Datendiebstahl im Netz
, Geben Sie Phishing keine Chance

Mehr als die Hälfte der Deutschen hat schon einmal eine Phishing-Mail erhalten. Erfahren Sie, wie Sie sich schützen und was zu tun ist, wenn Sie doch einmal in die Phishing-Falle getappt sind.

Eine Frau lehnt sich mit Kaffeetasse und Smartphone in der Hand gegen eine Arbeitsplatte in der Küche und schaut etwas kritisch auf ihr Handy.

Inhaltsverzeichnis

  • Was ist Phishing?
  • Das passiert bei einem typischen Phishing-Angriff
  • Aktuelle Phishing-Betrugsmaschen mit Beispielen
  • So reagieren Sie auf Phishing-Versuche
  • Phishing-Link geklickt – was jetzt zu tun ist
  • Was tun wir für Ihre Onlinesicherheit?

    • Phishing
    , Das Wichtigste in Kürze

    • Beim Phishing versuchen Cyberkriminelle, mit täuschend echten E-Mails, SMS oder Telefonanrufen vertrauliche Daten wie Passwörter zu stehlen.
    • Oft werden Opfer aufgefordert, Links anzuklicken, die die Installation von Schadsoftware auslösen oder auf gefälschte Webseiten führen und eine Anmeldung mit persönlichen Daten erfordern.
    • Wenn Sie versehentlich die Zugangsdaten für Ihr Online Banking auf einer gefälschten Online Banking-Webseite eingegeben haben, sollten Sie sofort Ihre Bank informieren und den Zugang zum Online Banking sperren (lassen).

    Definition
    , Was ist Phishing?

    Phishing ist eine bestimmte Art der Cyberkriminalität. Der Begriff „Phishing“ setzt sich aus den Wörtern „Passwort“ und „Fishing“ (engl. für „Angeln“) zusammen. Beim Phishing täuschen Betrüger vor, sich im Namen einer Bank (oder einer anderen Ihnen bekannten Firma oder Organisation) an Sie zu wenden. Die Kontaktaufnahme erfolgt z. B. über

    • E-Mail,
    • Textnachricht (SMS, Messenger-Nachricht)
    • Brief
    • soziale Netzwerke
    • Telefonanruf.

    Das Ziel der Angreifer ist es zumeist, an vertrauliche Daten wie PIN/Passwörter, einzelne TANs oder die photoTAN-Aktivierungsgrafik zu kommen, um damit (oder anderen Kundenkonten) zu erhalten. Aktuelle Zahlen zeigen, wie weit verbreitet Phishing ist: So enthält etwa jede Dritte unerwünschte E-Mail (z. B. Werbemail) einen Phishing-Versuch laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI). 62% der Deutschen geben an, schon einmal eine Phishing-E-Mail im eigenen E-Mail-Postfach entdeckt zu haben.

    Wie gelangen Phishing-Betrüger an meine E-Mail-Adresse?

    Phishing-Angriffe erfolgen oft im großen Stil – das heißt, eine Phishing-Mail wird an zahlreiche Mailadressen gleichzeitig versendet. Die Kriminellen erhalten die E-Mail-Adressen häufig aus anderen gehackten Quellen wie Social-Media-Konten oder Onlineshops, die bereits Opfer von Cyberangriffen waren.

    Das passiert bei einem typischen Phishing-Angriff

    In den meisten Fällen erhalten die Empfänger Phishing-Nachrichten mit einer Aufforderung, einen Link anzuklicken oder einen Mailanhang zu öffnen. Viele Phishing-Nachrichten wirken dabei täuschend echt und auch die Absenderadressen sind oft erst auf den zweiten Blick als unseriös zu erkennen. Die E-Mail-Anhänge können z. B. die Installation von Schadsoftware auf dem Computer des Opfers auslösen. Oder die Links führen auf gefälschte, täuschend echt aussehende Internetseiten von z. B. Banken, auf denen die Internetnutzer aufgefordert werden, sich mit ihren Zugangsdaten anzumelden.

