Phishing: So schützen sich Bankkunden
Beim Phishing versuchen Kriminelle, mit täuschend echt wirkenden E-Mails, SMS oder Anrufen an sensible Informationen wie Finanzdaten oder Logins zum Online-Banking zu kommen. Schutz bieten u. a. regelmäßige Aktualisierungen, sichere Passwörter und die 2-Faktor-Authentifizierung.
Auf den Punkt
- Phishing sind Betrugsversuche per gefälschter E-Mails, SMS, Webseite oder Anruf.
- Diese sollen Nutzer zur Preisgabe sensibler Daten bewegen.
- Gelingt dies, veranlassen die Täter Zahlungen oder schließen Kaufverträge ab.
- Die Bank muss den Schaden durch Phishing erstatten, wenn Opfer die Abbuchungen nicht selbst autorisiert und nicht grob fahrlässig gehandelt haben.
- Ein Anwalt sorgt dafür, dass Sie dafür alle notwendigen Beweise erbringen und Ihren Anspruch nicht gefährden.
Was ist Phishing? I Bedeutung
Das Wort Phishing ist ein Zusammenzug aus den englischen Wörtern „password“ und „fishing“. Und genau darum geht es: Gefälschte E-Mails, gefakte SMS oder fingierte Anrufe verleiten Bankkunden dazu, sensible persönliche Daten preiszugeben.
Um angeblich wichtige Sicherheitsmaßnahmen zu aktualisieren oder ein Konto zu entsperren, werden Nutzer in den täuschend echt aussehenden Phishing Mails dazu aufgefordert, Anhänge oder Links zu öffnen – und dann z. B. die Zugangsdaten zum Online-Banking einzugeben. Nicht selten installiert sich im Hintergrund auch eine Schadsoftware, die dann unbemerkt auf dem Rechner, Smartphone oder im Netzwerk nach vertraulichen Daten sucht.
Mit diesen Daten haben die Betrüger dann oftmals freie Hand, um Zahlungen zu veranlassen, Kaufverträge abzuschließen oder Geld abzuheben.
Weil das Phishing meistens täuschend echt wirkt, lässt es sich nur schwer und an kleinen Details als Betrugsversuch identifizieren. Im Nachhinein können sich Opfer oftmals überhaupt nicht erklären, wann und wie die Täter an ihre Daten gekommen sind. Dass etwas nicht stimmt, bemerken die Opfer erst am fehlenden Geld auf ihrem Konto.
Marko Huth
Fachanwalt für Bank- und Kapitalmarktrecht
Gansel Rechtsanwälte
Welche Phishing Methoden gibt es?
Kriminelle kommen mit ganz verschiedenen Phishing Methoden an die sensiblen Daten von Nutzern – und verbessern und erweitern diese ständig.
Das sind die häufigsten Phishing Methoden:
Phishing Mail
Eine Phishing Mail ist eine gefälschte Nachricht im Namen eines Unternehmens oder einer Bank, die deren Firmenlogo oder Claim enthält und das Original in Aussehen und Wording imitiert. Mit ihr sollen Nutzer durch das Öffnen eines Anhangs oder Links dazu verleitet werden, sensible Daten preiszugeben.
Phishing SMS (Smishing)
Phishing SMS (Smishing) sind gefakte Textnachrichten im Namen eines Unternehmens oder einer Bank, in denen Nutzer dazu aufgefordert werden, einen schädlichen Link zu öffnen, um wichtige Daten zu aktualisieren, ein Sicherheitsupdate vorzunehmen oder einen Account bzw. Konto zu entsperren.
Kombiniert mit einer Maskierung des Absenders – dem sogenannten CallerID-Spoofing (vorgetäuschte, echt wirkende Telefonnummer) – sieht es so aus, als würde die Nachricht tatsächlich von der Bank stammen.
Phishing Anruf
Bei einem Phishing Anruf geben sich die Täter unter Verwendung von CallerID-Spoofing als angebliche Bankmitarbeiter aus. Dabei versuchen sie, an Daten des Opfers zu kommen oder diese z. B. zur Eingabe von Zugangsdaten fürs Online-Banking über das Tastenfeld am Telefon zu bewegen.
