Phishing ist kein Randthema mehr, sondern Alltag: gefälschte Paketbenachrichtigungen, angebliche Bankwarnungen, vermeintliche Rechnungen von Streaming-Diensten und Online-Shops, die es nur auf Ihre Kreditkartennummer abgesehen haben. Die Maschen werden besser, die Mails fehlerfreier, und seit Betrüger Texte automatisiert erstellen lassen, fehlen oft auch die früher typischen Rechtschreibfehler. Trotzdem gibt es klare Muster, an denen Sie Betrug erkennen, bevor Schaden entsteht. In diesem Artikel zeigen wir Ihnen Schritt für Schritt, woran Sie gefährliche E-Mails, SMS und Fake-Shops festmachen, wie Sie Links und Absender prüfen und was Sie tun, wenn Sie doch einmal geklickt oder Daten eingegeben haben.
Wie Phishing funktioniert und warum es so oft klappt
Phishing setzt fast immer auf zwei Hebel: Druck und Vertrautheit. Eine Nachricht erzeugt Eile (Ihr Konto wird gesperrt, das Paket kann nicht zugestellt werden, eine Zahlung ist fehlgeschlagen) und tarnt sich gleichzeitig als bekannte Marke, Bank oder Behörde. Wer unter Zeitdruck steht, prüft weniger genau. Genau darauf zielen die Betrüger.
Das Ziel ist meistens eines von drei Dingen: Sie sollen Zugangsdaten auf einer gefälschten Seite eingeben, eine Zahlung auslösen oder einen schädlichen Anhang öffnen. Entscheidend ist: Seriöse Banken, Behörden und große Anbieter fordern Sie niemals per Mail oder SMS auf, über einen mitgeschickten Link Passwörter, PINs oder TANs einzugeben. Diese eine Regel entlarvt bereits einen Großteil aller Angriffe.
Die häufigsten Warnsignale auf einen Blick
Die folgende Tabelle fasst die typischen Merkmale zusammen, an denen Sie eine betrügerische Nachricht erkennen. Je mehr davon zutreffen, desto höher die Wahrscheinlichkeit, dass es sich um Phishing handelt.
| Merkmal | Worauf Sie achten | Risiko |
|---|---|---|
| Dringlichkeit | „Innerhalb von 24 Stunden“, „sofort handeln“, Kontosperre angedroht | Hoch |
| Unpersönliche Anrede | „Sehr geehrter Kunde“ statt Ihres Namens | Mittel |
| Absenderadresse | Kryptische oder fremde Domain hinter dem angezeigten Namen | Hoch |
| Link-Ziel | URL passt nicht zur echten Marke (Tippfehler, fremde Endung) | Sehr hoch |
| Datenabfrage | Eingabe von Passwort, PIN, TAN oder Kartendaten gefordert | Sehr hoch |
| Anhang | Unerwartete Rechnung als ZIP, EXE oder Office-Datei mit Makros | Sehr hoch |
| Zahlungsdruck | Gutschein-Codes, Krypto oder Vorkasse auf fremdes Konto | Sehr hoch |
E-Mails sicher prüfen: Schritt für Schritt
Bevor Sie auf irgendetwas klicken, nehmen Sie sich 30 Sekunden für diese Prüfung. Gerade die Absenderadresse und das echte Link-Ziel verraten die meisten Fälschungen.
- Echten Absender anzeigen: Klicken oder tippen Sie auf den angezeigten Namen, um die vollständige E-Mail-Adresse zu sehen. „PayPal Service“ mit einer Adresse wie [email protected] ist gefälscht.
- Link-Ziel kontrollieren, ohne zu klicken: Fahren Sie am PC mit der Maus über den Link (ohne zu klicken), am Smartphone tippen Sie lang auf den Link. Die echte Adresse erscheint. Prüfen Sie, ob die Domain wirklich zur Marke gehört.
- Auf die echte Domain achten: Maßgeblich ist der Teil direkt vor dem ersten einzelnen Schrägstrich. Bei amazon.kundendienst-login.com ist die echte Domain kundendienst-login.com, nicht Amazon.
- Anrede und Inhalt bewerten: Fehlt Ihr Name, wird Druck aufgebaut oder werden Zugangsdaten gefordert, ist Vorsicht geboten.
- Im Zweifel selbst nachsehen: Öffnen Sie die App oder tippen Sie die Adresse des Anbieters von Hand ein. Loggen Sie sich dort ein und prüfen Sie, ob es die gemeldete Aufforderung wirklich gibt. Nutzen Sie niemals den Link aus der Mail.
Anhänge öffnen Sie grundsätzlich nur, wenn Sie sie erwartet haben und dem Absender vertrauen. Eine „Rechnung“ als ZIP-Archiv oder eine Office-Datei, die Sie zum Aktivieren von Makros auffordert, ist ein klassischer Verteiler für Schadsoftware.
