Datendiebstahl im Netz
, Geben Sie Phishing keine Chance

Phishing ist ein häufiger Angriffsvektor zum Diebstahl von Zugangsdaten zwecks unerlaubtem Zugriff auf Unternehmensnetzwerke oder Bankkonten. Erfahren Sie, wie Sie sich schützen können – und was zu tun ist, wenn Sie in die Phishing-Falle geraten sind.

Phishing
, Das Wichtigste in Kürze

  • Beim Phishing versuchen Cyberkriminelle, mit täuschend echten E-Mails, SMS oder Telefonanrufen vertrauliche Daten wie Passwörter zu stehlen.
  • Oft werden Opfer aufgefordert, Links anzuklicken, die die Installation von Schadsoftware auslösen oder auf gefälschte Webseiten führen und eine Anmeldung mit persönlichen Daten erfordern.
  • Wenn Sie versehentlich Ihre Banking-Zugangsdaten auf einer gefälschten Webseite eingegeben haben, sollten Sie sofort Ihre Bank informieren und Ihren Online-Zugang sperren (lassen).

Definition
, Was ist Phishing?

Phishing ist eine bestimmte Art der Cyberkriminalität. Der Begriff „Phishing“ setzt sich aus den Wörtern „Passwort“ und „Fishing“ (engl. für „Angeln“) zusammen. Beim Phishing täuschen Betrüger vor, sich im Namen einer Bank (oder einer anderen Ihnen bekannten Firma oder Organisation) an Sie zu wenden. Die Kontaktaufnahme erfolgt z. B. über

  • E-Mail,
  • Textnachricht (SMS, Messenger-Nachricht),
  • Brief,
  • soziale Netzwerke,
  • Telefonanruf.

Das Ziel der Angreifer ist es zumeist, an vertrauliche Daten wie PIN/Passwörter, einzelne TANs oder die photoTAN-Aktivierungsgrafik zu kommen, um damit (oder anderen Kundenkonten) zu erhalten.

Oder in vielen Fällen folgt auf die Täuschung per E-Mail ein Ransomware-Angriff, oft mit „Double Extortion“, also der gleichzeitigen Verschlüsselung und Veröffentlichung von Daten.

Besonders gefährdet sind Führungskräfte und IT-Verantwortliche.

Unternehmen jeder Größe sind betroffen, vom kleinen Handwerksbetrieb bis zum internationalen Konzern. Neben technischer Schutzsoftware ist vor allem Security Awareness entscheidend.

Wie gelangen Phishing-Betrüger an meine E-Mail-Adresse?

Phishing-Angriffe erfolgen oft im großen Stil. Dabei werden Phishing-Mails an zahlreiche Adressen gleichzeitig versendet. Die Kriminellen erhalten die E-Mail-Adressen sowohl aus öffentlich zugänglichen Quellen, wie Social Media Accounts oder Firmen-Websites als auch aus anderen gehackten Quellen wie z.B. von Ihren Dienstleistern und Lieferanten, die bereits Opfer von Cyberangriffen waren.

Das passiert bei einem typischen Phishing-Angriff

In den meisten Fällen erhalten die Empfänger Phishing-Nachrichten mit einer Aufforderung, einen Link anzuklicken oder einen Mailanhang zu öffnen. Viele Phishing-Nachrichten wirken täuschend echt, und Absenderadressen fallen oft erst beim zweiten Hinsehen als unseriös auf. Die E-Mail-Anhänge können z. B. die Installation von Schadsoftware auf dem Computer des Opfers auslösen. Oder die Links führen auf gefälschte, täuschend echt aussehende Internetseiten von z. B. Banken, auf denen die Internetnutzer aufgefordert werden, sich mit ihren Zugangsdaten anzumelden. Bei der Eingabe speichern die Betrüger Ihre Zugangsdaten.