Messenger Phishing
Kriminelle versenden gefälschte Nachrichten über Messenger-Dienste wie WhatsApp oder Signal, in denen sie für ein Gewinnspiel oder einen Rabatt werben. Dafür sollen die Nutzer auf einen Link klicken, der sie zur Installation einer App oder zur Weitergabe persönlicher Daten auffordert.
Phishing Webseiten
Auf gefälschten Webseiten bekannter Unternehmen oder Banken werden Nutzer aufgefordert, ihre Zugangsdaten einzugeben oder ein Passwort zu ändern. Die Links zu solchen Phishing Webseiten werden häufig per gefälschter Mail oder SMS verschickt.
Manchmal gelingt es den Tätern auch, solche Links über kompromittierte Suchergebnisse auf den vorderen Ränken in Suchmaschinen zu platzieren – gleich hinter der Webseite der nachgeahmten Bank.
Whaling
Bei Whaling haben es Kriminelle auf Führungskräfte von Unternehmen abgesehen, die weitreichende Befugnisse haben und Zugriff auf streng vertrauliche Informationen haben. Mit aufwendig gefälschten Mails sollen diese zur Herausgabe sensibler Daten oder zur Überweisung hoher Geldbeträge bewegt werden.
Vishing
Mit einem fingierten Anruf im Namen eines bekannten Unternehmens oder einer vertrauenswürdigen Person versuchen Kriminelle, an persönliche Daten zu kommen oder das Opfer zur Überweisung von Geldbeträgen zu bewegen.
Link-Manipulation
Manipulierte Links, die z. B. per Phishing Mail oder SMS verschickt werden, führen zu einer gefälschten Webseite, die der eines Unternehmens oder einer Bank stark ähnelt und auf der die Nutzer zur Eingabe sensibler Daten aufgefordert werden.
Phishing Malware
Nach dem Öffnen eines Anhangs oder Links installiert sich eine Schadsoftware auf dem PC oder Smartphone des Nutzers, mit der sensible Daten gestohlen werden.
Angler Phishing
Auf Social Media geben sich Kriminelle als Mitarbeiter des Kundensupports bekannter Unternehmen oder Banken aus und kontaktieren unzufriedene Kunden oder antworten auf deren Posts. Dabei versuchen sie, den Nutzer zur Herausgabe sensibler Informationen zu bewegen.
Code Injection
Kriminelle nutzen die Schwachstellen von Software, Apps oder Webseiten aus, über die sie einen eigenen Code einschleusen, der ein schädliches Popup öffnet und auf eine Phishing Webseite weiterleitet oder Malware programmiert.
Handelsplattform Phishing
Die Täter gegeben sich auf einer Handelsplattform als angebliche Interessenten für einen vom Opfer zum Verkauf angebotenen Gegenstand aus. Über die Behauptung, bestimmte, besonders sichere Zahlungsdienste nutzen zu wollen, versuchen sie, an sensible Daten des Opfers zu kommen.
Wie erkenne ich Phishing? I Beispiele
An diesen Anzeichen können Sie Phishing erkennen:
- Fehlende oder unpersönliche Anrede
- Fehlerhafte oder unsinnige Betreffzeilen
- Rechtschreibfehler
- Buchstaben- oder Zahlendreher
- Ungewöhnlicher Satzbau
- Schlechter Schreibstil
- Ungewöhnliche Formatierung
- Fehlerhaftes Design
- Verzerrtes Logo
- Fehlendes Impressum
- Fehlende Kontaktinformationen
- Unbekannter Absender
- Leichte Abweichung in Absenderadresse oder URL
- Aufforderung zur Eingabe sensibler Daten
- Anhänge mit komplizierten Dateinamen oder komischen Endungen
- Links zu verdächtigen Webseiten
Weil Phishing teils sehr unterschiedlich aussieht und zahlreiche bekannte Unternehmen imitiert, lässt es sich nicht immer als Betrugsversuch identifizieren. Damit Sie eine Phishing Mail erkennen können, finden Sie hier einige Beispiele:
(Quelle: Verbraucherzentrale, 15.11.2023)
(Quelle: Verbraucherzentrale, 14.11.2023)
(Quelle: Verbraucherzentrale, 13.11.2023)
Informiert bleiben
Über aktuelle Phishing Mails können Sie sich beim Phishing-Radar der Verbraucherzentrale oder dem Bundesamt für Sicherheit in der Informationstechnik informieren.
