Brushing, Phishing, Spoofing & Co. – Betrugsmaschen im Überblick
Ob beim Online-Einkauf oder im digitalen Banking: Kriminelle werden immer erfinderischer. Wir erklären die gängigsten Maschen – in einfachen Worten, ohne Fachchinesisch.
Aus aktuellem Anlass
Was ist Brushing?
Sie erhalten ein Paket von Amazon – obwohl Sie nichts bestellt haben. Klingt harmlos, ist es aber nicht: Dahinter steckt eine Betrugsmasche namens Brushing.
Dabei nutzen Kriminelle Ihre persönlichen Daten (etwa durch Datenlecks oder den Kauf gestohlener Zugangsdaten), um auf Ihrem Namen – oder auf einem gefälschten Konto – billige Eigenprodukte zu bestellen. Den Kauf bestätigen sie anschließend mit überschwänglich positiven Rezensionen, die sie selbst verfassen. So erscheint ihr minderwertiges Produkt im Ranking besser als es ist.
Die Stiftung Warentest warnt aktuell ausdrücklich vor dieser Masche.
Sofortmaßnahme: Haben Sie ein unbestelltes Paket erhalten? Ändern Sie umgehend Ihr Passwort bei Amazon (und überall, wo Sie dasselbe Passwort verwenden). Prüfen Sie außerdem Ihre Bestellhistorie auf unbekannte Einträge.
Die vier häufigsten Maschen
Phishing
Gefährliche E-Mails
Kanal: E-Mail
Täuschend echte E-Mails, die aussehen als kämen sie von Ihrer Bank, PayPal oder Amazon – mit einem Link, der auf eine gefälschte Webseite führt. Dort werden Zugangsdaten abgefischt (to fish = angeln).
Tipp: Niemals auf Links in E-Mails klicken – stattdessen die Webseite direkt im Browser aufrufen.
Quishing
Gefälschte QR-Codes
Kanal: QR-Code (physisch oder per Post)
QR-Codes an Parkautomaten, Ladestationen für E-Autos oder in Briefen, die scheinbar von der Bank stammen – sie führen zu betrügerischen Seiten. Das Wort setzt sich aus QR und Phishing zusammen.
Prüfen Sie nach dem Scannen die angezeigte URL, bevor Sie etwas eingeben.
Smishing
Betrug per SMS
Kanal: SMS
Kurznachrichten mit Links zu Schadsoftware oder gefälschten Login-Seiten. Typische Texte: „Ihr Paket wartet auf Sie“ oder „Ihre Karte wurde gesperrt“. (SMS + Phishing = Smishing)
Unbekannte Links in SMS grundsätzlich nicht anklicken – auch wenn die Nachricht dringend klingt.
Spoofing
Gefälschte Absender
Kanal: SMS oder Anruf
Die perfideste Variante: Kriminelle fälschen die Absenderkennung einer SMS oder Anrufernummer so, dass die Nachricht aussieht, als käme sie wirklich von Ihrer Bank. Sie reiht sich sogar in den echten Nachrichtenverlauf ein.
Eine Bank fragt niemals per SMS oder Anruf nach PIN, TAN oder Passwort.
Was tun, wenn etwas passiert ist?
1. Unbekannte Abbuchung entdeckt? Sofort sperren lassen.
Rufen Sie umgehend den Sperr-Notruf Ihrer Bank an oder nutzen Sie die Banking-App, um Karte und Online-Zugang zu sperren. In Deutschland gilt der zentrale Sperr-Notruf: 116 116.
2. Passwörter ändern
Ändern Sie das Passwort des betroffenen Kontos – und alle anderen Konten, für die Sie dasselbe Passwort verwenden. Nutzen Sie künftig einen Passwort-Manager und wo immer möglich Zwei-Faktor-Authentifizierung.
3. Betrug melden und Haftung klären
Erstatten Sie Anzeige bei der Polizei und wenden Sie sich schriftlich an Ihre Bank. Bei unautorisierten Abbuchungen muss die Bank in vielen Fällen haften – vorausgesetzt, Sie haben nicht grob fahrlässig gehandelt (z.B. die PIN herausgegeben).
Merkhilfe: Alle vier Maschen haben eines gemeinsam – sie wollen Sie dazu bringen, auf einen Link zu klicken oder persönliche Daten preiszugeben. Die einfachste Gegenstrategie: Im Zweifel nicht klicken, direkt bei der jeweiligen Institution anrufen und nachfragen.
(*) Hinweis: Hinter einigen Links stehen Affiliate-Programme. Für Sie bleibt der Preis exakt derselbe, wir erhalten jedoch eine kleine Provision, die wir direkt in unsere kommenden Recherchen investieren. Vielen Dank, dass Sie unsere Arbeit auf diese Weise unterstützen!