Phishing, Vishing, Smishing:
Schützen Sie Ihre Daten

Der Inhalt dieses Blogs
kurz zusammengefasst

Im digitalen Alltag sind wir alle potenzielle Ziele für Betrugsversuche. Eines der bekanntesten Verfahren ist das Phishing, das oft auch in anderen Varianten wie dem Smishing oder Vishing praktiziert wird. Diese Methoden verfolgen ein gemeinsames Ziel: Sie sollen persönliche Daten wie Passwörter oder Kreditkarteninformationen preisgeben. 

Die Betrüger:innen tarnen sich dabei oft als Bank, Versanddienst oder Verwandte. Wer Warnsignale früh erkennt, kann sich effektiv schützen und Schäden vermeiden.

Diese Seite 
im Überblick

Was Phishing bedeutet
und wie sie es erkennen

Phishing beschreibt den Versuch, über gefälschte Nachrichten an Ihre vertraulichen Daten zu gelangen. Diese Nachrichten kommen in den meisten Fällen per E-Mail, können aber auch in Chats, Briefen, per Fax oder per SMS (Smishing) und Telefon (Vishing) übermittelt werden. In der Regel werden diese betrügerischen (E-Mail-)Nachrichten versendet, damit die Empfängerin bzw. der Empfänger einem darin enthaltenen Link folgt oder den Dateianhang (z. B. ein Formular) öffnet und anschließend persönliche Daten eingibt. Durch das Öffnen von Anhängen kann auch Schadsoftware (= Malware) auf dem Computer geladen und installiert werden.

In vielen Fällen sind (E-Mail-)Nachrichten mit Phishing-Absichten an bestimmten Merkmalen erkennbar. Aber Achtung: Die Phishing-Techniken werden immer raffinierter. Seien Sie also bereits bei Eintreten eines einzigen Merkmals vorsichtig.

Unpersönliche Anrede

Bei offiziellen E-Mails von einer Bank oder anderen Unternehmen werden Sie in der Regel mit Ihrem vollständigen Namen angesprochen. Nur selten werden allgemeine Anreden wie „Sehr geehrter Kunde“ oder „Guten Tag“ verwendet. Phishing-Betrüger:innen haben nämlich nicht immer Kenntnis über Ihren Namen und müssen daher oft auf eine unpersönliche Anrede zurückgreifen.

Unplausible E-Mail-Adresse

In vielen E-Mail-Programmen wird in der Übersicht nur der Name des Absenders angezeigt. Dieser Name kann leicht gefälscht werden. Sehen Sie sich daher immer auch die genaue Absenderadresse an.

Prüfen Sie, ob die E-Mail-Adresse zum Namen des Absenders passt und plausibel ist. Wäre die Adresse in diesem Fall beispielsweise skyjet291231@rocketinternet.info, ist sie eindeutig unplausibel und gefälscht.

Leider ist es in vielen Fällen nicht einfach, Fake-Adressen zu erkennen. Wenn Sie jedoch wissen, worauf Sie achten müssen, steigt die Chance, diese zu entlarven. Vor allem der Teil nach dem @-Zeichen ist wichtig, da hier der Domainname und die Domainendung stehen. Betrüger:innen nutzen oft sehr ähnliche Adressen zum Original, um unaufmerksame Empfänger:innen zu täuschen. Konkrete Beispiele für Fälschungen unserer Adresse könnten sein:

  • austrian@andaibank.com (andai statt anadi)
  • austrian@anadi-bank24.info
  • austrian@anadi.banksupport-austria.com
  • anadi@austrian-bank-support.info

Wie Sie sehen, versuchen Betrüger:innen, den Firmennamen in die Fake-Adressen einzubauen oder die eigentliche Domain in leicht abgewandelter Form zu kopieren.

Rechtschreib- und Grammatikfehler

Betrügerische E-Mails waren in der Vergangenheit oft voller Fehler und sind es teilweise immer noch. Allerdings haben auch Betrüger:innen mittlerweile Zugang zu KI-Systemen, die einwandfreie Texte in vielen Sprachen erzeugen können. Neue Phishing-Texte sind daher oft kaum von echten zu unterscheiden.

Grund des Schreibens

In Phishing-Nachrichten werden die unterschiedlichsten Gründe genannt, warum Sie dringend Ihre Daten übermitteln sollen. Bleiben Sie skeptisch und klicken Sie nicht voreilig. Überprüfen Sie die Behauptung, indem Sie sich wie gewohnt in Ihrem Kundenkonto anmelden (per App oder auf der offiziellen Website) oder telefonisch beim offiziellen Support nachfragen. Viele Institutionen weisen auch auf ihren Websites oder im Internetbanking auf aktuelle Betrugsversuche hin.

