POL-KS: Phishing-Masche: Polizei warnt vor betrügerischen Angriffen bei Zahlungen mit Smartphone und Smartwatch: Mehrere Fälle in Nordhessen

Warnung vor neuen Spam- und Phishing-Mails

Erneut falsche IHK-Mails im Umlauf

Wir aktualisieren diese Seite regelmäßig, um Sie über betrügerische Mails mit vermeintlichem IHK-Bezug auf dem Laufenden zu halten.

In allen unten beschriebenen Fällen gilt: Diese E-Mails stammen nicht von der IHK Berlin. Auch eine IHK Deutschland existiert nicht.

Wenn Sie eine solche E-Mail erhalten haben, löschen Sie diese bitte sofort. Klicken Sie nicht auf Links und übermitteln Sie keine Daten.

+++ Update vom 18.11.2022: Es häufen sich aktuell wieder Meldungen über Spam-Mails mit dem Absender “ IHK Deutschland”, die unter anderem auch bei unseren Mitgliedsunternehmen eingehen. Ziel dieser Mails ist es, Daten abzuschöpfen bzw. Schadsoftware in Umlauf zu bringen. Uns sind auch Fälle bekannt, in denen Texte und Ansprechpartner der IHK Berlin verwendet werden. In diesen Mails werden die Empfänger zum Beispiel aufgefordert, sich “neu anzumelden”, “neu zu identifizieren”, “Firmendaten zu ändern” oder “Verträge zu prüfen und zu unterschreiben”.

+++ Update vom 15.11.2022: Zusätzlich kursieren seit November nach Erkenntnissen der deutschen Industrie- und Handelskammern drei weitere Maschen zum Datenklau unter den Stichwörtern “Energiezuschlag”, “Digitaler IHK-Schlüssel” und “Bundeszahlstelle”. Der DIHK hat dazu ausführlichere Informationen bereitgestellt. Zusätzlich kursieren seit November nach Erkenntnissen der deutschen Industrie- und Handelskammern drei weitere Maschen zum Datenklau unter den Stichwörtern

+++ Update vom 30.09.2022: Die deutschen Industrie und Handelskammern warnen vor einer erneuten Phishing Welle. Diese hat wieder zum Ziel, Daten von IHK-Mitgliedsunternehmen zu erlangen. Die E-Mails täuschen vor, von service@ihk24.de versendet worden zu sein. Bitte löschen Sie E-Mails von dieser Absenderadresse, die Sie dazu auffordern, sich bei einer IHK neu zu identifizieren. Wenn Sie in anderen Fällen unsicher sind, ob eine Nachricht tatsächlich von der IHK stammt, sollte eine kurze telefonische Klärung stattfinden.

+++ Update vom 22.07.2022: Die deutschen Industrie- und Handelskammern sowie ihre Dachorganisation DIHK warnen vor Phishing-Mails, die von Unternehmen die Anmeldung bei einer angeblichen „ IHK Deutschland“ verlangen. In diesen Phishing-Mails wird das Mitgliedsunternehmen aufgefordert, sich „neu anzumelden”, ansonsten wird gedroht, dass der Account nach einer gewissen Frist gesperrt werden würde. Unterschrieben ist die Mail mit „IHK Deutschland“. Die eingebauten Links führen zu einer Webseite, welche eine IHK-Login-Seite imitiert.

Phishing: Ein Klick – Daten geklaut

Phishing: Ein Klick – Daten geklaut

Du erhältst eine E-Mail von deiner Bank. Betreff: „Ihre Daten sind veraltet” Die Nachricht: „Bitte geben Sie Ihre Kontodaten erneut an, da Ihr Zugang sonst unverzüglich gesperrt wird.” Neben dem Banklogo findest du in der E-Mail auch den Link zur Website deiner Bank. Gewissenhaft trägst du deine Kontodaten in das Formular auf der Seite ein. Wenig später checkst du dein Bankkonto – mehrere tausend Euro sind verschwunden. Irgendjemand war auf deine Kosten online auf Einkaufstour …

In Deutschland sind ca. 17,7 Mio. Menschen (Statista 2021) von Cyber-Kriminalität betroffen. „Phishing” ist eine der häufigsten Methoden von Cyberangriffen.

Was sind Phishing-Attacken und wie gefährlich sind sie?

