Phishing-Mail: So reagieren Sie richtig
Schädliche Phishing-Mails: Wie Sie die betrügerischen Mails erkennen können und wie Sie sich verhalten sollten – zu Hause und unterwegs.
Veröffentlicht am:04.06.2018
Wenn Betrüger über gefälschte E-Mails versuchen, an Ihre Daten zu kommen und Ihre Identität zu stehlen, spricht man vom „Phishing“. Wir sagen Ihnen, woran Sie schädliche Mails erkennen und wie Sie sich verhalten sollten.
Freuen Sie sich nicht zu früh, wenn die „Bundeszentrale für Steuern“ Ihnen eine Steuer-Rückerstattung ankündigt. Es könnte eine Phishing-Mail sein. Es wäre fatal, auf sie zu antworten und womöglich persönliche Daten und Passwörter herauszugeben, um an den Geldsegen zu kommen. Da mag die Steuerrückzahlung noch so verlockend klingen.
Früher konnten Sie Phishing Mails an der ungelenken und fehlerhaften Formulierung erkennen. Da oft international agiert wird, nutzen Betrüger Übersetzungsprogramme für ihre Texte. Inzwischen sind die Angriffe subtiler geworden und die Ansprache ist häufig grammatikalisch korrekt. Stutzig machen sollte Sie aber, wenn Ihnen eine andere als die gewohnte Behörde oder Bank schreibt. Vor allem, wenn der Absender ähnlich klingt oder Zusätze in der Adresse hat.
Normalerweise gehen Sie verantwortungsvoll mit Ihren Daten um, aber dennoch ist es passiert: Sie sind auf einen Betrüger hereingefallen. Jetzt ist Eile geboten. Wenn Sie auf einer gefälschten Bank-Seite Daten eingegeben haben, melden Sie sich bei Ihrer Bank und lassen das Konto sperren. Ändern Sie sofort Ihre PIN. Haben Sie eine TAN übermittelt, können Sie das mit dieser probieren und sie gleichzeitig „verbrauchen“. Das geht aber nur, wenn Sie nur eine TAN preisgegeben haben. Kennt der Betrüger mehrere Ihrer TANS, kann er den Zugang wieder freischalten.
Erstatten Sie Strafanzeige bei der Polizei. Wer sich unbefugt Zugang zu besonders gesicherten Daten verschafft, macht sich strafbar. Auch Phishing ist eine Straftat. Der Einsatz von gestohlenen Zugangsdaten ist als Computerbetrug strafbar. Dem Täter droht eine Freiheitsstrafe bis zu fünf Jahren oder eine Geldstrafe. Sie helfen der Polizei und Ihrer Bank, wenn Sie die schädliche Mail zur Verfügung stellen.
Melden Sie den Vorfall möglichst auch einer Verbraucherzentrale. Diese haben ein wachsames Auge auf Phishing-Angriffe und können andere Internet-User warnen.
Das Handy und die SMS-TANs
Laut der Verbraucherzentrale Sachsen wird in der Allgemeinen Geschäftsbedingungen von Banken und Sparkassen häufig ausdrücklich darauf hingewiesen, dass es grob fahrlässig ist, das Handy, mit dem die SMS-TAN empfangen wurde, auch für das Online-Banking zu nutzen. In den AGB ist oft weiter zu lesen, dass der Kontoinhaber den durch grobe Verletzung seiner Sorgfaltspflichten entstandenen Schaden in vollem Umfang zu tragen hat.
Ihr Schutz zu Hause
- Halten Sie Ihre Antiviren-Software stets aktuell und pflegen Sie Ihre Browser-Software regelmäßig mit aktuellen Sicherheits-Updates.
- Übernehmen Sie die Internetadresse Ihrer Bank nicht aus Links; tippen Sie sie lieber selbst ein.
- Nutzen Sie beim Eingeben von vertraulichen Daten nur verschlüsselte Verbindungen. Sie erkennen diese an dem Buchstaben "s" im „https“ einer Internetadresse (URL) und dem Symbol eines Vorhängeschlosses auf der Browser-Statuszeile.
- Überprüfen Sie das Sicherheitszertifikat der Website, indem Sie auf das Schlosssymbol in der Statuszeile doppelklicken. Im Dialogfenster können Sie beispielsweise prüfen, ob der im Sicherheitszertifikat angegebene Domainname mit dem Namen der von Ihnen angeforderten Webseite übereinstimmt.
- Kommt Ihnen eine Mail einer Ihnen bekannten Adresse auffällig vor, öffnen Sie diese nicht, sondern verifizieren Sie sie durch eine kurze telefonische Anfrage.
- Geben Sie niemals Passwörter, PIN oder TAN heraus. Banken oder seriöse Unternehmen würden Sie niemals per Mail oder Telefon dazu auffordern.
- Kontrollieren Sie Ihr Konto regelmäßig.
