Phishing und Trojaner

So schützen Sie sich vor Betrügern

Beim Phishing nutzen Betrüger unter anderem E-Mails, SMS, soziale Netzwerke und gefälschte Internetseiten, um an vertrauliche Informationen für den Missbrauch von Online-Konten und Kreditkarten zu gelangen. Oft sind dabei Trojaner im Einsatz – eine Software, die Daten von Computern, Tablets oder Smartphones abfischt. Sollten Sie einen Betrug vermuten, nehmen Sie bitte unverzüglich Kontakt mit Ihrer VR-Musterbank+ auf und sperren Sie Ihren Online-Banking-Zugang oder Ihre Kreditkarte.

So erkennen Sie Phishing und Trojaner

Phishing

Phishing kann per E-Mail, SMS, Telefon oder mithilfe anderer Kommunikationskanäle sowie gefälschter Internetseiten oder sozialer Netzwerke erfolgen. Dabei versuchen Betrüger, Sie unter einem Vorwand beispielweise dazu zu verleiten, eine Überweisung durchzuführen, Ihre Zugangsdaten für das Online-Banking anzugeben, Ihr TAN-Verfahren zu wechseln oder Ihre Kreditkartendaten preiszugeben. Es gibt viele Varianten – eines haben sie aber alle gemeinsam: Sie nutzen Vorwände, gefälschte Absenderadressen, Webseiten und Eingabemasken, die zum Beispiel einer Banking-Anwendung oder einer vertrauten Händlerseite täuschend ähnlich sehen.

Beispiele für Phishing
  • Aufruf, Software oder Bankdaten zu aktualisieren
  • Aufforderung, persönliche Daten preiszugeben
  • Aufruf, wegen der "Zweiten EU-Zahlungsdiensterichtlinie (PSD2)", Daten zu ergänzen bzw. abzugleichen
  • Warnung vor Phishing-Mails
  • Gefälschte Mahnung, zum Beispiel mit Bezug auf Ihre Telefonrechnung
  • E-Mail mit einem angehängten Dokument, das Sie prüfen sollen oder mit einem Formular, das Sie ausfüllen sollen, und das ein ungewöhnliches Dateiformat aufweist (.EXE, .SCR, .CMS …)
  • Hinweis, dass Ihre Kreditkarte oder girocard (Debitkarte) abgelaufen sei
  • Hinweis, dass Ihr Konto gesperrt wurde
  • Aufforderung, Ihr Passwort zu erneuern
  • Aufruf, Daten für Umfragen oder Gewinnspiele zu bestätigen
Merkmale von Phishing-Mails
  • Unpersönliche Anrede, zum Beispiel "Sehr geehrter Kunde…" oder "Sehr geehrter Nutzer…"
  • Vorgetäuschter dringender Handlungsbedarf bzw. Androhung von Konsequenzen im Fall des Nichthandelns, zum Beispiel "Wenn Sie Ihre Daten nicht umgehend aktualisieren, dann wird Ihr Konto geschlossen…"
  • Aufforderung, persönliche oder vertrauliche Daten wie Zugangsdaten für das Online-Banking oder die Kreditkartennummer einzugeben oder eine Datei zu öffnen, die als Anhang beigefügt ist oder unter einem Link zum Herunterladen bereitsteht
  • Links oder eingefügte Formulare, zum Beispiel zum Einloggen ins Online-Banking
  • Sprachliche Ungenauigkeiten, zum Beispiel kann der Text in schlechtem Deutsch verfasst sein, kyrillische Buchstaben, falsch aufgelöste oder fehlende Umlaute – beispielsweise "a" oder "ea" statt "ä" – enthalten
  • Fremde Sprache, zum Beispiel kann der Text in einer fremden Sprache – beispielsweise Englisch oder Französisch – verfasst worden sein
Aktuelle Phishing-Warnungen

Lesen Sie unsere aktuellen Phishing-Warnungen und informieren Sie sich über typische Betrugsmaschen bzw. Phishing-Tricks.

