Phishing: So schützen sich Bankkunden

1. Was ist Phishing? I Bedeutung

Das Wort Phishing ist ein Zusammenzug aus den englischen Wörtern „password“ und „fishing“. Und genau darum geht es: Gefälschte E-Mails, gefakte SMS oder fingierte Anrufe verleiten Bankkunden dazu, sensible persönliche Daten preiszugeben.

Um angeblich wichtige Sicherheitsmaßnahmen zu aktualisieren oder ein Konto zu entsperren, werden Nutzer in den täuschend echt aussehenden Phishing Mails dazu aufgefordert, Anhänge oder Links zu öffnen – und dann z. B. die Zugangsdaten zum Online-Banking einzugeben. Nicht selten installiert sich im Hintergrund auch eine Schadsoftware, die dann unbemerkt auf dem Rechner, Smartphone oder im Netzwerk nach vertraulichen Daten sucht.

Mit diesen Daten haben die Betrüger dann oftmals freie Hand, um Zahlungen zu veranlassen, Kaufverträge abzuschließen oder Geld abzuheben.

Weil das Phishing meistens täuschend echt wirkt, lässt es sich nur schwer und an kleinen Details als Betrugsversuch identifizieren. Im Nachhinein können sich Opfer oftmals überhaupt nicht erklären, wann und wie die Täter an ihre Daten gekommen sind. Dass etwas nicht stimmt, bemerken die Opfer erst am fehlenden Geld auf ihrem Konto.

2. Welche Phishing Methoden gibt es?

Kriminelle kommen mit ganz verschiedenen Phishing Methoden an die sensiblen Daten von Nutzern – und verbessern und erweitern diese ständig.

Das sind die häufigsten Phishing Methoden:

Phishing Mail

Eine Phishing Mail ist eine gefälschte Nachricht im Namen eines Unternehmens oder einer Bank, die deren Firmenlogo oder Claim enthält und das Original in Aussehen und Wording imitiert. Mit ihr sollen Nutzer durch das Öffnen eines Anhangs oder Links dazu verleitet werden, sensible Daten preiszugeben.

Phishing SMS (Smishing)

Phishing SMS (Smishing) sind gefakte Textnachrichten im Namen eines Unternehmens oder einer Bank, in denen Nutzer dazu aufgefordert werden, einen schädlichen Link zu öffnen, um wichtige Daten zu aktualisieren, ein Sicherheitsupdate vorzunehmen oder einen Account bzw. Konto zu entsperren.

Kombiniert mit einer Maskierung des Absenders – dem sogenannten CallerID-Spoofing (vorgetäuschte, echt wirkende Telefonnummer) – sieht es so aus, als würde die Nachricht tatsächlich von der Bank stammen.

Phishing Anruf

Bei einem Phishing Anruf geben sich die Täter unter Verwendung von CallerID-Spoofing als angebliche Bankmitarbeiter aus. Dabei versuchen sie, an Daten des Opfers zu kommen oder diese z. B. zur Eingabe von Zugangsdaten fürs Online-Banking über das Tastenfeld am Telefon zu bewegen.

Messenger Phishing

Kriminelle versenden gefälschte Nachrichten über Messenger-Dienste wie WhatsApp oder Signal, in denen sie für ein Gewinnspiel oder einen Rabatt werben. Dafür sollen die Nutzer auf einen Link klicken, der sie zur Installation einer App oder zur Weitergabe persönlicher Daten auffordert.

Phishing Webseiten

Auf gefälschten Webseiten bekannter Unternehmen oder Banken werden Nutzer aufgefordert, ihre Zugangsdaten einzugeben oder ein Passwort zu ändern. Die Links zu solchen Phishing Webseiten werden häufig per gefälschter Mail oder SMS verschickt.

Manchmal gelingt es den Tätern auch, solche Links über kompromittierte Suchergebnisse auf den vorderen Ränken in Suchmaschinen zu platzieren ­– gleich hinter der Webseite der nachgeahmten Bank.

Whaling

Bei Whaling haben es Kriminelle auf Führungskräfte von Unternehmen abgesehen, die weitreichende Befugnisse haben und Zugriff auf streng vertrauliche Informationen haben. Mit aufwendig gefälschten Mails sollen diese zur Herausgabe sensibler Daten oder zur Überweisung hoher Geldbeträge bewegt werden.

Vishing

Mit einem fingierten Anruf im Namen eines bekannten Unternehmens oder einer vertrauenswürdigen Person versuchen Kriminelle, an persönliche Daten zu kommen oder das Opfer zur Überweisung von Geldbeträgen zu bewegen.

Link-Manipulation

Manipulierte Links, die z. B. per Phishing Mail oder SMS verschickt werden, führen zu einer gefälschten Webseite, die der eines Unternehmens oder einer Bank stark ähnelt und auf der die Nutzer zur Eingabe sensibler Daten aufgefordert werden.