Mit diesen Zugangsdaten können Hacker unbefugten Zugriff auf Ihr Konto erhalten. Kriminelle müssen aber noch die 2-Faktor-Authentifizierung überwinden, um in Ihrem Namen illegal Geld abzubuchen, Überweisungen zu tätigen oder teure Bestellungen aufzugeben. Es gibt verschiedene Tricks:

3 Wege, wie Phisher die 2-Faktor-Authentifizierung beim Digital Banking umgehen

Phishing mit der photoTAN-Aktivierungsgrafik

Betrüger fordern Sie auf, neben Ihren Zugangsdaten auch die photoTAN-Aktivierungsgrafik preiszugeben. Der Absender erscheint vertrauenswürdig, z. B. als Bank oder Dienstleister. Doch Banken werden niemals nach Ihrer photoTAN-Aktivierungsgrafik fragen. Sobald die Täter die Zugangsdaten und den Aktivierungsbrief erbeutet haben, können sie Ihr Konto eigenständig übernehmen.

Wichtig: Geben Sie niemals Ihre Aktivierungsgrafik an Dritte weiter, weder per Foto, Scan, Kopie noch im Original. Etablieren Sie unternehmensintern einen Prozess, bei dem eine weitere Person den Zahlungsverkehrsauftrag oder Berechtigungen im 4-Augen-Prinzip freigeben muss.

Multi-Factor-Authentication-Bombing

Der Angreifer besitzt bereits Ihre Zugangsdaten, benötigt aber noch eine TAN-Freigabe. Dabei erhalten Sie plötzlich eine Vielzahl von TAN-Anfragen in Ihrer photoTAN-App oder auf Ihrem Lesegerät – ohne dass Sie eine Aktion veranlasst haben. Das Ziel: Sie sollen aus Verwirrung oder Genervtheit eine der Anfragen bestätigen und damit dem Angreifer Zugriff gewähren bzw. eine Überweisung bestätigen.

Datenklau in Echtzeit

Beim Realtime-Phishing geben Sie Ihre Zugangsdaten auf einer täuschend echt aussehenden, aber gefälschten Bankseite ein. Die Daten werden jedoch nicht wie beim herkömmlichen Phishing gespeichert, sondern von den Kriminellen in Echtzeit zum Einloggen ins Online Banking verwendet. Das Opfer bestätigt gutgläubig mit der TAN-Freigabe und ermöglicht Kriminellen damit die volle Handhabung.

Häufige Arten von Phishing-Betrugsmaschen

Phishing ist vielfältig. Je nach Zielperson und Art der Kontaktaufnahme gibt es neben dem klassischen Massen-E-Mail-Phishing zahlreiche weitere Varianten. Hier finden Sie die häufigsten Phishing-Arten auf einen Blick:
  • Beim Spear-Phishing werden die Opfer im Vorfeld ausspioniert über öffentlich zugängliche Kanäle wie Social Media oder Websites. Basierend auf diesen Informationen werden so individualisierte Nachrichten an ausgewählte Zielpersonen versendet, um die Glaubwürdigkeit der Nachricht zu erhöhen.
  • Beim Whaling werden hochrangige Führungskräfte oder wichtige Entscheidungsträger eines Unternehmens ins Visier genommen.
  • Beim Smishing erfolgt die Kontaktaufnahme per SMS oder WhatsApp-Nachricht. Inhaltlich kann es, z. B. um die Überprüfung Ihrer Kontodaten oder Probleme mit den Unternehmens-Kreditkarten gehen.
  • Bei Vishing kontaktieren Kriminelle ihre Opfer telefonisch. Sie geben sich beispielsweise als Bankmitarbeiter aus und fordern die Opfer im Telefongespräch auf, ihre Online-Banking-Zugangsdaten preiszugeben.
  • Quishing (QR-Code-Phishing) ist eine Phishing-Variante, bei der z. B. Briefe oder E-Mails mit gefälschten QR-Codes versendet werden, die auf betrügerische Webseiten leiten. Grundsätzlich gilt es hier, Vorsicht walten zu lassen beim Einscannen von QR-Codes auf z. B. auf Rechnungen. Diese können bspw. falsche Kontoinformationen beinhalten, sodass das Geld auf ein betrügerisches Konto überwiesen wird.

