Wasserzeichen
CyberkriminalitätVerbraucherSicherheit

Vorsicht vor diesen gefährlichen Phishing-Attacken – Tipps zum Schutz

15.02.2024Artikel
Tanja Beller
background
hero

Betrugsmasche: Buchung nicht erfolgreich

Vorsicht vor dieser aktuellen Betrugsmasche: Nach einer Hotel- oder auch Ticketbuchung auf einem Portal werden Sie mit einer täuschend echt nachgebildeten Nachricht kontaktiert: Es hätte Probleme mit dem gewählten Zahlungsmittel gegeben. Für die erneuten Eingabe der Zahlungsdaten wird ein Link mitgeschickt oder in einer anderen Variante die Kommunikation auf einen Messenger-Dienst wie WhatsApp umgeleitet. Zugleich wird noch zeitlicher Druck aufgebaut: Würde man nicht innerhalb einer bestimmten Frist reagieren, wird die Buchung storniert. 

Aber Vorsicht: Der Link führt auf eine gefälschte Seite und die Nachrichten stammen von Betrügern. Hierdurch versuchen die Kriminellen, an Ihre Zahlungsdaten zu kommen oder Sie direkt dazu zu bringen, eine Zahlung auszulösen. Alternativ wird auch eine angeblich notwendige „Verifikation“ des Zahlungsmittels gefordert. Folgt der Betreffende den Anweisungen, löst er aber tatsächlich eine Zahlung direkt an die Betrüger aus.

So können Sie sich schützen: Nutzen Sie für Zahlungen nur genau die Plattform, über die Sie gebucht haben. Lassen Sie sich nicht durch Links auf eine andere Website leiten. Oft ist der Name sehr ähnlich, entspricht aber nicht genau dem ursprünglichen Anbieter. 

Reagieren Sie nicht auf Nachrichten Unbekannter, die Sie über Messenger-Dienste bekommen. Machen Sie sich beim Erhalt einer solchen Nachricht bewusst, dass dies nicht der übliche Weg für das Unternehmen ist, Sie zu kontaktieren. Oft erhärtet schon der Blick in den Absender den Verdacht. Wenn Sie unsicher sind, ob eine Nachricht wirklich von dem Unternehmen kommt, kontaktieren Sie es direkt über die offiziellen Kanäle (Telefon oder Mail). 

Betrugsmasche: Storno einer Zahlung

Gefälschte Storno-Websites lauern auf neue Opfer mit diesem Trick: Will jemand eine Buchung stornieren und sucht über eine Suchmaschine nach Informationen dazu, gelangt er oder sie auf eine gefälschte Internetseite. Ruft man die dort angegebene Nummer an, landet man aber direkt bei den Betrügern, die sich als Mitarbeitende des Unternehmens ausgeben und häufig nach weiteren sensiblen Informationen fragen. Zudem soll man für eine Rückabwicklung seine bestimmte Anwendung herunterladen und dort die gewünschten Daten hinterlegen. Statt einer Stornierung und Rückerstattung werden aber tatsächlich weitere Zahlungen ausgelöst.

Betrugsmasche: TAN-Verfahren aktualisieren

Bankkunden werden aktuell wieder vermehrt mit gefälschten SMS-Nachrichten zum Aktualisieren ihres TAN-Verfahrens getäuscht. In einer von Betrügern versendeten SMS wird darauf hingewiesen, dass die Registrierung für das TAN-Verfahren eines realen Kreditinstituts abgelaufen sei. Die Nachricht enthält einen Link für die angebliche Erneuerung der Registrierung. In Wirklichkeit führt dieser Link zu einer Phishing-Webseite, auf der Sie Ihre Zugangsdaten für das Online-Banking oder für die TAN-App eingeben sollen, und diese damit in die Hände der Betrüger gelangen. Wenn Sie gar kein Kunde der betroffenen Bank sind, werden Sie sicher direkt misstrauisch. Sind Sie jedoch tatsächlich Kunde bei der Bank, von der die Nachricht angeblich kommt, sollten Sie sich dennoch nicht verunsichern lassen und die Nachricht sofort löschen. Ihre Bank wird Sie niemals per SMS zum Aktualisieren Ihrer Sicherheitsverfahren auffordern.

