Phishing-Mails: Gefährliche Täuschung.

Welche Muster Phishing-Mails nutzen und warum sie so wirksam sind. Ein Praxisbeispiel zeigt, woran betrügerische Nachrichten zu erkennen sind und was im Ernstfall zu tun ist.

Phishing-Mails zählen zu den häufigsten Betrugsformen im digitalen Zahlungsverkehr. Kriminelle verschicken täuschend echt aussehende E-Mails, die vermeintlich von Banken, Sparkassen, Online-Shops oder anderen seriösen Institutionen stammen. Ziel ist es, Menschen dazu zu bringen, auf einen Link zu klicken und sensible Daten wie PINs, TANs, Konto- oder Kreditkartennummern einzugeben. Mit diesen Informationen verschaffen sich Kriminelle unbefugten Zugriff auf Konten oder nutzen persönliche Daten für weitere Betrugsversuche.

Aus der Praxis
Ein zentrales Merkmal von Phishing-Mails ist die Inszenierung eines dringenden Handlungsbedarfs: Ein angebliches Problem soll schnell behoben werden. Der enthaltene Link führt jedoch nicht zu einer echten Service-Seite, sondern auf eine gefälschte Webseite, auf der Zugangsdaten abgegriffen werden. Teilweise enthalten solche E-Mails auch Dateianhänge, in denen Schadsoftware verborgen ist.

In einem aktuellen Phishing-Beispiel eines vermeintlich großen deutschen Kreditinstituts lautet die Betreffzeile „Einstellungen aktualisieren“. Der E-Mail-Text trägt die Überschrift „Wartungsarbeiten & Aktualisierung“ und informiert über angebliche Systemänderungen zur Steigerung der Stabilität und Sicherheit. Innerhalb einer kurzen Frist sollen sich Empfangende über einen Link im Konto anmelden, um die Aktualisierung zu bestätigen. ⃰

Woran lassen sich Phishing-Mails erkennen?
Auch wenn Inhalte variieren, ähneln sich viele betrügerische Nachrichten im Aufbau.

Typische Warnsignale sind:
• unpersönliche Anrede
• auffällige oder fehlerhafte Betreffzeilen
• allgemeine Formulierungen ohne konkrete Kontodetails
• Links sowie Buttons zur direkten Dateneingabe oder Dateianhänge
• Handlungsdruck durch Fristen oder Folgen.

Wichtig: Banken und Sparkassen fordern weder per E-Mail, per SMS oder telefonisch zur Eingabe sensibler Daten wie PINs, TANs oder Passwörtern auf. Absenderadressen und verlinkte Webseiten genau prüfen, etwa auf verdrehte Buchstabenfolgen oder ungewöhnliche Zusätze. Im Zweifel lieber einmal zu oft über den offiziellen und bekannten Kommunikationsweg beim Kreditinstitut oder Anbieter nachfragen.

Social Engineering: Die Tricks hinter Phishing
Phishing ist eine Form des sogenannten Social Engineering, also der gezielten psychologischen Manipulation von Menschen. Dabei werden häufig mehrere Elemente kombiniert:
• Zeitdruck: soll schnelles, unüberlegtes Handeln erzwingen.
• Drohung: angebliche Konsequenzen erzeugen Stress und Angst.
• Vorwand: ein scheinbar plausibler Anlass soll Vertrauen schaffen.
• Identitätsfälschung: Absender, Sprache und Gestaltung wirken vertraut, sind aber nicht echt.

Richtig handeln, wenn etwas passiert ist
Wer auf einen Link geklickt und Daten eingegeben hat, sollte umgehend reagieren:
• Konto und Karten sperren lassen
• Kreditinstitut informieren
• Zugangsdaten ändern
• Kontobewegungen sorgfältig prüfen
• verdächtige Nachrichten sichern und gegebenenfalls der Polizei melden.

Weitere Begriffe aus dem Social Engineering
Smishing bezeichnet vergleichbare Betrugsversuche per SMS oder Messenger, Vishing entsprechende Maschen am Telefon. Beim Quishing führen manipulierte QR-Codes auf gefälschte Webseiten. Erklärungen zu diesen Betrugsmaschen sowie zu zahlreichen weiteren Begriffen rund um Karten- und Zahlungsverkehr finden Sie im Glossar von kartensicherheit.de.

⃰Noch ein Hinweis zum Schluss:

Über aktuelle Betrugsversuche informiert Sie Ihre Bank oder Sparkasse; zudem können Sie sich beispielsweise über den Phishing-Radar der Verbraucherzentrale, die Polizei und das Bundeskriminalamt auf dem Laufenden halten.