Das Internet macht nicht nur Ihnen das Leben leichter, sondern auch Betrügerinnen und Betrügern, die es auf Ihr Geld abgesehen haben. Diese Personen können Sie und Millionen andere Personen gleichzeitig kontaktieren und versuchen, Log-in-, Konto- oder Kreditkarten-Informationen zu stehlen.
«Aktualiseren Sie Ihre Daten», «Ihr Paket ist unterwegs» oder «Sie haben gewonnen»: So lauten die Fake-Nachrichten, die man als «Phishing» bezeichnet. Der Online-Vergleichsdienst moneyland.ch hat für Sie eine Übersicht zu gängigen Betrugsmaschen erstellt. Wie Sie die Betrugsversuche erkennen und wie Sie sich schützen können, erfahren Sie in diesem Ratgeber-Artikel.
1. So erkennen Sie Phishing-Versuche
- E-Mail-Adressen und Links sehen ähnlich aus wie die offiziellen Kontaktdaten einer Firma – aber eben nicht genau gleich. Beispiele: «credisuisse.ch», «[email protected]», «swisscom.org».
- Verlinkte Passagen suggerieren, dass Sie auf einer legitimen Website landen. Dies kann beispielsweise der Fall sein, wenn der Schriftzug in der E-Mail «post.ch» oder einfach «Post» lautet, aber eine andere URL verlinkt ist. Beim Klick landen Sie dann an einer anderen Adresse. Wenn Sie von einer Firma einen Link erhalten, ist es in der Regel verdächtig, wenn dieser nicht direkt auf die eigene Website führt.
- Die Nachricht enthält überdurchschnittlich viele Rechtschreib- oder andere Fehler. Das kann ein Hinweis darauf sein, dass es sich um einen Betrugsversuch handelt. Aber Vorsicht: Eine fehlerfreie E-Mail bedeutet nicht, dass der Absender vertrauenswürdig ist. Zudem können auch legitimen Absendern Fehler unterlaufen.
- Die Sprache der Nachricht ist Englisch oder anderweitig unerwartet. Oft sind betrügerische Nachrichten auf Englisch verfasst, um online eine möglichst grosse Zahl von Opfern erreichen zu können. Wenn ein Absender angibt, eine Firma oder Person zu sein, mit der Sie sich normalerweise auf eine andere Sprache austauschen, sollten alle Alarmglocken klingeln. Das gilt auch, wenn angebliche Schweizer Unternehmen das deutsche ß verwenden.
- Der Absender kennt Ihren Namen oder Ihre Kundennummer nicht. Wenn Sie unerwartet eine Nachricht erhalten, die sich nicht an Sie persönlich richtet, könnte es ein Fake sein, der an Tausende Personen gleichzeitig versendet wurde. Insbesondere, wenn es um ein angeblich an Sie verschicktes Paket geht, werden in diesen E-Mails und SMS manchmal auch frei erfundene Sendungsnummern angegeben.
- Eine Firma, mit der Sie noch nie etwas zu tun hatten, kontaktiert Sie. Wenn Sie beispielsweise nie etwas bei einem bestimmten Lieferservice bestellt haben, ist es verdächtig, wenn Sie von diesem Anbieter plötzlich Nachrichten erhalten – zumindest dann nicht, wenn darin die Rede von Bestellungen oder Lieferungen ist, von denen Sie nichts wissen. In der Regel teilen Ihnen Händler mit, welcher Lieferservice Ihnen Ihre Bestellung bringen wird.
- Sie erhalten ein Angebot, das zu gut ist, um wahr zu sein. Betrügerinnen und Betrüger versuchen oft, Opfer mit unglaublichen Versprechen zu überlisten. Unerwartete Lotteriegewinne oder ein gratis iPhone sind oft lediglich Mittel, um Sie in die Falle zu locken.