Der Begriff „Phishing” (von engl. “password” und “fishing”) beschreibt den Identitätsdiebstahl über Kommunikationswege wie E-Mails, Websites oder SMS. Gefälschte E-Mails oder Chatnachrichten verleiten Empfänger*innen dazu, sensible Daten, wie die Zugangsdaten für ihr Bankkonto oder Online-Shopping-Plattformen, in ein Formular einzugeben. Phishing-Mails sehen denen von realen Unternehmen zum Verwechseln ähnlich. Sie verwenden ähnliche Redewendungen und verweisen auf Links, die täuschend echt aussehen. Über diese gelangen die Empfänger*innen auf gefälschte Websites, wo sie ihre persönlichen Daten in betrügerische Dateneingabeformulare eingeben. Zudem haben Phishing-Mails häufig gefährliche Dateien im Anhang, die bereits beim Öffnen unbemerkt eine Schadsoftware installieren. Mit solchen Programmen spähen Betrüger*innen Passwörter und andere Daten unbemerkt aus. Eine einzige Mail reicht aus, um User*innen zu täuschen und so an ihre persönlichen Daten und ihr Geld zu kommen.

Mit Phishing-Angriffen werden sowohl Privatpersonen als auch Unternehmen und die breite Öffentlichkeit auf unterschiedlichste Weise in die Irre geführt, manipuliert und bestohlen.

Die gefälschten oder manipulierten Mails können sich auf Banken, Online-Shops, Online-Accounts, Gewinnspiele oder aktuelle Ereignisse beziehen – Betrüger*innen finden immer wieder neue, kreative Wege, um Betroffene zu täuschen. Cyber-Kriminelle zielen mit den gefälschten E-Mails und Websites auf persönliche Informationen wie Kontodaten, Kreditkartennummern, Steuer- und Krankenakten sowie sensible Geschäftsdaten wie Kundennamen und Kontaktinformationen ab.

So unterschiedlich die Attacken sein mögen, sie haben alle ein Ziel: Täter*innen wollen an eure Daten kommen, um sich einen Vorteil zu verschaffen. Wir erklären dir alles über Doxxing und wie du dich dagegen wehren kannst. Zum Artikel

Achtung: Phishing-Attacke!

Für ihre Attacken nutzen Phishing-Täter*innen vor allem die Ängste und Unsicherheiten von Menschen aus. So ist die Corona-Pandemie in den vergangenen zwei Jahren zum Mittelpunkt zahlreicher Angriffe geworden. Mit vermeintlich neuen Informationen zu Sicherheitsmaßnahmen und Hygienekonzepten schaffen es die Cyber-Kriminellen, schnelle Klicks auf gefälschte Links und Downloads von Anhängen zu generieren. So können schadhafte Softwares auf den Computern der Betroffenen installiert werden.

Täter*innen nutzen Krisenzeiten schamlos aus. Die Energiepauschale, welche die Bevölkerung bei den stark angestiegenen Strom- und Energiepreisen unterstützen soll, wurde kürzlich in mehreren Phishing-Kampagnen als Vorwand genutzt, um sensible Daten zu stehlen. Gefälschte E-Mails von Banken werben mit dem Service „Jetzt Energiepauschale sichern!” und leiten auf gefälschte Websites weiter. Die Betroffenen sollen ihre Kontodaten verifizieren – und schon landen sie in den Händen der Täter*innen.

Informationen zu aktuellen Phishing-Angriffe findest du hier. Dort kannst du auch einen Angriff melden, wenn du selbst betroffen bist.

Weil Täter*innen immer professioneller werden, sind Attacken immer schwerer zu identifizieren.

Immer mehr Menschen fallen auf Phishing-Attacken rein. Foto: Scopio/Rodrigo Estebas

Wie erkennst du Phishing-Mails und URL-Phishing?

Phishing-Mails und -Websites können sehr unterschiedlich aussehen, es gibt aber einige klare Anzeichen für eine Attacke.

Rechtschreibfehler, falsch übersetzte Texte oder ungewöhnliche Formulierungen sind klare Indizien für eine Phishing-E-Mail oder -Website. Bevor du eine E-Mail öffnest, achte immer auf die Absende-Adresse und den Betreff oder das Anliegen. Überlege auch, ob du schon einmal eine E-Mail in dieser Form von deiner Bank oder dem Unternehmen, das dich kontaktiert, erhalten hast. Das direkte Erfragen von sensiblen Daten, Kontozugängen und Passwörter ist ein klares Warnsignal. Auch Links oder eine URL in der E-Mail sind ein Anzeichen für eine Attacke, da reale Unternehmen kaum noch Links per E-Mail verschicken, um ihre Kund*innen vor genau solchen Angriffen zu schützen.

