Immer wieder sind die Kunden der Sparkasse von Phishing-Mails betroffen. Mit diesen Nachrichten versuchen Cyberkriminelle, Daten und Geld der Empfänger abzugreifen. Dabei wirken die Mails oft so professionell, dass sie kaum von echten Nachrichten der Bank zu unterscheiden sind. IMTEST gibt hier einen Überblick über die Phishing-Versuche, die sich an Sparkassen-Kunden richten.
Inhaltsverzeichnis
Update vom 20. Juli 2023: Mail zu angeblichem Sicherheitsverfahren
Eine neue, professionell wirkende Phishing-Mail bezieht sich auf ein angebliches Sicherheitsverfahren mit dem Namen “Sparkassen Secure +”, das laut der Mail ab dem 23.07.2023 in Kraft trete. Es diene insbesondere dazu, “Zugriffsversuche auf Ihr Konto in Sekundenschnelle zu authentifizieren und zu schützen”. Um das Sicherheitsverfahren zu aktivieren, müsse man dem eingefügten Link folgen. Danach würde sich laut Mail ein Bankmitarbeiter telefonisch melden, “um die Umstellung abzuschließen”. Sofern man dieser Aufforderung nicht bis zum 23.07.2023 nachkäme, drohe eine Sperrung des Kontos.
Obwohl in dieser Mail eine persönliche Anrede vorliegt und das Layout keine Fehler aufweist, handelt es sich dennoch um Phishing. Den Betrugsversuch erkennt man hier an fünf Punkten:
- Fehlerhafte Absenderadresse
- Vorwand des neuen Sicherheitssystems
- Drohung mit Kontosperrung
- Gesetzte Frist
- Link zur Umstellung
Eine seriöse Bank würde ihre Kunden in keinem Fall zur Datenpreisgabe via Link auffordern. Wer sich unsicher ist, ob es sich bei einer Mail um einen Phishing-Versuch handelt, der kann auf der Internetseite der Sparkasse nachschauen. Auch eine Warnung bezüglich der beschriebenen Mail befindet sich dort unter “aktuelle Sicherheitswarnungen”. Die Verbraucherzentrale rät, den Aufforderungen der Nachricht nicht nachzugehen und die Mail unbeantwortet in den Spam-Ordner zu verschieben.
Angebliche Aktualisierung des Kontos
Auf den ersten Blick wirkt die E-Mail professionell, sachlich formuliert, mit nur wenigen sprachlichen Auffälligkeiten. Die Verfasser informieren darin über angebliche Aktualisierungen des Online-Banking, “die eine Aktualisierung Ihres Kontos erfordern”. Doch das ist ein Fake. Die Mail stammt nicht wie angegeben vom Team der Sparkasse, stattdessen stammt sie von Cyberkriminellen, die es sehr wahrscheinlich auf die Kontodaten der Sparkassen-Kundschaft abgesehen haben. IMTEST rät daher, auf keinen Fall auf den angefügten Button zu klicken.
Formell ist diese Mail nahezu unauffällig, doch ein Aspekt sollte Bankkundinnen und -kunden immer bewusst sein: Banken dürfen solche Aufforderungen nicht per Mail verschicken. Um die Kundschaft zu schützen, müssen Banken und vergleichbare Einrichtungen Hinweise wie etwa Aktualisierungsaufforderungen nur per Post verschicken oder direkt auf der eigenen Website mitteilen. Online-Banking-Plattformen verfügen beispielsweise häufig über ein Nachrichten-Tool, mit dem die Bank mit ihren Kundinnen und Kunden kommunizieren kann. Dieser Weg ist verhältnismäßig sicher, wohingegen E-Mails leicht gefälscht werden können, wie etwa in diesem Fall.
Bitdefender Total Security 2023: Top-Virenschutz zum Toppreis
Bitdefender-Virenschutz jetzt zum zum Vorteilspreis abstauben.
Klicken Betroffene den Link dennoch an, kann es passieren, dass wichtige Daten von ihrem PC oder Smartphone abgezogen werden. Auch ist es möglich, dass Schadsoftware auf die Geräte gelangt. Oder aber – wie jüngst im Fall der Deutschen Bank geschehen – sie gelangen zu einem täuschend echten Formular, in das sie persönliche Daten, wie Adresse und Kontonummer eintragen sollen. Mit diesen Informationen erhalten die Kriminellen schlimmstenfalls direkten Kontozugriff.
Bitdefender Total Security 2023: So installieren Sie die Vollversion in 5 Minuten
Bitdefender Total Security 2023 schnell & einfach installieren.
Auf die Phishing-Mail richtig reagieren
Stattdessen sollte die Mail daher direkt im Spam-Ordner landen. So kann das E-Mail-Programm mit der Zeit lernen, gefährliche Mails weitgehend selbst zu identifizieren und auszusortieren. Wer möchte, hat zudem die Möglichkeit, einen Screenshot mit einem Hinweis an die Onlinewache der Polizei oder an die Verbrauchzentrale zu schicken, die auch über diesen Fall zuerst berichtet hatte. Mithilfe der Hinweise können andere Betroffene frühzeitig gewarnt werden.
Wer sich nicht sicher ist, ob eine Mail echt oder gefälscht ist, sollte am besten direkt beim angeblichen Absender nachfragen. In diesem Fall würde das einen Anruf bei einer offiziellen Stelle der Sparkasse bedeuten. Auf keinen Fall sollten dazu jedoch Kontaktmöglichkeiten aus der möglicherweise potenziellen Phishing-Mail verwendet werden.