Search
START TYPING AND PRESS ENTER TO SEARCH

Finger weg von Links in E-Mails, die angeblich von Banken stammen! Phishing-Mails im Umlauf, die auf Kunden der ING abzielen

Finger weg von Links in E-Mails, die angeblich von Banken stammen! Aktuell werden Phishing-Mails im Namen der ING versendet. Nach einem Klick auf den enthaltenen Link landen die Opfer auf einer täuschend echt wirkenden, gefälschten Login-Seite der ING, auf der die Zugangsdaten der Opfer sowie die Kreditkarteninformationen von den Phishing-Akteuren abgegriffen werden.

Ansicht einer Phishing-Mail, in der den Phishing-Opfern vorgetäuscht wird, dass sie von der ING stammt.
Abb. 1: Ansicht der Phishing-Mail, in der den Phishing-Opfern vorgetäuscht wird, dass sie von der ING stammt.

Den Opfern wird bei der Angabe “Von:” fälschlicherweise suggeriert, dass die E-Mail von der ING stammt. Tatsächlich werden die Phishing-Mails über einen unsicheren E-Mail-Server eines deutschen Cloud-Hosters versendet.

Der Betreff ist nicht nur “holprig” und sondern für das geübte Auge sofort phishingverdächtig: “Wichtige : haben sich die Anmeldedaten für Ihr Kundenkonto geändert.

Gefälschtes Login-Formular, das dem echten Login der ING zum Verwechseln ähnlich sieht.
Abb. 2: Gefälschtes Login-Formular, das dem echten Login der ING zum Verwechseln ähnlich sieht.

Tipp: Logge dich immer nur über das offizielle Login deiner Bank ein, klicke nicht auf Links. Echte, wichtige Benachrichtigungen deiner Bank sind in deinem offiziellen Account hinterlegt.

Die offizielle Seite der ING erreichst du unter: https://www.ing.de

Das Login zum Online-Banking der ING erreichst du über die zuvor genannte Startseite der ING oder über die offizielle ING-App auf deinem Smartphone:

Auf der Internetseite der ING gibt die Bank Tipps zum Thema Phishing. Beachte dabei, dass Tipps von Banken nicht immer hilfreich, zielführend, nachvollziehbar oder aktuell sind!

Die ING gibt beispielsweise unter der Überschrift “Woran erkennen Sie den Betrugsversuch?” folgenden Tipp:

“Nutzen Sie den „Mouse-over-Effekt“: Fahren Sie mit der Maus über den mitgelieferten Link in einer Mail. Dann sehen Sie sehr schnell, ob der Link tatsächlich zur Website Ihrer Bank führt oder ganz woanders hin.”

Ein gut gemeinter Rat, der aber schon seit langem keine Gültigkeit mehr besitzt. Es gibt Techniken, mit denen sich die URL hinter einem Link verfälschen, vortäuschen bzw. verschleiern lässt. Schlimmstenfalls siehst du beim Mouse-over-Effekt, also beim Hovern über den Link die korrekte URL https://www.ing.de, bei einem Klick auf den Link wirst du aber dennoch auf eine böswillige Seite weitergeleitet. Hier ist Vorsicht geboten: Finger weg von Links in E-Mails, die angeblich von Banken stammen!

Anmerkung für technisch Interessierte:

Die böswilligen Akteure nutzen offensichtlich einen Phishing as a Service (PhaaS) Dienst. Der Code der gefälschten Login-Seite ist nahezu deckungsgleich mit gefälschten Login-Seiten bzw. -Formularen aktueller Phishing-Kampagnen (April/Mai 2024), die vorgeben, von den Sparkassen, Volksbanken, der Comdirect, Targobank oder Miles & More zu sein.

So erkennst du betrügerische Phishing-Mails

Phishing-Mails sind betrügerische Nachrichten, die darauf abzielen, sensible Informationen wie Passwörter, Kreditkartennummern oder persönliche Daten zu stehlen. Hier sind einige Merkmale, die dir dabei helfen Phishing-Mails zu erkennen:

