Phishing-Mails: Woran Sie sie erkennen und worauf Sie achten müssen

Stand:
Es vergeht kein Tag, an dem Online-Kriminelle keine E-Mails mit gefährlichen Links oder Anhängen verschicken. Ziel: Sich Ihre Zugangsinformationen und persönlichen Daten zu beschaffen. Viele dieser E-Mails sehen täuschend echt aus. Es gibt aber Anzeichen, an denen Sie betrügerische E-Mails erkennen.
Kreditkarte an Angelhaken auf Tastatur

Das Wichtigste in Kürze:

  • Betrügerische E-Mails sehen oft täuschend echt aus.
  • Wenn Sie nicht einschätzen können, ob eine E-Mail echt ist oder nicht, fragen Sie beim Anbieter nach. Aber Achtung: Antworten Sie nicht direkt auf die verdächtige E-Mail.
  • Wenn Sie eine E-Mail als Betrugsversuch identifiziert haben, klicken Sie nicht auf Links , und öffnen Sie keine Dateianhänge.
  • Löschen Sie die E-Mail und sperren Sie die Absenderadresse.
On

Phishing-Mails: Die wichtigsten Merkmale

  1. Die Mail ist voller Grammatik- und Orthografie-Fehler

    Am einfachsten zu durchschauen sind E-Mails, die in fehlerhaftem Deutsch geschrieben sind. Meistens wurden sie nicht in Deutsch verfasst, sondern sind mit einem Übersetzungsdienst aus einer anderen Sprache übersetzt worden. Ein weiterer Hinweis auf solche E-Mails sind Zeichensatzfehler, wie etwa kyrillische Buchstaben oder auch fehlende Umlaute.
  2. Die Mail ist in fremder Sprache geschrieben

    Ebenfalls schnell als Phishing zu erkennen sind E-Mails, die auf Englisch oder Französisch verfasst sind. Sollten Sie nicht gerade Kunde oder Kund:in einer Bank mit Sitz im Ausland sein, können Sie sicher sein, dass Sie (wenn überhaupt) E-Mails von Ihrer Bank nur auf Deutsch bekommen.
  3. Ihr Name fehlt in der Anrede

    Ihre Bank und andere Geschäftspartner:innen wie zum Beispiel Online-Zahlungsdienste sprechen Sie in E-Mails grundsätzlich mit Ihrem Namen an und niemals mit "Sehr geehrter Kunde" oder "Sehr geehrter Nutzer".

    Gut zu wissen: Manchmal haben Phishing-Täter:innen Ihren Namen aber schon herausgefunden und schreiben Sie mit persönlicher Ansprache an, zum Beispiel "sehr geehrte Frau Meier" oder "sehr geehrter Herr Müller". Damit versuchen Kriminelle, der E-Mail eine höhere Glaubwürdigkeit zu verleihen.

    Sie fragen sich, woher die Kriminellen Ihre Daten haben?
    Die Antwort ist einfach, aber unbefriedigend: Sie werden es wahrscheinlich nie erfahren. Vielleicht haben die Kriminellen den echten Anbieter gehackt und sind auf diesem Weg an die Daten gekommen. Vielleicht sind Sie oder einer Ihrer Bekannten irgendwo mit Ihren Daten recht freigebig umgegangen und Dritte haben diese nun "abgefischt". Vielleicht gibt es irgendwo ein trojanisches Pferd oder ein sonstiges Schadprogramm auf Ihrem Rechner oder dem Rechner Ihres Bekannten.
  4. Angeblich besteht dringender Handlungsbedarf

    Wenn Sie via E-Mail aufgefordert werden, ganz dringend und innerhalb einer bestimmten (kurzen) Frist zu handeln, sollten Sie ebenfalls stutzig werden. Insbesondere, wenn diese Aufforderung mit einer Drohung verbunden ist. Beispielsweise, dass sonst Ihre Kreditkarte oder Ihr Online-Zugang gesperrt werden.
  5. Sie sollen Daten eingeben