Welche Folgen kann Phishing haben?
Weil die Täter mit den gestohlenen Daten oftmals das Online-Banking hacken und damit Zugriff auf das Konto des Nutzers haben, kann Phishing weitreichende Folgen haben:
- Kreditkarten belastet
- Digitale Bezahlverfahren/Debitkarten eingerichtet & bei Einzelhändlern genutzt
- Darlehen oder Kredite beantragt
- Abos abgeschlossen
- Streaming-Dienste gebucht
- Bei Online-Händlern eingekauft
- Dispo ausgereizt oder überzogen
- Lastschriften widerrufen & Tagesgeld umgebucht
- Konto leergeräumt
Wer sensible Daten geteilt hat und Abbuchungen bemerkt, die er nicht veranlasst oder autorisiert hat, sollte schnell reagieren. Ein Anwalt weiß, was dafür zu tun ist, weitere Abbuchungen zu verhindern und eine Erstattung der nicht getätigten Überweisungen von der Bank zu bekommen.
Was tun bei Phishing?
Klicken Sie auf keinen Link, öffnen Sie keinen Anhang, laden Sie kein Programm herunter und teilen Sie keine Daten, wenn Sie den Verdacht auf Phishing haben.
Zudem ist es ratsam, die Phishing Mail zu melden – und zwar beim in der Nachricht erwähnten Unternehmen. Dort können Sie auch nachfragen, wenn Sie sich unsicher sind, ob eine vermeintliche Phishing Mail nicht doch echt ist.
Verwenden Sie dabei nicht die Kontaktdaten aus der verdächtigen Nachricht oder die auf Ihrem Smartphone angezeigte Rufnummer eines verdächtigen Anrufers – sondern die auf der offiziellen Webseite aufgeführten Kontaktmöglichkeiten.
Auf Phishing reingefallen – was tun?
Wenn Sie Opfer von Phishing geworden sind, sensible Daten geteilt haben oder unautorisierte bzw. nicht veranlasste Abbuchungen auf Ihrem Konto bemerken, sollten Sie schnell reagieren.
Das ist zu tun, wenn Kriminelle durch Phishing Zugriff auf Ihr Konto haben:
- Bank informieren & Vorfall erklären.
- Konto & Online-Banking sperren lassen – direkt bei der Bank oder unter der bundesweit einheitlichen Sperr-Notrufnummer 116 116.
- Giro- & Kreditkarten sperren lassen.
- Unbekannte Überweisungen zurückbuchen lassen.
- Passwörter für Apps, Webseiten & Social-Media-Accounts ändern.
- PC oder Smartphone auf Schadsoftware untersuchen lassen.
- Schaden der Versicherung melden.
- Anzeige bei der Polizei erstatten, damit Bank oder Versicherung den finanziellen Schaden ersetzen.
- Ggf. einen Anwalt kontaktieren, der Sie bei der Rückforderung des Schadens & allen wichtigen Maßnahmen unterstützen kann
Wer das Phishing meldet, muss selbstverständlich bei der Wahrheit bleiben. Reine Vermutungen dazu, was der Grund dafür gewesen sein könnte, dass die Täter Zugriff auf das Konto erhielten, sind aber in der Regel fehl am Platz. Denn auch wenn diese Vermutungen letztlich gar nicht zutreffen, besteht das Risiko, dass Sie Ihnen später entgegengehalten werden. Kurz gesagt: Wenn Sie tatsächlich nicht wissen, wie die Täter Zugriff auf das Konto bekommen konnten, wissen Sie es nicht.
Marko Huth
Fachanwalt für Bank- und Kapitalmarktrecht
Gansel Rechtsanwälte
Erhalten Phishing Opfer ihr Geld zurück?
Ja. Laut § 675u BGB müssen Banken Ihnen nicht autorisierte Transaktionen unverzüglich erstatten. Dafür müssen Sie allerdings nachweisen können, dass Sie die Abbuchungen nicht veranlasst haben. Gelingt das nicht, wird die Bank die Erstattung des Schadens voraussichtlich verweigern.
