Phishing-Mails erkennen und überlegt handeln

Betrügerische E-Mails, sogenannte Phishing-Mails, landen wohl in jedem Postfach. Sie locken mit einem attraktiven Gewinnspiel oder fordern einfach nur dazu auf, zur Sicherheit ein Benutzerkonto zu verifizieren. Doch in Wahrheit will der Absender nur eines: an Ihre Passwörter oder – noch schlimmer – an Ihre Kontodaten.

Sie kommen angeblich von Auktions- oder Shopping-Plattformen, von der Bank oder dem Bezahlservice, vom Telefonanbieter oder sogar vom Finanzamt. Gemeint sind E-Mails, die täuschend echt aussehen, aber nur einem Zweck dienen: Ihre persönlichen Daten auszuspähen.

So können Sie betrügerische Mails erkennen: 

  • Schauen Sie sich die Adresse des Absenders genau an, indem Sie mit der Maus darüber gehen, ohne die Mail anzuklicken. In der Regel entspricht diese nicht der sonst üblichen Absenderadresse. Achtung: Manchmal liegt der Unterschied nur in einem einzigen Buchstaben oder in einer einzigen Zahl. Auf Nummer sicher geht, wer die Echtheit in seinem Mail-Programm überprüft. Dies geschieht über den sogenannten E-Mail-Header – eine entsprechende Anleitung ist über den Hersteller der Mail-Software zu finden.
  • Sie hatten bisher keine Berührungspunkte mit dem Absender? Dann sollten Sie die Mail nicht öffnen und ggf. sofort löschen. 
  • Die Themen in den Phishing-Mails ähneln sich: Benutzerkonten wurden geknackt und sollen nun sicherer werden. Oder Sie wurden als einer von wenigen Glücklichen als Gewinner ausgewählt. So oder so bittet der Absender um eine Bestätigung von Log-in-Daten oder um Ihre Kontonummer – und zwar möglichst sofort. Unterm Strich bedeutet das: Emotionales Thema plus Zeitdruck plus eine Drohung plus die Bitte, sensible Daten preiszugeben – da sollten Sie misstrauisch werden.
  • Viele Phishing-Mails werden automatisch übersetzt. Deshalb lässt vor allem die Grammatik in der Betreffzeile und im Text sehr zu wünschen übrig und oft werden auch Umlaute (ä, ö, ü) ausgelassen.
  • Werden Sie aufgefordert – Kennwörter, Log-in-Daten, Kreditkartennummer, PINs oder Kontoverbindungen per Mail an den Absender zu schicken, sollten Sie dies auf keinen Fall tun. Das gleiche gilt, wenn Sie einem Link zur Eingabe der sensiblen Daten folgen sollen. Eine Bank fordert ihre Kunden niemals zur Eingabe sensibler Daten auf. Aktuelle Beispiele finden Sie hier.  
  • Eine Rechnung, die im Word-Format verschickt wird – das macht keinen Sinn, schließlich könnten Sie diese ja nach Belieben verändern. Und warum sollten Ihnen Ihre Bank eine Bilddatei mit der Endung -.jpg schicken? Ein wenig gesunder Menschenverstand hilft dabei, unsinnige Anhänge, in denen sich Schadprogramme verbergen könnten, zu erkennen.

So können Sie vorbeugen:

  • Überprüfen Sie, wie Sie im Browser oder im E-Mail-Programm Mails empfangen. Öffnet sich das Dokument lediglich als reiner Text, kann nichts passieren. Anders dagegen bei Mails, die im HTML-Format empfangen werden. Öffnen Sie diese nur, wenn Sie den Absender kennen. 
  • Echte E-Mails der Postbank können Sie zudem durch eine E-Mail-Signatur von gefälschten unterscheiden. Mehr zur E-Mail-Signatur erfahren Sie hier: www.postbank.de/email-signatur
  • Halten Sie die Antiviren-Software, die Firewall, den Browser und auch die Anwendungsprogramme auf Ihrem PC auf dem neuesten Stand.
  • Nutzen Sie nur in Ausnahmefällen fremde oder öffentlich zugängliche Netzwerke.
  • Loggen Sie sich am Ende Ihrer Internetsitzung vollständig aus dem Benutzerkonto aus– das Schließen des Browser-Fensters genügt nicht.
  • Nutzen Sie ausschließlich sichere Passwörter: Am besten eine Kombination aus Zahlen, Buchstaben, Sonderzeichen, Groß- und Kleinschreibung. Vergeben Sie für jedes Benutzerkonto ein anderes Zugangswort und ändern Sie dieses regelmäßig. Speichern Sie die Codewörter niemals auf Ihrem PC.

So sollten Sie handeln, wenn Sie eine Phishing-Mail im Postfach haben:

  • Falls Sie nicht sicher sind, ob es sich um eine echte Mail handelt oder nicht, dann fragen Sie beim Dienstleister oder bei der Gesellschaft nach – entweder per E-Mail oder telefonisch. Sind Sie sich unsicher, ob die Mail von der Postbank ist, dann leiten Sie diese bitte an missbrauch@postbank.de und löschen Sie diese bitte anschließend aus Ihrem Posteingang.
  • Unter https://www.virustotal.com/ können Sie E-Mail-Anhänge und Web-Adressen kostenlos auf Viren, Würmern, Trojanern und andere Schad-Software überprüfen lassen.
  • Klicken Sie niemals auf Links oder öffnen Sie niemals Anhänge von Mails.
  • Antworten Sie nicht auf diese Mails. Nutzen Sie auch nicht die anderen Kontaktmöglichkeiten, die in der Mail angegeben werden.
  • Löschen Sie die Mail umgehend. Um andere Verbraucher vor Betrügern zu warnen, können Sie die Nachricht vorher an eine Sammelstelle weiterleiten, die Überprüfungen vornimmt oder entsprechende Übersichten veröffentlicht. Zum Beispiel an die Adresse trojaner@polizei-praevention.de oder an die Verbraucherzentralen.
  • Überprüfen Sie mit einer aktuellen Antiviren-Software, ob Ihr PC von einem Schadprogramm befallen wurde. Führen Sie diesen Scan nach einigen Tagen erneut durch – einige Programme reagieren zeitverzögert.

So sollten Sie handeln, falls Sie auf eine Phishing-Mail hereingefallen sind:

  • Benachrichtigen Sie umgehend Ihre Bank, Ihre Telefongesellschaft, Ihren Bezahlservice oder den Betreiber des Web-Portals etc. , um Missbrauch mit Ihren Daten zu verhindern.
  • Auch in diesem Fall ist eine (mehrfache) Überprüfung des PCs mit einer aktuellen Antiviren-Software ratsam.
  • Ändern Sie Ihre Zugangsdaten zu den Benutzerkonten, die Sie nach Öffnen der Phishing-Mail genutzt haben und fordern Sie gegebenenfalls eine neue Kreditkarte an. Fall sich Log-in-Daten auf Ihrem PC befinden, sollten Sie die jeweils gespeicherten Zugänge aktualisieren.
  • Erstatten Sie Anzeige bei der Polizei.