    Sie werden aufgefordert, persönliche Daten sowie möglicherweise PIN oder TAN einzugeben. Geldinstitute werden so etwas niemals telefonisch oder per E-Mail tun. Das ist eine der wesentlichen Sicherheitsregeln.
  6. Sie sollen eine Datei öffnen

    In immer mehr Phishing-E-Mails werden Sie aufgefordert, eine Datei zu öffnen, die entweder als Anhang der E-Mail direkt beigefügt ist oder über einen Link zum Download bereitsteht. Bekommen Sie eine unerwartete E-Mail, dürfen Sie eine solche Datei keinesfalls herunterladen oder gar öffnen. In der Regel beinhaltet diese Datei ein schädliches Programm wie ein Virus oder ein trojanisches Pferd.

    Lassen Sie sich auch von angedrohten Konsequenzen, wie zum Beispiel einer Kontosperrung, der Einschaltung eines Inkassounternehmens oder anderen erfundenen Gründen, niemals dazu verleiten, eine beigefügte Datei zu öffnen. Bei E-Mails mit einem Dateianhang sollten Sie grundsätzlich misstrauisch sein.
  7. Sie sollen Links anklicken oder eingefügte Formulare ausfüllen

    Banken versenden in der Regel keine E-Mails, sondern Briefe. Falls Sie doch E-Mails von Ihrer Bank erhalten, so wird diese keine Dateianhänge versenden, wie etwa Formulare, in denen Sie etwas eingeben müssen.

    Auch E-Mails mit Links, auf die Sie klicken sollen, versenden Banken und andere Dienstleister nur in Ausnahmefällen. Dann geht es beispielsweise um neue AGBs, niemals aber um das Einloggen in Ihr Kundenkonto. Besser ist ohnehin immer, die Internetseite selbst aufzurufen, indem Sie diese in das Adressfeld des Browsers eintippen.
  8. Sie haben bisher noch nie E-Mails von der Bank erhalten oder sind kein Kunde oder keine Kundin

    Sie bekommen E-Mails von Ihrer Bank, obwohl die Ihnen sonst nie E-Mails schickt oder eventuell Ihre E-Mailadresse gar nicht kennen kann? Oder andere Dienstleister, Online-Shops oder Firmenketten kontaktieren Sie, mit denen Sie gar keine Geschäftsbeziehung haben?

    Folgende Szenarien sind denkbar:

    - Es geht es um Ware, die Sie nie bestellt haben und darum, dass sie angeblich abgeschickt wurde und das Geld demnächst von Ihrem Konto abgebucht wird.
    - Sie werden über Änderungen an Verträgen benachrichtigt, die Sie nie abgeschlossen haben.
    - Es werden Gebühren für Kreditkarten fällig, die Sie gar nicht besitzen.
    - Sie sollen bereits mehrfach Mahnschreiben erhalten haben. Ihr Name ist falsch geschrieben oder taucht in der "Mahnung" gar nicht auf.
    - Ihnen wird mit einem Inkasso-Unternehmen gedroht.

    Löschen Sie all diese E-Mails. Aber nur dann, wenn Sie den Betrugsversuch als solchen erkennen. Wenn Sie allerdings schon auf einen Link geklickt oder einen Dateianhang geöffnet haben und sich dadurch ein trojanisches Pferd eingefangen haben, löschen Sie die Mail nicht. Dann nämlich haben Sie den Betrug nicht rechtzeitig erkannt. Die E-Mail dürfen Sie im Nachhinein dann nicht mehr löschen, da diese ein wichtiges Beweismittel für die Polizei ist.

    Wichtig: Bevor Sie die Mail löschen, leiten Sie sie bitte an phishing@verbraucherzentrale.nrw weiter sowie an den echten Anbieter, soweit möglich. Dann erfährt dieser vom Phishing-Versuch und kann Schritte gegen den Betrugsversuch unternehmen.
  9. Prüfen Sie, ob der Absender vertrauenswürdig ist

    Manche Phishing-Mails sind sehr gut gemacht. Die E-Mailadresse des Absenders scheint vertrauenswürdig, der Link im Text auch und das Deutsch ist fehlerfrei. Trotzdem muss diese E-Mail nicht echt sein. Auch Absenderangaben von E-Mails lassen sich fälschen.

