Echte E-Mail von einer Bank oder Phishing? Es wird immer schwerer zu unterscheiden. Das belegt jetzt eine Untersuchung.
Betrug oder doch echte Nachricht von der Bank: Viele Verbraucherinnen und Verbraucher haben einer Umfrage zufolge Schwierigkeiten, Phishing-Mails, mit denen Kriminelle Zugangsdaten zu Konto oder Depot abgreifen wollen, von echten E-Mails ihrer Bank zu unterscheiden.
In der Erhebung im Auftrag des Verbraucherzentrale Bundesverbandes (vzbv) äußerten zwar mehr als die Hälfte (57 Prozent) der 1.035 Befragten bei Angriffen von Kriminellen einen Betrugsverdacht. Allerdings traf dies nach vzbv-Angaben auch auf mehr als ein Drittel (38 Prozent) der gezeigten echten Mails und Abläufe zum Zahlungsverkehr zu.
"Phishing-Mails, SMS und Fake-Anrufe: Die Maschen von Cyberkriminellen werden immer besser", sagte vzbv-Vorständin Ramona Pop. Phishing-Mails sollen die Opfer zum Herunterladen oder Anklicken von Schadsoftware verleiten. Dadurch wollen die Kriminellen an digitale Identitäten wie Passwörter, E-Mail-Adressen oder Bankdaten gelangen. Das gleiche Ziel verfolgen Betrüger durch fingierte Anrufe von angeblichen Bankmitarbeitern oder gefälschte SMS-Nachrichten. Häufig missbrauchen sie dafür auch die Namen bekannter Firmen.
Typische Merkmale: So können Sie Phishing-Mails erkennen
- Phishing-Mails – häufig angeblich von Banken oder bekannten Unternehmen wie Amazon, PayPal oder Netflix – sehen auf den ersten Blick täuschend echt aus. Häufig, aber nicht zwingend, sind Rechtschreib- und Grammatikfehler enthalten.
- Überprüfen Sie die Absenderadresse genau und gleichen Sie sie mit der echten E-Mail-Adresse der Firma ab. Stimmen sie nicht überein, handelt es sich um eine Phishing-Mail.
- Beim User soll ein Schockmoment ausgelöst werden. Hier spielen die Betrüger mit verschiedenen Gründen, die den Adressaten alarmieren sollen. Beispielsweise durch die Drohung, das Konto werde gesperrt oder es müssten aus bestimmten Gründen dringend die Daten aktualisiert werden.
- Dafür befindet sich ein Link-Button in der Mail, häufig betextet mit Formulierungen wie "Jetzt/Hier Daten aktualisieren" oder "Unautorisierte Zahlungsvorgänge stoppen". Wer hier klickt und Daten eingibt, überlässt sie den Betrügern.
- Meistens wird Druck aufgebaut, sofort zu handeln: Etwa nennen die Betrüger Fristen wie "innerhalb von 24 Stunden", in denen die Daten unbedingt zu aktualisieren seien. Das Ziel ist wiederum, den Schockmoment zu nutzen und dem Opfer möglichst keine Zeit zum Nachdenken zu geben.
- Einen Überblick über typische Phishing-Mails finden Sie im "Phishing-Radar" der Verbraucherzentrale. Hier ein aktuelles Beispiel:
BKA: Neue Qualität von Phishing wegen KI
Der Chef des Bundeskriminalamts (BKA), Holger Münch, hatte jüngst bilanziert, Phishing habe im vergangenen Jahr "quantitativ und qualitativ eine neue Dimension erreicht". Einerseits habe die Zahl registrierter Phishing-Webseiten weiter zugenommen, andererseits steige die Bedeutung Künstlicher Intelligenz. KI werde von Cyberkriminellen immer häufiger eingesetzt, um für ihre Phishing-Kampagne Texte zu generieren, die dann kaum noch sprachliche oder formale Fehler enthielten. "Und das macht es dann für die Angegriffenen schwerer, entsprechende Phishing-Mails und -Webseiten auch zu erkennen", warnte Münch.
Lesen Sie auch
Die Ergebnisse der vzbv-Befragung zeigen laut Verbraucherschützerin Pop, dass Verbraucherinnen und Verbraucher "betrügerische Absichten nicht zuverlässig von echten Mails ihrer Bank unterscheiden können". Banken und andere Zahlungsdienstleister dürften daher Schäden durch Cyberangriffe nicht einseitig auf Kundinnen und Kunden abwälzen.
Im Zweifel immer die Bank kontaktieren
Im Fall der Phishing-Angriffe, mit denen die Teilnehmer der Umfrage konfrontiert wurden, waren sich gerade einmal 24 Prozent so sicher, einen Betrugsverdacht erkannt zu haben, dass sie auf die Aufforderung in der Mail gar nicht eingingen. Auch bei den echten Mails weigerten sich jedoch 19 Prozent, den von der Bank verschickten Informationen Folge zu leisten.
Phishing-Mail erhalten? So reagieren Sie richtig
- Verschieben Sie die E-Mail unbeantwortet in den Spam-Ordner oder löschen Sie sie.
- Kontaktieren Sie im Zweifel den angeblichen Absender direkt. Klicken Sie dafür nicht auf den Link in der E-Mail.
"Dringende Sicherheitswarnung für Ihr Online-Banking! Sofortiges Handeln ist erforderlich: Klicken Sie auf den Button und aktualisieren Sie Ihre Zugangsdaten" - so oder ähnlich könnte der Text einer betrügerischen Nachricht lauten. In einem Informationsblatt listet die Finanzaufsicht Bafin Betrugsbeispiele auf und gibt Tipps, wie Verbraucher solche Maschen erkennen können. Ein Rat der Bafin: Wer unsicher ist, ob eine E-Mail echt ist, sollte direkt bei seiner Bank nachfragen. (af mit Material der dpa)
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.