Phishing: Online-Betrug erkennen und vermeiden

Es mag schmeichelhaft sein, von anderen nachgeahmt zu werden. Geben sich Kriminelle als Qonto Mitarbeitende aus, mit der Absicht, unsere Kundinnen und Kunden hinters Licht zu führen, läuten bei uns allerdings die Alarmglocken.

Die Sicherheit Ihres Geschäftskontos hat bei Qonto oberste Priorität. Rigoros treten wir jeglichen Versuchen von Cyberangriffen entgegen. Unser erfahrenes IT-Security-Expertenteam sorgt für die Sicherheit Ihres Geschäftskontos; zusätzlich erhalten alle Mitarbeitenden des Qonto Kundensupports eine spezielle Ausbildung, um Betrug zu vermeiden.

Die häufigste Form von Cyberbetrug ist das sogenannte Phishing. Wir erklären Ihnen, was Phishing-Angriffe sind und wie Sie sich davor schützen können.

Phishing zielt darauf ab, Benutzerdaten einschließlich Anmeldedaten und Kreditkartennummern sowie andere sensible Informationen zu stehlen. Dabei handelt es sich um eine Art Social-Engineering-Angriff, auf Deutsch: um soziale Manipulation. Das bedeutet: Angreifer tarnen sich als seriöse Institutionen wie Banken oder Versicherungen und setzen ihr Opfer unter Druck, damit diese ihre persönlichen Daten am Telefon, per E-Mail oder auf einer gefälschten Website preisgeben.

Das Perfide daran ist, dass Angreifer ihre Phishing Attacken so perfektioniert haben, dass ihre Opfer meist gar nicht merken, dass es sich um eine gefälschte E-Mail, eine Phishing SMS oder Website handelt.

Bei der häufigsten Methode von Phishing verschicken Kriminelle gefälschte E-Mails, in denen ein dringendes Anliegen vorgeschoben wird, um die Empfängerin oder den Empfänger zur Herausgabe persönlicher Daten zu bewegen.

Ein Beispiel: Es ist nicht ausgeschlossen, dass Sie eine scheinbar von Qonto stammende E-Mail erhalten, die Ihnen ein Problem mit Ihrem Konto suggeriert und Sie auffordert, Ihre persönlichen Daten über einen Link zu bestätigen. Die Phishing-Mail ist dabei kaum von einer echten E-Mail zu unterschieden. Über einen Link werden Sie auf eine Website weitergeleitet, die der

Hierbei handelt es sich um einen Phishing-Angriff über das Telefon. Die Vorgehensweise ist ähnlich: Angreifer erzeugen einen seriösen Anschein, um an die sensiblen Daten ihrer Opfer zu gelangen.

Eine ausgeklügelte Form von Cyber-Angriff, bei dem echte E-Mail-Korrespondenz abgefangen wird. Der Kriminelle klont eine rechtmäßige E-Mail von einer vertrauenswürdigen Quelle. Die Kopie wird dem Opfer als scheinbare Fortsetzung der Korrespondenz geschickt, enthält aber tatsächlich einen betrügerischen Link.

Phishing ist eine Diebstahltechnik, bei der sich Cyberkriminelle als rechtliche Vertreter einer Bank, eines Unternehmens oder einer Behörde ausgeben. Am häufigsten finden Phishing-Angriffe per E-Mail statt. Jeder, der ein E-Mail-Postfach nutzt, hat sicher schon E-Mails von Banken, einer Behörde, Onlinehändlern oder anderen Anbietern von Onlinediensten erhalten, die auf den ersten Blick vertrauenswürdig wirken.

Aber Vorsicht: Phishing-Mails enthalten manipulierte Dateianhänge oder Links. Beim Öffnen der Anhänge wird unbemerkt Schadsoftware (Malware) auf dem Rechner, aber auch auf mobilen Endgeräten der Empfänger installiert.