Hinweis:

All diesen Phishing-Methoden ist gemein, dass sie keine technischen Schlupflöcher oder Schadsoftware nutzen, sondern den Menschen selbst als Schwachstelle ausnutzen – ein Prinzip, das als Social Engineering bekannt ist.

Typische Warnsignale
, Wie erkenne ich Phishing?

Dringlichkeit

Mit Betreffzeilen wie „Ihr Konto wird vorübergehend gesperrt“ oder „Letzte Warnung“ wird versucht, Druck und Angst zu erzeugen, um die Opfer zu schnellem Handeln zu drängen. Oft geht es dabei um angebliche Konto- oder Bankdaten, die aktualisiert werden müssen, um vermeintlich veränderte Datenschutzbestimmungen oder um Sicherheitsüberprüfungen, die angeblich nötig sind, um eine Kontosperrung zu vermeiden.

Gefälschte URLs

Die in der E-Mail angezeigten Links oder URL können Betrüger selbst auswählen. Fahren Sie daher mit der Maus über den Link, dann sehen Sie eine Vorschau der tatsächlichen URL. Prüfen Sie diese sorgfältig, auch wenn sie auf den ersten Blick korrekt erscheint. Bei Ihrem Online Banking sollten Sie sich nie über Links in Nachrichten oder Suchmaschinen anmelden. Geben Sie die Webadresse Ihrer Bank stattdessen immer manuell ein, z. B. www.commerzbank.com/firmenkunden und loggen sich dann ein.

Gefälschte Absenderadressen

Häufig sehen Absender von Phishing-Mails auf den ersten Blick seriös aus – erst beim genauen Hinsehen entdeckt man Unregelmäßigkeiten in der Absenderadresse. Das kann z. B. ein Schreibfehler im Unternehmensnamen oder eine falsche Endung (z. B. „.eu“ statt „.com“) sein. Aber auch eine Adresse, die nicht eindeutig den Absender erkennen lässt, ist möglich. Der angezeigte Name des Absenders, z. B. „Commerzbank“ kann durch den Absender beliebig angepasst werden und deutet damit nicht eindeutig auf einen seriösen Absender hin.

Makros in Dateien

Makros sind automatisierte Skripte, die bestimmte Abläufe ausführen können. In Dokumenten wie Excel- oder Word-Dateien erscheinen sie oft als harmlose Funktionen und zeigen beim Öffnen eine Meldung wie "Makros aktivieren?". Während sie in legitimen Fällen der Automatisierung von Aufgaben dienen, können sie in böswilligen Fällen Schadsoftware nachladen oder unerwünschte Aktionen im Hintergrund ausführen. Starten Sie daher keine Makros in Dateien, die Sie von zweifelhafter Herkunft erhalten haben.

Grammatik- oder Rechtschreibfehler

Nicht oft, aber manchmal lassen sich Phishing-Nachrichten anhand von sprachlichen Fehlern entlarven. Das liegt daran, dass die Täter oft aus dem Ausland angreifen und Phishing-Mails automatisiert übersetzen und in verschiedenen Sprachen versenden. Immer mehr Phishing-Nachrichten sind allerdings nahezu fehlerfrei und daher auf den ersten Blick kaum als solche zu erkennen.

Unpräzise Nachricht

Seien Sie misstrauisch, wenn das Anliegen der Nachricht sehr vage formuliert ist, zum Beispiel „Es gibt ein Problem mit Ihrem Konto“. Phishing-Nachrichten enthalten häufig keine persönliche Ansprache und keine konkreten Daten wie eine Auftragsnummer oder Ähnliches.

Fordern von vertraulichen Daten

Phishing zielt darauf ab, an sensible Daten von Internetnutzern zu gelangen. Seien Sie daher immer misstrauisch, wenn jemand Sie per E-Mail, SMS oder Telefon nach PINs, TANs oder Passwörtern fragt.