Trojaner

Betrüger arbeiten häufig mit schädlicher Software (Malware), sogenannten Trojanern. Diese Schadprogramme können unter anderem die Webseite des Online-Bankings mit eigenen Inhalten überblenden, die dem tatsächlichen Design der Bank entsprechen. Dort wird zur Eingabe einer TAN oder zur Übermittlung der Mobilfunknummer aufgefordert, zum Beispiel in Verbindung mit der Installation einer Software auf Ihrem Mobiltelefon. In der Annahme, auf der korrekten Online-Banking-Plattform ihrer Bank zu sein, geben Empfänger dann ihre Daten ein.

Merkmale von Phishing-Webseiten
  • Vortäuschung von Vertrauenswürdigkeit
    Mittlerweile nutzen auch Betrüger SSL-Zertifikate, die an der Abkürzung "https://" in der Adresszeile des Browsers zu erkennen sind und für eine gesicherte Verbindung sorgen. Auf diese Weise wird der Eindruck erzeugt, es handele sich um eine vertrauenswürdige Website.
  • Verlinkungen vor Aufruf prüfen
    Grundsätzlich sollten Sie jeden Link, den Sie per E-Mail oder mithilfe der sozialen Netzwerke erhalten, vor dem Aufruf prüfen. Enthält die Internetadresse beispielsweise den Namen Ihrer VR-Musterbank+, allerdings in Verbindung mit ungewöhnlichen Zahlen oder Zeichenkombinationen – zum Beispiel "www.123y-Bank.de" –sollten Sie misstrauisch werden. Am besten ist es, wenn Sie immer selbst die URL Ihrer VR-Musterbank+ direkt in die Adressleiste Ihres Browsers eingeben. Auf der Webseite können Sie dann gefahrlos das Online-Banking aufrufen.
  • Abfrage einer TAN
    Wenn die Abfrage einer TAN erfolgt, ohne dass Sie eine Transaktion (zum Beispiel eine Überweisung) durchgeführt haben, sollte Sie das misstrauisch machen.
  • Eingabe bekannter Daten
    Eine Aufforderung zur Eingabe von Daten, die Ihrer Bank bereits bekannt sind – beispielsweise Name, Adresse oder IBAN – sollte Sie ebenfalls misstrauisch machen.
Arten von Viren und Trojanern
  • Datei- oder Linkviren
    Diese klassischen Viren kopieren sich in Computerprogramme und verbreiten sich bei jedem Aufruf weiter.
  • Bootsektor- oder Systemviren
    Diese Viren werden bei jedem Start des Betriebssystems geladen. Sie können auch unbemerkt auf schreibgeschützten Datenträgern – zum Beispiel USB-Sticks – eindringen.
  • Würmer
    Würmer verbreiten sich selbstständig im Internet und haben ein anderes Ziel als Viren. Sie belegen den Speicher des Computers, wodurch dessen Leistung sinkt. Würmer sind besonders schädlich, wenn sie die Eigenschaften von Datei-Viren haben oder ein Trojanisches Pferd mit sich führen.
  • Trojanische Pferde
    Hierbei handelt es sich um Schadprogramme, die häufig in harmlosen oder nützlichen Programmen versteckt sind. Sie installieren auf dem infizierten Rechner weitere Schadprogramme. Zudem spähen sie, unbemerkt vom Anwender, sensible Daten wie Passwörter, Zugangsdaten oder Kreditkartennummern aus und geben diese weiter. Darüber hinaus lässt diese Schadsoftware sich auch zur unbemerkten Steuerung des Computers nutzen.
  • Makroviren
    Diese Viren können in Word- oder Excel-Dokumenten enthalten sein und sogar Dateien löschen.
  • Hoaxes
    Hierbei handelt es sich um Falschmeldungen. Diese können zum Beispiel eine Aufforderung enthalten, zur Virenabwehr bestimmte Dateien zu löschen.
  • Tarnkappenviren
    Antivirenprogramme erkennen diese Viren nicht, da sie fortlaufend ihre Gestalt ändern oder in der Lage sind, einen nicht-infizierten Zustand des befallenen Geräts zu simulieren.
  • Script-Viren
    Diese Viren können sich in HTML-Codes von Internetseiten verstecken oder auch in E-Mails, die im HTML-Format dargestellt werden.