Klicken Sie den Link in der Phishing-Mail an, werden Sie auf gefälschte Websites bekannter und seriöser Unternehmen weitergeleitet. Dort werden Sie dann dazu aufgefordert, vertrauliche Zugangsdaten preiszugeben.

Die Betrüger sind in der Lage, E-Mails und Webpräsenzen so abzubilden, dass sie absolut authentisch wirken. Viele Nutzerinnen und Nutzer lassen sich davon täuschen und übertragen in gutem Glauben ihre Daten an die gefälschten Websites.

Vorrangiges Ziel beim Phishing ist die finanzielle Bereicherung. Die Diebe setzen die so erbeuteten Bankverbindungen und Kreditkartennummern meist für Käufe auf Rechnung der Opfer ein. Fallen Sie auf eine Phishing-Attacke herein, entsteht Ihnen also ein Vermögensschaden.

Laut dem Bundesamt für Sicherheit und Informationstechnik (BSI) belaufen sich die finanziellen Schäden durch gezielte Phishing-Attacken in Deutschland pro Jahr mindestens auf einen zweistelligen Millionenbetrag.

Der Diebstahl Ihrer personenbezogenen Daten durch Dritte wird auch als Identitätsdiebstahl (Identity Theft) bezeichnet. Werden diese Daten für weitere Straftaten weiterverkauft oder sogar für Straftaten genutzt, kommt es neben finanziellen Schäden auch zur Rufschädigung. Eine Situation, die für Unternehmerinnen und Unternehmer schnell das geschäftliche Aus bedeuten kann. Entsprechend sollten Sie Ihre persönlichen und geschäftlichen Daten besonders sorgfältig schützen.

Sie können davon ausgehen, dass seriöse Anbieter wie Banken, Finanzdienstleister, Behörden oder Onlineshops Sie niemals dazu auffordern, Ihre Zugangsdaten preiszugeben.

Obwohl Sie arglistig getäuscht wurden, handeln Sie bei der Herausgabe Ihrer Daten grob fahrlässig. Werden Sie Opfer einer Phishing-Attacke, haften Sie in der Regel also selbst für entstandene Schäden.

Trotz größter Sicherheitsmaßnahmen wie der TLS-Verschlüsselung oder einer Zwei-Faktor-Authentifizierung gelangen Cyberkriminelle durch Phishing oftmals an persönliche Zugangsdaten und umgehen damit die entsprechenden Sicherheitsmaßnahmen.

Die Opfer erkennen Phishing-Attacken häufig gar nicht, da die Diebe zum einen erschreckend seriös auftreten. Zum anderen versuchen sie Opfern Angst zu machen, drohen beispielsweise mit Einschränkungen des Accounts oder Kontosperrungen. Auf diese Weise suggerieren sie ihnen einen erhöhten Handlungsbedarf. Phishing-Attacken wirken häufig professionell und sind auf den ersten Blick nur schwer erkennbar.

Es ist nicht leicht, Phishing-E-Mails zu erkennen, aber es gibt Hinweise, die Sie aufmerksam machen sollten.

