Vorsicht! Die häufigsten Phishing-Fallen

Ob per E-Mail, SMS, Social Media oder sogar am Telefon – Betrugsversuche im Internet nehmen zu und werden immer professioneller. Phishing und andere Betrugsmaschen zielen darauf ab, sensible Daten oder Geld zu stehlen, oft geschickt getarnt als scheinbar seriöse Nachrichten oder Angebote.

In diesem Beitrag zeigen wir dir die häufigsten Phishing-Fallen, wie du sie frühzeitig erkennst und welche einfachen Maßnahmen dich schützen. Von falschen Investmentangeboten über gefälschte Login-Seiten des Online-Bankings bis hin zu gekaperten Konten: Wir erklären, worauf du achten solltest – und wie du ruhig bleibst, wenn dir doch einmal etwas verdächtig vorkommt.

1. Account Takeover - wenn das Konto gehackt wird

Bei einem Account Takeover verschaffen sich Kriminelle Zugang zu Online-Konten, wie etwa deinem E-Mail-Konto, sozialen Netzwerken oder Shopping-Seiten.

Wie kommt es zu einem Account-Takeover?

• Gestohlene Zugangsdaten (etwa aus Datenlecks oder Phishing-Mails)

• Mehrfach verwendete Passwörter: Wer dasselbe Passwort für unterschiedliche Dienste nutzt, macht es Angreifer*innen leicht - nach dem erfolgreichen Hack bei einem Dienst können sie auch Zugriff auf andere Konten bekommen, indem sie es automatisiert für alle anderen Konten testen.

• Schadsoftware kann Anmeldedaten ausspionieren.

• Gezielte Betrugsmaschen: Durch Ausgabe als falscher Kundenservice o. ä. werden Zugangsdaten oder Bestätigungscodes abgegriffen.

Ein besonders gefährlicher Fall: Wird dein E-Mail-Konto übernommen, haben die Kriminellen oft den Schlüssel zu fast allem. Denn viele Dienste nutzen die Funktion „Passwort vergessen“ per E-Mail – und wer Zugriff auf dein Postfach hat, kann so auch andere Konten übernehmen, indem er*sie dort neue Passwörter setzt.

Wie erkenne ich, dass mein Konto übernommen wurde?

• Benachrichtigungen über ungewöhnliche Anmeldeversuche

• Geänderte Daten: z. B. Login-Daten oder hinterlegte Geräte und E-Mail-Adressen

• Unerklärliche Abbuchungen und Bestellungen

• Komische Aktivitäten: Von deinem Konto aus werden merkwürdige Nachrichten verschickt oder Postings veröffentlicht.

Wie schütze ich mich gegen einen Account-Takeover?

Verwende immer ein starkes Passwort, das du nirgendwo anders einsetzt und aktiviere - wenn möglich - die Zwei-Faktor-Authentifizierung.

Hier erfährst du noch detailliertere Informationen zum Account-Takeover von der Watchlist Internet.

2. Investment-Scam - Prominente als Lockmittel

Bei Investment‑Scams täuschen Kriminelle mit gefälschten Videos (Deepfakes) oder manipulierten Zeitungsartikeln – angeblich von Prominenten oder Expert*innen – große Erfolgsgeschichten und unrealistische Renditeversprechen vor, um Vertrauen zu gewinnen. Diese manipulierten, aber oft täuschend echt aussehenden Videos werden dann z. B. in Social Media Werbung verwendet, um vermeintlich seriöse Investmentplattformen zu bewerben.

Wie funktioniert das Promi-Phishing?

Die Masche funktioniert so: Man sieht eine bekannte Person, hört Aussagen wie „Da habe ich investiert und in kurzer Zeit stark verdient“ – und schon fühlt man sich sicher genug, selbst Geld anzulegen. Doch hinter den glänzenden Bildern steckt oft ein ganz anderer Plan: Gewinne werden nur vorgegaukelt, Auszahlungen verweigert, Gebühren erfunden und beim Versuch, das investierte Geld wiederzubekommen, verschwinden die Betreiber*innen.

Wie erkenne ich Deepfakes?

Durch den schnellen technischen Fortschritt bei Künstlicher Intelligenz werden auch Deepfake-Videos immer überzeugender – ganz perfekt sind sie aber noch nicht. Mit etwas Aufmerksamkeit lassen sich viele Fälschungen entlarven: Achte auf unnatürliche Lippenbewegungen, abgehackte oder monotone Sprache und fehlende Emotionen. Spricht der vermeintliche Promi normalerweise im Dialekt, im Video aber nicht? Dann ist Skepsis angebracht.

Wie erkenne ich Investment-Scams?

Denke immer daran: Kein Promi wirbt in echten Nachrichtensendungen oder Interviews für Investment-Plattformen – das wäre ein klarer Verstoß gegen journalistische Standards und hätte rechtliche Folgen. Werbung muss immer eindeutig als solche gekennzeichnet sein.

