Wie erkenne ich betrügerische Mails? Der Unterschied zwischen Spam, Scam und Phishing.

  • Lesedauer:19 min Lesezeit

In einer Welt, in der ein Großteil geschäftlicher Interaktionen, Kommunikation zwischen Unternehmen und viele firmeninterne Abläufe über E-Mails abgewickelt werden, sind betrügerische E-Mails zu einer allgegenwärtigen Bedrohung geworden. Unbemerkt und getarnt als gewöhnliche Nachrichten schleichen sie sich in unsere Postfächer, mit dem Potenzial, erheblichen Schaden anzurichten. Mit diesem Beitrag werfen wir einen kritischen Blick auf die unterschiedlichen Facetten dieser Bedrohung: Scam, Spam und Phishing. Von Täuschungsversuchen zur finanziellen Bereicherung über unerwünschte Massenwerbung bis hin zum Erschleichen sensibler Informationen – die Bandbreite betrügerischer Machenschaften ist vielfältig. Doch wie erkennt man diese Gefahren? Unsere Kunden nehmen immer wieder besorgt mit uns Kontakt auf, unsicher ob eine E-Mail, die sie erhalten haben, echt oder Täuschung ist. Deshalb wollen wir Ihnen hier praktische Tipps an die Hand geben, wie Sie betrügerische E-Mails entlarven und Ihre digitale Kommunikation vor den Schatten des Online-Betrugs schützen können.

Hinweis: Dieser Beitrag ist ausschließlich zu Informationszwecken bestimmt und ersetzte keine rechtliche Beratung. Für die Vollständigkeit und Aktualität der enthaltenen Informationen wird keine Gewähr übernommen.

Was ist der Unterschied zwischen Spam, Scam und Phishing

Was ist Spam?

Definition:

Unerwünschte Mails mit oft werblichem Charakter. Der Inhalt reicht von lästig kommerziellen Angeboten bis zu betrügerischen Machenschaften. 

Rechtlicher Status:

Laut § 6 Abs. 2 TMG müssen Werbe-E-Mails schon vor dem Öffnen als solche erkennbar sein. Der Verstoß ist eine Ordnungswidrigkeit und wird mit einem Bußgeld geahndet (§ 16 Abs. 1 TMG).

Merkmale:

  • Werbung der Sie nicht zugestimmt haben
  • obskure Inhalte & Werbung
  • fragwürdiger Absender
  • Links zu zweifelhaften Webseiten

Gefahr:

  • Belästigung
  • Datenmissbrauch
  • Schadsoftware

Beispiele:

  • Viagra-Werbung
  • dubiose Gewinnspiele
  • Haarwuchsmittel
  • Online Casino
  • u.ä
Beispiel Spam E-Mail - Kaufland Gewinn
Ein typisches Spam Beispiel, dass sich auf jeden beliebigen Werbeartikel übertragen lässt. Eine angebliche Umfrage und ein verlockender Gewinn sollen hier zum Anklicken eines Links verleiten. Auffällig sind hier die Rechtschreibfehler und die Adressen, die in den USA nach Utah und Ohio führen.

Was ist Scam?

Definition:

Personen oder Organisationen versuchen durch Täuschung persönliche Informationen abzugreifen oder finanziellen Schaden anzurichten.

Rechtlicher Status:

Laut § 263 StGB ist der Betrugsfall gegeben, da der Scammer in der Regel eine bestimmte Geldsumme von seinem Opfer erbittet, welche er verspricht, zurückzubezahlen oder eine bestimmte Gegenleistung für die Zahlungen anbietet.

Merkmale:

  • Irreführende Anfragen mit
    finanziellen Anreizen.
  • Gewinnmitteilungen
  • Spendenaufrufe
  • Absolute Erfolgsgarantien
  • Unseriöse Geschäftsmöglichkeiten

Gefahr:

  • Finanzielle Verluste
  • Diebstahl sensibler Informationen

Beispiele:

  • Afrikanischer Prinz
  • Nigeria-Scam
  • gefälschte Online-Shops
  • gefälschte Lotterien
  • Finanztips
  • Love Scam
  • u.ä.
Beispiel Scam E-Mail
Ein typisches Scam Beispiel das mit Versprechen von geringem Risiko und garantierten Gewinnen lockt und dafür „nur“ verlangt eine Startguthaben einzuzahlen. Opfer dieses Betrugs geben nicht nur persönliche Daten preis, sondern verlieren auch das Geld welches sie hier unvorsichtig überweisen.