    Mit den Zugangsdaten können Hacker unbefugten Zugriff auf Ihr Konto erhalten. Kriminelle müssen aber noch die 2-Faktor-Authentifizierung überwinden, um in Ihrem Namen illegal Geld abzubuchen, Überweisungen zu tätigen oder teure Bestellungen aufzugeben. Es gibt verschiedene Tricks:

    3 Wege, wie Phisher die 2-Faktor-Authentifizierung beim Online Banking umgehen

    Phishing mit der photoTAN-Aktivierungsgrafik

    Betrüger fordern Sie auf, neben Ihren Zugangsdaten auch die photoTAN-Aktivierungsgrafik preiszugeben. Der Absender erscheint vertrauenswürdig, z. B. als Bank oder Dienstleister. Doch Banken werden niemals nach Ihrer photoTAN-Aktivierungsgrafik fragen. Sobald die Täter Zugangsdaten und den Aktivierungsbrief erbeutet haben, können sie Ihr Konto eigenständig übernehmen.

    Wichtig: Geben Sie niemals Ihre Aktivierungsgrafik an Dritte weiter, weder per Foto, Scan, Kopie noch im Original.

    Multi-Factor-Authentication-Bombing

    Der Angreifer besitzt bereits Ihre Zugangsdaten, benötigt aber noch eine TAN-Freigabe. Dabei erhalten Sie plötzlich eine Vielzahl von TAN-Anfragen in Ihrer photoTAN-App, Ihrem Lesegerät oder per SMS – ohne dass Sie eine Aktion veranlasst haben. Das Ziel: Sie sollen aus Verwirrung oder Genervtheit eine der Anfragen bestätigen und damit dem Angreifer Zugriff gewähren bzw. eine Überweisung bestätigen.

    Datenklau in Echtzeit

    Beim Realtime-Phishing geben Sie Ihre Zugangsdaten auf einer täuschend echt aussehenden, aber gefälschten Bankseite ein. Die Daten werden jedoch nicht wie beim herkömmlichen Phishing gespeichert, sondern von den Kriminellen in Echtzeit zum Einloggen ins Online Banking verwendet. Das Opfer bestätigt gutgläubig mit der TAN-Freigabe und ermöglicht Kriminellen damit die volle Handhabung.

    Häufige Arten von Phishing-Betrugsmaschen

    Phishing ist vielfältig. Je nach Zielperson und Art der Kontaktaufnahme gibt es neben dem klassischen Massen-E-Mail-Phishing zahlreiche weitere Varianten. Eine Auswahl der häufigsten Phishing-Arten finden Sie hier auf einen Blick:
    • Beim Spear-Phishing werden die Opfer im Vorfeld ausspioniert über öffentlich zugängliche Kanäle wie Social Media oder Websites. Basierend auf diesen Informationen werden so individualisierte Nachrichten an ausgewählte Zielpersonen versendet, um die Glaubwürdigkeit der Nachricht zu erhöhen.
    • Beim Whaling werden hochrangige Führungskräfte oder wichtige Entscheidungsträger eines Unternehmens ins Visier genommen.
    • Beim Smishing erfolgt die Kontaktaufnahme per SMS oder WhatsApp-Nachricht. Inhaltlich kann es, z. B. um die Überprüfung Ihrer Kontodaten oder Probleme mit einer Paketzustellung gehen.
    • Bei Vishing kontaktieren Kriminelle ihre Opfer telefonisch. Sie geben sich beispielsweise als Bankmitarbeiter aus und fordern die Opfer im Telefongespräch auf, ihre Online-Banking-Zugangsdaten preiszugeben.
    • Beim Karten-Phishing werden die Opfer zur Herausgabe der Girocard-PIN oder zum Versand der zerschnittenen Girocard per Brief an eine angegebene Adresse aufgefordert.
    • Quishing (QR-Code-Phishing) ist eine Phishing-Variante, bei der z. B. Briefe oder E-Mails mit gefälschten QR-Codes versendet werden, die auf betrügerische Webseiten leiten. Grundsätzlich gilt es hier, Vorsicht walten zu lassen beim Einscannen von QR-Codes auf z. B. Plakaten oder in Restaurants. QR-Codes auf Rechnungen können z. B. falsche Kontoinformationen beinhalten, sodass das Geld auf ein betrügerisches Konto überwiesen wird.

    Hinweis:

    Allen Phishing-Methoden ist gemein, dass sie keine technischen Schlupflöcher oder Schadsoftware nutzen, sondern den Menschen selbst als Schwachstelle ausnutzen – ein Prinzip, das als Social Engineering bekannt ist.

    Typische Warnsignale
    , Wie erkenne ich Phishing?