Durch KI sind Phishing-Angriffe noch schwerer zu enttarnen

Mit Hilfe von generativer künstlicher Intelligenz (KI) können Phishing-Nachrichten und -Websites noch professioneller und personalisierter generiert werden – so ist es zum Beispiel möglich, den Schreibstil bestimmter Personen oder Institutionen zu imitieren oder in zahlreichen Sprachen fehlerfreie, absolut plausibel klingende Nachrichten zu verfassen. Die Erstellung solcher Nachrichten dauert mit KI-Unterstützung zudem nur noch einen Bruchteil der Zeit. Auch menschliche Stimmen können schon mit KI-Tools künstlich erzeugt werden, um bestimmte Personen am Telefon täuschend echt zu imitieren.

Datendiebstahl vermeiden
, So schützen Sie sich vor Phishing

Grundsätzlich gilt: Seien Sie wachsam und gehen Sie immer vorsichtig mit Ihren sensiblen Daten um. Wenn Ihnen eine E-Mail oder Nachricht merkwürdig vorkommt, wenden Sie sich über offizielle Wege an Ihre Bank bzw. den entsprechenden Absender und fragen Sie nach.

Beachten Sie folgendes, wenn Sie eine verdächtige E-Mail oder Textnachricht erhalten:

  1. Klicken Sie nicht auf darin enthaltene Links oder Anhänge.
  2. Verraten Sie keine vertraulichen Daten.
  3. Geben Sie niemals Ihre photoTAN-Aktivierungsgrafik an Dritte weiter, weder per Foto, Scan, Kopie noch im Original.
  4. Installieren Sie keine Software, die Ihnen aufgedrängt wird.
  5. Antworten Sie nicht auf Mails oder Nachrichten.
  6. Hören Sie auf Ihr Bauchgefühl und ignorieren Sie es nicht auf Grund von Stress oder Zeitdruck.
  7. Fragen Sie sich, ob der Inhalt der Nachricht von diesem Absender sinnvoll ist bzw. ob sie von Ihnen initiiert wurde.

Wenn Sie einen verdächtigen Telefonanruf erhalten:

  1. Teilen Sie dem Anrufer keine persönlichen Daten oder Zugangsdaten für das Online Banking mit.
  2. Installieren Sie keine Software, die Ihnen aufgedrängt wird.
  3. Beenden Sie das Telefonat und blockieren Sie die Telefonnummer.
  4. Rufen Sie nicht zurück, wenn merkwürdige Nachrichten auf Ihrer Mobilbox hinterlassen wurden.

Wie können Sie sich noch schützen?

  • Vermeintlichen Absender kontaktieren: Sie haben eine Phishing-Nachricht erhalten und zweifeln, ob diese tatsächlich vom angegebenen Absender stammt. Nutzen Sie die offiziellen Kontaktwege, um direkt mit dem Absender, z. B. Bank, Dienstleister etc., in Kontakt zu treten und nachzufragen. Bei Sicherheitsbedenken bezüglich Ihrer Kontodaten hilft Ihnen die Commerzbank gerne weiter - kontaktieren Sie Ihren Firmenkundenbetreuer oder rufen Sie uns an.
  • Richten Sie für Ihren Zahlungsverkehr das 4-Augen-Prinzip zur Freigabe von Aufträgen oder Berechtigungen ein und vermeiden Sie Einzelberechtigungen.
  • Richten Sie pro Mitarbeiter einen Zugang für das Firmenkundenportal ein. Teilen Sie sich auf keinen Fall einen Firmenzugang, indem Sie sich mit mehreren Personen die Zugangsdaten teilen.
  • Ändern Sie Ihren PIN-Code in regelmäßigen Abständen.
  • Speichern Sie weder Ihren PIN-Code noch Ihre photoTAN-Grafik auf dem Computer (auch nicht in einer Finanz- oder Buchhaltungssoftware) oder auf Ihrem Smartphone.
  • Wenn Sie beabsichtigen, die Commerzbank-Anwendungen über einen bestimmten Zeitraum nicht zu beanspruchen, können Sie als zusätzliche Schutzmaßnahme vor unbefugter Nutzung den Online-Zugang deaktivieren lassen.

