Personalisierte Phishing-Mails

Wie die Betrüger an Ihre Daten kommen

Sicherheit 4 min Lesedauer 02.03.2022
Phishing

Behauptet jemand, Ihre Zugangsdaten seien abgelaufen oder gab es eine „verdächtige Transaktion“ in Ihrem Konto? Dann haben Sie vermutlich eine weitere Phishing-Mail erhalten. Aber woher kennen die Betrüger Ihren Namen und Ihre E-Mail-Adresse?

Zuerst: Nehmen Sie es nicht persönlich, wenn Sie die gefühlt 100. Mail bekommen. Die Betrüger wissen meistens gar nicht, wer Sie sind oder ob Sie überhaupt ein Konto bei dem Unternehmen haben, in dessen Namen sie schreiben.

Und bitte denken Sie immer daran: Wir fragen Sie niemals unaufgefordert nach Ihren Zugangsdaten.

Eine E-Mail-Adresse zu bekommen ist leicht

Teilweise schreiben die Betrüger willkürliche E-Mail-Kombinationen an. Kommen die E-Mails nicht zurück, hat man vermutlich eine gültige Adresse. Es gibt aber auch spezielle Tools, die Websites gezielt nach E-Mail-Adressen absuchen und diese speichern.

Im Netz existieren mittlerweile riesige Listen mit E-Mail-Adressen und häufig sogar den Klarnamen dazu. Die Betrüger schreiben wahllos einen Pool dieser Adressen an, ohne zu wissen, wer dahintersteckt. Eine Mindestmenge an Erfolgstreffern ist immer dabei.

Die Betrüger kennen Ihre Bankdaten?

In einigen Fällen kennen die Betrüger bereits einige Ihrer Kontodaten. Das ist besonders unangenehm. Ein Datenleck bei Ihrer Bank ist aber nicht die Ursache für diesen Umstand. Es passiert leider ab und an, dass z.B. Online-Shops oder -Auktionshäuser gehackt und eine Menge Kundendaten abgegriffen werden. Das können auch die Zahlungsdaten sein, die Sie bei dem betreffenden Shop hinterlegt haben. Meist gibt es über solche Datenabgriffe Berichte in der Presse.

Wenn Sie eine Mail mit Ihren Bankdaten darin erhalten, lohnt sich also – neben der Information an Ihre Bank – ein Blick in die Nachrichten.

Wie Sie auch gut gemachte Phishing-Mails erkennen

Die Phishing-Mails werden qualitativ immer besser. Gute Rechtschreibung, eine glaubwürdige Nachahmung des Unternehmens-Logos und -Designs und dann auch noch die persönliche Ansprache mit einer plausiblen Geschichte – da kann es schwer sein, Original und Fälschung auseinanderzuhalten.

Trotzdem gibt es neben den bekannten Tipps noch ein paar Hinweise, an denen Sie auch eine täuschend echte Phishing-Mail gut erkennen:

Stellen Sie sich bei jeder E-Mail zuerst die Frage: Was will der Absender von mir?

Bekommen Sie die Mail unaufgefordert und ohne Bezug auf eine vorherige Frage oder eine Aktion Ihrerseits? Wenn Sie in so einer E-Mail auch noch einen Link anklicken oder einen Anhang öffnen sollen, besteht ein hohes Risiko, dass es sich um eine betrügerische Mail handelt.

Werden Sie in der Mail aufgefordert, etwas zu unternehmen, weil Ihnen sonst unangenehme Konsequenzen drohen? Z.B. Ihre Zugangsdaten über den ganz praktischerweise gleich mitgelieferten Link zu ändern, weil Ihnen das Unternehmen sonst Gebühren berechnet? Oder die vergessene Rechnung im Anhang bezahlen, weil der Vorgang sonst dem Staatsanwalt übergeben wird?

Achtung: Hier versucht jemand, Sie unter (Zeit-)Druck zu setzen, um Sie zu einer schnellen und unüberlegten Reaktion zu verleiten. Bevor Sie etwas unternehmen:

  • Versichern Sie sich bei dem Unternehmen direkt, ob die Mail wirklich echt ist.
  • Geben Sie den Betreff der E-Mail als Suchbegriff bei einer Suchmaschine ein. Viele Blogs und IT-Websites veröffentlichen nämlich aktuelle Phishing-Versuche und geben Tipps zum Umgang mit ihnen.
  • Rufen Sie die Seite des Unternehmens direkt auf (und nicht über den mitgelieferten Link). Sollte es tatsächlich eine Änderung geben, die Ihre Mitarbeit benötigt, finden Sie diese Info sicherlich auch auf der Website selbst.

 

Autor: Kerstin Strube

Deine erste App ohne „Uuups!“

Mobile Banking ist bei uns so einfach, dass es wirklich jeder kann. Darauf geben wir unser ING-Sicherheitsversprechen. Überzeugen Sie sich selbst.

Banking to go