Phishing Malware

Nach dem Öffnen eines Anhangs oder Links installiert sich eine Schadsoftware auf dem PC oder Smartphone des Nutzers, mit der sensible Daten gestohlen werden.

Angler Phishing

Auf Social Media geben sich Kriminelle als Mitarbeiter des Kundensupports bekannter Unternehmen oder Banken aus und kontaktieren unzufriedene Kunden oder antworten auf deren Posts. Dabei versuchen sie, den Nutzer zur Herausgabe sensibler Informationen zu bewegen.

Code Injection

Kriminelle nutzen die Schwachstellen von Software, Apps oder Webseiten aus, über die sie einen eigenen Code einschleusen, der ein schädliches Popup öffnet und auf eine Phishing Webseite weiterleitet oder Malware programmiert.

Handelsplattform Phishing

Die Täter gegeben sich auf einer Handelsplattform als angebliche Interessenten für einen vom Opfer zum Verkauf angebotenen Gegenstand aus. Über die Behauptung, bestimmte, besonders sichere Zahlungsdienste nutzen zu wollen, versuchen sie, an sensible Daten des Opfers zu kommen.

3. Wie erkenne ich Phishing? I Beispiele

An diesen Anzeichen können Sie Phishing erkennen:

• Fehlende oder unpersönliche Anrede
• Fehlerhafte oder unsinnige Betreffzeilen
• Rechtschreibfehler
• Buchstaben- oder Zahlendreher
• Ungewöhnlicher Satzbau
• Schlechter Schreibstil
• Ungewöhnliche Formatierung
• Fehlerhaftes Design
• Verzerrtes Logo
• Fehlendes Impressum
• Fehlende Kontaktinformationen
• Unbekannter Absender
• Leichte Abweichung in Absenderadresse oder URL
• Aufforderung zur Eingabe sensibler Daten
• Anhänge mit komplizierten Dateinamen oder komischen Endungen
• Links zu verdächtigen Webseiten

Weil Phishing teils sehr unterschiedlich aussieht und zahlreiche bekannte Unternehmen imitiert, lässt es sich nicht immer als Betrugsversuch identifizieren. Damit Sie eine Phishing Mail erkennen können, finden Sie hier einige Beispiele:

(Quelle: Radar der Verbraucherzentrale, 12.09.2023)

(Quelle: Verbraucherzentrale, 11.09.2023)

(Quelle: Verbraucherzentrale, 04.09.2023)

4. Welche Folgen kann Phishing haben?

Weil die Täter mit den gestohlenen Daten oftmals das Online-Banking hacken und damit Zugriff auf das Konto des Nutzers haben, kann Phishing weitreichende Folgen haben:

• Kreditkarten belastet
• Digitale Bezahlverfahren/Debitkarten eingerichtet & bei Einzelhändlern genutzt
• Darlehen oder Kredite beantragt
• Abos abgeschlossen
• Streaming-Dienste gebucht
• Bei Online-Händlern eingekauft
• Dispo ausgereizt oder überzogen
• Lastschriften widerrufen & Tagesgeld umgebucht
• Konto leergeräumt

Wer sensible Daten geteilt hat und Abbuchungen bemerkt, die er nicht veranlasst oder autorisiert hat, sollte schnell reagieren. Ein Anwalt weiß, was dafür zu tun ist, weitere Abbuchungen zu verhindern und eine Erstattung der nicht getätigten Überweisungen von der Bank zu bekommen.

5. Was tun bei Phishing?

Klicken Sie auf keinen Link, öffnen Sie keinen Anhang, laden Sie kein Programm herunter und teilen Sie keine Daten, wenn Sie den Verdacht auf Phishing haben.

Zudem ist es ratsam, die Phishing Mail zu melden – und zwar beim in der Nachricht erwähnten Unternehmen. Dort können Sie auch nachfragen, wenn Sie sich unsicher sind, ob eine vermeintliche Phishing Mail nicht doch echt ist.

Verwenden Sie dabei nicht die Kontaktdaten aus der verdächtigen Nachricht oder die auf Ihrem Smartphone angezeigte Rufnummer eines verdächtigen Anrufers – sondern die auf der offiziellen Webseite aufgeführten Kontaktmöglichkeiten.

Auf Phishing reingefallen – was tun?

Wenn Sie Opfer von Phishing geworden sind, sensible Daten geteilt haben oder unautorisierte bzw. nicht veranlasste Abbuchungen auf Ihrem Konto bemerken, sollten Sie schnell reagieren.