    Wenn Sie genau wissen wollen, woher eine mutmaßliche Phishing-E-Mail kommt, prüfen Sie den sogenannten Mail-Header. Dort steht die IP-Adresse des Absenders. Nur diese ist fälschungssicher und gibt Aufschluss über den tatsächlichen Absender.


Mit welchen Tricks Betrüger an Ihr Geld kommen wollen, lesen Sie auch in diesem Artikel.

Ist eine betrügerische E-Mail auch gefährlich, wenn ich weder auf Links klicke noch Anhänge öffne?

Bei reinen Text-E-Mails, die Sie im Browser oder mit einem E-Mail-Programm öffnen, kann nichts passieren, solange Sie nicht auf Links oder Anhänge klicken.

Bei E-Mails im sogenannten HTML-Format ist dies allerdings anders. Hier können nicht nur im Link oder im Anhang, sondern im Quellcode Schadprogramme hinterlegt sein. Dann ist schon ein Klick auf eine Grafik in der E-Mail gefährlich, auch wenn die Graphik Grafik nicht einmal sichtbar ist.

Prüfen Sie daher, wie Sie Ihre E-Mails empfangen und deaktivieren Sie, falls noch nicht erfolgt, die Anzeige der E-Mail im HTML-Format.

Ich habe eine E-Mail bekommen. Wie finde ich heraus, ob es sich um eine Phishing-E-Mail handelt?

Grundsätzlich ist eine Phishing-E-Mail so aufgebaut:

  • Anrede,
  • Grund der Mailverschickung,
  • Notwendigkeit zum Handeln,
  • Zeitdruck,
  • Konsequenzen, wenn Sie nicht handeln,
  • Link oder alternativ Dateianhang.

Seien Sie lieber einmal zu oft misstrauisch als einmal zu wenig.

Klicken Sie keinesfalls auf Links oder Anhänge, antworten Sie nicht auf die E-Mail, auch wenn Sie sich darüber ärgern. Denn dadurch verraten Sie Betrügern, dass diese E-Mail-Adresse regelmäßig genutzt wird. Sie könnten dann noch mehr Spam- und Phishing-Mails erhalten.

Wichtig: Auch bei einer namentlichen Anrede oder echt wirkenden Logos können Sie nicht sicher sein, ob es sich um eine E-Mail des Anbieters handelt, da Kriminelle diese mittlerweile täuschend echt nachbauen.

Ich habe eine angebliche E-Mail von meiner Bank bekommen. Wie finde ich heraus, ob die E-Mail echt ist?

Wenn Sie nicht eindeutig entscheiden können, ob eine E-Mail echt ist und Sie einen Betrugsversuch vermuten, fragen Sie beim echten Anbieter nach.

Aber auch hier gilt: Klicken Sie nicht auf Links, öffnen Sie keinen Dateianhang, antworten Sie nicht auf diese E-Mail. Sie sollten auch keine Kontaktmöglichkeit nutzen, die in der E-Mail angegeben ist. Suchen Sie besser eine Filiale des echten Anbieters auf oder nutzen Sie eine Kontaktmöglichkeit auf der echten Internetseite des Anbieters.

Wie reagiere ich auf eine unberechtigte Forderung, die in einer E-Mail gegen mich erhoben wird?

Seriöse Anbieter schicken Forderungen und insbesondere Mahnungen in der Regel per Post. Bei unberechtigten Forderungen gibt es grundsätzlich zwei Szenarien:

  1. Der ganze Text zielt ausschließlich darauf ab, dass Sie auf einen Link klicken oder einen Dateianhang öffnen. Beides dürfen Sie keinesfalls tun. Hier geht es darum, dass Sie persönliche Daten eingeben oder ein Schadprogramm auf Ihrem Computer installieren.
  2. Jemand will tatsächlich Geld von Ihnen. Das erkennen Sie daran, dass eine konkrete Bankverbindung genannt ist, auf die Sie einen bestimmten Betrag überweisen sollen. Wenden Sie sich in solchen Fällen bitte an einen Rechtsanwalt oder eine Beratungsstelle der Verbraucherzentrale, um abzuklären, ob und wie Sie reagieren sollten.