- Oft versuchen Betrügerinnen und Betrüger, Sie unter Druck zu setzen. Dies geschieht beispielsweise, indem sie drohen, dass sie Ihr Konto demnächst sperren werden oder dass Sie nur noch heute Zeit haben, um auf die Nachricht zu reagieren. Das soll Sie dazu verleiten, unvorsichtig zu handeln.
2. So schützen Sie sich online
- Antworten Sie nicht auf verdächtige E-Mails. Oft werden diese Nachrichten an riesige Listen von E-Mail-Adressen verschickt. Eine Antwort signalisiert den Betrügerinnen und Betrügern, dass Ihre Adresse aktiv ist. Aus dem gleichen Grund sollten Sie, wenn Sie einen unerwarteten Anruf von einer unbekannten Nummer erhalten, nicht einfach zurückrufen.
- Klicken Sie nicht auf Links in Nachrichten mit unbekanntem Absender. Es kann sein, dass Sie dann beispielsweise auf gefälschten Websites landen, wo die Betrügerinnen und Betrüger mit Eingabemasken versuchen, an Ihre Log-in- oder Kreditkarten-Daten zu kommen. Am sichersten sind Sie, wenn Sie grundsätzlich nie auf Links in E-Mails, SMS oder anderen Nachrichten klicken.
- Falls Sie doch auf Links klicken, gewöhnen Sie sich an, diese zu prüfen, bevor Sie sie anklicken. In den meisten Desktop-Browsern können Sie das tun, indem Sie den Mauszeiger über den Link positionieren, ohne zu klicken. In der linken, unteren Fensterecke erscheint dann die Ziel-URL. Auf dem Smartphone erhalten Sie die URL meist, indem Sie lange auf den Link drücken. Schauen Sie, ob diese URL diejenige ist, die Sie im Kontext der Nachricht erwarten würden, oder ob es sich um eine verdächtige Adresse handeln könnte. Achtung: Oft werden die betrügerischen Adressen so geschrieben, dass man sie auf den ersten Blick mit der legitimen Website verwechseln könnte.
- Falls Sie eine Nachricht mit einem Dateianhang (zum Beispiel ein Bild oder ein PDF) erhalten, laden Sie diesen nicht herunter und öffnen Sie ihn nicht. Es könnte sich um Schadsoftware handeln. Ein Virenscanner kann Ihnen helfen, solche Dateien zu identifizieren. Auch auf dem Handy kann ein Echtzeitschutz sinnvoll sein – besonders wenn Sie sich nicht zutrauen, problematische Websites und Dateien selbst zu erkennen. Im Zweifelsfall – und wenn Sie den Absender kennen – fragen Sie beim Absender der E-Mail nach, am besten telefonisch.
- Wenn Sie unsicher sind, ob es sich beispielsweise bei einer E-Mail um einen Phishing-Versuch handelt, weil sich der Absender etwa als eine bekannte Firma ausgibt, kontaktieren Sie dieses Unternehmen direkt. Suchen Sie die Kontaktdaten auf dessen Website, statt Adressen oder Telefonnummern, die in der fraglichen E-Mail angegeben sind, zu verwenden. Bei Banken finden Sie in der Regel die korrekte Telefonnummer auch direkt auf Ihrer Bankkarte.
- Prüfen Sie, ob derzeit eine Welle von Attacken grassiert. Auf der Plattform Cybercrimepolice.ch werden Meldungen zu aktuellen Angriffen gesammelt und Warnungen herausgegeben. Falls Sie eine Nachricht erhalten haben, vor der gewarnt wird, können Sie ziemlich sicher sein, dass es sich um einen Betrugsversuch handelt.
- Benutzen Sie einen Passwort-Manager, der für jeden Log-in ein komplexes, einzigartiges Passwort generiert. Das erschwert Phishing und Sie sind auch besser vor sogenannten «Brute Force»-Attacken geschützt, ohne dass Sie sich alle Ihre komplizierten Passwörter einzeln merken müssen. Achten Sie darauf, dass der Passwort-Manager selbst mit einem sicheren Passwort und Mehrfaktor-Authentifizierung geschützt ist. Auf keinen Fall sollten Sie bei mehreren Onlineportalen und Service-Anbietern das gleiche Passwort verwenden. Das gilt beispielsweise auch für die PINs Ihrer Kreditkarten.