Was ist Phishing?

Definition:

Cyberkriminelle täuschen vor, vertrauenswürdige Institutionen zu sein, um persönliche Informationen abzugreifen. Oft über gefälschte Mails, die den Empfänger dazu verleiten, sensible Daten preiszugeben.

Rechtlicher Status:

Phishing-Webseiten oder Phishing-Mails stellen eine Fälschung beweiserheblicher Daten gemäß § 269 StGB dar. Grob gesagt: die Urkundenfälschung zur Täuschung im Rechtsverkehr ist strafbar.

Der Straftatbestand Betrug nach § 263 StGB wird durch Phishing allein nicht erfüllt. Erst wenn die freiwillig abgegebenen Daten missbraucht werden, wird der Betrugsfall erfüllt.

Merkmale:

  • Tarnung als vertrauenswürdigen Quellen
  • Erzeugt einen starken zeitlichen Druck
  • allgemeine statt persönlicher Ansprache.
  • Enthält Links zu Websites, um Anmeldedaten abzufragen
  • Grammatik- und Rechtschreibfehler
  • unerwartete Anhänge, die Schadsoftware enthalten können.

Gefahr:

  • Identitätsdiebstahl
  • Finanzbetrug
  • Datendiebstahl
  • Schadsoftware

Beispiele:

  • Phishing-E-Mails von Banken
  • gefälschte PayPal-Benachrichtigungen
  • „Ihre Mithilfe ist erforderlich …“
  • „Dringende Sicherheitswarnung …“
  • „Ihr Paket liegt zur Abholung bereit …“
  • „Sofortige Maßnahme erforderlich …“
  • u.ä.
Beispiel Phishing E-Mail - Fake Hostinganbieter aus der Schweiz
Unpersönliche Anrede, Rechtschreibfehler, Drohungen, extremer Zeitdruck, Aufforderung einen Link zu nutzen und Geld zu überweisen. Dieses Beispiel eines Betrügers der sich als Hosting Anbieter aus der Schweiz ausgibt, erfüllt mustergültig alle Phishing-Merkmale.

Im Folgenden werden wir uns auf die Betrachtung von Phishing-Mails beschränken. Die Regeln können aber auch
allgemein auf Scam und Spam Benachrichtigungen übertragen werden

Ist Phishing wirklich gefährlich?

Die volkswirtschaftlichen Schäden durch Cyber-Delikte, die mit gezielten Phishing-Attacken beginnen, belaufen sich in Deutschland jährlich mindestens auf einen zweistelligen Millionenbetrag.

Je nach Zielrichtung eines Phishing-Angriffs ergeben sich für Verbraucher verschiedene Risiken. Wenn Verbraucher beispielsweise auf gefälschte Bankwebsites hereinfallen und dort ihre Kreditkarteninformationen eingeben, können die Betrüger sie für Online-Einkäufe missbrauchen. Ähnlich zielen gefälschte Websites von Online-Versandhändlern darauf ab, mit gestohlenen Kontodaten Einkäufe zu tätigen. Finanzielle Schäden sind hierbei die Hauptgefahr.

Darüber hinaus bergen Phishing-Mails zunehmend zusätzliche Risiken durch Malware-Anhänge. Ein unbedachter Klick auf solche Anhänge kann zu einer unbemerkten Infektion mit Schadsoftware führen, darunter Trojaner, Bots oder Ransomware (Schadsoftware die Ihre Daten / Ihren Computer / Ihr System verschlüsselt und sperrt, mit dem Ziel Lösegeld zu erpressen). 

Woran erkenne ich Phishing-Mails und wie schütze ich mich vor Phishing?

Während Phishing-E-Mails bis vor einigen Jahren meist durch unpersönliche Anreden wie „Sehr geehrter Kunde…“ oder schlechtes Deutsch aufgefallen sind, gehen Kriminelle mittlerweile professioneller vor. Tippfehler oder seltsame Umlaute im Text sind nur noch selten ein eindeutiger Hinweis auf einen Phishing-Versuch. Selbst bei gut formuliertem Text sollten Sie daher wachsam sein und auf folgende Anzeichen achten:

1. Unbekannter Absender:

Werden Sie misstrauisch, wenn Sie eine Mail von einem Unternehmen erhalten, bei dem Sie kein Kunde sind bzw. von dem Sie keine Benachrichtigung erwarten. Zum Beispiel die Ankündigung von Paketen die Sie nicht erwarten, oder Aufforderungen von Banken mit denen Sie nichts zu tun haben.