So schützen Sie Computer, Tablets und Smartphones vor Viren und Co.

Schutz gegen Phishing
  • Klicken Sie keine Links in Ihren E-Mails an, sondern geben Sie die URLs in die Adressleiste Ihres Browsers ein.
  • Öffnen Sie keine E-Mails, SMS oder andere Nachrichten von unbekannten Absendern. Klicken Sie niemals auf Links bzw. öffnen Sie keine Anhänge, die in solchen E-Mails, SMS oder Nachrichten enthalten sind.
  • Banken fordern Sie niemals dazu auf, Ihre Authentifikationsdaten preiszugeben. Wenn Sie unsicher sind, fragen Sie bei Ihrer VR-Musterbank+ nach. Aufgrund der PSD2 dürfen Sie Authentifizierungselemente Ihrer Bank, wie Online-PIN und -TAN, auch bei von Ihnen gewählten Drittanbietern wie Kontoinformationsdiensten oder Zahlungsauslösediensten verwenden. Mit der Zugriffsverwaltung im Online-Banking können Sie sehen, welche Drittanbieter Sie autorisiert haben. Dort können Sie auch Zugriffsberechtigungen wieder entziehen. Wir empfehlen Ihnen, Drittanbieter sorgfältig auszuwählen.
  • Ihnen vertraute Online-Händler fordern Sie niemals per E-Mail zur Eingabe Ihrer Kreditkartendaten auf. Als Vorwand für solche Aufrufe geben Betrüger häufig an, dass ein Datenabgleich erforderlich sei oder dass ein neues Sicherheitsverfahren eingeführt werde.
  • Beenden Sie jeden Besuch im Online-Banking, indem Sie sich abmelden. Es reicht nicht, einfach nur das Browserfenster zu schließen.
  • Wenn Sie Zweifel haben, ob eine E-Mail, SMS oder Nachricht eines Ihnen vertrauten Dienstleisters tatsächlich von diesem stammt, rufen Sie dessen Webseite durch Eingabe der URL in die Adressleiste Ihres Browsers auf. Klicken Sie nicht einen entsprechenden Link in der E-Mail, SMS oder Nachricht an. Schauen Sie dann auf der Homepage nach Phishing-Hinweisen.
  • Achten Sie auch bei E-Mails, die scheinbar von vertrauten Absendern stammen, auf Rechtschreibfehler und unnatürlich wirkende Formulierungen sowie ausländische Sonderzeichen. Diese Indizien weisen oft darauf hin, dass es sich hier um Phishing-Versuche handelt.
  • Kontrollieren Sie regelmäßig Ihre Kontoauszüge und informieren Sie bei Unregelmäßigkeiten sofort Ihre kontoführende Bank.
  • Sperren Sie Ihren Online-Banking-Zugang bzw. Ihre Kreditkarte sofort, wenn Ihnen etwas verdächtig vorkommt.
  • Geben Sie Passwörter nur unbeobachtet ein.
  • Seien Sie bei Mitteilungen und Angeboten von unbekannten Absendern in sozialen Netzwerken genauso kritisch wie bei E-Mails. Hier gelten die gleichen Sicherheitsempfehlungen wie im Umgang mit E-Mails.
  • Informieren Sie sich über aktuelle Phishing-Angriffe auf unserer Seite "Aktuelle Phishing-Warnungen", die Sie mithilfe des untenstehenden Buttons "Aktuelle Warnhinweise" erreichen.
Schutz Ihres Computers, Smartphones und Tablets
  • Halten Sie Antiviren-Programme, Firewall, Software, Browser und Betriebssystem durch regelmäßige Updates aktuell. Hierbei können Sie den VR-ComputerCheck zu Hilfe nehmen, den Sie mit dem untenstehenden Link erreichen.
  • Beziehen Sie Ihre Apps nur aus vertrauenswürdigen Quellen, zum Beispiel aus dem iTunes Store oder dem GooglePlay Store. Verwenden Sie stets die aktuelle Version der jeweiligen App. Verbieten Sie in den Einstellungen, dass Apps aus unbekannten Quellen installiert werden können.
  • Achten Sie auf die Herstellerbezeichnung der Apps, zum Beispiel "Fiducia & GAD IT AG" bei der TAN-App VR-SecureGo.
  • Verbieten Sie mithilfe der Sicherheitseinstellungen Ihres E-Mail-Programms das automatische Ausführen von Scripts.
  • Stellen Sie eine Internetverbindung nur mithilfe vertrauenswürdiger Netze her. Prüfen Sie insbesondere bei unbekannten Netzwerken wie öffentlichen WLANs, ob diese sicher sind.
  • Lassen Sie Smartphones, Tablets oder Computer nicht unbeaufsichtigt.
  • Nutzen Sie den Sperrcode Ihres Geräts sowie die automatische Bildschirmsperre. Aktivieren Sie die SIM/USIM-PIN und nutzen Sie gegebenenfalls den Fingerabdrucksensor.
  • Löschen Sie alle persönlichen Daten vor Verkauf eines Geräts. Setzen Sie dieses auf Werkseinstellungen zurück.
  • Aktivieren Sie drahtlose Schnittstellen nur bei Bedarf.
  • Nutzen Sie bei Verlust oder Diebstahl Ortungs-, Fernsperr- oder Löschdienste.
Die wichtigste Regel: Mit Sorgfalt vorgehen

