Veröffentlicht inNews

Phishing-Versuch: Kunden der Sparkasse erneut betroffen

Sparkassen-Kunden müssen jetzt gut aufpassen.

Kunde hält Smartphone und bezahlt mit Apple Pay und Sparkasse
© Nathan Dumalao/Unsplash, Sparkasse

Immer wieder sind die Kunden der Sparkasse von Phishing-Mails betroffen. Mit diesen Nachrichten versuchen Cyberkriminelle, Daten und Geld der Empfänger abzugreifen. Dabei wirken die Mails oft so professionell, dass sie kaum von echten Nachrichten der Bank zu unterscheiden sind. IMTEST gibt hier einen Überblick über die Phishing-Versuche, die sich an Sparkassen-Kunden richten.

Update vom 20. Juli 2023: Mail zu angeblichem Sicherheitsverfahren

Eine neue, professionell wirkende Phishing-Mail bezieht sich auf ein angebliches Sicherheitsverfahren mit dem Namen “Sparkassen Secure +”, das laut der Mail ab dem 23.07.2023 in Kraft trete. Es diene insbesondere dazu, “Zugriffsversuche auf Ihr Konto in Sekundenschnelle zu authentifizieren und zu schützen”. Um das Sicherheitsverfahren zu aktivieren, müsse man dem eingefügten Link folgen. Danach würde sich laut Mail ein Bankmitarbeiter telefonisch melden, “um die Umstellung abzuschließen”. Sofern man dieser Aufforderung nicht bis zum 23.07.2023 nachkäme, drohe eine Sperrung des Kontos.

Obwohl in dieser Mail eine persönliche Anrede vorliegt und das Layout keine Fehler aufweist, handelt es sich dennoch um Phishing. Den Betrugsversuch erkennt man hier an fünf Punkten:

  1. Fehlerhafte Absenderadresse
  2. Vorwand des neuen Sicherheitssystems
  3. Drohung mit Kontosperrung
  4. Gesetzte Frist
  5. Link zur Umstellung

Eine seriöse Bank würde ihre Kunden in keinem Fall zur Datenpreisgabe via Link auffordern. Wer sich unsicher ist, ob es sich bei einer Mail um einen Phishing-Versuch handelt, der kann auf der Internetseite der Sparkasse nachschauen. Auch eine Warnung bezüglich der beschriebenen Mail befindet sich dort unter “aktuelle Sicherheitswarnungen”. Die Verbraucherzentrale rät, den Aufforderungen der Nachricht nicht nachzugehen und die Mail unbeantwortet in den Spam-Ordner zu verschieben.

Angebliche Aktualisierung des Kontos

Auf den ersten Blick wirkt die E-Mail professionell, sachlich formuliert, mit nur wenigen sprachlichen Auffälligkeiten. Die Verfasser informieren darin über angebliche Aktualisierungen des Online-Banking, “die eine Aktualisierung Ihres Kontos erfordern”. Doch das ist ein Fake. Die Mail stammt nicht wie angegeben vom Team der Sparkasse, stattdessen stammt sie von Cyberkriminellen, die es sehr wahrscheinlich auf die Kontodaten der Sparkassen-Kundschaft abgesehen haben. IMTEST rät daher, auf keinen Fall auf den angefügten Button zu klicken.

In einer Phishing-Mail an die Sparkassen-Kundschaft ist von "wichtigen Aktualisierungen" die Rede
“Geschätzte Kontoinhaber und Inhaberinnen”, ist keine persönliche Anrede und damit ein Hinweis auf Phishing. © Verbraucherzentrale

Formell ist diese Mail nahezu unauffällig, doch ein Aspekt sollte Bankkundinnen und -kunden immer bewusst sein: Banken dürfen solche Aufforderungen nicht per Mail verschicken. Um die Kundschaft zu schützen, müssen Banken und vergleichbare Einrichtungen Hinweise wie etwa Aktualisierungsaufforderungen nur per Post verschicken oder direkt auf der eigenen Website mitteilen. Online-Banking-Plattformen verfügen beispielsweise häufig über ein Nachrichten-Tool, mit dem die Bank mit ihren Kundinnen und Kunden kommunizieren kann. Dieser Weg ist verhältnismäßig sicher, wohingegen E-Mails leicht gefälscht werden können, wie etwa in diesem Fall.



Klicken Betroffene den Link dennoch an, kann es passieren, dass wichtige Daten von ihrem PC oder Smartphone abgezogen werden. Auch ist es möglich, dass Schadsoftware auf die Geräte gelangt. Oder aber – wie jüngst im Fall der Deutschen Bank geschehen – sie gelangen zu einem täuschend echten Formular, in das sie persönliche Daten, wie Adresse und Kontonummer eintragen sollen. Mit diesen Informationen erhalten die Kriminellen schlimmstenfalls direkten Kontozugriff.



Auf die Phishing-Mail richtig reagieren

Stattdessen sollte die Mail daher direkt im Spam-Ordner landen. So kann das E-Mail-Programm mit der Zeit lernen, gefährliche Mails weitgehend selbst zu identifizieren und auszusortieren. Wer möchte, hat zudem die Möglichkeit, einen Screenshot mit einem Hinweis an die Onlinewache der Polizei oder an die Verbrauchzentrale zu schicken, die auch über diesen Fall zuerst berichtet hatte. Mithilfe der Hinweise können andere Betroffene frühzeitig gewarnt werden.

Wer sich nicht sicher ist, ob eine Mail echt oder gefälscht ist, sollte am besten direkt beim angeblichen Absender nachfragen. In diesem Fall würde das einen Anruf bei einer offiziellen Stelle der Sparkasse bedeuten. Auf keinen Fall sollten dazu jedoch Kontaktmöglichkeiten aus der möglicherweise potenziellen Phishing-Mail verwendet werden.

Sandra Fischer

Nach dem Bachelor-Studium in „Medienwissenschaften“ hat Sandra Fischer ihren Master in „Mass media e politica“ (dt. „Massenmedien und Politik“) an der Università di Bologna in Italien absolviert. Neben Italienisch und Englisch spricht sie aufgrund mehrerer Langzeitaufenthalte in Alicante auch Spanisch fließend. Für ein Praktikum bei der Dokumentarfilm-Produktionsfirma „Folke Rydén Production“ ist Sandra im Anschluss an ihr Studium nach Schweden gezogen, bevor sie – zurück in Deutschland – in Hamburg als Projektmanagerin bei Statista angefangen hat. Anschließend ist sie zur FUNKE Mediengruppe gewechselt, wo Sandra zunächst ein Volontariat bei der Zeitschrift „Bild der Frau“ absolviert hat. Als Redakteurin bei IMTEST beschäftigt sie sich nun hauptsächlich mit Küchengeräten und Fitnessgadgets.