Über Mails, gefälschte Webseiten oder Posts in sozialen Netzwerken versuchen Betrüger bei Phishing-Angriffen, an sensible Nutzerdaten zu gelangen. Die verkaufen sie, räumen das Konto des Betroffenen leer oder gehen auf dessen Rechnung einkaufen. Besonders dreiste Täter rufen ihre Opfer mitunter an und versuchen, ihnen Informationen für Betrügereien zu entlocken. Phishing ist eine englische Wortschöpfung für Passwort-Fischen. Die Fantasie der Kriminellen kennt keine Grenzen.

Sie missbrauchen die Namen von Kreditkartenunternehmen und Banken ebenso wie die von Versandhäusern, Online-Shops, Ministerien oder Behörden. Laut polizeilicher Kriminalstatistik hat sich die Zahl der gemeldeten Phishing-Fälle in den vergangenen fünf Jahren mehr als verdoppelt. Allein 2011 betrug der Schaden 26 Millionen Euro. Der Köder kommt entweder per Mail ins Postfach oder wird über soziale Netzwerke oder Webseiten verteilt.

Meist ist es ein Schreckensszenario wie die Sperrung eines Kontos, das den Empfänger dazu bringen soll, übereilt und unüberlegt zu handeln - etwa auf einen Link zu klicken oder einen Anhang zu öffnen. Doch wer den Aufforderungen nachkommt, hat schon angebissen. Der Link führt zu einer Webseite, die der Webseite einer Bank oder eines Online-Shops täuschend ähnlich sieht. Dort wird der Nutzer aufgefordert, sensible Daten einzugeben. Manchmal steckt in dem Anhang noch ein Virus. Die spionieren Daten und Passwörter aus oder sperren sogar den Rechner. Deswegen ist die erste Regel im Umgang mit verdächtigen Mails: "Klicken Sie niemals auf einen Link oder Anhang", betont Ralf Scherfling von der Verbraucherzentrale Nordrhein-Westfalen. Eine Adresse sollte immer per Hand eingegeben werden. Zudem gilt es, Betriebssystem, Browser und Virenscanner aktuell zu halten. Misstrauisch werden sollte man, wenn plötzlich eine E-Mail der Hausbank im Postfach liegt, obwohl die Bank sonst nie Mails verschickt. Wenn etwa eine persönliche Anrede fehlt, Handlungsdruck aufgebaut wird oder sich Grammatik- und Rechtschreibfehler häufen, gehört die Mail gelöscht. Doch längst gibt es fast perfekte Phishing-Mails - sogar mit korrekter Anrede. Auch Phishing-Webseiten sind mitunter so professionell gefälscht, dass sie kaum von der echten Seite zu unterscheiden sind.
Helfen kann da oft nur ein Blick in die Adresszeile. Wilde Zahlen- und Buchstabenreihen sollten misstrauisch machen. Beim Online-Banking und wann immer sonst persönliche oder sensible Daten eingegeben werden sollen, gilt es, auf das https am Anfang der Adresszeile zu achten, das eine gesicherte Verbindung anzeigt. Mit einem Klick auf das Schloss-Symbol kontrolliert man, wer die Seite betreibt und wer sie zertifiziert hat.

Auch wenn sie täuschend echt aussehen: Internetnutzer sollten Mails ignorieren, in denen Kreditkartennummern, Passwörter, Pins oder Tans abgefragt werden. Denn dahinter stecken Betrüger. Seriöse Banken oder Unternehmen fordern ihre Kunden niemals per Mail oder Telefon zur Eingabe sensibler Daten auf, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die Betrüger arbeiteten kreativ mit Sperrandrohungen, vermeintlichen Aktualisierungen oder Bestätigungen aus Sicherheitsgründen, angeblich ablaufenden oder verlorenen Passwörtern oder Kreditkartennummern. Wer unsicher ist, kontaktiert am besten die betreffende Bank oder Firma. dpa