#Verbraucherzentrale warnt: Wer nicht aufpasst, muss 854 Euro zahlen

Die Verbraucherzentrale listet im Rahmen ihres Phishing-Radars kontinuierlich die neuesten Phishing-Mails auf. Selbstverständlich ist die Liste nicht erschöpfend; auch andere Mails sind im Umlauf. Sie zeigt allerdings, bei welchen E-Mails man als Nutzer derzeit auf jeden Fall ein Auge offen halten sollte. In der laufenden Woche gehören dazu die folgenden Unternehmen und Organisationen.

Aktuelle Phishing-Lage – Rund 850 Euro Schaden

PayPal

Die Verbraucherzentrale warnt gegenwärtig sämtliche PayPal-Nutzer vor einer neuen Masche. Die Vorgehensweise der Cyberkriminellen sieht dabei wie folgt aus: In einem ersten Schritt verschicken sie Phishing-Mails, die optisch größtenteils mit denen von PayPal übereinstimmen. Bereits im Betreff werden die Empfänger darüber informiert, dass sie eine Zahlung in Höhe von 853,67 Euro an ein unbekanntes Unternehmen gesandt hätten. Doch schon eine Zeile darunter heißt es: „Sollten Sie diese Transaktion nicht genehmigt haben, bitten wir Sie dringend, sich über den unten angezeigten Button in Ihr Konto einzuloggen und die Transaktion zu stornieren“. Geht man der Forderung nach, könnte die Betrugsmasche auf zweierlei Arten enden. Entweder das Opfer hebelt die sogenannte Zwei-Faktor-Authentifizierung eigenständig aus und überweist den genannten Betrag diesmal tatsächlich an die Betrüger. Oder aber die Kriminelle erhalten uneingeschränkten Zugriff auf das PayPal- und damit auch auf das Bankkonto.

Da der Name des Empfängers in der E-Mail genannt wird, scheinen die Phishing-Mails zielgerichtet verschickt zu werden. Doch ein Name stellt noch lange keinen Beweis für die Legitimität einer E-Mail dar. Solltest du eine solche Nachricht empfangen, empfiehlt es sich daher, sich über den Browser – und nicht über die in der E-Mail hinterlegte Verlinkung – bei PayPal einzuloggen und einen Blick auf die eigenen Transaktionen zu werfen. Taucht die fragliche Zahlung nicht auf, kann die Phishing-Mail getrost in den Spam-Ordner verschoben werden.

Postbank

Auch Kunden der Postbank sehen sich gegenwärtig mit einer Phishing-Masche konfrontiert. In einer entsprechenden E-Mail werden diese darüber informiert, dass ihre Konten „aus Sicherheitsgründen“ vorübergehend gesperrt worden seien. Nun werden sie aufgefordert, ihre Identität über einen hinterlegten Link zu bestätigen. „Dieser einfache Vorgang dauert in der Regel nur 5 bis 10 Minuten“, heißt es in der E-Mail. Dennoch sollten Betroffene auf keinen Fall auf den Link klicken. Denn dieser führt zu einer dem Original nachempfundenen Postbank-Website. Sämtliche hier eingetragene Anmelde- und Nutzerdaten landen auf direktem Wege bei den Cyberkriminellen. Daher sollte auch diese Benachrichtigung im Spam-Ordner landen.

DKB

In einer weiteren Phishing-Mail haben Kriminelle es auf DKB-Kunden und ihre Handynummern abgesehen. Daher werden Empfänger dazu gedrängt, ihre Mobilfunknummern zu verifizieren – „um einen unterbrechungsfreien Zugriff auf die TAN2Go-App der DKB zu gewährleisten“. In Wahrheit benötigen Cyberkriminelle die Handynummer sowie weitere personenbezogene Daten, um die Sicherheitsvorkehrungen der Bank zu umgehen. Entsprechend empfehlen wir auch hier, nicht auf die E-Mail zu reagieren. Zumal von einer direkten Kundenanrede jede Spur fehlt. Solltest du dir unsicher sein, kann ein Anruf beim Kundenservice deine Bedenken zerstreuen.

Comdirekt

Die Cyberkriminellen, die gegenwärtig Phishing-Mails im Namen der Comdirekt Bank verbreiten, haben sich bei der Gestaltung der E-Mail offenkundig keine große Mühe gegeben. So finden sich hier weder Logos, noch die üblichen Comdirekt-Farben. Inhaltlich werden neue EU-Zahlungsrichtlinien thematisiert, die Comdirekt-Kunden dazu verpflichten sollen, ihre persönlichen Daten „erneut zu bestätigen“. Es folgt eine Drohung – Sperrung der Bankkarte – sowie eine hinterlegte Verlinkung. Letztere sollten Empfänger wie schon zuvor nicht betätigen.