Ich habe auf den Link in einer Phishing-E-Mail geklickt. Was soll ich jetzt tun?

Auch wenn Sie "nur" auf einen Link klicken, ohne auf der präparierten Internetseite Daten preiszugeben, ist dies eine gefährliche Situation. Einige Kriminelle verstecken im Quellcode der Seite ein Schadprogramm. Falls Ihr Virenschutzprogramm, Ihr Internetbrowser oder Ihr Betriebssystem nicht auf dem neuesten Stand sind, können Sie sich durch den Besuch dieser Seite einen Virus oder einen Trojaner einfangen.

Das sollten Sie als nächstes tun:

  • Aktualisieren Sie Ihr Virenschutzprogramm und lassen Sie es den gesamten Computer untersuchen.
  • Prüfen Sie bei der Gelegenheit, ob Virenschutzprogramm, Internetbrowser und Betriebssystem die erforderlichen automatischen Updates machen.
  • Ziehen Sie gegebenenfalls einen Expert:innen hinzu.

Bei der Suche nach Expert:innen fragen Sie gezielt nach Computerspezialist:innen in Ihrer Umgebung und, ob diese Erfahrung haben mit Internetkriminalität und der Entfernung von Schadsoftware. Sie möchten überprüfen, ob auf Ihrem Computer oder Ihren Android-Geräten Schadprogramme sind? Dabei hilft Ihnen auch Seiten wie Sicher unterwegs im digitalen Raum weiter.

Falls Sie sich ein Schadprogramm eingefangen haben, prüfen Sie, ob Sie persönliche Daten wie PIN, Passwörter oder Sicherheitsfragen ändern müssen. Das sollten Sie tun, wenn die Daten auf dem Computer gespeichert waren. Oder wenn Sie sie eingegeben haben, nachdem Sie versehentlich das Schadprogramm auf Ihrem PC installiert haben. Informieren Sie Ihre Bank, falls Ihr Online-Banking betroffen ist.

Ich habe nicht nur auf den Link in einer Phishing-E-Mail geklickt, sondern auch persönliche Daten eingegeben.

Diese Daten sind jetzt in den Händen von Kriminellen. Das können Sie leider nicht mehr rückgängig machen. Was jetzt zu tun ist, hängt vor allem davon ab, welche Daten Sie eingegeben haben.

Waren es Adresse und Telefonnummer?
Dann seien Sie besonders vorsichtig, wenn Sie demnächst Post bekommen oder Anrufe entgegennehmen.

Waren es besonders sensible Daten wie PIN, Passwort, Kontonummer oder Kreditkartennummer?

  • Kontaktieren Sie sofort Ihre(n) echten Anbieter, etwa das Kreditinstitut oder den Zahlungsdienstleister.
  • Sperren Sie wenn nötig Konten oder Karten.
  • Ändern Sie umgehend Passwörter und Sicherheitsfragen.
  • Bleiben Sie auf keinen Fall untätig!
  • Prüfen Sie besonders regelmäßig Ihre Kontoauszüge.
  • Stellen Sie Strafanzeige bei der Polizei.
  • Prüfen Sie außerdem, ob weitere Accounts betroffen sind. Konnten die Täter den Zugang zu einem E-Mail-Account erbeuten, müssen Sie alle Passwörter von Konten ändern, bei denen der E-Mail-Account als Benutzername verwendet wurde.


Sie möchten wissen, ob Cyber-Kriminelle weitere Zugänge erbeutet haben? Das können Sie über die Webseiten des Hasso Plattner-Instituts, der Universität Bonn und der Seite des Sicherheitsforschers Troy Hunt herausfinden. Achtung: Die Listen auf diesen Seiten sind nicht unbedingt vollständig. Sie können Ihnen aber eine erste Einschätzung geben.

Ich habe einen Datei-Anhang geöffnet – was nun?

