Zum Inhalt springen
Alle RatgeberRatgeber

Phishing-Mails & -SMS

Phishing-Nachrichten geben sich als Bank, Shop, Paketdienst oder Behörde aus und locken auf eine gefälschte Login-Seite, um nach Passwörtern, Kartennummern oder anderen Daten zu „fischen“. Sie setzen auf Zeitdruck und einen fast echt aussehenden Link.

Geprüft von Florian Wartner · Zuletzt aktualisiert

So funktioniert diese Masche

Sie erhalten eine E-Mail, eine SMS oder eine Chat-Nachricht, die scheinbar von einer Bank, einem Online-Shop, einem Paketdienst oder einer Behörde stammt. Meist wird ein Problem behauptet - ein gesperrtes Konto, eine offene Zollgebühr, eine fehlgeschlagene Lieferung - und es gibt einen Link zu einer Seite, die der echten täuschend ähnlich sieht.

Diese Seite ist eine Kopie unter Kontrolle der Täter. Alles, was Sie dort eingeben, vor allem Ihre Zugangsdaten oder Kartennummer, landet direkt bei ihnen.

Warum sie funktioniert und wen die Täter ansprechen

Phishing funktioniert, weil es Marken nutzt, denen Sie ohnehin vertrauen, und mit Zeitdruck arbeitet, der Sie zum schnellen Handeln drängt. Die Nachrichten gehen gleichzeitig an Millionen Menschen, daher reicht den Tätern schon ein kleiner Anteil an Klicks.

Getroffen werden kann es jeden. Die Täter setzen auf einen unaufmerksamen Moment, ein tatsächlich erwartetes Paket oder ein echtes Konto, das die Nachricht glaubwürdig wirken lässt.

Die Warnzeichen im Detail

Sehen Sie sich Absenderadresse und Link genau an. Der angezeigte Name nennt vielleicht Ihre Bank, doch die tatsächliche Adresse oder Web-Domain ist oft falsch geschrieben, enthält Zusatzwörter oder endet ungewöhnlich. Fahren Sie mit der Maus über den Link, bevor Sie klicken, um das wahre Ziel zu sehen.

Unpersönliche Anreden, Drohungen mit sofortigen Folgen, die Aufforderung, ein Passwort oder eine PIN zu bestätigen, und unerwartete Anhänge sind typische Alarmzeichen. Eine echte Bank fordert Sie niemals auf, Ihre vollständigen Zugangsdaten über einen E-Mail-Link einzugeben.

So schützen Sie sich und was tun im Ernstfall

Klicken Sie nie auf Links in unerwarteten Nachrichten. Öffnen Sie die Website stattdessen selbst, indem Sie die Adresse eintippen oder Ihr eigenes Lesezeichen bzw. Ihre App nutzen, und melden Sie sich dort zur Prüfung an. Aktivieren Sie die Zwei-Faktor-Authentifizierung, damit ein gestohlenes Passwort allein nicht ausreicht.

Wenn Sie bereits Daten eingegeben haben, ändern Sie das Passwort sofort auf der echten Seite, rufen Sie Ihre Bank an, um Karte oder Konto zu sperren, und achten Sie auf unbekannte Abbuchungen. Phishing können Sie bei Ihrer Bank, dem nachgeahmten Shop und der Verbraucherzentrale melden.

Warnsignale

  • Unpersönliche Anrede („Sehr geehrter Kunde“) statt deines Namens.
  • Dringende Drohung: sofort handeln, sonst wird Konto/Karte gesperrt.
  • Ein Link, dessen sichtbarer Text woanders hinführt als angezeigt.
  • Aufforderung, Passwörter, PINs, TANs oder Kartendaten per Link zu „bestätigen“.
  • Absenderadresse, die fast der echten Marke entspricht, aber ein Zeichen abweicht.

Beispiel

Sehr geehrter Kunde, wir haben ungewöhnliche Aktivitäten festgestellt. Um eine Sperrung zu vermeiden, bestätigen Sie Ihre Identität innerhalb von 24 Stunden: hxxp://secure-bank-verify.com/login

Erfundenes Beispiel - keine echte Nachricht.

So schützt du dich

  1. 01Niemals Links in unerwarteten Nachrichten anklicken - die Seite selbst über ein Lesezeichen oder durch Eintippen der Adresse öffnen.
  2. 02Banken und Behörden fragen nie per Mail oder SMS nach Passwörtern, PINs oder TANs.
  3. 03Vor dem Tippen den echten Link-Zielort prüfen (Maus darüber halten).
  4. 04Zwei-Faktor-Authentifizierung aktivieren, damit ein gestohlenes Passwort allein nicht reicht.

Schon darauf reingefallen?

  1. 01Sofort das Passwort ändern - und überall dort, wo du es wiederverwendet hast.
  2. 02Bei eingegebenen Bankdaten sofort die Bank anrufen und Karten/Überweisungen sperren.
  3. 03Bei der Verbraucherzentrale oder der Polizei (Cybercrime) melden.