QR-Code-Phishing umgeht Sicherheitssoftware

Schnell einen QR-Code (Quick-Response-Code) scannen und schon gelangt man direkt zur Speisekarte im Restaurant, Anmeldemaske für eine Ticketbuchung oder auf ein Rechnungsformular. Ein schneller und bequemer Weg, um lästiges Tippen auf dem Smartphone oder Tablet zu vermeiden. Aber Vorsicht: Auch QR-Codes können für Phishing-Angriffe missbraucht werden.

Cyber-Kriminelle schicken beispielsweise eine E-Mail mit der Aufforderung, einen QR-Code einzuscannen, um ein Dokument oder eine Rechnung zu öffnen. Der Link führt dann auf eine gefälschte Seite, mit dem Ziel, persönliche Daten abzufischen. Oder aber es wird ein zeitlicher Handlungsdruck aufgebaut: Es gebe zum Beispiel ein Sicherheitsproblem auf dem Smartphone, Tablet oder PC. Der Nutzer solle den QR-Code schnellstmöglich einscannen und den weiteren Anforderungen folgen. Tatsächlich gelangt man auch auf diese Weise direkt auf eine betrügerische Website. 

Warum dieser Cyber-Angriff besonders gefährlich ist: IT-Sicherheitssoftware wie Anti-Viren-Programme oder die Firewall erkennen solche Phishing-Nachrichten nicht. Die Sicherheitsprogramme scannen zwar Mails auf verdächtige Anhänge. Der QR-Code wird aber nicht als Anhang, sondern als Bild erkannt. Auf diese Weise gelangen die Phishing-Mails direkt in das Postfach ihrer potenziellen Opfer. 

Sicherheitsabfragen per QR-Code durch die 2-Faktor-Authentifizierung gehören mittlerweile zu unserem Alltag, so dass wir nicht skeptisch werden, wenn wir zum Scannen eines QR-Codes aufgefordert werden. Doch auch für QR-Codes gilt: Diese nur aus vertrauenswürdigen Quellen scannen und im Zweifel den Link nicht öffnen und die geforderten Daten nicht eingeben. Wenn Sie unsicher sind, kontaktieren Sie den Absender auf einem anderen Weg. 

Cyberkriminelle nutzen KI zur Optimierung ihrer Angriffe

Sprachprogramme, die mithilfe von künstlicher Intelligenz (KI) wie beispielsweise Chat Bots arbeiten, können Textbausteine innerhalb von Sekunden verarbeiten. Cyberkriminelle können solche Programme nutzen, um Phishing-Mails zu korrigieren oder Texte anzupassen, so dass es für den Empfänger noch schwieriger wird, deren Echtheit zu erkennen.

Prüfen Sie im Zweifel die E-Mail-Adresse des Absenders auf Unstimmigkeiten. Sie können diese zum Beispiel mit früheren E-Mails vergleichen. Achten Sie dabei genau auf die Schreibweise der Adresse, oft werden E-Mail-Adressen verwendet, die sich nur durch ein Zeichen von der echten Adresse unterscheiden. Anhänge und Links in E-Mails sollten Sie stets kritisch prüfen. Im Zweifel suchen Sie den Absender selbst über einen anderen Zugang der offiziellen Website oder App. 

Sie können die Zieladresse vor dem Klick auf den Link prüfen, indem Sie den Mauszeiger über den Linktitel halten. Die Zieladresse wird Ihnen dann in einem Popup-Fenster oder in der Fußzeile des Fensters angezeigt. Achten Sie darauf, dass die Seite mit https:// beginnt und auch auf die korrekte Schreibweise einer Ihnen bereits bekannten Internetseite. Oft verwenden Betrüger eine sehr ähnliche Internetadresse, um Seriosität und Vertrauenswürdigkeit vorzutäuschen.

Auch beim so genannten „Vishing“ – das Wort setzt sich zusammen aus den englischen Begriffen Voice und Phishing – nutzen die Betrüger die Möglichkeiten der KI, um Stimmen nahezu perfekt nachzuahmen. 