- Checken Sie, ob Ihr Geldinstitut dem Sperr-Notruf 116 116 angeschlossen ist, denn dann können Sie schnell und kostenlos Kreditkarten sperren lassen und den Onlinebanking-Account deaktivieren. Den Notruf nehmen Sie am besten gleich in Ihr Handy-Telefonverzeichnis auf.
Ihr Schutz unterwegs, am Hotspot und im Hotel
- Fragen Sie den Betreiber nach Sicherheitsvorkehrungen. Lassen Sie sich im Café oder Hotel die korrekte WLAN-Kennung nennen und wählen diese manuell aus.
- Schließen Sie eigene USB-Sticks oder externe Festplatten nur dann an, wenn der Hotel-PC über ein aktuelles Virenschutzprogramm verfügt.
- Deaktivieren Sie in Ihrem Smartphone oder Laptop die automatische Verbindung mit jedem öffentlichen Netzwerk, das nicht durch ein Kennwort geschützt ist.
- Deaktivieren Sie in den Netzwerkeinstellungen Ihres Betriebssystems die Dateifreigabe.
- Geben Sie Anmeldedaten im öffentlichen Raum diskret ein. Nützlich können spezielle Schutzfolien sein, die Ihr Display vor neugierigen Blicken Unbefugter abschirmen.
Ja, die gibt es! Wir bieten Ihnen mit ARAG web@ktiv Schadensersatz-Rechtsschutz. Wenn jemand an Ihre Daten gelangt und sie unberechtigt nutzt oder Ihren Ruf schädigt, übernehmen wir die Kosten. Zum Beispiel, falls Ihre Bankdaten gestohlen werden und ein Unbefugter mit Ihrem guten Namen zahlt.
Was ein gutes Passwort ausmacht
Sensible Daten brauchen im Netz einen besonderen Schutz. Denn mit ausgespähten Passwörtern können Unbefugte Ihre E-Mails lesen, in Ihrem Namen einkaufen oder Gerüchte in die Welt setzen. Damit Sie weiterhin auf der sicheren Seite sind, haben wir Ihnen Tipps für gute Passwörter zusammengestellt.
Bank haftet bei Leichtfertigkeit nicht
Bankkunden müssen den Schaden selbst tragen, wenn sie leichtfertig mit ihren Transaktionsnummern umgehen und Betrüger deshalb ihr Konto plündern können. Das entschied der Bundesgerichtshof (BGH) in einem Grundsatz-Urteil. Ein Rentner aus dem Raum Düsseldorf verlor 5.000 Euro. Betrüger hatten auf der offiziellen Homepage der Bank eine Mitteilung platziert, dass das System erst wieder funktioniere, wenn der Kunde zehn seiner geheimen TANs weitergegeben habe.
Die Bank hatte zwar vor solchen Fallen gewarnt und mitgeteilt, dass sie niemals die Herausgabe mehrerer Geheimzahlen verlange. Der Rentner folgte jedoch der Aufforderung der Betrüger. Daraufhin wurden 5.000 Euro von seinem Konto auf eine griechische Bank überwiesen. Die Empfänger konnten nicht ermittelt werden. Der Rentner verlangte von der Bank das Geld zurück; diese aber sah den Kunden in der Verantwortung – was auch der BGH bestätigte (Az.: XI ZR 96/11).
Integration von Social Plugins
Damit Sie spannende Inhalte schnell und einfach mit anderen teilen können, binden wir auf unseren Seiten zeitweise Social Plugins von Facebook und Twitter ein. In der Regel führt der Aufruf einer Seite mit einem solchen Plugin in Ihrem Browser zum Aufbauen einer direkten, kurzen Verbindung mit dessen Servern. Dies dient in erster Linie dazu, den Inhalt des Plugins darzustellen. In diesem Fall erfährt der Anbieter des Sozialen Netzwerks Ihre IP-Adresse. In der Praxis ist Ihnen diese IP-Adresse namentlich nicht ohne weiteres zuzuordnen. Sind Sie aber gleichzeitig bei einem der Anbieter angemeldet, kann dieser ein Surfprofil von Ihnen erstellen. Unter bestimmten Umständen kann der Plattformanbieter hierbei ein Cookie auf Ihrem Rechner speichern. Ob Sie diese Cookies zulassen wollen, entscheiden Sie über die Einstellungen Ihres Internetbrowsers.
Zwei Clicks für mehr Datenschutz
Daher schützen wir Ihre Privatsphäre durch ein zweistufiges Verfahren, das eine Übermittlung persönlicher Daten nur durch Ihre explizite Zustimmung zulässt. Somit werden beim normalen Seitenaufruf keine Daten an Facebook und Co. übermittelt.
Und so funktioniert es
Erst durch klicken des Buttons "Social Media aktivieren" wird eine Verbindung mit den Betreibern der Sozialen Netzwerke hergestellt. Eine Empfehlung kann dann durch den zweiten Click an Facebook oder Twitter übermittelt werden. Dies geschieht bei Facebook direkt, bei Twitter dagegen kann die Empfehlung in einem Popup-Fenster noch bearbeitet werden. Die Zustimmung gilt immer nur für die aktuell aufgerufene Seite.