Phishing, Smishing, Whaling: Die 7 wichtigsten Dinge, die Sie wissen müssen

Beim Phishing kontaktieren Internetbetrüger ihre Opfer per Mail oder Nachricht und geben sich als wichtige Kontaktperson oder vertrautes Unternehmen aus (etwa Bank, Vorgesetzter oder Online-Shop). Ihr Ziel ist es, durch geschicktes Social Engineering eine dringende Situation vorzutäuschen und so das Opfer dazu zu bringen, vertrauliche Daten preiszugeben – etwa Passwörter, Kreditkarten- oder Kontoinformationen. Diese erbeuteten Daten nutzen die Kriminellen, um auf Konten zuzugreifen oder Identitätsdiebstahl zu begehen.

Smishing (“SMS-Phishing”) ist eine Variante des Phishings via SMS oder Messenger-Nachricht. Die Betrüger versenden irreführende SMS, die aussehen, als kämen sie von einer vertrauenswürdigen Person oder Institution, um Empfänger zum Klick auf einen Link oder zum Antworten zu verleiten. Über diese Methode versuchen sie, an sensible Informationen (z.B. Online-Banking-Zugangsdaten) zu gelangen oder Malware auf dem Smartphone zu installieren. Viele Menschen agieren auf ihren Handys sorgloser als am PC – genau das machen sich Smishing-Angreifer zunutze.

Whaling wiederum bezeichnet eine besonders zielgerichtete Form des Phishings, bei der „größe Fische“ ins Visier geraten – also hochrangige Führungskräfte oder prominente Persönlichkeiten. Diese auch als CEO-Fraud bekannten Angriffe sind im Prinzip Spear-Phishing (gezieltes Phishing) auf Top-Ebene: Die Täter geben sich beispielsweise als Geschäftsführer oder Vorstand aus und versuchen, ihre Opfer (etwa Finanzleiter) zur Überweisung großer Geldbeträge oder zur Herausgabe vertraulicher Informationen zu bewegen. Whaling betrifft vor allem Unternehmen, doch auch Privatpersonen sollten den Begriff kennen, um solche perfiden Betrugsversuche einordnen zu können.

Phishing ist längst kein neues Phänomen – doch es bleibt aktuell: Laut dem Digitalen Verbraucherschutzbericht des BSI sind Phishing-Angriffe (neben Datenlecks) weiterhin die größte Gefahr für Verbraucher. Internationale Schätzungen gehen sogar davon aus, dass bis zu 90 % aller erfolgreichen Cyberangriffe mit einer Phishing-Attacke beginnen. Die Bedrohungslage im Cyber-Raum ist laut BSI so hoch wie nie zuvor, was sich auch in Zahlen zeigt. So wurden allein im letzten Jahr vom BSI 354 größere Datenlecks ausgewertet – in 86,7 % der Fälle waren Namen und Benutzernamen betroffen, in rund 40 % auch E-Mail-Adressen und Anschriften. Solche im Umlauf befindlichen persönlichen Daten erleichtern es Kriminellen, personalisiertes Phishing zu betreiben.

Konzentrierten sich Phishing-Mails früher stark auf Bankkunden, nutzen Kriminelle inzwischen vermehrt die Namen bekannter Marken aus allen Lebensbereichen. Besonders häufig werden derzeit Logistik-Unternehmen, Online-Händler, Streaming-Dienste – und sogar Behörden – imitiert, um bei den Opfern Vertrauen zu erwecken. Kurz gesagt: Jede*r kann zum Ziel werden, nicht nur Bankkunden.

Ein Blick auf aktuelle Fälle zeigt, wie vielseitig Phishing und Co. inzwischen sind. SMS im Namen von Paketdiensten haben sich zu einem Dauerbrenner entwickelt. Verbraucherschützer warnen vor Nachrichten, in denen angebliche Zustelldienste einen Link schicken – klickt man ihn an, drohen Schad-Apps, Abo-Fallen oder Datendiebstahl. Diese Paket-SMS-Betrugsform (Smishing) taucht immer wieder auf: Mal sollen Empfänger angeblich Zollgebühren bezahlen, mal fehlen vermeintlich Informationen für die Zustellung.

Ein anderer Trick zielt direkt auf das Herz: der „Hallo Mama, hallo Papa“–Betrug via WhatsApp oder SMS. Hier geben sich Kriminelle als Sohn oder Tochter des Empfängers aus („Neue Nummer, Handy kaputt“) und bitten zunächst harmlos, die neue Nummer zu speichern. Kurz darauf folgt die erfundene Notlage – etwa eine dringende Rechnungszahlung – und die Bitte um eine schnelle Überweisung an das „Kind“.

