Von Enkeltricks und Phishingmails
Die ungefähre Lesezeit beträgt 20 Minuten.
Die ungefähre Lesezeit beträgt 20 Minuten.
Phishing-Mails enttarnen
Absender von Phishing-Mails wollen, dass ihnen ihre Opfer ins Netz gehen. Sie möchten damit Daten abgreifen, um diese im Anschluss für ihre Zwecke zu missbrauchen: Waren auf den Namen der Betrogenen bestellen, sich Passwörter für Konten erschleichen oder mithilfe von Schadsoftware Laptops und andere technische Geräte lahmlegen.
Um nicht auf diese fiese Masche hereinzufallen, sollten Sie bei folgenden Dingen stutzig werden:
- sieht die Mail anders aus als andere, die Sie von dem vermeintlichen Absender sonst bekommen?
- haben Sie eine Nachricht eines Onlinehändlers bekommen, aber vielleicht gerade gar nichts bestellt? (Ein Blick ins Kundenkonto, etwa per App, kann Fragen klären.)
- sollen Sie dem Absender Passwörter, Geheimnummern, Tans oder Pins mitteilen?
- besteht der Hauptzweck der Mail darin, Sie zum Antworten oder zum Anklicken eines Links oder Anhangs zu bewegen – womöglich sogar mit verbalem Druck oder Drohungen?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI, „Wie erkenne ich Phishing-E-Mails und -Webseiten?“) gibt im Falle der Links den Tipp, doch einmal mit der Maus über den Link zu fahren und die aufploppende Verknüpfung mit dem Text im Link zu vergleichen. „Stutzig sollten Sie zum Beispiel werden, wenn die Internetadresse zwar den Namen der jeweiligen Institution enthält, aber in Verbindung mit ungewöhnlichen Zahlen oder Zeichenkombinationen wie in www.135x-Bank.de“ (BSI).
Sollte eines der Merkmale oder gleich mehrere auf eine E-Mail zutreffen, antworten Sie in keinem Fall und klicken Sie auf keinen Link. Löschen Sie die Nachricht! Falls Sie sich unsicher sind, so kontaktieren Sie den Absender – allerdings nicht über die Kontaktdaten in der Mail, sondern über Wege, die Sie zu einem früheren Zeitpunkt bereits als verlässlichen und sicheren Kommunikationsweg ausgemacht haben. Das kann etwa eine Nummer auf der Visitenkarte Ihres Bankberaters sein, die seit Jahren eingespeicherte Verbindung oder die E-Mail-Adresse im Adressbuch Ihres Handys, ein Telefonbuch-Eintrag und so weiter. Fragen Sie nach, ob der vermeintliche Absender Ihnen tatsächlich eine Nachricht zukommen lassen hat.
Sicherheit für eigene Accounts
Jeder Mensch, der online unterwegs ist, sollte seine persönlichen Zugänge sichern – das Onlinebanking, das Mail-Postfach und auch die Kundenkonten bei Versandhändlern. Dazu tragen in erster Linie sichere Passwörter bei. Das bedeutet:
- „Sicher sind 20 bis 25 Zeichen, zwei Zeichenarten – [o]der acht bis zwölf Zeichen, vier Zeichenarten“ (BSI, „Accountschutz beim Onlineshopping“)
- keine Kombinationen wie 12345 oder qwertz einbauen
- im Idealfall vergeben Sie jedes Passwort nur einmal – Passwortmanager können hier nützlich sein
- es kann auch helfen, Passwörter in regelmäßigen Abständen zu wechseln
- der BSI-Artikel betont, dass jeder seine digitalen Postfächer gut schützen sollte, weil sie der Schlüssel dafür sind, die Passwörter auch für andere Plattformen und Dienste zurücksetzen zu lassen
Das BSI rät zudem dazu, Updates für Browser, Virenschutzprogramme, Betriebssysteme und Firewalls zu installieren. Das schützt Ihre Accounts ebenfalls und in erheblichem Maße gegen den Missbrauch durch andere.
Nebenschauplatz: Fake-Anrufe und -SMS
Kommen wir zum Enkeltrick, der schon richtig lange im Rennen ist. Dennoch beschäftigt er Polizisten bundesweit gefühlt täglich aufs Neue. Bei dem Klassiker der Betrugsmaschen rufen Menschen bevorzugt bei Senioren an und geben sich als deren Enkel aus. Alt klingende Namen und dazugehörige Festnetznummern finden sie im Telefonbuch. Erreichen die Betrüger jemanden, dann geben sie sich meist als Enkel der Angerufenen aus, der kurzfristig Geld benötigt. Andere Geschichten, die die Betrüger ihren potentiellen Opfern auftischen, sind folgende:
- dass sie etwas gewonnen haben, aber zuvor eine Vorauszahlung für anfallende Gebühren überweisen sollen
- dass sie ein Angehöriger sind, der in einen Unfall verwickelt worden ist und ganz dringend Geld benötigt
- dass sie die Polizei sind, die von einem angeblich geplanten Überfall auf die Angerufenen Wind bekommen hat und die Senioren deshalb all ihre Wertgegenstände und Rücklagen vorübergehend aushändigen sollen
An dieser Stelle ein wichtiger Hinweis: Die Polizei sammelt niemals Ihren Schmuck oder Ihr Erspartes ein, um es an einem vermeintlich sicheren Ort aufzubewahren. Sie möchte auch nicht, dass Sie Ihr Hab und Gut in einem Schließfach deponieren. Kontaktieren Sie deshalb unbedingt die echte Polizei, wenn Sie solch ein Anruf erreicht hat. Halten Sie sich für besonders gewieft, dann können Sie auch so tun, als ob Sie auf die Forderungen der Betrüger eingehen und sich mit ihnen zur Übergabe Ihrer Wertsachen verabreden. Anschließend versorgen Sie die echte Polizei mit den Informationen zum geplanten Treffen und besprechen das weitere Vorgehen.
Falls die Betrüger Sie per Whatsapp-Nachricht oder SMS als vermeintlicher Angehöriger kontaktieren, der eine neue Nummer hat, und ihnen dubiose Geschichten erzählen wollen, so lohnt eine Gegenprobe. Rufen Sie die altbekannte Nummer desjenigen an und schreiben Sie ihm über den gewohnten Kanal. Meist reicht so eine simple Maßnahme bereits aus, um Kriminelle zu enttarnen.
Einigen generellen Informationen sowie den markierten Zitaten liegen folgende Quellen zugrunde:
Stiftung Warentest „Gewusst wie: Fake-Shop entlarven“ (Link), Stand: 02. Oktober 2023.
Bundesamt für Sicherheit in der Informationstechnik (BSI) „Accountschutz beim Onlineshopping“ (Link), Stand: 02. Oktober 2023.
ntv Nachrichtenfernsehen GmbH „Käuferschutz: Mehr Sicherheit bei Online-Käufen“ (Link), Stand: 02. Oktober 2023.
Bundesamt für Sicherheit in der Informationstechnik (BSI) „Wie erkenne ich Phishing-E-Mails und -Webseiten?“ (Link), Stand: 04. Oktober 2023.
Verbraucherzentrale NRW e.V. „Fakeshop-Finder: Ist dieser Online-Shop seriös?“ (Link), Stand: 06. Oktober 2023.