Achte außerdem auf Plausibilität: Verspricht eine Plattform unrealistisch hohe Gewinne in kurzer Zeit oder behauptet, bekannte Persönlichkeiten würden persönlich dahinterstehen? Dann ist das garantiert ein Fake.

Auch ein Blick auf die Webadresse hilft: Seriöse Medien würden niemals auf dubiosen Domains veröffentlichen. Und wichtig: Vertrauenswürdige Investmentplattformen fragen bei der Anmeldung nie nach deiner Telefonnummer.

Möchtest du mehr wissen? Die Watchlist Internet listet einige konkrete Fälle auf, etwa mit Bundespräsident Van der Bellen oder Ex-Kanzler Kurz.

3. Nachrichten von Paketdiensten

Einer der Phishing-Klassiker, die wir bestimmt alle schon mal erlebt haben:

Kriminelle spielen gezielt mit unserer Erwartung, dass jederzeit ein Paket ankommen könnte: Du erhältst eine SMS oder E-Mail - angeblich von DHL, Post, GLS oder einem ähnlichen Dienst - mit der Behauptung, es gebe ein Problem mit der Adresse, Daten fehlen oder es müsse eine kleine Gebühr bezahlt werden, damit das Paket zugestellt werden kann.

Der Link in der Nachricht führt typischerweise auf gefälschte Seiten, die täuschend echt aussehen, aber darauf ausgelegt sind, deine Daten oder Zahlungsinformationen zu sammeln.

Selbst wenn du ein Paket erwartest – Vorsicht: Versandfirmen fordern nicht per E-Mail oder SMS dazu auf, Kontodaten oder Kreditkartendaten zu übermitteln, um eine Zustellung abzuschließen.

Mehr erfährst du hier.

4. Love-Scam – Wenn Gefühle zur Falle werden

Betrüger*innen geben sich in Dating-Apps oder über soziale Medien als romantische Partner*innen aus, um Vertrauen aufzubauen und emotionale Nähe zu erzeugen. Schon bevor ein „echtes“ Treffen stattfindet, tauchen oft vermeintliche Notfälle auf, bei denen sie um Geld bitten – etwa für Flugtickets, medizinische Hilfe oder gesperrte Konten.

Eine weitere Variante kombiniert Liebesbetrug mit Investmentphishing: Zunächst gibt es Zuwendung und Anteilnahme, danach wird das Opfer gedrängt, kleinste Beträge in „sichere“ Anlagen zu investieren – mit scheinbaren Gewinnen als Köder. Werden größere Summen eingezahlt, bricht der Kontakt plötzlich ab und das Geld ist verloren.

So erkennst du einen Love-Scam

1. Zu schön, um wahr zu sein:
   Die Person wirkt übermäßig attraktiv, charmant und interessiert – schnell wird großes Vertrauen und emotionale Bindung aufgebaut. Wenn sich jemand schon nach kurzer Zeit als „Seelenverwandte*r“ bezeichnet, ist Vorsicht geboten.

2. Das Profil passt nicht ganz zusammen:
   Achte auf Widersprüche: Die Person behauptet, aus Österreich zu sein, schreibt aber mit vielen Grammatikfehlern – oder arbeitet angeblich auf einem Schiff, im Auslandseinsatz oder auf einer Bohrinsel, was ein Treffen „leider“ unmöglich macht.

3. Kein persönliches Treffen:
   Trotz intensiver Kommunikation kommt es nie zu einem realen Treffen. Ausreden wie „Visa-Probleme“, „defektes Handy“ oder „Einsatz im Ausland“ sind Klassiker.

4. Emotionale Manipulation:
   Love-Scammer bauen gezielt Druck auf – mit Geschichten über Krankheit, Schicksalsschläge oder dringende Notlagen. Ziel ist immer, Mitleid zu erzeugen und um Geld zu bitten.

5. Geldforderungen oder Geschenke:
   Früher oder später kommt die Bitte um finanzielle Unterstützung – für Flugtickets, Krankenhauskosten, Zollgebühren oder „dringende Investitionen“. Das ist der Moment, in dem du den Kontakt abbrechen solltest.

6. Fortlaufende Forderungen:
   Wurde einmal gezahlt, kommt kurz darauf die nächste Bitte nach mehr Geld. Dabei wird mit Druck und Schuldgefühlen gearbeitet.

7. Insider-Finanztipps:
   Der*die Liebesbetrüger*in gibt Investitions-Empfehlungen, die angeblich aus geheimen Quellen stammen und verweist auf eine "neue und exklusive" Investmentplattform.

Hier erfährst du mehr über den Umgang mit Liebesbetrug.