- Prüfen Sie den monatlichen Auszug Ihrer Bank und Ihrer Kreditkarte genau und sofort nach Erhalt. Bei bestimmten Anbietern und insbesondere bei Smartphone-Banken erhalten Sie zudem bei jeder Transaktion Ihrer Karte eine Benachrichtigung entweder per App oder SMS. Wenn Sie Ihre Ausgaben im Auge behalten, bemerken Sie, falls jemand auf Ihre Kosten Einkäufe zu tätigen versucht.
- Benutzen Sie wenn möglich für einmalige Transaktionen virtuelle Kredit- beziehungsweise Debitkarten, die Sie nach dem Einkauf deaktivieren können. Mit einer deaktivierten Karte können Drittpersonen keine betrügerischen Einkäufe tätigen.
- Prüfen Sie die Limite Ihrer Kreditkarte und setzen Sie sie nur so hoch, wie es für Ihre Bedürfnisse wirklich nötig ist. Bei Prepaid-Bezahlkarten ist es ebenfalls sinnvoll, jeweils nur so viel Geld aufzuladen, wie Sie auch maximal benötigen werden. So minimieren Sie den Schaden, den eine Betrügerin oder ein Betrüger mit Ihren Kreditkarten-Daten anrichten kann.
3. Das können Sie tun, wenn Sie glauben, Opfer einer Phishing-Attacke geworden zu sein
- Ändern Sie Ihre Log-in-Daten überall da, wo die Betrügerinnen und Betrüger nun Zugriff haben könnten. Falls Sie das gleiche Passwort an mehreren Stellen verwenden, ersetzen Sie es überall – und verwenden Sie künftig kein Passwort an mehr als einem Ort. Im Zweifelsfall ersetzen Sie alle Ihre wichtigen Passwörter und PINs.
- Lassen Sie Kreditkarten, deren Daten den Betrügern bekannt sein könnten, so bald wie möglich sperren. Falls bereits Transaktionen getätigt wurden, prüfen Sie mit Ihrer Bank oder dem Kartenherausgeber, ob sie sich noch stornieren beziehungsweise zurückbuchen lassen. In der Regel erhalten Sie unrechtmässige Transaktionen bei Schweizer Banken zurückgebucht, wenn Sie sofort nach Erhalt des Auszugs beim Anbieter reklamieren.
- Informieren Sie den Anbieter, bei dem sich Betrügerinnen und Betrüger künftig mit Ihren Log-in-Daten einloggen könnten. So können unrechtmässige Log-in-Versuche besser verhindert werden. Ihre Zugangsdaten sollten Sie aber trotzdem unbedingt und sofort ändern.
- Melden Sie den Angriff. Wenn Sie Anzeige erstatten möchten, gehen Sie zur Polizei. Andernfalls können Sie die Attacke auch bei Cybercrimepolice.ch melden. Das hilft, Angriffswellen zu erkennen und die Bevölkerung zu warnen. Die Plattform wird von der Kantonspolizei Zürich betrieben, ist aber nicht auf den Kanton Zürich beschränkt. Jeder und jede kann Vorkommnisse melden. Falls Daten Ihres Arbeitgebers betroffen sind, müssen Sie diesen ebenfalls umgehend über den Vorfall informieren. Möglicherweise kann Ihnen die IT-Security-Abteilung bei den weiteren Schritten helfen.
Weitere Informationen:
Gängige Betrugsmaschen im Internet
Tipps gegen Kreditkarten-Betrug
Tipps gegen Skimming
Tipps gegen Betrug auf Facebook
E-Banking gehackt: Erhalte ich das Geld zurück?