  1. Überprüfe den Absender: Banken, Unternehmen, Behörden und Institutionen verwenden normalerweise offizielle E-Mail-Adressen, die leicht zu überprüfen sind. Eine geringfügige Variation in der Domain oder ein seltsamer Absendername können Anzeichen für eine betrügerische E-Mail sein. Beispiel: “info@paypall.com” anstelle von “info@paypal.com“).
  2. Unpersönliche Anrede: Viele Phishing-Mails beginnen mit allgemeinen Begrüßungen wie „Sehr geehrter Kunde“ oder „Lieber Benutzer“ anstelle deines Namens.
  3. Kleine Displays können trügerisch sein: Wird eine Phishing-Mail auf einem kleinen Display eines Smartphones geöffnet, ist es wichtig, dass die Kopfzeilen erweitert und vollständig angezeigt werden, um die Absenderangaben zu überprüfen.
  4. Dringlichkeit und Drohungen: Phishing-E-Mails enthalten oft Druckelemente wie die Aufforderung, sofort zu handeln. Legitime Unternehmen verlangen normalerweise keine sofortige Handlung ohne vorherige Kommunikation. Phishing-Mails drohen auch oft mit Konsequenzen, wenn du nicht sofort handelst (z.B. „Ihr Konto wird gesperrt, wenn Sie nicht sofort Ihre Daten aktualisieren“).
  5. Unverlangte Anfrage von persönlichen Informationen: Seriöse Unternehmen oder Banken fragen nie per E-Mail nach vertraulichen Informationen wie Passwörtern oder Kreditkartendaten.
  6. Fehlerhafte Grammatik und Rechtschreibung: Phishing-E-Mails weisen häufig Fehler in Grammatik und Rechtschreibung auf. Legitime Unternehmen neigen dazu, professionell formulierte Nachrichten zu senden.
  7. Bizarre oder unpassende E-Mail-Inhalte: Phishing-E-Mails enthalten manchmal seltsame oder nicht zusammenhängende Inhalte, die keinen Sinn ergeben oder nicht zum üblichen Stil des angeblichen Absenders passen.
  8. Fehlende, gefälschte oder unvollständige Kontaktinformationen: Überprüfe die Kontaktinformationen am Ende der E-Mail. Phishing-Mails haben oft keine, unvollständige oder gefälschte Kontaktinformationen.
  9. Mismatch zwischen Domainnamen und Absendername: Wenn der Name des Absenders nicht mit dem Domainnamen der E-Mail-Adresse übereinstimmt, kann dies ein Zeichen für Phishing sein.
  10. Überprüfung der E-Mail-Header: Fortgeschrittene Benutzer können die E-Mail-Header überprüfen, um verdächtige Details wie ungewöhnliche Pfade oder IP-Adressen zu erkennen, von denen die E-Mail gesendet wurde.
  11. Ungewöhnliche Anhänge oder Links: Sei vorsichtig bei Anhängen oder Links in der E-Mail. Phishing-Mails enthalten oft schädliche Anhänge oder Links zu gefälschten Websites. Fahre mit der Maus über den Link, um die tatsächliche URL zu sehen, bevor du darauf klickst.

Tipps zur Vermeidung von Phishing

Antivirus- und Anti-Phishing-Software:

Installiere und aktualisiere regelmäßig die Antivirus- und Anti-Malware-Software. Diese Programme können verdächtige E-Mails und Webseiten erkennen und blockieren.

Regelmäßige Updates:

Halte dein Betriebssystem, deine Browser und alle genutzten Softwareanwendungen immer auf dem neuesten Stand, um Sicherheitslücken zu schließen.

Passwort-Management:

Verwende einen Passwort-Manager, um komplexe und einzigartige Passwörter für jedes Konto zu erstellen und zu speichern. Vermeide es, dasselbe Passwort für mehrere Konten zu verwenden.

E-Mail-Filter:

Nutze die Spam-Filter deines E-Mail-Anbieters, die automatisch verdächtige E-Mails erkennen und ausfiltern können.

Zwei-Faktor-Authentifizierung (2FA):

Aktiviere die Zwei-Faktor-Authentifizierung für deine Online-Konten, um eine zusätzliche Sicherheitsebene zu haben, selbst wenn deine Zugangsdaten kompromittiert wurden.

Sensibilisierung und Schulung:

Informiere dich und deine Familienmitglieder oder Kollegen regelmäßig über die neuesten Phishing-Methoden und wie man sich davor schützen kann.

Keine persönlichen Informationen über E-Mail preisgeben:

Gib niemals persönliche oder finanzielle Informationen als Antwort auf eine E-Mail preis. Seriöse Unternehmen werden dich niemals auf diesem Weg um solche Informationen bitten.

Überprüfe die Quelle:

Wenn du eine verdächtige E-Mail von einem Unternehmen erhältst, kontaktiere dieses direkt über eine offiziell bekannte Kontaktmethode, um die Authentizität der Anfrage zu überprüfen.

Misstraue ungewöhnlichen E-Mails:

Sei besonders misstrauisch bei E-Mails, die du nicht erwartest oder die unerwartet erscheinen, selbst wenn sie von scheinbar bekannten Absendern kommen.

Durch die Anwendung dieser Tipps und das Bewusstsein für die oben genannten Merkmale kannst du die Wahrscheinlichkeit, auf eine Phishing-Mail hereinzufallen, erheblich verringern. Bleibe stets wachsam und überprüfe verdächtige E-Mails gründlich, bevor du darauf reagierst.

: )

teufelswerk

Heike Vollmers – Seit 1998 selbstständige Unternehmerin, Autorin/Onlinejournalistin, Gründerin des teufelswerk, Inhaberin und Gesellschafterin der Münnecke & Vollmers GbR, Ethical Hacker, Spezialistin für Cybersecurity, Social Engineering, Security Awareness & Datenschutz. Mehr erfahren

, , , , , , , , , , , , , , ,