Wenn Sie in einer betrügerischen E-Mail einen Dateianhang öffnen, holen Sie sich mit fast hundertprozentiger Sicherheit ein Schadprogramm auf Ihren Rechner. Was das Schadprogramm in Form eines Virus oder einer Trojaners genau macht, ist von Fall zu Fall unterschiedlich.

Sie sollten dann Folgendes tun:

  • Nutzen Sie den Rechner nicht mehr, bis Sie sicher sind, dass er wieder "sauber" ist.
  • Arbeiten Sie bis dahin mit einem nicht infizierten Rechner.
  • Wenn Sie nicht wissen, wie Sie einer Infektion mit Schadsoftware begegnen, kontaktieren Sie im Zweifel Expert:innen, die den Rechner vor Ort überprüfen, anstatt es selbst zu versuchen.
  • Aktualisieren Sie Ihr Virenschutzprogramm und lassen Sie Ihren Computer vollständig untersuchen. Dies bringt jedoch keine hundertprozentige Sicherheit, denn Sie können nicht wissen, ob das Schadprogramm bereits die Antivirenprogramme schon manipuliert hat.
  • Starten Sie daher Ihren Computer durch eine geeignete "Notfall-CD" von einem externen Laufwerk aus und prüfen Sie ihn auf diesem Weg auf mögliche Schadprogramme.
  • Wenn sich die Probleme damit nicht beheben lassen, müssen Sie Ihren Rechner eventuell neu aufsetzen. Das bedeutet, alle vorhandenen Daten zu löschen und das Betriebssystem neu zu installieren. Wenn Sie zuvor eine Datensicherung eingerichtet haben, schützt Sie dies vor dem Datenverlust.
  • Suchen Sie regelmäßig nach Updates für Ihr Anti-Viren Programm und Ihren Internetbrowser.

Informationen zum Thema Schadprogramme finden Sie auch auf den Seiten des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Auf einer Themenseite finden Sie weitere Informationen, wie Sie sicher im Internet surfen.

Was kann ich gegen den Erhalt solcher E-Mails tun?

Wenden Sie sich an Ihren E-Mail-Anbieter, welche Einstellungen Sie an Ihrem Spam-Filter vornehmen können und welche weiteren technischen Möglichkeiten es gibt, dass diese unerwünschten Mails im Vorfeld als solche erkannt werden und so gar nicht erst in Ihrem Postfach landen.

Je freigebiger Sie im Internet mit Ihren Daten sind, desto größer ist die Gefahr, dass diese in einem Verteiler landen, den Kriminelle nutzen. Als letzte Maßnahme können Sie die E-Mail-Adresse löschen, die in diesen Verteiler geraten ist, und sich eine neue zulegen. Wenn Sie für verschiedene Dinge unterschiedliche E-Mail-Adressen nutzen, haben Sie es an dieser Stelle relativ leicht. Nutzen Sie dagegen nur eine E-Mail-Adresse, ist der Aufwand ungleich höher.

Ich möchte dem Phishing-Radar eine betrügerische E-Mail weiterleiten, bekomme aber eine Fehlermeldung

Das Phishing-Radar ist so konzipiert, dass es grundsätzlich jede E-Mail annimmt. Trotzdem kann es passieren, dass Sie sie eine E-Mail an phishing@verbraucherzentrale.nrw weiterleiten wollen und anschließend eine Fehlermeldung bekommen wie zum Beispiel "Mail delivery failed".

Auf den ersten Blick scheint dies paradox. Sie ärgern sich zu Recht darüber, dass Sie selbst Phishing-E-Mails bekommen. Die betrügerischen E-Mails, die Sie nicht haben wollen, werden im Vorfeld nicht als solche erkannt und landen im elektronischen Briefkasten. Beim Versuch, diese E-Mails dann an das Phishing-Radar weiterzuleiten, werden sie dann doch noch von den Sicherheitseinstellungen als Betrugsversuch erkannt und die Weiterleitung unterbunden.

