Virtuelle Hand tippt auf einer Tastatur

Service-Portal.

Wiki: Phishing.

Was Sie über Phishing wissen sollten.

Online-Banking: So schützen Sie sich besser gegen Phishing-Betrüger.

Phishing ist eine Betrugsmethode, bei der Kriminelle versuchen, durch gefälschte E-Mails oder Webseiten an persönliche Daten wie Passwörter oder Kreditkarteninformationen zu gelangen. Die Betrüger geben sich oft als vertrauenswürdige Institutionen, wie Banken oder Online-Dienste, aus. Opfer werden dazu verleitet, auf Links zu klicken oder Anhänge zu öffnen, die Malware installieren oder persönliche Informationen preisgeben. Ziel ist es, diese Daten für finanzielle Betrügereien oder Identitätsdiebstahl zu nutzen. Wie Sie Phishing-Angriffe rechtzeitig  erkennen und sich davor schützen können, erfahren Sie hier.

Was ist Phishing?

Phishing ist ein Kunstwort, das sich aus den englischen Wörtern Password (Passwort) und Fishing (angeln, fischen) zusammensetzt. Beim Phishing arbeiten Betrüger unter anderem mit gefälschten E-Mails, Anrufen oder SMS. Dabei gaukeln sie ihren Opfern eine falsche Identität vor, um ihnen persönliche Informationen wie Zugangsdaten, Kreditkarteninformationen oder TAN-Nummern „abzufischen“ und damit selbst Geschäfte zu machen. Das BKA stuft Phishing daher in den meisten Fällen als Identitätsdiebstahl ein.

Meist nutzen die Angreifer trügerische E-Mails. Der Betrug erfolgt laut Bundesamt für Sicherheit in der Informationstechnik (BSI) dabei meist in zwei Schritten.

  1. Sie erhalten eine vertrauenswürdig aussehende E-Mail eines Ihnen bekannten Unternehmens. Das kann ein Onlineshop sein oder Ihre Bank. Auf den ersten Blick sieht die E-Mail täuschend echt aus, von der Grafik bis zu den Formulierungen. Als Phishing noch ein neues Phänomen war, konnte man die E-Mails häufig am fehlerhaften Deutsch erkennen, da die Angreifer meist aus dem Ausland stammten. Doch mittlerweile sind Phishing-Betrüger professioneller, sodass das Erkennen einer gefälschten E-Mail schwieriger ist. 

  2. Der zweite Schritt erfolgt dann, sobald Sie auf einen Link in der Mail klicken, der Sie auf eine – ebenfalls echt aussehende – Webseite weiterleitet. Das wird „Spoofing“ (Verschleierung) genannt. Hier erfolgt das eigentliche Phishing, wenn Sie dazu aufgefordert werden, vertrauliche Informationen preiszugeben. Geben Sie die geforderten Zugangsdaten oder Informationen ein, wenden diese an die kriminellen Angreifer weitergeleitet.

Arten von Phishing.

Neben betrügerischen E-Mails gibt es auch andere Arten von Phishing. Fachleute unterscheiden zwischen mehreren Unterformen. So gibt es zum Beispiel Spear Phishing, Pharming, Smishing und Vishing. Zudem wird vermehrt Social Media genutzt, um Zugangsdaten von Opfern abzugreifen.

Spear Phishing

Spear Phishing oder gezieltes Phishing richtet sich an eine im Vorfeld sorgfältig ausgewählte Zielgruppe. Dabei handelt es sich in der Regel nicht um Privatpersonen, sondern um Manager, Abteilungsleiter oder Unternehmensmitarbeiter aus dem IT-Bereich. In den meisten Fällen geht es dabei um Industriespionage. Die Täter tarnen beim Spear Phishing ihre Angriffe als Nachrichten des Systemadministrators und hoffen so, an empfindliche Unternehmensinformationen zu kommen.

Pharming

Pharming ist die Version von Phishing, bei der Internetnutzer eine korrekte HTTP-Internetadresse ins Adressfeld ihres Browsers eingeben, zum Beispiel die Webadresse ihrer Bank. Statt jedoch auf der Webseite der Bank zu landen, sehen Nutzer eine über Java Script gefälschte Seite. Der Nutzer glaubt also, dass er auf einer seriösen Seite ist, gibt aber in Wirklichkeit auf einer Fake-Seite empfindliche Informationen an Betrüger weiter.

