Phishing-Mails
Phishing-Mails sind eine der ältesten Online-Betrugsarten. Täter:innen fälschen Mails von Unternehmen und versuchen die Empfänger:innen auf gefälschte Login-Seiten zu lenken oder verlangen Passwörter und Zugangsdaten.
Seriöse Unternehmen oder Banken fragen Sie niemals nach Zugangsdaten oder persönliche Daten!
Vorgehensweise
Eine Phishing-Mail gaukelt dem Empfänger oder der Empfängerin vor, von vertrauenswürdigen Unternehmen bzw. Institutionen zu stammen (Bank, PayPal, Post, DHL, …). Es wird versucht, die Zugangsdaten zum Portal dieser Institution herauszulocken oder die Empfänger:innen dazu zu bringen, eine Schadsoftware herunterzuladen. Zu den möglichen Merkmalen einer Phishing-Mail gehören:
- Unpersönliche Anrede
- Inkorrekt dargestellte Sonderzeichen und Umlaute
- Zweifelhafte Rechtschreibung und Grammatik
- Drohender Tonfall („Wenn Sie nicht Folge leisten, dann fallen Gebühren an!“)
- Verlangen von persönlichen Daten
Mit den Zugangsdaten (Verfüger + PIN) ausgestattet, machen sich die Täter:innen nun daran, auch tatsächliche Zahlungen herbeizuführen. Dies kann folgendermaßen geschehen:
- Verleiten des Opfers zum Download einer vermeintlichen „Sicherheitssoftware“, welche in Wahrheit eine Schadsoftware ist. Diese erlaubt es den Kriminellen dann eine TAN-SMS weiterzuleiten oder alles auf dem Gerät der Betroffenen mitzulesen.
- Telefonische Kontaktaufnahme mit Kund:innen, wobei die Betrüger:innen sich als helfende Bankmitarbeitende vorstellen und unter dem Vorwand einer „Verifizierung“ dem Opfer TAN-Codes entlockt (mehr dazu kannst du hier lesen).
- Weitergabe einer TAN zur Umstellung des TAN-Verfahrens – damit können Betrüger:innen einstellen, dass zukünftige TAN Benachrichtigungen ausschließlich an sie gesendet werden. So bemerken die Opfer nicht, wenn ihre Konten für Onlinebezahlungen verwendet werden.
Warum es funktioniert
Viele Menschen sind bereit unbegrenzt Informationen und Zugriffsdaten preiszugeben, wenn sie davon überzeugt sind mit einer offiziellen Instanz (Polizei, Bank, Post) zu reden. Oftmals will man auch beweisen, „dass man sich mit der ganzen Technik auskennt" und leistet den Forderungen Folge, um nicht als unwissend wahrgenommen zu werden. Oft lesen Empfänger:innen E-Mails der Bank ohne auf Details zu achten und „überfliegen“ den Inhalt lediglich, um herauszufinden, ob sie einer Forderung nachkommen müssen. Ist diese Forderung gefunden, werden Herkunft, Wortlaut, Sprache und Inhalt nicht weiter auf Sinnhaftigkeit hinterfragt. Da diese Betrugsmasche so authentisch wirkt, ist manchen Kund:innen gar nicht klar, dass sie aktiv vertrauliche Daten an Fremde weitergegeben haben.
Wie du dich schützen kannst
- Bei E-Mails von offiziellen Institutionen immer den gesamten Text lesen und den Inhalt auf korrekte, persönliche Anrede, plausiblen Inhalt, sowie korrekten Sprachgebrauch prüfen.
- Niemals unter Druck setzen lassen! Droht eine E-Mail mit anfallenden Gebühren, wenn man den Anweisungen nicht folgt, ist der Hintergrund unseriös.
- Kontrolliere die Webadresse einer Seite, bevor du sie öffnest. Wenn Buchstaben durch Zahlen und andere Zeichen ersetzt wurden oder der Name der vermeintlichen Institution falschgeschrieben oder abgekürzt ist, sind dies Hinweise auf eine Falle.
- Immer darauf achten, dass die Login-Seite auch tatsächlich verschlüsselt ist, beginnend mit https://.
- Mitarbeiter:innen von Banken fordern Kund:innen niemals auf, vertrauliche Daten per E-Mail oder per Telefon bekanntzugeben (z.B. Zugangsdaten zum Online Banking, Durchgabe von TANs, PIN Codes, Ausweisdaten, etc.).
- Das regelmäßige Installieren von Updates schließt Sicherheitslücken und schützt vor Viren, Würmern und anderen Bedrohungen.
- Die regelmäßige Aktualisierung der Antivirussoftware ist für die Sicherheit des Heimrechners ebenfalls essenziell.
- Die Installation von Apps sollte nur aus offiziellen Stores (Google Play Store, App Store) stattfinden.
Quelle: Watchlist Internet