Auch wenn Phishing-Attacken immer professioneller werden, kannst du dich an diesen Phishing-Merkmalen orientieren:

Phishing-Mails Die Anrede ist häufig allgemein gefasst (Aufgepasst: Mittlerweile ist die Anrede vermehrt personalisiert!)

ist häufig allgemein gefasst (Aufgepasst: Mittlerweile ist die Anrede vermehrt personalisiert!) Die Gründe sind häufig vermeintliche Gesetzesänderungen, Unstimmigkeiten im Kund*innenkonto oder neue Sicherheitsmaßnahmen

sind häufig vermeintliche Gesetzesänderungen, Unstimmigkeiten im Kund*innenkonto oder neue Sicherheitsmaßnahmen Betonung der Dringlichkeit und Notwenigkeit der Datennennung

der und der Datennennung Großer Zeitdruck

Kommunikation von schwerwiegenden Konsequenzen und Drohungen

und Mails enthalten Links oder Anhänge zum Download Phishing-URLs Abkürzung http:// , anstelle von https:// , mit SSL-Zertifikat (Aufgepasst: Mittlerweile haben auch Phishing-Websites häufig das SSL-Zertifikat)

, anstelle von , mit SSL-Zertifikat (Aufgepasst: Mittlerweile haben auch Phishing-Websites häufig das SSL-Zertifikat) Name der Firma wird häufig mit ungewöhnlichen Zahlen oder Zeichen kombiniert

wird häufig mit oder kombiniert Tippfehler oder Buchstabendreher im Namen in der URL

oder im in der URL Schnelle und direkte Abfrage eigentlich bekannter Daten wie Name, IBAN oder Adresse

Tipp: Wenn du dir unsicher bist, ob du eine betrügerische Mail erhalten hast, kannst du vermeintliche Absende-Unternehmen telefonisch kontaktieren und den Versand der E-Mail bestätigen lassen. Nimm dafür nicht die Telefonnummer aus der Mail, sondern suche sie selbst im Internet heraus.

So kannst du dich vor Phishing schützen

Im Allgemeinen gilt: Schütze deine sensiblen Daten! Persönliche Daten oder Kontodetails solltest du niemals im Netz weitergeben, wenn du dir nicht hundertprozentig sicher bist, auf der offiziellen Seite zu sein!

Achte auf gängige Merkmale von Phishing-Techniken: Allgemeine Anrede, Erfragen von sensiblen Daten inklusive Passwörtern, Kommunikation von Dringlichkeit und Zeitdruck, schwerwiegende Konsequenzen und Drohungen, Weblinks oder Anhänge.

Wenn du eine ungewöhnliche Mail erhältst, solltest du …

niemals auf Links klicken!

klicken! niemals Anhänge öffnen!

öffnen! niemals deine sensiblen Daten preisgeben!

preisgeben! niemals Geld zahlen !

! nicht auf unseriöse E-Mails antworten!

Indem du sichere Passwörter wählst und diese regelmäßig aktualisiert, kannst du dich vor Phishing-Angriffen und deren Folgen schützen. Hier erklären wir dir mehr über sichere Passwörter.

Es gibt verschiedene Add-Ons, die dir dabei helfen, Angriffe zu erkennen.

Auf Phishing reingefallen – Was tun?

Phishing-Angriffe sind nicht nur ärgerlich, sie können darüber hinaus auch strafbar sein. Und: Phishing-Täter*innen verwirklichen bei ihrer Attacke häufig gleich mehrere Strafbestände. So kann bereits das Verschicken einer Phishing-Mail oder das Erstellen einer Phishing-Website nach § 269 StGB (“Fälschung beweiserheblicher Daten”) strafbar sein. Wenn die Täter*innen durch eine Phishing-Attacke zusätzlich noch an deine Daten gelangen und diese verwenden, greifen darüber hinaus meist weitere Strafbestände. Dies ist vom jeweiligen Einzelfall abhängig. Anna Wegscheider, aus unserem Legal-Team. Foto: Andrea Heinsohn Photography

Das solltest du tun, wenn du auf eine Phishing-Attacke reingefallen bist:

1. Bankkonto sperren!

Falls du deine Kontodaten weitergegeben hast, sperre auf jeden Fall erstmal dein Konto. Überprüfe die Abbuchungen deines Kontos und setze dich mit der Bank in Verbindung.

2. Passwörter ändern!

Wenn du eine Phishing-Attacke vermutest oder erkennst, ändere schnellstmöglich das Passwort des betreffenden Kontos. Da einige Konten miteinander verknüpft sind, etwa Online-Shops und Bankkonten, solltest du darauf achten, dass alle betroffenen Konten neue und sichere Passwörter erhalten.

3. Sichere Beweise!

Du solltest die Angriffe auf jeden Fall dokumentieren: Fertige hierzu rechtssichere Screenshots der Phishing-Attacke an.