1. Unpersönliche Ansprache: Banken, Behörden oder seriöse Unternehmen verwenden in ihren Kundenschreiben immer eine persönliche Ansprache und adressieren ihre Kunden namentlich. Bei einer E-Mail, die mit einer unpersönlichen Anrede wie „Sehr geehrte Damen und Herren“ oder „Liebe Nutzerin, lieber Nutzer“ beginnt, ist daher Vorsicht geboten. E-Mails von Unternehmen, bei denen Sie nicht Kundin oder Kunde sind, sollten Sie entsprechend auf keinen Fall öffnen.
2. Unvollständiger Absender: Neben einer E-Mail-Adresse, die den Absender erkennbar macht, versehen seriöse Unternehmen ihre Schreiben zudem mit einem vollständigen Absender. Dieser enthält allgemeine Angaben zum Unternehmen wie: Name des Unternehmens, Postadresse, Telefon- und/oder Faxnummer, E-Mail-Adresse und URL der Unternehmenswebsite. Darüber hinaus enthalten sie Angaben über die Namen der Geschäftsführer:in, der Handelsregisternummer (HRB) sowie das zuständige Amtsgericht, den Sitz der Gesellschaft und seine Umsatzsteuer-Identifikationsnummer (USt ID-Nr.). Im Zweifelsfall können Sie den Absender anhand dieser Informationen überprüfen. Hundertprozentige Sicherheit erhalten Sie, wenn Sie den Mail-Header einer E-Mail überprüfen, der die fälschungssichere IP-Adresse des Absenders enthält.
3. Inkorrekte Rechtschreibung: Ein deutlicher Hinweis auf gefakte E-Mails sind die Verwendung unterschiedliche Sprachen sowie Grammatik- und Orthografiefehler. E-Mails, die ein fehlerhaftes Deutsch aufweisen, wurden meist in einer fremden Sprache verfasst und mit einem Onlinedienst übersetzt. Fehlende Umlaute, fehlerhafte Zeichensetzung und der Satzbau sind weitere Anzeichen, die Sie stutzig machen sollten.
4. Aufforderung zur Herausgabe persönlicher Daten: Für ihre Geschäftstätigkeit benötigen Unternehmen bestimmte Daten ihrer Kundinnen und Kunden oder Nutzerinnen und Nutzer. Wollen Sie beispielsweise ein Geschäftskonto bei Qonto eröffnen, sind je nach Rechtsform Ihres Unternehmens bestimmte Angaben über Sie persönlich sowie über Ihr Unternehmen Anhand dieser Angaben überprüft Qonto Ihre Identität. Verläuft der Check positiv, steht Ihnen Ihr Konto innerhalb kürzester Zeit zur Verfügung. Nach der Kontoeröffnung besteht kein Grund dazu, Sie aufzufordern, Ihre persönlichen Daten herauszugeben. Das gilt insbesondere für Daten wie Kontonummern, Kreditkartennummern sowie PIN oder Passwörtern.
5. Anfrage nach PIN und Passwort: Die PIN für Ihre Bankkarte sowie das Passwort für Ihr Konto sind ihre persönlichen Zugangsdaten, die Sie und Ihr Guthaben vor unbefugten Zugriffen schützen. Banken haben kein Recht auf die Kenntnis dieser Daten und werden Sie niemals zur Herausgabe auffordern.
6. Aufforderung zum Klicken: Ein seriöses Unternehmen stellt in Kundenschreiben alle relevanten Informationen zur Verfügung. Kundinnen und Kunden erhalten in einer echten E-Mail alle notwendigen Informationen direkt lesbar auf einen Blick. Aufforderungen, Dokumente zu öffnen oder eingefügte Links anzuklicken, um weitere Informationen zu erhalten, sind unüblich und deuten auf Fake-Mails hin. Meist handelt es sich um manipulierte Dateianhänge oder Links. Öffnen Sie einen solchen Anhang, wird unbemerkt Malware auf Ihrem Rechner oder Smartphone installiert, um Sie auszuspionieren. Die eingefügten Links führen meist auf gefälschte Websites bekannter und seriöser Unternehmen, auf denen Sie aufgefordert werden, vertrauliche Zugangsdaten preiszugeben. Seien Sie bei Links und Dateianhängen also grundsätzlich misstrauisch.
7. Dringender Handlungsbedarf: Lassen Sie sich auf keinen Fall unter Druck setzen und prüfen Sie E-Mails, die Sie zu einer Handlung auffordern, besonders sorgfältig. Phishing-E-Mails setzen Empfängerinnen und Empfänger häufig unter Zeitdruck: Werden bestimmte Daten nicht umgehend herausgegeben oder Links angeklickt, drohen angeblich Kontosperrungen, Deaktivierungen oder sogar Bußgelder. Insbesondere kurzfristige Fristen sollten Sie stutzig machen.