2. Fehlerhafte oder ungewöhnliche Absenderadresse:

Häufig nutzen Phishing-Betrüger sehr ähnliche Mailadressen wie die Unternehmen für die sie sich ausgeben. Zum Beispiel Gooqle statt Google, oder „support@paypall.com“ anstelle von „support@paypal.com„. Überprüfen Sie daher stets Name und E-Mail-Adresse des Absenders, bevor Sie eine Mail anklicken oder Links und Anhänge öffnen

3. Unpersönliche Anrede:

Authentische E-Mails seriöser Unternehmen sprechen Sie idR. mit Ihrem korrekten vollständigen Namen an. Phishing-Mails werden massenhaft an große Datenbanken von Mailadressen verschickt, weshalb solche fake E-Mails oft allgemeine Anreden wie „Sehr geehrter Kunde“ nutzen.

4. Fehlerhafte Grammatik und Rechtschreibung:

Die Quellen dieser Phishing-Texte liegen häufig im Ausland, wo sie maschinell übersetzt werden. Früher war das fast ein Garant für merkwürdige Formulierungen und Fehler. In Zeiten von KI-generierten Texten und Kriminellen die ständig ihre Strategien optimieren, ist eine fehlerfreie Rechtschreibung, wie bereits erwähnt, kein eindeutiges Indiz mehr für die Authentizität einer E-Mail. Dennoch sollte man auf ungewöhnliche Grammatik, Fehler und merkwürdige Formulierungen achten, da diese auch teils absichtlich genutzt werden, um Spam-Filter zu umgehen. Achten Sie auch auf Satzzeichenfehler, fehlende Umlaute und auf z.B. kyrillische oder chinesische Zeichen.

5. Dringender Handlungsbedarf

Phishing-Mails erzeugen oft einen überzogenen und unnötigen Zeitdruck, um schnelle unüberlegte Klicks der Empfänger zu provozieren. Häufige Formulierungen sind „Sicherheitswarnung„, „Letzte Chance für…„, „Konto gesperrt”, „Online-Zugang gehackt”, „Dringende Maßnahmen erforderlich„, „Verifizierung Ihres Kontos notwendig“ und „Aktualisieren Sie Ihre Zugangsdaten„. Bewahren Sie Ruhe und lassen Sie sich nicht unter Druck setzen. Antworten Sie nicht auf solche E-Mails und setzen Sie sich im Zweifelsfall direkt mit dem angegebenen Unternehmen in Verbindung.

6. Drohungen:

Wenn Sie … nicht tun, müssen wir Ihr Konto / Ihren Zugang / Ihre Kreditkarte leider sperren.“ Werden sie auf jeden Fall stutzig, wenn Drohungen ausgesprochen werden. Solche Drohungen sind typisch in Phishing-Mails, die angeblich von Hosting-Anbietern wie Strato oder IONOS kommen. Hier wird gedroht, dass Ihre Domain aufgrund von verdächtigen Vorgängen gesperrt wird, wenn Sie sich nicht sofort mit Ihren Zugangsdaten verifizieren. Auch wenn Ihre Firmenseite essentiell für Ihr Unternehmen ist, geraten Sie nicht in Panik, nutzen sie keine Links in solchen Mails und antworten Sie nicht auf solche Mails! Kontaktieren Sie stattdessen ihren Hosting-Anbieter direkt um etwaige Zweifel aufzuklären.
Auch Mahnungen im Namen eines Kreditunternehmens oder eines Inkassobüros sind nicht unüblich. Hier wird häufig mit Klagen oder Zwangsvollstreckungen gedroht, wenn Summe X nicht innerhalb kürzester Zeit auf ein angegebenes Konto überwiesen wird. Seriöse Institute schicken Forderungen und insbesondere Mahnungen in der Regel per Post. Antworten Sie nicht auf solche Mails und überweisen Sie nicht sofort die geforderte Summe. Wenden Sie sich stattdessen an einen Rechtsanwalt oder eine Beratungsstelle der Verbraucherzentrale, um abzuklären, ob und wie Sie reagieren sollten.

Die beiden Screenshots zeigen Phishing Mails die sich an 1&1 bzw. Strato Kunden wenden und mit typischen Phishing Merkmalen versuchen verunsicherte Kunden zum Anklicken eines Links zu bewegen.