Zudem dürfen Sie bezüglich des Phishings nicht grob fahrlässig gehandelt haben – ansonsten hat die Bank laut § 675v BGB einen Schadensersatzanspruch Ihnen gegenüber, mit dem sie gegen Ihren Anspruch auf Wiedergutschrift der Beträge aufrechnen kann. Dabei ist die Bank aber in der Beweispflicht: Sie muss nachweisen können, dass Sie einen „objektiv schweren und subjektiv schlechthin nicht entschuldbaren“ Verstoß gegen grundlegende Sorgfaltsanforderungen begangen haben (BGH, 10.02.2009, VI ZR 28/08).
Ihre Chance auf Erstattung der Abbuchungen erhöht sich außerdem, wenn die Bank durch Sicherheitslücken eine Mitschuld am Phishing trägt.
Wie hilft mir ein Anwalt?
Ein Anwalt kann Sie bei einem Betrug durch Phishing so unterstützen:
- Schadensanzeige bei der Bank
- Beratung zur Anzeige bei der Polizei
- Akteneinsicht bei Polizei & Staatsanwaltschaft
- Vertretung gegenüber der Bank
- Deckungsanfrage bei der Rechtsschutz-Versicherung
- Vorgehen gegen Unternehmen, die vom Konto abgebucht haben
Dabei stellt ein Anwalt sicher, dass Sie sich nicht selbst belasten und Ihren Anspruch auf Erstattung des Schadens nicht gefährden. Er sorgt außerdem dafür, dass die für die Erstattung notwendigen Beweise erbracht werden. So kann er nachweisen bzw. begründen, dass Sie Abbuchungen gar nicht veranlasst und nicht grob fahrlässig gehandelt haben.
Oft ist dieser Nachweis schon aus den Gegebenheiten des konkreten Falles gut zu führen – z. B. wenn Abhebungen an zahllosen Supermarktkassen in Nordrhein-Westfalen erfolgten, während sich der Kunde nachweislich in München befand. Spätestens aber nach der Einsichtnahme in die technischen Aufzeichnungen der Kontozugriffe lässt sich in aller Regel nachweisen, dass Freigaben von einem Mobilfunkgerät erfolgten, das gar nicht dem Kunden gehört.
Marko Huth
Fachanwalt für Bank- und Kapitalmarktrecht
Gansel Rechtsanwälte
Ein Anwalt kann Sie auch beim Vorgehen gegen abbuchende Unternehmen unterstützen, wenn die Täter z. B. in Geschäften mit Ihrer Debitkarte gezahlt haben. Er weist nach, dass Sie den Kauf nicht getätigt haben können und fordert die Unternehmen zur Rückerstattung der Beträge auf.
Schnelle Hilfe bei Phishing: Nachdem wir Ihre Anfrage erhalten haben, meldet sich ein erfahrener Rechtsanwalt für eine Ersteinschätzung bei Ihnen. Er informiert Sie darüber, ob und welche Erfolgsaussichten für eine Erstattung durch Ihre Bank bestehen. Ist ein anwaltliches Vorgehen sinnvoll, erhalten Sie ein Angebot – und entscheiden dann erst, ob Sie den Anwalt beauftragen möchten.
Wie kann ich mich vor Phishing schützen? I Checkliste
Das Wichtigste vorweg: Unternehmen und Banken fordern niemals zur Herausgabe vertraulicher Daten per Mail, SMS oder Chat auf! Daneben bieten Ihnen aber viele weitere Maßnahmen Schutz vor Phishing.
So schützen Sie sich vor Phishing-Versuchen:
- Bleiben Sie ruhig! Informieren Sie sich über den Absender verdächtiger Mails und prüfen Sie die Plausibilität des Inhalts.
- Ihre Bank fragt nicht per Mail nach Ihren Kontodaten und Passwörtern. Klicken Sie daher nicht auf Links, in denen Sie dazu aufgefordert werden.
- Prüfen Sie vor Freigabe einer Zahlung immer, ob Empfänger und Zahlungsbetrag zum beabsichtigten Kaufgeschäft passen.
