Vermeintliche Paket-SMS, falsche E-Mails von Banken oder Streamingdiensten: Phishing-Nachrichten können einem schnell zum Verhängnis werden. Wie man als Opfer reagieren sollte, wissen jedoch nur wenige.

Laut einer Studie der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aus dem Jahr 2022 haben 62 Prozent schon einmal wissentlich eine Phishing-Mail erhalten. Das Ziel der Betrüger: sensible Daten wie Passwörter oder Kreditkartendetails abgreifen. Dazu verschicken sie Links zu vermeintlich vertrauenswürdigen Internetseiten, auf denen Daten eingegeben werden sollen.

Phishing-Nachrichten: Daran erkennst du sie 

Der Bayerische Rundfunk berichtete kürzlich über eine international agierende Bande mit einer noch perfideren Masche: Ein Klick auf Impressum oder Logo in den Phishing-Nachrichten führte tatsächlich auf die echte Unternehmensseite, ein Klick auf die Links hingegen auf eine täuschend echt nachgebaute Website, auf der dann sensible Daten abgefragt wurden. Wer hier nicht genau aufpasste, wurde schnell zum Betrugsopfer.

Das BSI rät daher, Links oder Dateianhänge aus zweifelhaften Nachrichten grundsätzlich nicht zu öffnen. Ungewöhnliche oder ausländische Absendernummern, Internetadressen mit bekannten Namen, aber ungewöhnlichen Endungen wie ".top", ".info" oder ".site" sowie Formulierungen, die massiven Zeitdruck erzeugen, deuten laut BR ebenfalls auf mögliche Phishing-Nachrichten hin.

Wer eine verdächtige SMS oder E-Mail erhalten hat, sollte nicht antworten und die Nachricht als Spam melden – etwa über Funktionen des Smartphones, beim Telekommunikationsanbieter oder bei der Bundesnetzagentur. Zudem sollte Anzeige bei der Polizei erstattet werden.

Besonders kritisch: In diesem Fall müssen Betroffene sofort handeln

Kritisch ist es laut BR, wenn Betroffene bereits Kreditkartendaten eingegeben haben. In diesem Fall sollte die Karte sofort gesperrt werden. Der Bayerische Rundfunk weist darauf hin, dass Kriminelle Kreditkarten zunehmend in digitale Wallets wie Apple Pay oder Google Pay einbinden würden, um sie zeitversetzt zu nutzen. Das Risiko bestehe daher auch dann fort, wenn zunächst keine Abbuchung sichtbar sei.

Um den Schaden bei der eigenen Bank glaubhaft zu machen, helfe die Anzeige bei der Polizei. Der BR verweist auf Paragraf 675u BGB: Demnach müssen Banken nicht autorisierte Zahlungen grundsätzlich erstatten, es sei denn, Kunden haben grob fahrlässig gehandelt, etwa durch leichtfertige Weitergabe sensibler Daten. Ob ein Erstattungsanspruch besteht, sei allerdings stets eine Einzelfallentscheidung.