Soforthilfe
, Phishing-Link geklickt – was jetzt zu tun ist

Das Wichtigste, wenn Sie in die Phishing-Falle getappt sind: Ruhe bewahren – und möglichst direkt und gezielt reagieren.

Zugänge sperren: Wenn Sie bereits auf einen Phishing-Link in der Mail geklickt und Ihre Zugangsdaten zum Firmenkunden-Portal eingegeben haben, sperren Sie Ihren Onlinezugang:

Zugang zum Firmenkundenportal (Digital Banking) sperren
Melden Sie sich an und klicken Sie auf den Reiter „Meine Daten“ und dort auf „Zugang sperren“.

Am Telefon: Rufen Sie unsere Sperrhotline Firmenkundenportal an unter +49 69 5050 2786. Sie erreichen uns rund um die Uhr: 24 Stunden – 7 Tage – weltweit. Ihre Sperrung wird durch einen Mitarbeiter ausgeführt.

Kontaktieren Sie Ihren Firmenkundenbetreuer bzw. rufen Sie unsere Hotline +49 69 1362 6360 (Montag – Freitag 8:00 – 18.00 Uhr) an.

Corporate Card sperren

Girocard sperren

photoTAN sperren: Sie können Ihre photoTAN in unserem Digital Banking eigenständig sperren. Die Sperrung ist umgehend wirksam. Wir empfehlen Ihnen aus Sicherheitsgründen Ihr photoTAN-Verfahren in folgenden Fällen zu sperren: Wenn Sie Ihr Smartphone verloren oder verkauft haben oder Verdacht auf missbräuchliche Nutzung besteht.

Im Digital Banking:

  1. Melden Sie sich an, um zu Ihren TAN-Einstellungen zu gelangen.
  2. Klicken Sie in der Zeile „photoTAN“ auf „Verwalten“.
  3. Klicken Sie dann zwei Mal auf den Button „photoTAN sperren“, um die Sperrung des photoTAN-Verfahrens zu bestätigen.

Hinweis: Sollten Sie mehrere Teilnehmernummern nutzen, führen Sie den Prozess separat für jede Teilnehmernummer wie oben beschrieben durch.

Am Telefon:

  1. Nehmen Sie Kontakt mit uns auf. Sie erreichen uns rund um die Uhr: 24 Stunden - 7 Tage - weltweit.
  2. Die Sperrung Ihrer photoTAN wird durch einen Mitarbeiter ausgeführt.

Die Commerzbank an Ihrer Seite
, Was tun wir für Ihre Sicherheit im Firmenkundenportal?

Höchste Sicherheitsstandards

Das Firmenkundenportal mit seinen verschiedenen Anwendungen wird regelmäßig von Sicherheitsteams getestet und in der Entwicklung geprüft bzw. weiterentwickelt.

Deaktivierung von betrügerischen Phishing-Seiten

Wir können nicht verhindern, dass eine Phishing-Mail in Ihrem Postfach landet. Wir sorgen jedoch für die Abschaltung der darin verlinkten gefälschten Webseiten ‒ meistens gelingt dies umgehend.

2-Faktor-Authentifizierung

Die Anmeldung im Online Portal wird mit Hilfe der 2-Faktor-Authentifizierung (2-FA) als zusätzliche Sicherheitsmaßnahme durchgeführt. Auch wenn Phishing damit nicht vollständig verhindert werden kann, dient es dem besseren Schutz Ihres Kontos.

Persönliche Beratung

Bei Fragen oder Sicherheitsbedenken wenden Sie sich bitte direkt an Ihren Firmenkundenbetreuer.

Weiterführende Informationen

Das könnte Sie auch interessieren