Phishing - smishing - vishing 

So wird die Nutzung menschlicher und sozialer Schwachstellen einer Organisation oder einer Einzelperson zur Erlangung einer Leistung oder wichtiger Informationen beschrieben. Hierbei setzt der Betrüger in der Regel seine Überzeugungskraft, seinen Mut bzw. seine Unverschämtheit ein, missbraucht das Vertrauen, das Unwissen und die Gutgläubigkeit seiner Opfer.

Social engineering per E-mail oder SMS: Phishing

Beim Phishing handelt es sich in dem meisten Fällen um eine E-Mail-Nachricht, die einen Link zu einer betrügerischen Website enthält, deren Gestaltung der einer offiziellen Webseite gleicht. Bei Phishing-Mails oder SMS-Nachrichten soll den Empfängern der Eindruck vermittelt werden, dass es sich um eine offizielle E-Mail oder SMS Ihrer Bank handelt. Häufig greifen die Betrüger hierbei auf psychologische Mittel zurück und versetzen ihre Opfer in eine Stresssituation, in der sofortiger Handlungsbedarf besteht. Nachfolgend finden Sie zwei Beispiele für Phishing-Mails, die an Kunden von ING Luxembourg mit My ING Zugang und VISA-Kreditkarte gerichtet wurden.

  Beispiel 1

Der tatsächliche Absender gehört nicht zur Domain „@ing.lu“, sondern einer Domain, die der Bank ähnelt und nicht das Misstrauen des Empfängers erregen soll. Der Empfänger wird aufgefordert auf einen Link zu klicken. Wenn man mit der Maus über diesen Link fährt, wird jedoch deutlich, dass dieser nicht zu einer Website von https://www.ing.lu, sondern zu einer betrügerischen Website führt.

 Beispiel 2

Es sieht so aus, als ob der Absender zur Domain „@ing.lu“ gehören würde, dies ist jedoch nicht der Fall. Denn aufgrund der Funktionsweise der E-Mail-Protokolle im Internet ist es trotzdem möglich, sich eine E-Mail-Adresse eines bestimmten Absenders widerrechtlich anzueignen. Daher wird der Empfänger solcher E-Mails (man spricht hier von „E-Mail-Spoofing“) beim Öffnen dieser E-Mail nicht misstrauisch. Der Text weist erneut auf eine dringende Situation hin und das Opfer wird aufgefordert, schnell zu handeln. Es wird vom Empfänger verlangt, eine bestimmte Telefonnummer anzurufen, bei der es sich nicht um die Rufnummer von ING Luxembourg handelt. Alternativ fordert der Absender das Opfer dazu auf, eine bestimmte falsche ING-Website aufzusuchen, um dort seine persönlichen und vertraulichen Daten einzugeben.

Social Engineering per SMS: Smishing

Beim Smishing (eine Kombination der Begriffe SMS und Phishing) versuchen Betrüger, personen- und finanzbezogene oder sicherheitsrelevante Daten per Textnachricht zu erhalten. Sie geben sich als vertrauenswürdige Quelle aus, indem sie als Bank, Kartenaussteller oder als Versorgungs- oder Dienstanbieter auftreten.

Wie funktioniert das?

In diesen Nachrichten werden Sie normalerweise aufgefordert (üblicherweise dringend) einen Link zu einer Webseite anzuklicken oder eine Telefonnummer zur Überprüfung, Aktualisierung oder Reaktivierung Ihres Kontos anzurufen.

Der Link führt dann zu einer fingierten Webseite und die Telefonnummer zu einem Betrüger, der sich als Vertreter eines legitimen Unternehmens ausgibt. Ziel ist es, Sie dazu zu bringen, all jene Informationen preiszugeben, die den Betrügern dabei helfen könnten, Ihr Geld zu stehlen.

Dieses Bild ist ein konkretes Beispiel für Smishing. Der Link und die Zieladresse sind oft die ersten Elemente, an denen Sie einen Betrug erkennen können. Andere Indikatoren können ebenso helfen, den Betrug zu erkennen. 

Was können Sie tun?

  • Klicken Sie nie auf Links, Anhänge oder Bilder von unerbetenen Textnachrichten, ohne zunächst den Absender zu überprüfen. Dies können Sie tun, indem Sie nach der Nummer im Internet suchen (wenn es sich um Betrug handelt, sind Sie wahrscheinlich nicht der Erste), oder Sie vergleichen die Nummer mit der des offiziellen Absenders, von dem die Nachricht angeblich stammt.
  • Lassen Sie sich nicht hetzen. Nehmen Sie sich Zeit und führen Sie die entsprechenden Überprüfungen durch.
  • Antworten Sie nie auf eine Textnachricht, in der Sie nach Ihrer PIN, Ihrem Online-Banking-Passwort oder anderen Sicherheitsdaten gefragt werden.
  • Wenn Sie befürchten, dass Sie auf einen Smishing-Text geantwortet und Ihre Bankdaten preisgegeben haben, wenden Sie sich umgehend an Ihre Bank. 

Social engineering by telephone: Vishing

Vishing-Angriffe erfolgen in Form von Telefonanrufen. Hierbei gibt der Anrufer vor, für die ING Bank zu arbeiten und versucht, persönliche und vertrauliche Daten von der angerufenen Person zu erlangen.

Häufig greifen die Betrüger hierbei auf psychologische Mittel zurück und versetzen ihre Opfer in eine Stresssituation, in der sofortiger Handlungsbedarf besteht. Ebenso häufig werden die angerufenen Personen dazu aufgefordert, im Rahmen einer angeblichen Sicherheitssperrung ihre Kenndaten für My ING anzugeben. In einem anderen Fall gibt der Betrüger an, dem IT-Service der Bank oder dem Support von Microsoft anzugehören. Dann bittet er Sie, von einer betrügerischen Website ein Update einer Software oder sogar eine neue Software, bei der es sich in Wirklichkeit um eine Malware handelt, herunterzuladen und anschließend zu installieren.

Artikel, die Sie interessieren könnten

How can we help?

Call us

Monday to Friday from 8:15 am to 5:30 pm.

Send us an email

Send your request to our Contact Center.

Visit us

A complete network of ING branches for your convenience.

Make an appointment

Book an appointment in just a few clicks.