Doch auch altbewährte E-Mail-Phishingmaschen laufen weiter – in teils erschreckend professioneller Aufmachung. So kursierte eine groß angelegte Phishing-Welle gegen Telekom-Kunden: Den Opfern wurden täuschend echte E-Mails im Telekom-Design zu angeblichen „Magenta-Treuepunkten“ geschickt. Absenderadresse und Layout wirkten auf den ersten Blick legitim. Ziel des Betrugs war es, an Kreditkarteninformationen der Kunden zu gelangen. Der Fall zeigt exemplarisch: Phishing-Mails sind heute oft so gut gemacht, dass man sie kaum noch von echten Nachrichten unterscheiden kann.

Dass Phishing-Mails immer seltener als Fälschungen zu erkennen sind, liegt auch an neuen technischen Hilfsmitteln der Angreifer. KI-Modelle wie ChatGPT helfen Cyberkriminellen dabei, Inhalte in perfektem Deutsch zu verfassen und überzeugend zu personalisieren. Das BMI warnt, dass KI bereits eine „nie dagewesene Qualität“ bei Phishing-Versuchen ermöglicht. Herkömmliche Erkennungsmerkmale – etwa auffällige Grammatikfehler oder holprige Sprache – reichen nicht mehr aus, um eine Phishing-Mail als solche zu entlarven. Betrüger können mit KI-Unterstützung täuschend echte Mails, gefälschte Webseiten und sogar Stimme oder Chat-Nachrichten erzeugen.

Trotz aller neuen Tricks gibt es nach wie vor Warnsignale, an denen man Phishing, Smishing & Co. erkennen kann. Typisch ist oft ein Szenario, das dringendes Handeln einfordert – beispielsweise die Behauptung, Ihr Konto werde gesperrt oder es drohe ein finanzieller Verlust, falls Sie nicht sofort reagieren. Kombiniert wird dies mit der Aufforderung, auf einen Link zu klicken, einen Anhang zu öffnen oder sensible Daten preiszugeben. Grundregel: Keine seriöse Bank oder Behörde wird jemals per E-Mail oder SMS verlangen, Passwörter, PINs oder TANs herauszugeben! Auch sollten Empfänger stutzig werden, wenn eine Nachricht unpersönlich bleibt (z.B. ohne korrekte Anrede mit Namen) oder wenn die Absenderadresse merkwürdig aussieht. Im Zweifel gilt: Nicht klicken, nicht antworten – stattdessen die Echtheit über offizielle Kanäle prüfen.

Technisch kann man es Phishing-Betrügern deutlich schwerer machen, erfolgreich zu sein. Ein zentrales Mittel ist die Zwei-Faktor-Authentifizierung (2FA). Wo immer möglich, sollten Nutzer ihre Online-Konten mit einem zweiten Sicherheitsfaktor schützen – sei es durch eine Authenticator-App, SMS-TAN oder einen Hardware-Key. So bleibt ein gestohlenes Passwort allein meist wertlos. Das BSI empfiehlt darüber hinaus den Einsatz von Passkeys als moderner Passwortersatz. Passkeys ermöglichen eine bequeme und zugleich sichere Anmeldung ohne klassische Passwörter. Große Dienste wie Google, Apple und Microsoft führen diese Technologie bereits ein.

Trotz aller Vorsicht kann es passieren, dass man doch auf einen Phishing-Trick hereinfällt – etwa auf einen falschen Link klickt oder seine Daten auf einer Betrugsseite eingibt. Wichtig ist dann, sofort zu reagieren: Ändern Sie umgehend die Passwörter der betroffenen Konten und sperren Sie im Zweifel Ihr Bankkonto oder Ihre Kreditkarte über die Bank. Informieren Sie das zuständige Unternehmen (z.B. die Bank oder den Online-Dienst), damit diese weitere Schutzmaßnahmen ergreifen können. Wurde bereits Geld erbeutet, erstatten Sie so schnell wie möglich Anzeige bei der Polizei. Die Chancen, die Täter zu fassen, mögen gering sein, aber die Dokumentation des Vorfalls ist wichtig. Löschen Sie verdächtige Mails oder SMS nicht sofort, sondern bewahren Sie sie als Beweismittel auf.

Phishing bleibt eine allgegenwärtige Gefahr im digitalen Alltag. Ob per E-Mail, SMS oder WhatsApp – Cyberkriminelle werden nicht müde, neue Fallen zu stellen. Doch mit dem richtigen Wissen um die Maschen der Betrüger und konsequenter Vorsicht können sich gerade Privatpersonen wirksam schützen. Die Devise lautet Aufklärung, gesunder Zweifel und technische Absicherung – so haben Phishing, Smishing und Whaling kaum eine Chance.