    Dringlichkeit

    Mit Betreffzeilen wie „Ihr Konto wird vorübergehend gesperrt“ oder „Letzte Warnung“ wird versucht, Druck und Angst zu erzeugen, um die Opfer zu schnellem Handeln zu drängen. Oft geht es dabei um angebliche Konto- oder Bankdaten, die aktualisiert werden müssen, um vermeintlich veränderte Datenschutzbestimmungen oder um Sicherheitsüberprüfungen, die angeblich nötig sind, um eine Kontosperrung zu vermeiden.

    Gefälschte URLs

    Die in der E-Mail angezeigte URL ist frei wählbar. Fahren Sie daher mit der Maus über die URL des Links, dann sehen Sie eine Vorschau der tatsächlichen URL. Prüfen Sie diese sorgfältig, auch wenn sie auf den ersten Blick korrekt erscheint. Bei Ihrem Online Banking sollten Sie sich nie über Links in Nachrichten anmelden. Geben Sie die Webadresse Ihrer Bank stattdessen immer manuell ein, z. B. www.commerzbank.de.

    Gefälschte Absenderadressen

    Häufig sehen Absender von Phishing-Mails auf den ersten Blick seriös aus – erst beim genauen Hinsehen entdeckt man Unregelmäßigkeiten in der Absenderadresse. Das kann z. B. ein Schreibfehler im Unternehmensnamen oder eine falsche Endung (z. B. „.com“ statt „.de“) sein. Aber auch eine Adresse, die nicht eindeutig den Absender erkennen lässt, ist möglich. Der angezeigte Name des Absenders, z. B. „Commerzbank“ kann durch den Absender beliebig angepasst werden und deutet damit nicht eindeutig auf einen seriösen Absender hin.

    Makros in Dateien

    Makros sind automatisierte Skripte, die bestimmte Abläufe ausführen können. In Dokumenten wie Excel- oder Word-Dateien erscheinen sie oft als harmlose Funktionen und zeigen beim Öffnen eine Meldung wie "Makros aktivieren?". Während sie in legitimen Fällen der Automatisierung von Aufgaben dienen, können sie in böswilligen Fällen Schadsoftware nachladen oder unerwünschte Aktionen im Hintergrund ausführen. Starten Sie daher keine Makros in Dateien, die Sie von zweifelhafter Herkunft erhalten haben.

    Grammatik- oder Rechtschreibfehler

    Nicht oft, aber manchmal lassen sich Phishing-Nachrichten anhand von sprachlichen Fehlern entlarven. Das liegt daran, dass die Täter oft aus dem Ausland angreifen und Phishing-Mails automatisiert übersetzen und in verschiedenen Sprachen versenden. Immer mehr Phishing-Nachrichten sind allerdings nahezu fehlerfrei und daher auf den ersten Blick kaum als solche zu erkennen.

    Unpräzise Nachricht

    Seien Sie misstrauisch, wenn das Anliegen der Nachricht sehr vage formuliert ist, zum Beispiel „Es gibt ein Problem mit Ihrem Konto“. Phishing-Nachrichten enthalten häufig keine persönliche Ansprache und keine konkreten Daten wie eine Auftragsnummer oder Ähnliches.

    Fordern von vertraulichen Daten

    Phishing zielt darauf ab, an sensible Daten von Internetnutzern zu gelangen. Seien Sie daher immer misstrauisch, wenn jemand Sie per E-Mail, SMS oder Telefon nach PINs, TANs oder Passwörtern fragt.

    Durch KI werden Phishing-Angriffe noch schwerer zu enttarnen

    Mit Hilfe von generativer künstlicher Intelligenz (KI) können Phishing-Nachrichten und -Websites noch professioneller und personalisierter generiert werden – so ist es zum Beispiel möglich, den Schreibstil bestimmter Personen oder Institutionen zu imitieren oder in zahlreichen Sprachen fehlerfreie, absolut plausibel klingende Nachrichten zu verfassen. Die Erstellung solcher Nachrichten dauert mit KI-Unterstützung zudem nur noch einen Bruchteil der Zeit. Auch menschliche Stimmen können schon mit KI-Tools künstlich erzeugt werden, um bestimmte Persönlichkeiten am Telefon täuschend echt zu imitieren.

