Online-Banking: Phishing-Angriffe erkennen und abwehren

Größte Gefahr beim Onlinebanking sind sogenannte Phishing-Angriffe. Dabei „fischen“ Angreifer im wahrsten Sinne des Wortes nach Passwörtern, PIN- und TAN-Nummern. Die Masche ist simpel:

  • Der Angreifer schickt Ihnen eine gefälschte E-Mail – im Fachjargon Phishing-Mail genannt – und verwendet als Absender die E-Mail-Adresse Ihrer Hausbank. Absender und Inhalt der Mail sind jedoch gefälscht.
  • In der gefälschten Mail werden Sie unter einem Vorwand aufgefordert, unverzüglich den in der Mail enthaltenen Link anzuklicken und die Webseite der Bank zu besuchen.
  • Der Link in der E-Mail führt jedoch nicht zur Bank, sondern direkt zur Internetseite des Betrügers. Das Tückische: Die gefälschte Seite sieht auf den ersten Blick tatsächlich aus wie das Original.
  • Auf der gefälschten Seite werden Sie aufgefordert, PIN- und TAN-Nummer – oft auch mehreren TAN-Nummern – einzugeben. Wer dieser Aufforderung nachkommt, schickt den digitalen Schlüssel für das eigene Onlinekonto direkt an den Betrüger.

Das Fischen nach persönlichen Daten betrifft nicht nur das Onlinebanking. Betrüger verwenden Phishing-Mails, um Zugangsdaten zu Amazon, GMX, Web.de, Paypal oder anderen Onlinediensten zu ergaunern.

Mit gefälschten E-Mails versuchen Betrüger, Sie auf manipulierte Internetseiten zu locken. Sowohl der Absender als auch der Inhalt der Nachricht sind gefälscht.

Phishing-Angriffe erkennen

Auch wenn Phishing-Mails auf den ersten Blick aussehen wie „echte“ E-Mails von der Bank, lassen sie sich meist leicht enttarnen. Bei folgenden Merkmalen sollten Sie misstrauisch werden:

  •  Thema Sicherheit

Im Betreff sowie im Mailtext geht es in Phishing-Mails meist um das Thema Sicherheit. Oft ist die Rede von notwendigen Sicherheitsaktualisierungen, Optimierungen der Homebankingfunktionen oder der Überprüfung der Zugangsdaten – alles eindeutige Indizien für Betrugsversuche. Keine Bank fordert per E-Mail zur Eingabe von PIN- oder TAN-Nummern auf.

  •  Dringender Handlungsbedarf

In der E-Mail fordert der Betrüger Sie auf, unverzüglich zu reagieren, da sonst Ihr Homebanking-Zugang gesperrt würde. Diese Masche soll einschüchtern und verunsichern.

  • Rechtschreib- und Grammatikfehler

Die Angreifer operieren häufig aus dem Ausland. Eindeutiges Zeichen für Betrugsversuche sind daher teils eklatante Rechtschreib- und Grammatikfehler im Mailtext.

  •  Anklickbare Links in der E-Mail

Typisch für Phishing-Mails sind – meist blau unterstrichene – Links (Verknüpfungen) in der E-Mail. Doch Vorsicht: Auch wenn es so aussieht, als würde der Link direkt zur Bank führen, sollten Sie ihn keinesfalls anklicken. Die Betrüger verschleiern das echte Ziel des Links und führen statt zur Bank zur Internetseite des Betrügers. Daher sollten Sie generell keine Links in E-Mails anklicken – insbesondere nicht zur eigenen Hausbank.

Phishing-Webseiten erkennen

Die Internetseiten der Betrüger werden immer raffinierter. Sie kopieren die Webseite der Bank, leiten alle Eingaben aber um. Sollten Sie versehentlich doch einmal auf einen Link in einer Phishing-E-Mail geklickt haben, sollten Sie genau hinsehen. Phishing-Seiten lassen sich anhand einiger Merkmale leicht erkennen:

  • Fehlender Buchstabe s in https

Achten Sie bei Bankgeschäften darauf, dass in der Adresszeile des Browsers statt http die Buchstaben https stehen. Das s steht für Sicherheit und zeigt an, dass alle Daten verschlüsselt an die Bank übertragen werden. Fehlt der Buchstabe s handelt es sich mit aller Wahrscheinlichkeit um eine gefälschte Seite. Sie sollten den Browser dann sofort schließen.

  • Fehlendes Schlosssymbol

Sichere Verbindungen zur Hausbank werden im Internet Explorer mit einem kleinen Symbol eines Vorhängeschlosses gekennzeichnet. Sie finden das Symbol rechts neben der Adresszeile. Mit einem Mausklick auf das Schloss können Sie das zugehörige Sicherheitszertifikat der Bank einsehen. Fehlt das Schlosssymbol, handelt es sich um eine Phishing-Webseite.

  • Fehler in der Adresse

Bei der Adresse handelt es sich nicht im die Originaladresse der Bank, sonder um leichte Modifizierung, etwa www.post-security-update.com statt www.postbank.de. Oder die Adresse führt nicht zu einer Seite mit der deutschen Kennung .de, sondern ausländischen Kürzeln wie .ru für Russland.

  • Eingabe von PIN- und TAN-Nummer auf einer Seite

Webbetrüger haben es auf Ihre PIN- und TAN-Nummern abgesehen. Sobald auf einer einzigen Seite PIN- und TAN-Nummer gleichzeitig oder gleich mehrerer TAN-Nummern eingegeben werden sollen, ist etwas faul. Keine Bank verlangt die gleichzeitige Eingabe von PIN und TAN-Nummer auf einer Seite.

Ein Beispiel einer echten Onlinebanking-Seite. Achten Sie beim Onlinebanking auf die drei wichtigen Sicherheitsmerkmale im Internet Explorer. 

Die mobile Version verlassen