Smishing

Smishing bezieht sich auf das Phishing per SMS. In einer scheinbar echten Textnachricht eines Unternehmens werden Empfänger per Link auf eine Webseite umgeleitet, auf der ein Trojaner platziert wurde, um zum Beispiel Passwörter oder Geheimzahlen abzugreifen.

Vishing

Vishing ist ein Synonym für Phishing am Telefon. Diese Art von Phishing wird jedoch seltener. Beliebter wird dagegen das mobile Phishing, also Angriffe auf mobile Endgeräte wie Tablets oder Smartphones.

Das häufigste Ziel von Phishing.

Die Phishing-Betrüger haben es dabei vor allem auf eins abgesehen – das Geld der Opfer. In Deutschland erfolgen nach Einschätzungen des BKA die meisten Phishing-Angriffe beim Online-Banking.  Auch weltweit zielten nach Angaben der APWG im ersten Quartal 2022 mehr als ein Drittel aller Phishing-Angriffe auf Webseiten mit Online-Zahlungen oder Kryptowährung und Finanzinstitute ab. Kein Wunder, denn sowohl Online-Banking als auch mobiles Banking sind mittlerweile ein fester Bestandteil unseres Alltags.

Auf Internetbanking aufgrund von Phishing zu verzichten kann daher nicht die Lösung sein. Was können Sie stattdessen tun, um sich beim Online-Banking besser zu schützen?

Schutz gegen Phishing.

Vorsicht und gesundes Misstrauen sind der beste Schutz gegen Phishing. Das beginnt bereits bei einem guten Virenprogramm und einer Firewall, sowohl auf Ihrem PC als auch auf dem Laptop sowie mobilen Geräten. Diese Programme erkennen Schadsoftware und blockieren diese.

Sobald Ihnen eine E-Mail oder eine Webseite seltsam oder verdächtig vorkommt, sollten Sie Ihre Bank kontaktieren. Achten Sie beim Öffnen der Seite auf das SSL-Sicherheitszertifikat, das Sie am kleinen Vorhängeschloss-Symbol im Adressfeld erkennen können, und seien Sie generell vorsichtig bei der Eingabe von vertraulichen Daten wie Kontodaten, Zugangsdaten, PINs oder TANs. Übrigens: Ihre Bank wird Sie niemals in einer E-Mail auffordern, diese Informationen preiszugeben. Wenn Sie dies in einer Mail sehen, können Sie davon ausgehen, dass es sich dabei um Phishing eines kriminellen Angreifers handelt.

Klicken Sie außerdem nie auf einen Link in einer SMS, auf Social Media oder in einer E-Mail, um Ihre Kontodaten abzugleichen. Denn auch das ist fast immer ein Hinweis auf Phishing. Gleiches gilt für MMS. Wenn Sie eine MMS von einem unbekannten Absender erhalten, sollten Sie diese sofort löschen. Oftmals enthalten diese MMS Trojaner, die sich auf Ihrem Smartphone einnisten und so eine Vielzahl von Informationen abgreifen könnten.

Werden Sie auf der Webseite Ihrer Bank an ungewohnter Stelle dazu aufgefordert, Ihre Daten einzugeben, brechen Sie den Vorgang lieber ab. Öffnen Sie stattdessen die entsprechende Webseite in einem neuen Tab und geben Sie die Internetadresse entweder manuell, über Ihre Lesezeichen oder über die Browser-Erinnerung ein. Überprüfen Sie anschließend, ob Sie an gleicher Stelle zum Eingeben Ihrer Informationen aufgefordert werden. Lesen Sie außerdem immer die Warnhinweise Ihrer Bank gegen mögliche Phishing-Attacken.

Wenn Sie Ihr Smartphone zum Banking verwenden, empfiehlt es sich, ausschließlich die von Ihrer Bank dafür bereitgestellte oder autorisierte App zu nutzen. Ein weiterer Rat: Nutzen Sie verschiedene Mailadressen, wenn Sie Konten bei verschiedenen Banken haben. So machen Sie es Kriminellen schwerer, an die Zugangsdaten Ihrer Konten zu gelangen.