- Vertrauliche Daten gehören nicht in die Öffentlichkeit und sollten weder schriftlich noch mündlich weitergegeben werden.
- Registrieren Sie sich in Ihrem Online-Banking für die Zweiwege-Authentifizierung. Neben einem Passwort wird so außerdem ein SMS-Code, ein Fingerabdruck oder eine optische Erkennung via TAN-Generator nötig, um Zugriff auf Ihr Erspartes zu erlangen.
- Öffnen Sie keine unbekannten Dateianhänge, eine Schadsoftware könnte sich im Hintergrund installieren und sensible Daten abgreifen.
- Installieren Sie Anti-Viren-Programme auf Ihrem Rechner und führen Sie System- und Sicherheits-Updates immer zeitnah durch.
- Verschieben Sie verdächtige Mails in den Spam-Ordner. Dieser sortiert dann in Zukunft für Sie vor.
FAQ zum Phishing
Was bedeutet Phishing?
Phishing (Zusammensetzung aus dem Englischen: „password“ und „fishing“) meint betrügerische E-Mails, SMS, Webseiten oder Anrufe, die Menschen dazu verleiten sollen, sensible Daten wie Zugangsdaten fürs Online Banking, Kreditkartennummern oder Login-Daten zu teilen. Mit diesen Daten belasten die Täter Kreditkarten, schließen Abos ab oder beantragen Darlehen.
Was sind Phishing Mails?
Phishing Mails sind gefälschte Nachrichten, die im Namen bekannter Unternehmen oder Banken verschickt werden. Sie sollen ihren Empfänger dazu verleiten, Anhänge oder Links zu öffnen und Passwörter, TAN und andere sensible Daten zu teilen.
Weil solche Phishing Mails meistens täuschend echt wirken, lassen sie sich nur schwer und an kleinen Details als Betrugsversuch identifizieren. Zu solchen Anzeichen gehören u. a. unpersönliche Anreden, Rechtschreibfehler, eine ungewöhnliche Formatierung oder ein verzerrtes Logo.
Was ist eine Phishing Webseite?
Phishing Webseiten sind gefälschte Seiten, die die Homepages bekannter Unternehmen kopieren. Die Seiten sehen dem Original sehr ähnlich und übernehmen Aufbau, Inhalt und Grafiken ihrer Vorlage. An Details wie u. a. ein fehlendes SSL-Zertifikat, Fehler in der URL sowie Rechtschreib-, Grammatik- und Interpunktionsfehler lassen sich diese als Betrugsversuch identifizieren.
Wo melde ich Phishing?
Phishing melden können Sie beim Phishing-Radar der Verbraucherzentrale, dem Bundesamt für Sicherheit in der Informationstechnik und dem Unternehmen oder der Bank, in deren Namen der Betrugsversuch geschieht. Die Kontaktadressen finden Sie auf deren offiziellen Webseiten. Nutzen Sie dafür nicht die in z. B. der Phishing Mail angegebenen Kontaktadressen.
Was ist, wenn ich eine Phishing Mail geöffnet habe?
Das Öffnen einer Phishing Mail ist unbedenklich – solange Sie nicht auf einen Link klicken, keinen Anhang öffnen und keine sensiblen Daten teilen. Wenn Sie auf eine Phishing Mail hereingefallen sind, sollten Sie schnell handeln:
- Bank informieren
- Konto & Karten sperren
- Unautorisierte Überweisungen zurückbuchen
- Passwörter ändern
- Anzeige bei der Polizei erstatten
Unsere Erfolge sprechen für sich
94 %
Erfolgsquote (gewonnene Prozesse oder Einigungen)2 / 7 Monate
durchschnittlich bis zur außergerichtlichen / gerichtlichen Einigung72 %
Erstattungsquote bei Einigungen18.236 Euro
durchschnittlicher Überweisungsbetrag (500 Euro bis 191.355 Euro)Als digitale Anwaltskanzlei führen wir detaillierte Statistiken über die Erfolgsquoten unserer Verfahren. Die folgenden Angaben ergeben sich aus unseren abgeschlossenen Verfahren und Erfahrungen zum Thema "Online-Banking-Betrug" ab 2023 (Stand: August 2024).