Laut dem Digitalverband Bitkom setzten 2025 etwa 95 Prozent der 16- bis 49-Jährigen und sogar 43 Prozent der über 75-Jährigen auf Online-Banking. Und auch Dienste wie Amazon, PayPal oder eBay werden nach wie vor gerne für digitale Einkäufe und Geldtransfers verwendet. Gute Nachrichten für Cyberkriminelle, die mittels Social Engineering, also zwischenmenschlicher Beeinflussung, an das Geld oder die Identitäten von Anwendern gelangen. Das sogenannte Phishing stellt dabei eine beliebte und weitverbreitete Strategie dar. Da die Methode flächendeckend eingesetzt werden kann, fallen auch in Deutschland täglich zahlreiche Nutzer auf die Masche herein – und verlieren teils zehntausende Euro. Wir verraten dir, wie Phishing funktioniert und worauf du achten musst, um digitalen Angriffen zu entgehen. Und auch, was du tun kannst, sollte das Unglück bereits passiert sein.
Phishing – so funktioniert die Betrugsmasche
Der Begriff Phishing setzt sich aus den beiden Wörtern „Passwort“ und „Fishing“ zusammen. Der Grund hierfür ist simpel: Beim Phishing legen Internetkriminelle Köder in Form von gefälschten E-Mails oder Internetseiten aus und warten, bis nichts ahnende Opfer in die Falle tappen. Konkret funktioniert es in etwa wie folgt:
Betrüger erstellen eine Phishing-Mail, die dem Corporate Design eines bekannten und weitverbreiteten Unternehmens entspricht. Dabei kann es sich beispielsweise um eine große Bank oder einen Internet-Dienstleister wie den Online-Versandhändler Amazon handeln. Diese verschicken die Täter an möglichst viele Nutzer, von denen einige die thematisierten Dienstleistungen statistisch gesehen tatsächlich in Anspruch nehmen. Oder aber, die Angriffe finden gezielt statt, mitsamt einer direkten Kundenanrede. Die Empfänger werden in beiden Fällen dazu aufgefordert, ihre Nutzerdaten wie etwa Benutzernamen und Passwörter zu bestätigen, da beispielsweise ungewöhnliche Account-Aktivitäten festgestellt wurden. Falls die Betroffenen auf den weiterführenden Link klicken, werden sie jedoch nicht zur Seite des jeweiligen Dienstleisters, sondern zu deren Kopie weitergeleitet. Die hier eingegebenen Zugangsinformationen und persönliche Daten landen bei den Betrügern. Doch, was wollen diese damit anfangen?
Was kann schon passieren? – so einiges
Je nachdem, welchen Dienst die Täter „gehackt“ haben, kann der drohende Schaden unterschiedliche Formen annehmen. Falls die Betrüger Daten einer Bank oder von PayPal gestohlen haben, streben sie höchstwahrscheinlich illegale Geldtransfers oder Kontoabbuchungen an. Accounts von eBay, Amazon und Co. können die Cyberkriminellen stattdessen fürs Online-Shopping verwenden – wobei die Täter ihre Bestellungen dann an ihre Wunsch-Adressen umleiten. Sollten dagegen Facebook oder Twitter übernommen worden sein, könnte das Stichwort „Identitätsdiebstahl“ lauten. Login-Daten zu solchen Konten werden auch gerne gebündelt im Darknet verkauft. Zu guter Letzt gab es einen Fall, bei dem sich ein Cyberkrimineller die Anmeldedaten von Apples iCloud-Konten ergaunerte und Nacktbilder sowie -videos kopierte und teilte. Die Möglichkeiten werden im Grunde ausschließlich durch die Fantasie der Täter eingeschränkt.
Ist es wirklich eine Phishing-Mail?