Eine der wichtigsten Regeln beim Online-Banking und beim Online-Einkauf lautet: Gehen Sie mit Sorgfalt vor. Wenn Sie Ihre Angaben auf den Überweisungsformularen und die Inhalte von Bestätigungsnachrichten genau überprüfen, bevor Sie sie bestätigen, erschweren Sie Betrügern den Erfolg erheblich.

Überprüfen Sie vor Eingabe einer TAN immer die angezeigten Werte auf dem Display Ihres TAN-Generators oder in der empfangenen SMS bzw. in der TAN-App. Weichen die Werte von denen der Originalrechnung ab, brechen Sie den Vorgang ab. Es wird immer die Transaktion ausgeführt, deren Werte im TAN-Generator bzw. im Mobiltelefon erscheinen.

So handeln Sie bei Betrugsverdacht

Karte und Online-Banking sperren, Bank kontaktieren, Anzeige bei der Polizei erstatten

Wenn Sie vermuten, dass Sie einem Betrüger zum Opfer gefallen sind, sollten Sie schnell handeln:

  • Sperren Sie Ihre Karte und/oder das Online-Banking mithilfe des Links "Karte und Online-Banking sperren"
  • Nehmen Sie umgehend Kontakt mit Ihrer VR-Musterbank+ auf.
  • Unter der folgenden kostenfreien Telefonnummer können Sie sich melden, wenn Sie einen Betrugsverdacht – zum Beispiel einen Fall von Phishing – vermuten. Ihr Anruf wird täglich in der Zeit von 8 bis 24 Uhr entgegengenommen: 0800 5053 111.
  • Erstatten Sie bei der nächsten Polizeidienststelle eine Anzeige. In vielen Bundesländern ist dies auch online möglich.
  • Sichern Sie Beweise: Bewahren Sie alle Dokumente wie die Phishing-Mail oder die Phishing-SMS auf.

Häufige Fragen zu Phishing und Trojanern

Gibt es Phishing nur beim Online-Banking?