5. Treuepunkte bei Mobilfunkanbietern

Kriminelle versenden Phishing-SMS (auch Smishing genannt), in denen sie vor dem drohendem Verfall deiner gesammelten Treue- oder Bonuspunkte bei deinem Mobilfunkanbieter warnen – und fordern dich auf, einen Link anzuklicken, um die Punkte einzulösen. Dahinter steckt aber eine fiese Absicht: Über nachgebaute Seiten wird im letzten Schritt eine geringe „Versandgebühr“ erhoben – mit deiner Kreditkarte. Die Masche wird meist mit Zeitdruck kombiniert („Ihr Punkte-Kontostand läuft morgen ab!“), um dich zu überstürztem Handeln zu verleiten.

Smishing erkennen – worauf du achten solltest

1. Zeitdruck:
Phishing- und Smishing-Nachrichten erzeugen oft Stress, z. B. mit einer angeblichen Deadline. Jede Nachricht, die dich zu überstürztem Handeln drängt, ist verdächtig.

2. Links prüfen:
Fake-Links führen entweder ins Leere oder wieder auf die gleiche Seite zurück. Klicke nie unüberlegt auf solche Links, sondern öffne die offizielle Seite manuell.

3. Wording:
Achte auf die Begriffe: A1 verwendet beispielsweise „Mobilpoints“ statt simplen „Punkten“. Abweichungen im offiziellen Wording sind ein Warnsignal.

4. Webadresse kontrollieren:
Fake-Seiten sehen oft ähnlich aus wie die echten Shops, unterscheiden sich aber in der URL. Ist die Adresse nicht korrekt (z. B. nicht a1.net), sofort Abstand nehmen – das ist eine betrügerische Seite.

Hier erfährst du mehr zum Thema Treuepunkte-Phishing.

6. Identitätsdiebstahl - Pass auf deine Daten auf

Persönliche Daten wie Name, Adresse, Telefonnummer, E-Mail-Adresse, Ausweis- oder Kontoinformationen sind für Kriminelle besonders wertvoll. Sie können damit vielseitige Betrugsmaschen gestalten – etwa gefälschte Profile erstellen oder Fake-Shops betreiben. Je mehr Informationen Kriminelle über eine Person haben, desto glaubwürdiger können sie ihre Maschen aufbauen. Häufig werden gestohlene Daten genutzt, um auf Job- oder Kleinanzeigenplattformen falsche Konten einzurichten, über die vermeintliche Stellenangebote oder Waren angeboten werden. Auch für das Impressum von Fake-Shops oder anderen betrügerischen Webseiten kommen persönliche Daten zum Einsatz.

Manchmal gelangen Kund*innendaten unbeabsichtigt durch Datenlecks in die Öffentlichkeit, in anderen Fällen waren vorangegangene Phishing-Versuche erfolgreich – zunächst oft ohne unmittelbare finanzielle Folgen. So können deine Daten unbemerkt in die Hände von Betrüger*innen gelangen.

Mögliche Anzeichen für Identitätsmissbrauch

• Ungewöhnliche Anrufe von verärgerten Personen: Könnte ein Hinweis darauf sein, dass deine Daten bei einem Fake-Angebot hinterlegt wurden.

• Erhalt von nicht bestellten Paketen: Kriminelle könnten deine Daten für Bestellbetrug genutzt haben, ohne dass sie das Paket abfangen konnten.

• Unerklärliche Mahnungen oder Rechnungen: Käufe in deinem Namen, bei denen deine Kontaktdaten verwendet wurden.

• Polizeikontakt: Wenn die Polizei dich wegen angeblicher Betrugsversuche kontaktiert, wurden möglicherweise in deinem Namen Straftaten begangen.

So schützt du dich vor Identitätsdiebstahl

• Gib sensible Daten nur weiter, wenn es unbedingt notwendig ist.

• Versende Ausweiskopien nur in Ausnahmefällen und mit Wasserzeichen.

• Nutze starke Passwörter für alle Konten und aktiviere, wo möglich, die Zwei-Faktor-Authentifizierung.

• Sei besonders vorsichtig bei Angeboten, die zu gut klingen, um wahr zu sein.

• Bleib über aktuelle Betrugsmaschen informiert.

Mehr Informationen zum Identitätsdiebstahl findest du hier.

Fazit: Wachsam bleiben lohnt sich

Phishing und Online-Betrug sind heute raffinierter denn je – doch mit ein wenig Aufmerksamkeit und gesundem Misstrauen kannst du dich wirksam schützen. Prüfe Absender, achte auf ungewöhnliche Aufforderungen und gib deine persönlichen Daten niemals leichtfertig weiter. Wenn dir etwas komisch vorkommt, sprich darüber – mit Freund*innen, Familie oder direkt mit deiner Bank. Gemeinsam lässt sich vieles verhindern, bevor Schaden entsteht.

Denn wer informiert ist, fällt nicht auf die Maschen der Betrüger*innen herein – und behält die Kontrolle über Geld, Daten und Sicherheit.