Phishing 2023 – Bisherige Fälle

Die Liste an Phishing-Versuchen in Deutschland wird immer länger. Klar zu erkennen ist, dass es vorwiegend große Unternehmen betrifft. Sie haben viele Kunden und damit viele potenzielle Opfer von Phishing. Diese Liste zeigt, welche Unternehmen im Jahr 2023 schon von Phishing-Betrügern genutzt wurden, um deine Daten oder dein Geld zu stehlen:

• Advanzia Bank
• Amazon
• Apple
• Barclays
• Bitcoin-Erpressung
• Bundesfinanzministerium (BMF)
• Bundesministerium für Gesundheit (BMG)
• Commerzbank
• Comdirect
• Consorsbank
• Consors Finanz
• Deutsche Bahn (DB)
• Deutsche Bank
• DHL
• Disney+
• DKB
• GMX
• iCoud
• ING
• KfW
• LBB
• N26
• Netflix
• OLB Bank
• PayPal
• Postbank
• Santander
• Sparda-Bank
• Sparkasse
• Targobank
• Telekom
• UPS
• Vodafone
• VR

Was ist Phishing eigentlich?

Wenn man an Cyberkriminelle denkt, kommen einem sofort Hollywood-Bilder von Unbekannten in Kapuzenpullis in den Sinn, die in einem Keller vor fünf Bildschirmen sitzen und ihren Blick auf das Pentagon richten. Die Wahrheit sieht allerdings oftmals ganz anders aus. Denn man braucht weder fünf Bildschirme noch große Kenntnisse über Sicherheitssoftware, um an das Geld von Internetnutzern zu gelangen. Sogar ein Kapuzenpulli ist dafür nicht zwingend erforderlich. Viele Anwender verraten ihre Zugangsdaten nämlich freiwillig, wenn man sie darum bittet.

Alles, was dazu benötigt wird, ist eine E-Mail im beispielsweise Amazon-Look, die Empfänger über ungewöhnliche Kontoaktivitäten oder eine AGB-Änderung unterrichtet. Anschließend wird das Opfer dazu aufgefordert, eine Autorisierung durchzuführen, indem er einen Link anklickt und sich in seinem Account anmeldet. Nur führt der Link nicht zur Amazon-Website, sondern zu einer Kopie. Die hier eingetragenen Login-Daten landen direkt bei den Cyberkriminellen. Mittlerweile steckt hinter Phishing eine regelrechte Industrie.

Weitere Betrugsmaschen & Schutzmechanismen:

• eBay Kleinanzeigen und Co.: Mit diesen Betrugsmaschen zockt man dich ab
• WhatsApp Abzocke: Das sind die hinterlistigen Maschen der Betrüger
• Privatsphäre durch Zukleben der Webcam? So machst du es besser

So erkennst du Phishing-Mails

Sobald die Betrüger deine Nutzerdaten erbeutet haben, können sie diese beispielsweise zum Identitätsdiebstahl verwenden. Sollten die Anmeldedaten zu einem mit dem Bankkonto verknüpften Dienst gehören, könnte auch dein Portemonnaie darunter leiden. Darum solltest du auf E-Mails im Allgemeinen und auf Nachrichten der oben genannten Anbieter im Besonderen achten. Weist die E-Mail Rechtschreibfehler auf? Wie sieht es mit direkter Kundenansprache aus? Handelt es sich bei dem Absender respektive bei der E-Mail-Adresse des Absenders im Kopf der E-Mail tatsächlich um PayPal? Gehört die verlinkte Webseite dem Online-Bezahldienst, oder ist die URL eher kryptisch? Alle diese Fragen können eine Phishing-Mail enttarnen.

Eine weitere, gute Selbstschutz-Maßnahme stellt die Zwei-Faktor-Authentifizierung (2FA) dar. Dabei handelt es sich um einen doppelten Anmeldeschutz, bei dem neben den Anmeldedaten eine zweite Anmeldeschranke eingerichtet wird – etwa in Form eines Codes, der auf eine zuvor hinterlegte Telefonnummer zugestellt wird. Diesen können Cyberkriminelle in der Regel nicht so einfach ergattern. Obwohl auch diese Schutzlinie nicht unüberwindbar ist. Weitere Informationen zu dem Thema erhältst du in unserem Phishing-Ratgeber.