Vorsicht bei scheinbar seriösen E-Mails
Jeder kennt jene E-Mails, die dem ersten Anschein nach von einem vertrauenswürdigen Unternehmen oder einer Institution stammen und einen dazu drängen, einem bestimmten Link zu folgen. Man möge doch eine bestellte Warenlieferung bestätigen, heißt es da zum Beispiel. Oder: Man solle dringend über einen Link auf das PayPal-, Kreditkarten- oder Bankkonto zugreifen, da es verdächtige Kontobewegungen gegeben habe.
Bei genauerem Hinschauen merkt man:
- Die Adresse des Absenders erscheint merkwürdig,
- die eigene Mailadresse hat man dieser Firma nie bekannt gegeben oder
- man kann sich nicht erinnern, mit diesem Unternehmen jemals etwas zu tun gehabt zu haben oder
- das Mail ist in schlechtem Deutsch oder Englisch verfasst.
Sie können davon ausgehen, dass es sich dann um ein Phishing-Mail handelt. Wenn Sie dem Link folgen, gelangen Sie auf eine Internetseite, die jener des realen Unternehmens täuschend ähnlich sieht. Dort wird man Sie auffordern, vertrauliche Daten wie Kontodaten, PIN, TAN oder Kennwörter bekannt zu geben. Mit Hilfe dieser Daten können die Täter zu Ihren Lasten Überweisungen durchführen.
Gesundes Misstrauen bei E-Mails und Websiten
Der oberste Grundsatz bei sämtlichen Aktivitäten im Internet lautet: Bleiben Sie aufmerksam und bewahren Sie sich ein „gesundes Misstrauen“. Dies gilt nicht nur für E-Mails, sondern auch für Internetseiten, die persönliche Daten abfragen wollen. Auch in sozialen Netzwerken nehmen Phishing-Attacken immer mehr zu. Seien Sie daher vorsichtig, wenn Sie verdächtige Nachrichten oder Meldungen erhalten.
Wenn Sie Mails erhalten, die Ihnen verdächtig vorkommen, sollten Sie diese nach Möglichkeit gar nicht öffnen und keinesfalls auf Links oder Anhänge klicken. Misstrauen ist insbesondere dann angebracht, wenn vermeintliche Firmenmails keine persönliche Anrede enthalten, in einer fremden Sprache abgefasst oder sprachlich fehlerhaft sind. Ebenso, wenn Sie mit dem Unternehmen keinerlei Geschäftsbeziehungen haben oder Ihre Mailadresse dem Unternehmen nicht bekannt sein kann.
Nutzen Sie Ihnen bekannte Kontakte
Stellen Sie keine Rückfragen an die im Mail bekannt gegebenen Kontaktadressen und Telefonnummern. Verwenden Sie stattdessen Adressen und Nummern, von denen Sie zweifelsfrei wissen, dass Sie dem Unternehmen oder der Institution zuzuordnen sind.
Wenn Sie sich bezüglich der Situation auf Ihrem Konto bei dem fraglichen Unternehmen vergewissern wollen, machen Sie dies unbedingt auf dem in der Vergangenheit erprobten, üblichen Weg. Folgen Sie keinesfalls dem Link im E-Mail.
Falls Sie dennoch auf einer verdächtigen Seite gelandet sind, prüfen Sie die Adresszeile.
- Bei gefälschten Seiten sind oft lediglich einzelne Buchstaben verändert. Manchmal verwenden die Täter auch einfach eine andere Domain (also zB statt .com oder .at die Domain .org).
- Wenn es den Tätern gelungen ist, Ihr Computersystem oder einen Internetserver zu manipulieren, kann es sein, dass die Adresszeile sogar korrekt zu sein scheint („Pharming“).
- Achten Sie daher auch auf sonstige Veränderungen und setzen Sie sich im Zweifelsfall mit dem Betreiber der vertrauten Login-Seite in Verbindung.
Phishing E-Mails und die Designs der gefälschten Internetseiten werden immer besser. Sie sind somit häufig kaum mehr als Fälschung zu enttarnen. Seriöse Unternehmen wie Banken und Kreditkartenunternehmen würden aber niemals von Ihnen via E-Mail oder Telefon sensible Daten (Kontodaten, PIN, TAN oder Kennwörter) abfragen.
Vorsicht bei vermeintlichen Anrufen Ihrer Bank
Sollten Sie einen Anruf Ihrer Bank erhalten und zur Bekanntgabe Ihrer Kontodaten oder eines TAN-Codes aufgefordert werden, verweigern Sie die Auskunft dieser Daten per Telefon – auch wenn sich der Anrufer als Ihr Betreuer/Vertretung Ihres Betreuers vorstellt. Es wird in diesen Fällen versucht Ihre persönlichen Log-In-Daten und TAN-Codes zu erfahren, um so Überweisungen zu Ihren Lasten durchführen zu können. Seriöse Banken würden solch sensible Daten niemals per E-Mail oder Telefon abfragen.
Technischer Schutz vor Phishing
Sichern Sie Ihr Computersystem. Verwenden Sie ein aktuelles Betriebssystem, ein Anti-Virenprogramm und eine Firewall. Führen Sie Sicherheitsupdates für alle diese Programme sowie für Ihren Internet-Browser durch.
Falls Sie WLAN verwenden, sollten Sie die Übertragung verschlüsseln. Bankgeschäfte sollten keinesfalls auf fremden Rechnern vorgenommen werden, es sei denn Sie kennen und vertrauen dessen Besitzer.
Keinesfalls sollten sensible Daten an öffentlich zugänglichen Rechnern oder „Hotspots“ eingegeben werden.
Geben Sie Daten soweit möglich nur auf sicheren Seiten (https://) ein. Achten Sie auf Pop-Up-Fenster, die die Eingabe von Daten vor der eigentlichen Anmeldung verlangen oder sich vor der echten Seite öffnen und schließen Sie diese.
Bei Verdacht sofort Bank informieren
Falls es während eines Online-Banking-Vorganges zu Fehlermeldungen oder einer unerwarteten Trennung der Internetverbindung kommt, sollte die Bank kontaktiert und gegebenenfalls der Zugang zum Kundenbereich blockiert werden.
Verlassen Sie Ihren persönlichen Kundenbereich immer mit dem „Logout“-Button. Behalten Sie Ihre Kontoauszüge im Blick. Wenn Sie Abbuchungen feststellen, die Sie nicht autorisiert haben, setzten Sie sich umgehend mit Ihrer Bank in Verbindung.
Wenn Sie von Phishing betroffen sind:
- Bank informieren
Informieren Sie umgehend Ihre Bank darüber, dass Sie Opfer von Phishing wurden und verlangen Sie, dass die illegale Transaktion rückgängig gemacht wird. Allerdings kann Ihre Bank unter Umständen diesen Anspruch kürzen oder die Rückzahlung ganz verweigern, wenn Sie Ihre „personalisierten Sicherheitsmerkmale“ (also insbesondere PIN und TAN) nicht sicher aufbewahrt oder Ihren Rechner nicht ausreichend gegen Datendiebstahl gesichert haben. - Ändern Sie sofort Ihren PIN beziehungsweise Ihre Kennwörter
Falls dies nicht möglich ist, lassen Sie Ihr Konto umgehend sperren. - Antivirenprogramme einsetzen
Durchsuchen Sie Ihren Rechner mithilfe eines Antivirenprogrammes nach schädlicher Software. - Strafanzeige erstatten
Wurden Sie geschädigt, sollten Sie auch Strafanzeige erstatten und dabei das (gesicherte) verdächtige E-Mail vorlegen.