7. Verdächtige Links:

Kriminelle nutzen bestimmte Techniken, wie Buchstabendreher oder Subdomänen in Verbindung mit Namen bekannter Unternehmen, um ihre wahre Identität zu verschleiern. Zum Beispiel führt https://www.amazon.mybiz.com/ zu mybiz.com und nicht zu amazon.com. Ein ähnliches Beispiel ist „paypal.security-check.com“ statt „paypal.com“. Bewegen Sie den Mauszeiger über verlinkte Texte oder Buttons ohne diese anzuklicken. Die Ziel-Adresse wird dann unter dem Mauszeiger oder am unteren Bildschirmrand angezeigt.

8. Aufforderung Anhänge, Links oder Formulare zu öffnen:

Echte E-Mails von Ihrer Bank enthalten idR. keine Dateianhänge, wie Formulare, in denen Daten abgefragt werden. Auch werden Banken und andere Dienstleister Sie nur in Ausnahmefällen auffordern einen Link zu öffnen. Zum Beispiel um neue AGBs zu lesen. Sie werden aber niemals in einer authentischen Mail dazu aufgefordert werden einen Link zu nutzen und sich in Ihr Kundenkonto ein zu loggen.

Klicken Sie auf Solche Links oder Anhänge, können Schadprogramme unbemerkt auf Ihrem Gerät installiert werden, oder Sie werden auf eine gefälschte täuschend echt aussehende Webseite weitergeleitet, um an Ihre Login-Daten zu gelangen.

Eine andere Variante ist, dass Sie dazu aufgefordert werden eine .pdf im Anhang zu bestätigen. Wenn Sie einer solchen Aufforderung folgen, kann es passieren, dass Sie einem Vertrag zu stimmen mit Kosten im drei- oder vierstelligen Bereich.

Öffnen Sie grundsätzlich keine Links und Anhänge in E-Mails deren Absender Sie nicht kennen, oder die Ihnen irgendwie verdächtig vorkommen!

9. Aufforderung vertrauliche Daten anzugeben

Banken, Ämter oder andere seriöse Organisationen müssen sich an die Datenschutz-Grundverordnung (DSGVO) halten und würden deshalb niemals einen Pin, Tan oder ein Passwort telefonisch oder per E-Mail abfragen. Geben Sie also NIEMALS Ihre Login-, Bank- oder Kontodaten auf Nachfrage weiter. Und nutzen Sie zum Einloggen NIEMALS die Links in solchen E-Mails, sondern rufen Sie die Ihnen bekannte Seite über die Adresszeile Ihres Browsers direkt auf.

Was soll ich tun, wenn Ich auf Phishing reingefallen bin?

Auf eine Phishing-Mail reinzufallen und unachtsam einen Link zu öffnen ist keine Schande, es zu verheimlichen und
zu ignorieren hingegen kann fatale Konsequenzen zur Folge haben.

Sollten Sie also, trotz Schutzmaßnahmen Opfer eines Betruges geworden sein, bleiben Sie unter keinen Umständen
untätig, sondern ergreifen Sie folgende Maßnahmen: 

1. Die Gefahr melden:

Als Mitarbeiter einer Firma informieren Sie die IT-Abteilung und/oder ihren Vorgesetzten!
Als Privatperson wenden Sie sich direkt an das Unternehmen welches in dem Betrug vorgetäuscht wurde.

2. Anti-Viren-Software aktualisieren und ausführen:

Sofern dies nicht von der IT-Abteilung übernommen wird, aktualisieren Sie Ihren Viren Scanner und Führen Sie eine vollständige Überprüfung des betroffenen Gerätes durch. Ggf. sind auch weitreichendere Maßnahmen erforderlich, um Schadsoftware zu beseitigen. Hier ist es ratsam Experten zu Rat zu ziehen.

3. Passwörter und Zugangsdaten ändern:

Ändern Sie alle Zugangsdaten, die Sie den Betrügern angegeben haben! Auch solche auf anderen Konten, die mit den weitergegebenen Daten identisch sind. Ändern Sie alle Passwörter die Sie benutzt haben, nachdem Sie in einer Phishing-Mail Anhänge oder Links geöffnet haben. 