Sicherheitsexperte Per Thorsheim hat außerdem noch einen Tipp gegen Phishing auf Smartphones: Wenn Sie unerwartet nach Ihrem Passwort oder Ihrer PIN gefragt werden, geben Sie als Test ein falsches Passwort oder eine falsche PIN ein und schauen Sie was passiert. Erhalten Sie im Anschluss eine Fehlermeldung, kam die Anfrage wirklich von Ihrem Betriebssystem. Wird der fehlerhafte Code akzeptiert, handelt es sich höchstwahrscheinlich um Phishing. Doch auch dieser Trick funktioniert nicht immer. Einige Betrüger installieren bewusst scheinbar echt wirkende Fehlermeldungen. Wenn Sie sich unsicher sind, ob die Anfrage echt ist, ändern Sie vorsichtshalber über die Sicherheitseinstellungen Ihr Kennwort.

Mann und Frau gehen zufrieden durch eine Stadt, der Mann zeigt der Frau etwas auf seinem Smartphone.

Sicheres Online-Banking.

Online-Services, Anleitungen und Sicherheitshinweise auf einen Blick: Erfahren Sie hier mehr über unser Online-Banking und darüber, wie wir Sie und Ihr Konto vor Betrügern schützen.

Was tun nach einem Phishing-Angriff? 

Doch bei aller Vorsicht ist klar, dass es keine absolute Sicherheit gegen Phishing gibt. Wenn Sie glauben, dass Sie Opfer eines Angriffs geworden sind, sollten Sie umgehend Ihre Bank informieren und den Vorfall melden. Lassen Sie dabei alle Online-Banking-Zugänge sowie gegebenenfalls auch Girokarten und Kreditkarten sperren, damit die Angreifer nicht mehr auf Ihr Konto zugreifen können. Fast alle Banken haben hierfür eine 24-Stunden-Notfall-Hotline. Auch wenn sich im Nachhinein herausstellt, dass es falscher Alarm war, ist das sofortige Sperren sicherer. Denn die Phishing-Prüfung kann eine Weile dauern und die Betrüger brauchen meist nicht lange, um ein Konto zu leeren. War es letztlich doch kein Phishing, ist das Konto schnell wieder entsperrt.

Bestätigt die Bank allerdings Ihren Verdacht, ist es ratsam bei der Polizei Anzeige gegen Unbekannt zu stellen. Denn die Täter haben wahrscheinlich nicht nur Sie im Visier gehabt und so können Sie andere Nutzer vor dem gleichen Fehler bewahren. Für die Ermittlungen ist es außerdem hilfreich, wenn die URLs der Betrüger-Links sowie Kopien des Kontoauszugs vorliegen.

Und das verlorene Geld? Banken sind in der Regel gegen Phishing versichert. Ob Sie aber Ihr Geld zurückbekommen, muss von Fall zu Fall neu entschieden werden. Ein wichtiger Faktor hierbei ist die Frage nach der Fahrlässigkeit. Ein Klick auf den Phishing-Link könnte zum Beispiel dann als fahrlässig eingestuft werden, wenn Ihre Bank Sie im Vorfeld ausdrücklich vor diesem konkreten Link gewarnt hatte.

Daher gilt: Je vorsichtiger und aufmerksamer Sie beim Online-Banking sind, desto besser können Sie sich gegen einen Phishing-Angriff schützen. 

Laptop Hand

Newsletter abonnieren.

Bleiben Sie auf dem Laufenden: Mit dem kostenlosen Newsletter der Volkswagen Bank erhalten Sie monatlich Tipps zu aktuellen Themen und Aktionen rund um Finanzen und Versicherungen. Immer bestens informiert.

Auch interessant für Sie:

Identverfahren.

Kreditinstitute sind gesetzlich zur Überprüfung der Identität Ihrer Kontoinhaber und Neukunden verpflichtet. Erfahren Sie mehr über die Identverfahren bei der Volkswagen Bank.

PostIdent.

Sie möchten zum Beispiel ein Girokonto eröffnen oder einen Kredit aufnehmen? Dann überprüfen wir Ihre Identität mit dem PostIdent-Verfahren. So funktioniert's:

Ein Mann und eine Frau schauen auf ein Smartphone.

Das Online-Banking der Volkswagen Bank.

Online-Services, Anleitungen und Sicherheitshinweise auf einen Blick: Erfahren Sie hier mehr über unser Online-Banking und darüber, wie wir Sie vor Betrügern schützen.

Wir helfen Ihnen gerne weiter.

Hilfe & Services

Haben Sie Fragen? Antworten und Kontaktmöglichkeiten finden Sie hier.