Mit Hilfe solch einer Fake-Sprachnachricht soll man dazu verleitet werden, Daten herauszugeben oder gar direkt Geld an die Kriminellen zu überweisen: „Ich hatte einen Auto-Unfall, Du musst mir Geld überweisen.“ „Ihr Konto ist gehackt worden“. Selbst Stimmen von Vorgesetzten können nachgebildet werden, um telefonisch einen sehr eiligen und vertraulichen Auftrag für eine Überweisung an Mitarbeitende der Buchhaltung durchzugeben. Hier muss man sich zwingen, Ruhe zu bewahren und keine persönlichen Daten am Telefon preiszugeben. Im Zweifel nach der Telefonnummer fragen und einen Rückruf versprechen. So gewinnt man Zeit und kann die Telefonnummer des Anrufenden und die Echtheit des Anrufs überprüfen. 

Betrüger verbergen sich hinter falsch angezeigter Telefonnummer

Beim „Spoofing“ (Englisch für "Fälschen“ oder "Vortäuschen") versuchen Angreifer ebenfalls, eine vertrauenswürdige Kommunikation vorzutäuschen, um an persönliche Daten zu gelangen. Beim „Call-ID-Spoofing“ wird durch technische Manipulation auf dem Display eine andere Anrufer-Nummer angezeigt, als die von der der Anruf tatsächlich erfolgt. Damit wird ein „echter“ Anruf, bespielweise Ihrer Bank oder einer Behörde vorgetäuscht.

Wichtigste Regel: Lassen Sie sich am Telefon nicht unter Druck setzen. Ihre Bank, die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Europol oder die Polizei wird Sie niemals telefonisch zur Herausgabe persönlicher Daten, wie zum Beispiel Bankkontodaten, drängen. Sie sollten das Gespräch beenden und anschließend die Bank und Polizei anrufen, um den Sachverhalt zu klären beziehungsweise anzuzeigen. Verwenden Sie dafür aber nicht die Rückrufunktion des Telefons, sondern wählen Sie die Ihnen bekannte Nummer manuell. Lassen Sie sich auch nicht auf Angebote zur Fernwartung Ihres Rechners wegen angeblicher Bedrohung oder technischer Probleme ein. Auch sollten Sie Aufforderungen zur Zahlung auf ein „sicheres“ Konto am Telefon nicht nachkommen.

Gefälschte Nachrichten von LinkedIn oder anderen sozialen Medien

Wer sich in dem beruflichen Netzwerk angemeldet hat, kennt die regelmäßigen Nachrichten: „Sie wurden in so und so viel Suchen gefunden“ „Sie haben eine Kontaktanfrage oder Nachricht bekommen“. Auch diese Meldungen können täuschend echt nachgebildet sein mit dem Ziel, an Ihre persönliche Anmeldedaten zu kommen, oder Sie auf eine andere gefälschte Seite weiterzuleiten. 

Erkennen kann man die betrügerischen Mails an kleinen Fehlern, z.B. „Linkedin“ statt „LinkedIn“, eine unübliche Absenderadresse, kleine Ungenauigkeiten im Text oder Logo. Klickt man den betrügerischen Link an, wird man auf eine Fake-Seite weitergeleitet, um auf diese Weise an persönliche Daten wie zum Beispiel die Telefonnummer zu gelangen. Ist diese in den Händen der Betrüger, wird versucht, mit gezielten Anrufen an weitere persönliche Daten zu gelangen. 

Übertragen lassen sich diese Betrugsmaschen auf andere Social-Media-Kanäle: Ganz gleich, ob Facebook, Instagram, „X“ oder Nachrichten vom E-Mail-Dienstleister. Man sollte bei jeder Nachricht im Hinterkopf die Möglichkeit bedenken, dass es sich um einen Betrug handeln kann. Und gerade vor zu schnellen, unbedachten Klicks sollte man sich hüten.

Tanja Beller
Tanja BellerPressesprecherin für Unternehmensfinanzierung, Zahlungsverkehr, Banktechnologie und Sicherheit