Nein. Diese Art des Internetbetrugs kann auch in anderen Zusammenhängen stattfinden. So sind auch Bezahlsysteme wie PayPal, Versandhäuser und Internet-Auktionshäuser Ziel von Phishing-Attacken. Um sich gegen Phishing zu schützen, ist ein Grundsatz immer zu beachten: Geben Sie niemals Ihre Passwörter für Internetanwendungen wie das Online-Banking, Ihr Amazon- oder Ebay-Konto an Dritte weiter.

Was prüft der VR-ComputerCheck?

Der VR-ComputerCheck von der VR-NetWorld GmbH und dem Sicherheitsspezialisten Coronic GmbH kann die auf Ihrem Computer installierten Programme und Plug-ins auf Aktualität und bekannte Sicherheitsprobleme prüfen und Ihnen bei der Behebung von Sicherheitslücken helfen.

Kann ich die TAN-App VR-SecureGo und die VR BankingApp auf einem Gerät nutzen?

Ihre VR-Musterbank+ möchte Ihnen stets den bestmöglichen Schutz für Ihr Online-Banking bieten. Die VR-SecureGo-App verwendet deshalb eine Sicherheitskomponente, die Angriffe deutlich erschwert. Bitte bedenken Sie, dass wegen eines möglichen Befalls durch beispielsweise einen Trojaner die gleichzeitige Verwendung einer Online-Banking-App wie der VR BankingApp und der VR-SecureGo-App auf demselben Gerät ein höheres Risiko darstellt als die Nutzung zweier voneinander getrennter Geräte beim Online-Banking.

Welche Sicherheitshinweise sollte ich bezüglich der TAN-App VR-SecureGo und der VR BankingApp beachten?
  • Beziehen Sie Ihre Apps nur aus vertrauenswürdigen Quellen, zum Beispiel iTunes oder GooglePlay Store.
  • Achten Sie auf die Herstellerbezeichnung der Apps, zum Beispiel "Fiducia & GAD IT AG" bei VR-SecureGo und VR BankingApp.
  • Halten Sie das Betriebssystem Ihres Smartphones bzw. Tablets immer auf dem aktuellen Stand.
  • Verwenden Sie stets die aktuelle Version der jeweiligen App.
  • Kontrollieren Sie regelmäßig Ihre Kontoauszüge und informieren Sie bei Unregelmäßigkeiten sofort Ihre kontoführende Bank.
  • Ihre VR-Musterbank+ wird Sie nie per E-Mail zu etwas auffordern, bei dem Sie die Zugangsdaten zu Ihrem Konto preisgeben müssten, zum Beispiel für eine Sicherheitsüberprüfung oder eine Rücküberweisung. Reagieren Sie nicht auf solche E-Mail-Anfragen und löschen Sie diese sofort.
  • Sperren Sie Ihren Online-Banking-Zugang sofort, wenn Ihnen etwas verdächtig vorkommt.
  • Öffnen Sie keine E-Mails oder SMS unbekannter Herkunft mit Anhängen oder Download-Links.
  • Sie können auch mithilfe von Drittanbietern auf Ihr Girokonto zugreifen und diese beauftragen, für Sie Zahlungen durchzuführen oder Kontoinformationen abzurufen. Da diese Drittanbieter nunmehr gesetzlich reguliert und beaufsichtigt werden, dürfen Sie Ihre Online-PIN und -TAN bei einem von Ihnen gewählten Drittanbieter verwenden. Wir empfehlen Ihnen, diese sorgfältig auszuwählen.
  • Stellen Sie eine Internetverbindung nur mithilfe vertrauenswürdiger Netze her. Achten Sie insbesondere bei unbekannten Netzwerken wie öffentlichen WLANs auf Sicherheit.
  • Geben Sie Passwörter nur unbeobachtet ein.
Welche Sicherheitshinweise sollte ich bezüglich meiner Passwörter beachten?

Passwörter müssen mindestens acht Zeichen lang sein. Sie sollten aus Groß- und Kleinbuchstaben sowie Sonderzeichen bestehen. Verwenden Sie niemals dasselbe Passwort für mehrere Zugänge. Ändern Sie Ihre Passwörter in regelmäßigen Abständen.