Die beste Anti-Phishing-Maßnahme ist nach wie vor eine gesunde Portion Misstrauen. Doch Misstrauen allein reicht nicht aus, wenn man nicht weiß, worauf man achten sollte. Schließlich sind „Misstrauen“ und „Generalverdacht“ keine Synonyme. Solltest du eine E-Mail von einem Dienstleister erhalten haben, empfiehlt es sich, zunächst stets auf den Absender zu achten. Damit ist allerdings nicht der Name, sondern die E-Mail-Adresse des Absenders gemeint, denn diese lässt sich nur schwer manipulieren. Wobei „schwer“ und „unmöglich“ nicht dasselbe ist. Stichwort: E-Mail-Spoofing.
Auch das Fehlen einer direkten Anrede ist ein deutliches Warnsignal – genauso wie Rechtschreib- und Grammatikfehler im Text. Wobei an dieser Stelle noch erwähnt werden muss, dass die Qualität der Phishing-Mails dank KI und Phishing-as-a-Serivice-Diensten (PhaaS) in den vergangenen Jahren sehr stark angestiegen ist. Ordentlich verfasste Fake-Mitteilungen stellen keine Seltenheit mehr dar. Und selbst personenbezogene Daten aus vorangegangenen Datenlecks wie Namen und Adressen fließen gelegentlich in die Phishing-Mails hinein.
Es bleibt der inhaltliche Aspekt. Drohungen oder Fristen sind stets gute Indizien für Phishing-Mails. Du sollst deine Nutzerdaten innerhalb von 24 Stunden bestätigen, andernfalls wird dein Konto gesperrt? Bei solchem Inhalt sollten ausnahmslos sämtliche Alarmglocken läuten. Und solltest du doch mal auf den hinterlegten Bestätigungslink geklickt haben, dann schau dir unbedingt die URL an. Denn ein korrektes Corporate Designs – inklusive eines Logos, der Farbgebung und der Schriftart – stellt keinen Beweis für die Echtheit der aufgerufenen Website dar.
So schützt du dich vor Angriffen
Ein gesundes Misstrauen verhindert im Regelfall das Schlimmste. Doch oftmals bleibt die Frage nach der Echtheit einer E-Mail dennoch unbeantwortet. Auch für einen solchen Fall gibt es konkrete Handlungsempfehlungen: Zunächst einmal solltest du dich von dem Gedanken verabschieden, einen Link anzuklicken oder den Anhang herunterzuladen. Beide könnten nicht nur zum Zwecke von Phishing, sondern auch als Malware-Quellen fungieren. Das gilt insbesondere dann, wenn die Datei die Endungen „.exe“ oder „.scr“ aufweist.
Stattdessen empfiehlt es sich, die URL des jeweiligen Dienstleisters eigenständig in die Adressleiste des Browsers einzutippen, sich anzumelden und etwa interne Postfächer nach einer Bestätigung der ursprünglichen E-Mail zu durchforsten. Alternativ kannst du auch den Kundenservice kontaktieren, allerdings auf keinen Fall über eine in der Mail hinterlegte Telefonnummer. Neben Phishing gibt es nämlich noch das sogenannte Vishing, Smishing sowie Quishing. Das Funktionsprinzip ist dabei jeweils dasselbe, allerdings versuchen die Trickbetrüger, ihre Opfer nicht per E-Mail, sondern per Telefon, SMS oder QR-Code zu erreichen.
Abseits der bereits erwähnten Maßnahmen gibt es noch einige allgemeinere Schutzmittel beziehungsweise -handlungen. Dazu gehört beispielsweise ein Antivirenprogramm, welches du regelmäßig aktualisieren solltest. Zudem sollten Nutzerdaten generell ausschließlich auf verschlüsselten und somit geschützten Seiten eingegeben werden. Diese lassen sich an einem Schloss in der Adressleiste sowie an der URL „https://“ identifizieren. Eine weitere generelle Regel ist, dass sich das Passwort des Kontos und das der damit verknüpften E-Mail stets unterscheiden müssen. Alternativ könnten die Täter die „Passwort vergessen“-Funktion nutzen, um sich Zugriff zu anderen mit der E-Mail verknüpften Konten zu verschaffen – selbst dann, wenn diese über andere Kennwörter verfügen.