Angeführter Link

Bei einer dringlichen Aufforderung, auf einen Link zu klicken, können Sie von Betrug ausgehen. Prüfen Sie den Link, bevor Sie ihn öffnen. Oft sind Links hinter Buttons oder Texten versteckt. Bewegen Sie die Maus darüber oder drücken Sie am Handy lange auf den Link, um die Adresse zu sehen, ohne sie zu öffnen. Achten Sie darauf, ob die Domain zur offiziellen Website des Unternehmens passt. Mehr zur Erkennung gefälschter Websites finden Sie weiter unten.

Watchlist Internet

Viele aktuell im Umlauf befindliche Betrugsversuche werden von der Watchlist Internet dokumentiert. Sind Sie unsicher, können Sie dort nachsehen. Wenn Sie selbst eine Phishing-Nachricht identifizieren, können Sie diese auch zur Warnung anderer Nutzer:innen bei der Watchlist Internet melden.

Phishing-Nachricht erhalten:
Was ist jetzt zu tun?

Falls Sie eine Phishing-E-Mail erhalten haben – keine Panik. Der reine Erhalt hat keine Konsequenzen. Wichtig ist, dass Sie keine Links anklicken und keine Anhänge öffnen. Geben Sie keine persönlichen Daten ein und antworten Sie nicht auf die Nachricht.

ICH HABE DAS PHISHING RECHTZEITIG ERKANNT

Sehr gut! Wenn Sie die E-Mail anhand der oben genannten Merkmale als Phishing erkennen konnten, löschen Sie die Nachricht. Um den Betrugsversuch einzudämmen, können Sie ihn auch bei der Watchlist Internet melden. Wurde eine Phishing-Mail an Ihre Firmenadresse zugestellt, informieren Sie bitte unverzüglich die Sicherheitsabteilung Ihres Unternehmens.

ICH HABE AUF EINEN LINK ODER ANHANG GEKLICKT

Das Anklicken eines Links ist meist noch unproblematisch, da Sie in der Regel nur auf eine gefälschte Website weitergeleitet werden. Schließen Sie die Seite einfach wieder. Wichtig ist, dass Sie keine persönlichen Daten eingeben. 

Wenn Sie jedoch einen Anhang geöffnet haben, könnte Schadsoftware auf Ihrem Gerät installiert worden sein. Wenden Sie sich in diesem Fall an einen Fachbetrieb oder an Ihre IT-Abteilung, falls es sich um ein dienstliches Gerät handelt.

ICH HABE BEREITS DATEN EINGEGEBEN

Wenden Sie sich in diesem Fall umgehend an die Bank oder das Unternehmen, das angeblich der Absender war. Schildern Sie den Vorfall und veranlassen Sie die sofortige Sperre der betroffenen Konten oder Karten. Sollte dies im Arbeitsumfeld passiert sein, melden Sie den Vorfall unverzüglich der entsprechenden Abteilung.

Smishing: Der Betrug
kommt per SMS aufs Handy

Smishing funktioniert nach dem gleichen Prinzip wie Phishing, wird jedoch per SMS durchgeführt. Der Begriff „Smishing“ setzt sich daher aus „SMS“ und „Phishing“ zusammen und beschreibt Betrugsversuche, bei denen gefälschte Textnachrichten versendet werden, um persönliche Daten zu stehlen oder Schadsoftware zu installieren.

Betrüger:innen versenden Nachrichten, die scheinbar von Mobilfunkanbietern, Paketdiensten oder Banken stammen. Diese enthalten Links zu gefälschten Webseiten oder fordern zur Installation von Apps auf, die Schadsoftware enthalten. Auch wenn der Absender vertrauenswürdig wirkt, sollten Sie SMS mit Links zu Voicemails oder Sicherheitswarnungen kritisch prüfen. Anbieter fordern niemals per SMS die Installation von Apps aus unbekannten Quellen, und Webadressen in solchen Nachrichten führen oft zu gefälschten Seiten.

Reagieren Sie nicht auf solche SMS, klicken Sie keine Links an und geben Sie keine Daten ein. Blockieren Sie die Absendernummer und löschen Sie die Nachricht. Sollten Sie versehentlich eine betrügerische App installiert haben, setzen Sie Ihr Gerät auf Werkseinstellungen zurück und ändern Sie alle Passwörter. Ist bereits ein finanzieller Schaden entstanden, erstatten Sie Anzeige und informieren Sie Ihren Mobilfunkanbieter.

Vishing: Betrügerische
Anrufe als Gefahr

Beim Vishing nutzen Betrüger:innen ebenso das Telefon, um persönliche Informationen zu erlangen. Das Wort „Vishing“ setzt sich aus „Voice“ und „Phishing“ zusammen und beschreibt Betrugsversuche per Telefonanruf, um sensible Daten zu erfragen oder Zahlungen zu erwirken.