Betrugs-SMS und Messenger-Nachrichten (Smishing)
Per SMS und über Messenger laufen aktuell besonders viele Angriffe. Die Klassiker: eine angebliche Paketsendung mit Link zur „Zollgebühr“, eine vermeintliche Bank-SMS mit Aufforderung zur „Verifizierung“ oder die „Hallo Mama, ich habe ein neues Handy“-Masche über WhatsApp, bei der ein angebliches Familienmitglied schnell Geld braucht.
So reagieren Sie richtig
- Tippen Sie keine Links aus unerwarteten SMS an, auch wenn ein Paket erwartet wird. Prüfen Sie die Sendung stattdessen direkt in der App oder auf der bekannten Webseite des Zustellers.
- Bei der „neue Nummer“-Masche: Rufen Sie die Person unter der alten, bekannten Nummer an oder stellen Sie eine Frage, die nur sie beantworten kann. Überweisen Sie niemals Geld auf Zuruf.
- Geben Sie nie eine SMS-TAN oder einen Bestätigungscode weiter, auch nicht an angebliche Mitarbeiter am Telefon. Banken und Anbieter fragen so etwas nicht ab.
- Verdächtige SMS können Sie bei Ihrem Mobilfunkanbieter melden (in Deutschland leiten Sie Spam-SMS an die kostenlose Kurzwahl 7726 weiter).
Fake-Shops erkennen
Gefälschte Online-Shops locken mit stark reduzierten Preisen für gefragte Artikel. Sie kassieren per Vorkasse und liefern nichts oder nur Plagiate. Oft sehen die Seiten professionell aus, weil Designs einfach kopiert werden. Prüfen Sie deshalb mehrere Punkte, nicht nur die Optik.
- Impressum prüfen: Ein vollständiges Impressum mit Anschrift und Kontakt ist in Deutschland Pflicht. Fehlt es oder steht dort eine reine Auslandsadresse ohne Bezug, ist das ein Warnzeichen.
- Zahlungsarten ansehen: Wird im Bestellprozess plötzlich nur noch Vorkasse oder Überweisung angeboten, obwohl vorher Kauf auf Rechnung beworben wurde, brechen Sie ab.
- Preise einordnen: Markenware deutlich unter Marktpreis ist fast immer zu schön, um wahr zu sein.
- Gütesiegel überprüfen: Klicken Sie auf das Siegel. Echte Siegel verlinken auf ein Prüfprofil. Ein reines Bild ohne Verlinkung ist wertlos.
- Bewertungen hinterfragen: Sehr viele gleichlautende Fünf-Sterne-Texte in kurzer Zeit sind verdächtig. Suchen Sie zusätzlich extern nach dem Shop-Namen mit dem Wort „Erfahrungen“.
- URL und Domain-Alter beachten: Sehr neue Domains und seltsame Endungen bei vermeintlich großen Marken sprechen gegen einen seriösen Shop.
Die Verbraucherzentrale betreibt einen Fakeshop-Finder, mit dem Sie eine verdächtige Adresse vor dem Kauf prüfen lassen können. Im Zweifel zahlen Sie ausschließlich mit Methoden, die einen Käuferschutz bieten, und nie per anonymer Vorkasse.
Was tun nach einem Klick oder einer Dateneingabe?
Wenn es doch passiert ist, zählt schnelles Handeln. Panik hilft nicht, ein klarer Ablauf schon.
- Passwort sofort ändern: Bei dem betroffenen Dienst und überall dort, wo Sie dasselbe Passwort verwendet haben. Aktivieren Sie die Zwei-Faktor-Authentifizierung.
- Bank informieren: Haben Sie Karten- oder Kontodaten eingegeben, kontaktieren Sie sofort Ihre Bank. Karten lassen sich über den Sperr-Notruf 116 116 sperren.
- Gerät prüfen: Haben Sie einen Anhang geöffnet, trennen Sie das Gerät vom Netz und lassen Sie einen Virenscan laufen.
- Beweise sichern: Machen Sie Screenshots der Nachricht und der Seite.
- Anzeige erstatten: Bei finanziellem Schaden erstatten Sie Anzeige bei der Polizei. Online geht das über die Onlinewache Ihres Bundeslandes.
Fazit
Phishing lebt von Eile und Vertrautheit. Wer kurz innehält, den echten Absender und das echte Link-Ziel prüft und Zugangsdaten nie über mitgeschickte Links eingibt, fällt auf die meisten Maschen nicht herein. Behandeln Sie jede Nachricht, die Druck aufbaut oder Daten verlangt, grundsätzlich mit Misstrauen, und gehen Sie im Zweifel selbst auf die offizielle Seite oder App. Diese Routine kostet wenige Sekunden und schützt Sie zuverlässiger als jede Software allein.
Quellen
- Bundesamt für Sicherheit in der Informationstechnik (BSI): Spam, Phishing & Co, bsi.bund.de
- Verbraucherzentrale: Phishing-Radar und Fakeshop-Finder, verbraucherzentrale.de