    Datendiebstahl vermeiden
    , So reagieren Sie auf Phishing-Versuche

    Grundsätzlich gilt: Seien Sie wachsam und gehen Sie immer vorsichtig mit Ihren sensiblen Daten um. Wenn Ihnen eine E-Mail oder Nachricht merkwürdig vorkommt, wenden Sie sich über offizielle Wege an Ihre Bank bzw. den entsprechenden Absender und fragen Sie nach.

    Beachten Sie folgendes, wenn Sie eine verdächtige E-Mail oder Textnachricht erhalten:

    1. Klicken Sie nicht auf darin enthaltene Links oder Anhänge.
    2. Verraten Sie keine vertraulichen Daten.
    3. Geben Sie niemals Ihre photoTAN-Aktivierungsgrafik an Dritte weiter, weder per Foto, Scan, Kopie noch im Original.
    4. Installieren Sie keine Software, die Ihnen aufgedrängt wird.
    5. Antworten Sie nicht auf Mails oder Nachrichten.
    6. Hören Sie auf Ihr Bauchgefühl und ignorieren Sie es nicht auf Grund von Stress oder Zeitdruck.
    7. Fragen Sie sich, ob der Inhalt der Nachricht von diesem Absender Sinn ergibt, bzw. von Ihnen initiiert wurde.

    Wenn Sie einen verdächtigen Telefonanruf erhalten:

    1. Teilen Sie dem Anrufer keine persönlichen Daten oder Zugangsdaten für das Online Banking mit.
    2. Installieren Sie keine Software, die Ihnen aufgedrängt wird.
    3. Beenden Sie das Telefonat und blockieren Sie die Telefonnummer.
    4. Rufen Sie nicht zurück, wenn merkwürdige Nachrichten auf Ihrer Mobilbox hinterlassen wurden.

    Soforthilfe
    , Phishing-Link geklickt – was jetzt zu tun ist

    Das Wichtigste, wenn Sie in die Phishing-Falle getappt sind: Ruhe bewahren – und möglichst direkt und gezielt reagieren.
    • Zugänge sperren: Wenn Sie bereits auf einen Phishing-Link in der Mail geklickt und Ihre Zugangsdaten zum Online Banking eingegeben haben, sperren Sie Ihr Online Banking selbst oder kontaktieren Sie uns rund um die Uhr über die Sperr-Hotline unter der Rufnummer 069 50 50 27 86.
    • Vermeintlichen Absender kontaktieren: Sie haben eine Phishing-Nachricht erhalten und zweifeln, ob diese tatsächlich vom angegebenen Absender stammt. Nutzen Sie die offiziellen Kontaktwege, um direkt mit dem Absender, z. B. Kreditinstitut, Paketdienst etc., in Kontakt zu treten und nachzufragen. Bei Sicherheitsbedenken bezüglich Ihrer Kontodaten hilft Ihnen die Commerzbank gerne weiter - kontaktieren Sie uns einfach - rund um die Uhr - über unsere Kundenhotline:

    Privatkunden: 069 5 8000 8000
    Unternehmer: 069 5 8000 9000

    Die Commerzbank an Ihrer Seite
    , Was tun wir für Ihre Onlinesicherheit?

    Höchste Sicherheitsstandards

    Das Online und Mobile Banking wird regelmäßig von Sicherheitsteams getestet und in der Entwicklung geprüft bzw. weiterentwickelt.

    Deaktivierung von betrügerischen Phishing-Seiten

    Wir können nicht verhindern, dass eine Phishing-Mail in Ihrem Postfach landet. Wir sorgen jedoch für die Abschaltung der darin verlinkten gefälschten Webseiten ‒ meistens gelingt dies umgehend.

    2-Faktor-Authentifizierung

    Die Anmeldung in unserem Online Banking wird mit Hilfe der 2-Faktor-Authentifizierung (2-FA) als zusätzliche Sicherheitsmaßnahme durchgeführt. Auch wenn Phishing damit nicht vollständig verhindert werden kann, dient es dem besseren Schutz Ihres Kontos.

    Persönliche Beratung

    Bei Fragen oder Sicherheitsbedenken im Online Banking können Sie gerne unsere Kundenhotline kontaktieren.

    Weiterführende Informationen

  • Wir informieren Sie aktuell und umfangreich zum Thema Cybersicherheit
  • Phishing-Radar: Aktuelle Warnungen der Verbraucherzentrale
  • Weiterführende Informationen auf den Webseiten des Bundesamt für Sicherheit in der Informationstechnik BSI