Auf dem Screenshot sollte dabei nicht nur unbedingt die Phishing-Mail selbst zu sehen sein, sondern auch Uhrzeit und Datum der Mail und die E-Mailadresse des*der Absender*in. Im Idealfall sicherst du auch die so genannten Headerdaten der mutmaßlichen Phishing-Mail.

Ähnlich solltest du auch bei einer Phishing-Website vorgehen. Hier sollte der Screenshot neben dem Inhalt der gesamten Website und dem Datum und der Uhrzeit des Screenshots, auch die URL der Website enthalten.

4. Kontakt aufnehmen!

Melde die Angriffe bei den betreffenden Anbieter*innen und Plattformen. Kontaktiere beispielsweise den Kund*innenservice der betreffenden Bank oder des Online-Shops. Falls du niemanden erreichst, verfolge trotzdem die weiteren Schritte.

5. Anzeige erstatten!

Phishing-Angriffe können strafbar sein und du kannst dich dagegen wehren. Wichtig dafür ist, dass du die Attacken auch zur Anzeige bringst. Denn: Nur wenn Phishing angezeigt wird, kann auch ermittelt, angeklagt und im Idealfall verurteilt werden.

Und wenn du die Sorge hast, dass deine Anzeige wahrscheinlich ins Leere laufen wird: Selbst, wenn keine Täter*innen identifiziert werden können, ist es wichtig, dass du die Tat anzeigst. Nur so fließen Anzeigen z.B. in die Kriminalstatistik mit ein. Außerdem werden Strafverfolgungsbehörden durch aktuelle Hinweise für neue Phishing-Formen sensibilisiert und können so besser auf Gefahren von „typischen“ Phishing-Maschen hinweisen.

6. Melde die Phishing-Attacke und verdächtige E-Mails bei der Verbraucherzentrale!

Die Verbraucherzentrale Nordrhein-Westfalen wertet eingehende Anzeigen von Attacken aus und veröffentlicht bundesweite Warnungen für andere Verbraucher*innen. Du bleibst bei diesem Prozess anonym.

Achte auf gängige Anzeichen von Phishing und höre bei ungewöhnlichen Nachrichten auf dein Bauchgefühl. Schütze dich und deine Daten im Netz. Du bist von Phishing betroffen? Jemand kann unbefugt auf dein Konto zugreifen, veröffentlicht sensible Daten von dir und bedroht oder erpresst dich damit? Wende dich in solchen Fällen direkt an unsere Beratung, wir unterstützen dich!

Titelbild: Scopio/Linus Strandholm

POL-KS: Phishing-Masche: Polizei warnt vor betrügerischen Angriffen bei Zahlungen mit Smartphone und Smartwatch: Mehrere Fälle in Nordhessen

Polizeipräsidium Nordhessen - Kassel

POL-KS: Phishing-Masche: Polizei warnt vor betrügerischen Angriffen bei Zahlungen mit Smartphone und Smartwatch: Mehrere Fälle in Nordhessen

Kassel (ots)

Nordhessen: Die Polizei warnt vor einer neuen Masche, bei der sich die Täter das bargeldlose Bezahlen über Smartphones oder Smartwatches zunutze machen, mit zuvor gestohlenen Daten digitale Kopien von Zahlungskarten anderer erstellen und diese für Zahlungen einsetzen. Auch in Nordhessen mehren sich in den letzten Wochen solche Betrugsfälle und Anzeigen von Opfern dieser Masche. In einem Fall fiel der Schaden besonders hoch auch, da die Täter mit den digital erstellten Kopien der EC- oder Kreditkarten den gesamten Verfügungsrahmen des jeweiligen Bankkontos voll ausnutzen können. So erlitt ein Mann aus Kassel Ende November ein Schaden von rund 34.000 Euro, da die Täter 14 verschiedene Zahlungen tätigten.

Wie gehen die Täter vor?

Bargeldloses Zahlen ist bequem: Sind Kredit- oder EC-Karten auf dem Smartphone oder der Smartwatch hinterlegt, lässt sich beispielsweise an der Supermarkt-Kasse schnell und weitgehend kontaktlos zahlen. Die Täter versenden bei der neuen Masche zunächst eine Phishing-Mail im Namen einer Bank oder Sparkasse an ihr potenzielles Opfer. Unter einem Vorwand, etwa, dass der Online-Banking-Account neu legitimiert werden müsse um eine Sperrung zu verhindern, bringt der Täter den späteren möglichen Geschädigten dazu, einen in der E-Mail enthaltenen Link zu öffnen. Im Anschluss sollen Benutzername und Passwort des Online-Banking-Accounts sowie die Rufnummer des Smartphones in eine Maske eingegeben werden. Ferner teilt der Täter in der Phishing-Mail mit, man werde sich zeitnah unter der anzugebenden Rufnummer mit dem Opfer in Verbindung setzen.