Noch vor Kurzem stand das https:// im Adressfeld Ihres Internet-Browsers für eine gesicherte Verbindung. Mittlerweile erwerben aber auch Cyberkriminelle häufig die sogenannten SSL-Zertifikate, um ihre Opfer in Sicherheit zu wiegen.

Das macht es umso schwerer, gefälschte Websites zu erkennen. Hier hilft es nur, Links in E-Mails oder aber auch in sozialen Netzwerken aufmerksam zu prüfen. Beispielsweise auf ungewöhnlichen Zahlen- oder Buchstabenkombinationen.

Ein weiteres Indiz für eine gefälschte Website ist eine Aufforderung, Daten, die dem angeblichen Absender eigentlich bekannt sein sollten, auf der Website anzugeben. Zu diesen Daten zählen beispielsweise Ihr Name, Ihre Adresse oder Ihre IBAN. Werden Sie aufgefordert, eine TAN einzugeben, ohne dass Sie eine entsprechende Transaktion vorgenommen haben, sollten Sie ebenfalls misstrauisch werden.

Cyberkriminelle lassen sich immer wieder neue Tricks einfallen, um ihren Opfern persönliche Daten zu entlocken. Es gibt aber durchaus Mittel und Wege, um zu verhindern auf Phishing-Attacken hereinzufallen. Seien Sie auf jeden Fall wachsam, wenn Sie telefonisch oder online zur Weitergabe sensibler Informationen aufgefordert werden.

Wir geben Ihnen Tipps, wie Sie Phishing-Angriffe verhindern können:

• Verwenden Sie niemals dasselbe Passwort auf verschiedenen Websites und Konten.
• Erstellen Sie sichere und komplexe Passwörter speziell für Ihr Bankkonto. Sie können spezielle Tools verwenden, um komplexe Passwörter zu generieren und zu verwalten (zum Beispiel 1Password).
• Installieren Sie ein Anti-Phishing-Plug-in in Ihrem Webbrowser.
• Aktualisieren Sie regelmäßig die Sicherheitssoftware Ihres Computers.
• Mehr Informationen über Phishing erhalten Sie in unserer FAQ.

Sie können auch die Verbindungen zu Ihrem Konto über die Qonto App überwachen. Seien Sie jedoch vorsichtig: Wenn Sie Zugriff auf sichere APIs gewähren, wird dadurch eine automatische Verbindung erstellt.

Haben Sie eine verdächtige E-Mail erhalten, haben Sie mehrere Möglichkeiten, diese zu melden:

• Verbraucherzentralen
• Der Internet-Beschwerdestelle.de, einem gemeinsamen Projekt von eco - Verband der Internetwirtschaft e. V. und der Freiwilligen Selbstkontrolle Multimedia-Diensteanbieter e.V. (FSM)
• Bei der Bundesnetzagentur
• Bei der Polizei unter trojaner@polizeilabor.de

Wir können es nicht oft genug sagen: Die Sicherheit Ihres Kontos genießt oberste Priorität bei Qonto. Deshalb haben wir Warnmeldungen bei Auftreten von Anomalien eingerichtet und zahlreiche Funktionen in Ihr Konto eingebaut, um jede Art von missbräuchlichem Kontozugriff zu verhindern:

• Wir sperren automatisch jedes Konto, das verdächtige Muster aufweist: Die Verbindung von einem unbekannten Gerät aus, ungewöhnliche Aktivitäten, auffällige Überweisungsbeträge und so weiter.
• Wir schützen alle sensiblen Operationen über die Zwei-Faktor-Authentifizierung.
• Wir stützen uns auf datengesteuerte Algorithmen, um hochriskante Operationen zu blockieren.

Sind Sie trotz aller Sicherheitsvorkehrungen Opfer eines Betrugs geworden? Was Sie jetzt tun sollten, lesen Sie in unseren FAQ.

Phishing ist eine weit verbreitete Betrugsmethode – Sie können nie aufmerksam genug sein!

Prägen Sie sich unsere Tipps gut ein und bleiben Sie wachsam.