Zwei-Faktor-Authentifizierung als Heilmittel gegen Phishing
So gut die oben genannten Maßnahmen auch sein mögen, die sogenannte Zwei-Faktor-Authentifizierung ist ihnen in Bezug auf Phishing jeweils überlegen. Dabei handelt es sich um einen zweifachen Anmeldemechanismus, der verhindert, dass sich Internetkriminelle ohne Zugang zu etwa deinem Telefon oder deiner E-Mail-Adresse anmelden oder Transaktionen tätigen können. Auch dann nicht, wenn sie sich im Besitz deiner Login-Daten befinden. Doch Achtung: Die Zwei-Faktor-Authentifizierung ist oftmals deaktiviert und muss zunächst noch eingerichtet werden, bevor der Schutz wirkt.
Du bist auf eine Phishing-Mail hereingefallen, was nun?
Solltest du Opfer eines Phishing-Angriffs geworden sein, musst du zuallererst dein Bankkonto sperren lassen (Sperr-Notruf: 116 116) respektive das Passwort des jeweiligen Dienstleisters ändern. Anschließend empfiehlt es sich, den Kontostand zu überprüfen und gegebenenfalls Kontakt mit der Bank / dem Dienstleister aufzunehmen. Sollte tatsächlich Geld entwendet worden sein oder ein Fall von Identitätsdiebstahl vorliegen, dann kann zudem eine Anzeige bei der örtlichen Polizeidienststelle erstattet werden. Allerdings stehen deine Chancen auf eine Auflösung nicht gerade gut. Denn laut der Cybercrime-Statistik des Bundeskriminalamts für das Jahr 2024 wurden im selben Jahr insgesamt 131.391 Fälle aus dem Inland und 201.877 Fälle aus dem Ausland erfasst. Die Aufklärungsquote liegt dabei bei 31,9 Prozent – im Inland, wohlgemerkt. Das entspricht einer Aufklärungsquote von 29,2 Prozent – und die Quote sinkt seit Jahren nahezu unaufhörlich. Dafür ist man im Falle eines Identitätsdiebstahls besser abgesichert.
Über unsere Links
Mit diesen Symbolen kennzeichnen wir Partner-Links. Wenn du so einen Link oder Button anklickst oder darüber einkaufst, erhalten wir eine kleine Vergütung vom jeweiligen Website-Betreiber. Auf den Preis eines Kaufs hat das keine Auswirkung. Du hilfst uns aber, inside digital weiterhin kostenlos anbieten zu können. Vielen Dank!
Es ist 2021 und es wird ein Artikel über die Funktionsweise von phishing herausgegeben.
Wer ist eigentlich die zielgruppe für so etwas, ist diese zielgruppe völlig bescheuert und hat die letzten 30 Jahre verschlafen? Oder fällt inside digital nichts besseres ein?
Leider kennen sich auch im Jahr 2021 manche Nutzer besser mit der digitalen Welt aus als andere. Und da weltweit immer mehr Menschen Zugang zum Internet haben, ist das Thema Phishing gegenwärtig so aktuell wie nie.
Der Enkeltrick wird auch nicht aussterben.
Jede Woche mindesens 2 versuche gehen bei mir ein.
Bei Bestellung bitte nie auf Paypal Friends eingehen!! Geld weg in 60% der Fälle.
Ware gibt es nicht, ist wohl klar!
der oder die gurku….scheint ja besonders schlau zu sein.
wenn es nicht immer wieder Opfer dieser miesen Tricks geben würde, dann gäbe es sie nicht mehr und keiner bräuchte mehr drüber zu s treiben.
am besten lassen ihre Troilebusse raus mit ihren neuen latschen von 1990 1966 , dann wird man wissen wie Hacker funktionieren als Kommerz