telefonnummer sollte man indes nicht der fraglichen E-Mail entnehmen. Schließlich könnten hinter der dort genannten Nummer Betrüger stehen. Im Zweifelsfall gilt: Eine verdächtige E-Mail besser löschen, keinesfalls aber auf einen darin befindlichen Link klicken. Denn bereits das Öffnen einer präparierten Webseite kann dazu führen, dass der Rechner mit Schadsoftware infiziert wird.

Um von Phishing-Mails verschont zu bleiben, empfiehlt es sich, die eigene Mail-Adresse nicht auf öffentlich zugänglichen Webseiten oder Online-Foren zu publizieren. Die wichtigsten E-Mail-Anbieter schützen ihre Kunden außerdem durch einen sogenannten SPAM-Filter, der unerwünschte Mails aussortiert. Gegebenenfalls muss der SPAM-Filter durch den Kunden aktiviert werden. Schutz bieten auch ein aktueller Virenscanner und das regelmäßige Updaten von Browser und E-Mail-Programm.

Wer auf eine Phishing-Attacke reagiert und den Tätern persönliche Daten geliefert hat, sollte nach Erkennen dieses Fehlers sofort alle kompromittierten Passwörter ändern. Betreffen die Daten das Bankkonto, gilt es unverzüglich die Bank zu benachrichtigen und den Online-Zugriff auf das Bankkonto bis zum Erhalt neuer Zugangsdaten sperren zu lassen.