4. Konten sperren:

Sollten Sie Ihre Bankdaten weitergegeben haben, nehmen Sie sofort Kontakt mit ihrer Bank auf und lassen Sie Ihren Zugang, Ihr Konto bzw. Ihre Karten sperren. Dies geht auch bundesweit rund um die Uhr unter der Rufnummer 116 116. Überprüfen Sie zudem regelmäßig Ihre Kontoauszüge

5. Beweise sammeln:

Löschen Sie unter keinen Umständen die E-Mail! Machen Sie Screenshots der Mail, der SMS, WhatsApp Benachrichtigung und /oder der Phishing-Webseite, um Beweise zu sammeln.

6. Anzeige erstatten:

Wenn Sie feststellen, dass unbefugte Abbuchungen von Ihrem Bankkonto getätigt wurden oder sensible Informationen preisgegeben wurden, die für Identitätsdiebstahl genutzt werden könnten, sollten Sie unverzüglich eine Anzeige erstatten, gestützt auf die gesammelten Beweise. 

Täglich werden persönliche Daten gestohlen und dann durch Cyber-Kriminelle in Online-Datenbanken veröffentlicht.
Auf den Webseiten der Universität Bonn, des Hasso Plattner-Instituts und der Seite des Sicherheitsforschers Troy Hunt können Sie überprüfen ob Ihre Mail-Adresse ebenfalls betroffen ist.
Achtung: Die Listen auf diesen Seiten erheben keinen Anspruch auf Vollständigkeit

Wie erkenne ich Phishing per SMS und WhatsApp?

Kriminelle setzen nicht nur auf E-Mails, sondern nutzen auch SMS und Messenger-Dienste wie WhatsApp, um ihre betrügerischen Machenschaften voranzutreiben. Diese Methoden zielen darauf ab, Nutzer zur Installation schädlicher Apps oder zur Preisgabe persönlicher Informationen zu verleiten. Beispielsweise werden beim sogenannten „Smishing“ gefälschte SMS-Nachrichten über vermeintliche Probleme mit dem Mobilfunkvertrag, beim Online-Banking oder wartende Paketlieferungen versendet, die zum Klicken auf einen Link auffordern. Ähnlich verhält es sich bei Phishing-Nachrichten über WhatsApp. Oft werben diese für ein Gewinnspiel und animieren zum Anklicken eines Links. Auch sehr verbreitet sind Kettenbriefe, die vor vermeintlichem Betrug warnen oder um Spenden in einer Notlage bitten. Sie fordern zum einen auf die Nachricht an Freunde und Bekannt weiterzuleiten, zum anderen soll man einen Link öffnen. Hinter diesen Links verbirgt sich dann häufig die Aufforderung eine App zu installieren oder persönliche Daten einzugeben.

Ignorieren Sie solche Nachrichten und installieren Sie keine Apps aus unbekannten Quellen!
Hinterfragen Sie zudem Warnungen vor Betrug und Spendenaufrufe kritisch und geben Sie keine persönlichen Daten preis!

Wie schützte ich mich vor betrügerischen Anrufen?

Hinter Phishing-Anrufen stehen oft gut organisierte illegale Callcenter im Ausland. Dort arbeiten geschulte
Mitarbeiter, die sich als Vertreter bekannter Unternehmen wie Microsoft, Apple, Banken oder Streaming-Dienste
ausgeben, um an sensible Daten zu gelangen. Auch Behörden, Finanzämter oder Staatsanwaltschaften werden so
fingiert. Diese Betrüger nutzen Druck und Drohungen, um schnelle Entscheidungen zu erzwingen, sei es zur
Abwendung vermeintlicher Gefahren oder zum Erzielen von finanziellen Gewinnen.

Schutzmaßnahmen gegen Phishing-Anrufe:

  • Misstrauen Sie den im Display angezeigten Telefonnummern, da diese manipuliert sein können.
  • Lassen Sie sich nicht unter Druck setzen und geben Sie KEINE persönlichen Daten am Telefon preis.
  • Fordern Sie schriftliche Unterlagen an, bevor Sie finanzielle Transaktionen tätigen.
  • Beenden Sie das Gespräch und informieren Sie Ihre Bank über den Vorfall.
  • Sperren Sie wiederholte Anrufe in Ihrem Telefon, um weitere Belästigungen zu vermeiden.

Grundsätzlich ist es wichtig, sicherheitsbewusst zu sein, persönliche Informationen online zu schützen, starke Passwörter zu verwenden, eine Anti-Viren-Software zu installieren und auf verdächtige Benachrichtigungen oder E-Mails nicht leichtfertig zu reagieren.