Oft geben sich Betrüger:innen als Bankmitarbeitende, Polizist:innen oder sogar als Angehörige aus. Mit überzeugenden Geschichten versuchen sie, Ihr Vertrauen zu gewinnen. In den meisten Fällen kommt auch zeitlicher Druck hinzu. Betrüger:innen versuchen, unter dem Vorwand einer angeblichen „Notsituation“ den Entscheidungszeitraum stark zu verkürzen – eine gründliche Überprüfung ist dadurch oft kaum möglich. Bekannt sind Fälle, in denen ältere Menschen mit dem Enkeltrick kontaktiert oder Anrufe im Namen von Bankberater:innen getätigt werden, um Zugang zu Kontoinformationen zu erhalten.

Seriöse Banken oder Behörden werden niemals telefonisch nach vertraulichen Informationen fragen oder Sie auffordern, Geld zu überweisen. Beenden Sie solche Gespräche sofort und kontaktieren Sie Ihre Bank über offizielle Kanäle.

So erkennen Sie
gefälschte Websites

Gefälschte Websites sind ein zentrales Werkzeug von Phishing-Angriffen. Oft verbergen sich hinter Links in betrügerischen E-Mails oder SMS täuschend echt gestaltete Seiten, die wie das Online-Banking Ihrer Bank oder ein bekannter Online-Shop aussehen. Ziel dieser Seiten ist es, Sie zur Eingabe Ihrer Daten zu bewegen, die dann bei den Betrüger:innen landen.

Umso wichtiger ist es, diese Websites frühzeitig zu erkennen und ihnen keine Chance zu geben.

Achten Sie stets auf die genaue Schreibweise der Webadresse, denn kleine Unterschiede wie ein vertauschter Buchstabe oder eine andere Domainendung können eine Fälschung entlarven. Nutzen Sie gespeicherte Favoriten, um bspw. Ihre Online-Banking-Seite aufzurufen.

Seriöse Websites verfügen über ein Sicherheitszertifikat, erkennbar am „https://“ und einem Schlosssymbol in der Adresszeile. Ein Klick auf das Schloss zeigt Ihnen Details zur Verschlüsselung. Fehlt das Schloss oder warnt Ihr Browser, sollten Sie die Seite nicht nutzen.

Dieses Bild zeigt eine sichere Website

Vertrauenswürdige Websites enthalten ein vollständiges Impressum, AGB und Datenschutzhinweise. Auch eine professionelle Gestaltung und korrekte Rechtschreibung sind Indikatoren für Seriosität. Bei außergewöhnlich hohen Rabatten ist Vorsicht geboten, ebenso bei Vorkasse-Angeboten. Aktuelle Warnungen finden Sie auf der Plattform Watchlist Internet.

Prävention: So erhöhen
Sie Ihre Sicherheit

Ihre Sicherheit beginnt bei einer wachsamen Nutzung Ihrer Geräte und Dienste. Halten Sie Betriebssysteme und Browser durch regelmäßige Updates aktuell, um Sicherheitslücken zu schließen. Nutzen Sie Spam-Filter für E-Mails, öffnen Sie keine unerwarteten Anhänge und installieren Sie Apps nur aus vertrauenswürdigen Quellen.

Die Nutzung einer Zwei-Faktor-Authentifizierung für Ihre Online-Konten bietet eine zusätzliche Sicherheitsebene, da sie neben Ihrem Passwort einen zweiten unabhängigen Faktor abfragt. Wir empfehlen, diese Funktion überall dort zu verwenden, wo sie verfügbar ist. Im Anadi Internetbanking ist die Zwei-Faktor-Authentifizierung übrigens Standard.

Und das Wichtigste: Bleiben Sie stets skeptisch. Geben Sie keine vertraulichen Informationen an Personen oder Unternehmen weiter, die Sie nicht eindeutig kennen – weder am Telefon, im persönlichen Gespräch, per SMS, E-Mail noch auf einer Website.

Zusammenfassung:
Regeln zur Beachtung

Wir haben für Sie nachfolgend noch einmal die wichtigsten Regeln im Umgang mit Phishing, Smishing und Vishing zusammengefasst:

  • Seien Sie misstrauisch bei unerwarteten E-Mails, SMS oder Anrufen, in denen nach persönlichen Daten gefragt wird.
  • Öffnen Sie keine Links oder Anhänge, wenn Sie den Absender nicht eindeutig kennen.
  • Prüfen Sie stets den Absender – auch bei vermeintlich offiziellen Nachrichten von Banken, Paketdiensten oder ähnlichen Institutionen.
  • Geben Sie keine sensiblen Daten wie Passwörter, PINs, TANs oder Kreditkartendaten weiter.
  • Fragen Sie im Zweifel selbst nach – direkt bei der Bank oder dem betreffenden Unternehmen, über die Ihnen bekannte Kontaktmöglichkeit oder die offizielle Website.
  • Lassen Sie sich nicht unter Druck setzen. Für eine gründliche Prüfung ist immer ausreichend Zeit.