Auf den zweiten Blick ist dies aber leicht zu erklären. Sicherheitssysteme sind nicht statisch, sondern dynamisch. Möglicherweise hat sich in der Zwischenzeit das Virenschutzprogramm aktualisiert oder aus der Ursprungsmail sind zwischenzeitlich Elemente wie Absenderadresse, Links oder Anhänge auf eine "schwarze Liste" gekommen.

Das heißt, wenn Sie eine solche Fehlermeldung bekommen, ist dies kein Grund, sich zu ärgern. Im Gegenteil: Die Fehlermeldung zeigt, dass Ihre Sicherheitssysteme gut arbeiten, wenn auch mit Verspätung.

Die Gauner lassen sich ständig neue Varianten einfallen, um via Phishing an Daten und Geld zu kommen. Informationen zu aktuellen Maschen finden Sie im Phishing-Radar der Verbraucherzentrale NRW.

Das sind typische Betrugsmaschen

Bei diesen Betreffzeilen sollten Sie schon wegen der Rechtschreibfehler hellhörig werden:

  • Amazon: "Benutzerkonto eingefroren", "Beihilfe erforderlich Betrugsversuch" oder "Benachrichtigung in Bezug auf die Sperrung Ihres Accounts"
  • PayPal: "Ihr Kontozugriff Ist Eingeschränkt"
  • Google: "You recieved important Document"
  • Mastercard: "You recieved important Document"

Auch mit Postbank, Targobank und Comdirect-Bank als vorgeblichem Absender werden häufig Trojaner-Mails verschickt. Die Betrüger wollen Sie dazu verleiten, auf gefälschten Seiten, die denen der Firmen sehr ähnlich sehen, sensible Daten wie etwa Kontoverbindungen, einzugeben.

Das traf auch auf die E-Mails zu, die vermeintlich von Sparkassen stammten. Unter dem Vorwand einer verbesserten Sicherheit beim Online-Banking wurden die Empfänger:innen dazu verleitet, unbedacht Links zu öffnen und auf einer gefälschten Seite private Zugangsdaten preiszugeben. Betreffzeilen lauteten zum Beispiel: "Sichern Sie Ihre Online KONTO" und "Ihre Online-Banking".

Zudem tauchten Mails mit Betreffzeilen auf wie etwa "Ihre Rechnung MyDirtyHobby GmbH [Datum]" oder "Rechnung Seitensprung.de Portal für den Benutzer [Benutzername]". Dabei gaben sich die Betrüger als Mitarbeiter von Erotik-Portalen aus, um den E-Mail-Empfänger zu bewegen, den zip-Anhang zu öffnen. Zu den bisherigen Drehs zählte auch der Versuch, ahnungslose Verbraucher:innen zu Tätern zu machen: Unter der realen E-Mail-Adresse eines Unbescholtenen schickten die Ganoven fingierte Rechnungen und Mahnungen an Dritte.

Wie bei den vorgeblichen E-Mails von Sparkassen und PayPal fällt die elektronische Post oft direkt durch eine falsche Rechtschreibung, schlechte Grammatik oder fehlende Umlaute (beispielsweise д statt ä) auf und ist so schnell als Phishing-Mail zu erkennen. Aber es kursieren immer wieder auch E-Mails in perfektem Deutsch, die zunächst keinen Verdacht erwecken.

Was hat es mit cab-Dateien auf sich?

Neben Anhängen im zip-Format nutzen die Betrüger auch cab-Dateien. In diesem Cabinet (englisch für Schrank) können sich mehrere Dateien in komprimierter Form befinden.

Problem: Dazu können auch Viren gehören, die erst erkannt werden, während die "cab"-Datei entpackt wird. Viele aktuelle Eindringlinge können veraltete Versionen von Schutzprogrammen umgehen und so unentdeckt in das Computersystem gelangen.

Nähere Informationen zum Thema Phishing finden Sie auch auf den Seiten des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Das Bundesamt für Sicherheit in der Informationstechnik, die Verbraucherzentrale NRW und das Landeskriminalamt NRW erklären in diesem PDF, wie Sie sich vor Schadprogrammen schützen und das System wieder bereinigen können.