Das ist zu tun, wenn Kriminelle durch Phishing Zugriff auf Ihr Konto haben:

• Bank informieren & Vorfall erklären.
• Konto & Online-Banking sperren lassen – direkt bei der Bank oder unter der bundesweit einheitlichen Sperr-Notrufnummer 116 116.
• Giro- & Kreditkarten sperren lassen.
• Unbekannte Überweisungen zurückbuchen lassen.
• Passwörter für Apps, Webseiten & Social-Media-Accounts ändern.
• PC oder Smartphone auf Schadsoftware untersuchen lassen.
• Schaden der Versicherung melden.
• Anzeige bei der Polizei erstatten, damit Bank oder Versicherung den finanziellen Schaden ersetzen.
• Ggf. einen Anwalt kontaktieren, der Sie bei der Rückforderung des Schadens & allen wichtigen Maßnahmen unterstützen kann

Wer das Phishing meldet, muss selbstverständlich bei der Wahrheit bleiben. Reine Vermutungen dazu, was der Grund dafür gewesen sein könnte, dass die Täter Zugriff auf das Konto erhielten, sind aber in der Regel fehl am Platz. Denn auch wenn diese Vermutungen letztlich gar nicht zutreffen, besteht das Risiko, dass Sie Ihnen später entgegengehalten werden. Kurz gesagt: Wenn Sie tatsächlich nicht wissen, wie die Täter Zugriff auf das Konto bekommen konnten, wissen Sie es nicht.

6. Erhalten Phishing Opfer ihr Geld zurück?

Ja. Laut § 675u BGB müssen Banken Ihnen nicht autorisierte Transaktionen unverzüglich erstatten. Dafür müssen Sie allerdings nachweisen können, dass Sie die Abbuchungen nicht veranlasst haben. Gelingt das nicht, wird die Bank die Erstattung des Schadens voraussichtlich verweigern.

Zudem dürfen Sie bezüglich des Phishings nicht grob fahrlässig gehandelt haben – ansonsten hat die Bank laut § 675v BGB einen Schadensersatzanspruch Ihnen gegenüber, mit dem sie gegen Ihren Anspruch auf Wiedergutschrift der Beträge aufrechnen kann. Dabei ist die Bank aber in der Beweispflicht: Sie muss nachweisen können, dass Sie einen „objektiv schweren und subjektiv schlechthin nicht entschuldbaren“ Verstoß gegen grundlegende Sorgfaltsanforderungen begangen haben (BGH, 10.02.2009, VI ZR 28/08).

Ihre Chance auf Erstattung der Abbuchungen erhöht sich außerdem, wenn die Bank durch Sicherheitslücken eine Mitschuld am Phishing trägt.

Wie hilft mir ein Anwalt?

Ein Anwalt kann Sie bei einem Betrug durch Phishing so unterstützen:

• Schadensanzeige bei der Bank
• Beratung zur Anzeige bei der Polizei
• Akteneinsicht bei Polizei & Staatsanwaltschaft
• Vertretung gegenüber der Bank
• Deckungsanfrage bei der Rechtsschutz-Versicherung
• Vorgehen gegen Unternehmen, die vom Konto abgebucht haben

Dabei stellt ein Anwalt sicher, dass Sie sich nicht selbst belasten und Ihren Anspruch auf Erstattung des Schadens nicht gefährden. Er sorgt außerdem dafür, dass die für die Erstattung notwendigen Beweise erbracht werden. So kann er nachweisen bzw. begründen, dass Sie Abbuchungen gar nicht veranlasst und nicht grob fahrlässig gehandelt haben.

Oft ist dieser Nachweis schon aus den Gegebenheiten des konkreten Falles gut zu führen – z. B. wenn Abhebungen an zahllosen Supermarktkassen in Nordrhein-Westfalen erfolgten, während sich der Kunde nachweislich in München befand. Spätestens aber nach der Einsichtnahme in die technischen Aufzeichnungen der Kontozugriffe lässt sich in aller Regel nachweisen, dass Freigaben von einem Mobilfunkgerät erfolgten, das gar nicht dem Kunden gehört.

Ein Anwalt kann Sie auch beim Vorgehen gegen abbuchende Unternehmen unterstützen, wenn die Täter z. B. in Geschäften mit Ihrer Debitkarte gezahlt haben. Er weist nach, dass Sie den Kauf nicht getätigt haben können und fordert die Unternehmen zur Rückerstattung der Beträge auf.

Schnelle Hilfe bei Phishing: Nachdem wir Ihre Anfrage erhalten haben, meldet sich ein erfahrener Rechtsanwalt für eine Ersteinschätzung bei Ihnen. Er informiert Sie darüber, ob und welche Erfolgsaussichten für eine Erstattung durch Ihre Bank bestehen. Ist ein anwaltliches Vorgehen sinnvoll, erhalten Sie ein Angebot – und entscheiden dann erst, ob Sie den Anwalt beauftragen möchten.

7. Wie kann ich mich vor Phishing schützen? I Checkliste

Das Wichtigste vorweg: Unternehmen und Banken fordern niemals zur Herausgabe vertraulicher Daten per Mail, SMS oder Chat auf! Daneben bieten Ihnen aber viele weitere Maßnahmen Schutz vor Phishing.