Im nächsten Schritt loggt sich der Täter mit den Daten des späteren Geschädigten in dessen Online-Banking-Account ein. Das potenzielle Opfer erhält den bereits angekündigten Anruf. Um eine digitale Karte im Online-Banking-Account anlegen zu können, benötigen die Kriminellen vom Opfer eine zeitnahe Freigabe der Eingaben über die Push-Tan-App. Im Telefonat bringt der Täter das spätere Opfer dazu, die Eingabe über die Push-Tan-App freizugeben.

Um gänzlichen Zugriff auf die Konten zu erlangen, initiiert der Täter aus dem Online-Banking-Account heraus eine SMS auf das Handy des Opfers und bittet, durch Aktivieren des mitgesendeten Links zu quittieren. Die Quittierung hat zur Folge, dass die Push-Tan-App mit allen Berechtigungen auf die vom Täter angegebene Mobilfunknummer übertragen wird, und die Plünderung der Konten beginnt.

Wie kann ich mich schützen?

- Banken, Sparkassen und Kreditkarteninstitute fordern Kundinnen und Kunden niemals zur Eingabe persönlicher Daten im Internet auf.

- Sie haben eine E-Mail erhalten? Vergewissern Sie sich, von wem das Schreiben stammt. Überprüfen Sie die Adressleiste in Ihrem Browser. Bei geringsten Abweichungen sollten Sie misstrauisch werden.

- Klicken Sie niemals auf den angegeben Link in der übersandten E-Mail. Versuchen Sie stattdessen, die in der E-Mail angegebenen Seiten über die Startseite Ihrer Bank oder Sparkasse zu erreichen (ohne diese in die Adresszeile einzutippen).

- Kreditinstitute fordern grundsätzlich keine vertraulichen Daten per E-Mail, Telefon oder Post von Ihnen an. Wenn Sie sich unsicher sind, halten Sie in jedem Fall Rücksprache mit Ihrer Bank oder Sparkasse.

- Sollten Sie einen Anruf eines angeblichen Bankmitarbeiters bekommen, lassen Sie sich nicht dazu verleiten, sensible Daten am Telefon im Gespräch zu nennen oder zu bestätigen.

- Übermitteln Sie keine persönlichen oder vertraulichen Daten (beispielsweise Passwörter oder Transaktionsnummern) per E-Mail.

- Folgen Sie Aufforderungen in E-Mails, Programme herunterzuladen, nur dann, wenn Sie die entsprechende Datei auch auf der Internet-Seite des Unternehmens finden (Starten Sie keinen Download über den direkten Link). Öffnen Sie insbesondere keine angehängten Dateien. Nutzen Sie Anti-Viren-Programme und Firewalls.

- Geben Sie persönliche Daten nur bei gewohntem Ablauf innerhalb der Online-Banking-Anwendung Ihres Kreditinstituts an. Sollte Ihnen etwas merkwürdig vorkommen, beenden Sie die Verbindung und kontaktieren Sie Ihre Bank oder Sparkasse.

- Beenden Sie die Online-Sitzung bei Ihrer Bank oder Sparkasse, indem Sie sich abmelden. Schließen Sie nicht nur das Browserfenster und wechseln Sie vor Ihrer Abmeldung nicht auf eine andere Internetseite.

- Kontrollieren Sie regelmäßig Ihren Kontostand sowie Ihre Kontobewegungen. So können Sie schnell reagieren, falls ungewollte Aktionen stattgefunden haben.

- PIN und TANs sollten Sie nur dann eingeben, wenn eine gesicherte Verbindung mit Ihrem Browser hergestellt ist. Eine sichere Verbindung erkennen Sie an dem https:// in der Adresszeile. Im Browserfenster erscheint ein kleines Icon, z. B. in Form eines Vorhängeschlosses, das den jeweiligen Sicherheitsstatus symbolisiert ("geschlossen" bzw. "geöffnet").

- Nutzen Sie nur die offizielle Zugangssoftware Ihrer Bank oder Sparkasse.

- Sperren Sie bei Auffälligkeiten sofort den Zugang zu Ihrem Bankkonto über den kostenfreien Notruf 116 116 oder aus dem Ausland über die gebührenpflichtige Hotline +49 116 116.

- Wurden Sie Opfer, dann erstatten Sie Strafanzeige bei der Polizei.

Original-Content von: Polizeipräsidium Nordhessen - Kassel, übermittelt durch news aktuell

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels