Online-Betrug: So shoppen Sie sicher im Internet

Düsseldorf/Bonn. Ob Smartphone, Designertasche oder eine teure Uhr: Längst wird nicht mehr nur Kleinkram online gekauft. Das nutzen Betrüger aus. Sie setzen gefälschte Online-Shops auf und verschicken Phishing-Nachrichten per E-Mail oder SMS, um sensible Daten wie Passwörter und Banking-Zugänge abzugreifen.

Wer die Risiken kennt, enttarnt den Betrugsversuch.

Wie funktioniert der Betrug mit Fake-Shops?

Fake-Shops wirken oft täuschend echt. Sie übernehmen Bilder und Texte aus echten Online-Shops und sehen deshalb auf den ersten Blick ziemlich seriös aus. Ungewöhnlich günstige Preise verleiten zu Impulskäufen, Warnzeichen werden schnell mal ignoriert.

Auffällig: Als Bezahlmethode wird oft nur Vorkasse angeboten.

Nach der Überweisung folgt dann die Ernüchterung: Die Ware wird nie geliefert. Oder sie ist minderwertig. Wer nachhakt, wird zum Beispiel mit angeblichen Lieferverzögerungen vertröstet. Das hält die Käuferinnen und Käufer davon ab, schnell zu reagieren.

Abgesehen davon gibt es Betrüger, die auf etablierten Plattformen unterwegs sind, etwa bei Ebay, Kleinanzeigen und Vinted.

Woran erkenne ich Fake-Shops?

Die Verbraucherzentrale NRW nennt sieben Merkmale:

1. Auffällige Adresse: Manchmal weist eine eigentlich bekannte Domain Sonderbarkeiten auf. Sie endet zum Beispiel nicht mit „.de“, sondern hat eine Erweiterung wie „.de.com“. Auch wenn sie überhaupt nicht zum Inhalt der Seite passt, sollten Sie genauer hinsehen.

2. Unsichere Zahlungsweise: Wenn Sie am Ende der Bestellung nur noch per Vorkasse (Überweisung) zahlen können, ist das ein Warnzeichen. Es sollte umgekehrt sein: Erst die Ware, dann das Geld.

3. Auffallend günstige Preise: Das muss nicht immer, aber kann eine Lockmethode sein. Prüfen Sie in diesem Fall besonders streng.

4. Falsche Gütesiegel: Fake-Shops nutzen gern erfundene Gütesiegel oder nutzen echte Siegel wie „Trusted Shops“. Führt der Klick nicht zum Zertifikat des Betreibers, dürfte das Logo gefälscht sein.

5. Kundenbewertungen: Wenn sich die Website mit vollmundig lobenden Kundenstimmen schmückt, sollten Sie zur Sicherheit auf externen Bewertungsportalen wie „Trusted Shops“ nachschauen. Gibt es dort Kommentare, die auf möglichen Betrug aufmerksam machen?

6. Mangelhaftes Impressum: Fehlende Angaben sind ein starkes Warnsignal. Ein gültiges Impressum muss den Namen der Firma, die Adresse und eine E-Mail-Adresse enthalten. Ob die Firma tatsächlich im Handelsregister eingetragen ist, lässt sich überprüfen. Ein Restrisiko bleibt aber. Denn es kommt auch vor, dass Daten real existierender Unternehmen missbraucht werden.

7. Falsche AGB: Sie lassen sich manchmal daran erkennen, dass sie in schlechtem Deutsch verfasst sind, mit einem Übersetzungsprogramm.

Tipp: Die Verbraucherzentrale bietet einen Fakeshop-Finder an. Einfach die Webadresse kopieren, und man erhält eine Einschätzung, ob der Online-Shop seriös ist - oder vermutlich Betrug.

Was tun, wenn ich auf einen Fake-Shop hereingefallen bin?

Die Verbraucherzentrale NRW empfiehlt:

• Wenn Sie schon Geld überwiesen haben, so schnell wie möglich die Bank kontaktieren, um die Zahlung zu stoppen. Wie lange das noch möglich sei, hänge von Tageszeit, Wochentag und Bank ab. Manchmal seien es einige Stunden oder auch nur wenige Sekunden.
• Heben Sie alle Belege ihrer Bestellung auf: einen Screenshot des Angebots, Bestellbestätigung, den Kaufvertrag, E-Mails.
• Mit den gesammelten Unterlagen können Sie Anzeige bei der Polizei wegen Betrug erstatten. Auch die Verbraucherzentralen helfen.

Schnell-Check: Welche Bezahlart schützt mich am besten?

• Rechnung: laut Verbraucherzentrale die sicherste Bezahlmethode im Internet. Sie bezahlen erst, wenn die Ware angekommen ist. Nicht alle Online-Shops bieten jedoch einen Kauf auf Rechnung an.
• (SEPA-)Lastschrift: vergleichsweise sicher. Die Zahlung kann noch acht Wochen nach Einzug rückgängig gemacht werden.
• Kreditkarte: vergleichsweise sicher. Zahlungen können unter Umständen zurückgefordert werden (Chargeback-Verfahren).
• PayPal: vergleichsweise sicher. Mit dem „Käuferschutz“ lässt sich Geld zurückholen, wenn Ware nicht geliefert wird. Vorsicht: Das gilt nicht, wenn Sie als Zahloption „Freunde und Familie“ auswählen.
• Vorkasse/Überweisung - die unsicherste Variante. Das Geld ist in vielen Fällen weg und lässt sich nicht mehr zurückholen.

Das gilt erst recht, seit es Echtzeitüberweisungen gibt.

„Wird eine Überweisung ausgeführt, geht sie auch durch und kann in der Regel nicht gestoppt werden“, sagt André Nash, Leiter Banktechnologie und Sicherheit beim Bankenverband. „Ob der Kunde einen Erstattungsanspruch hat, ist eine Frage des jeweiligen Einzelfalls.“

Paket bestellt? - So funktioniert Phishing-Betrug

Phishing meint das „Abfischen“ von persönlichen Daten wie Passwörtern und Banking-Zugangsdaten. Häufig geschieht das über gefälschte Paket- und Zahlungsbenachrichtigungen. Die Abzocke funktioniert so:

1. Sie erhalten eine seriös erscheinende E-Mail oder SMS, die angeblich von Ihrer Bank, PayPal oder einem Paketdienst wie DHL oder Hermes kommt. Darin heißt es zum Beispiel:

• „Ihre Zahlung wurde abgelehnt“
• „Ihr Paket konnte nicht zugestellt werden“
• „Ihr Konto wurde eingeschränkt“

Möglicherweise haben Sie kürzlich tatsächlich etwas online bestellt und warten auf ein Paket. Um das angebliche Problem schnell zu beheben, sollen Sie dann auf einen Link klicken.

2. Sie folgen dem Link und landen auf einer gefälschten Webseite, die so aussieht wie von einer echten Bank oder einem real existierenden Online-Shop. Dort werden Sie dazu aufgefordert, sensible Daten einzugeben: Banking-Zugänge, Kreditkartendaten, Passwörter.

3. Die Betrüger nutzen die Daten sofort, um auf Ihre Kosten einzukaufen oder gleich Ihr Konto zu plündern. Oder die Daten werden für einen weiteren Betrug in Ihrem Namen genutzt.

Gut zu wissen: Fehlt den Tätern zum Beispiel eine TAN-Nummer zur Freigabe einer Überweisung, kann es passieren, dass Sie unter einem Vorwand anrufen und versuchen, die Information zu bekommen.

Fazit: Wenn Sie auf Phishing hereinfallen, kann der finanzielle Schaden im Ernstfall groß sein.

Wie erkenne ich Phishing-Nachrichten?

Phishing-E-Mails sind nicht mehr so einfach zu erkennen wie früher, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Zeiten, in denen sich Betrüger sofort durch schlechtes Deutsch und eine unpersönliche Anrede entlarven, sind vorbei.

Das BSI nennt Warnzeichen, bei denen Sie misstrauisch werden sollten:

• Die E-Mail scheint von einer bekannten Person oder Organisation zu stammen, aber das Anliegen erscheint ungewöhnlich.
• Die E-Mail-Adresse des Absenders wirkt auffällig. Sie enthält zum Beispiel kryptische Buchstabenkombinationen oder Buchstabendreher in bekannten Wörtern, die man leicht übersieht.

Tipp: Kontaktieren Sie den vermeintlichen Absender auf einem anderen Weg, etwa per Telefon-Hotline, um sich abzusichern.

• Die Nachricht suggeriert dringenden Handlungsbedarf. Beispiele: „Problem mit Ihrer Zahlung!“ oder „Wenn Sie Ihre Daten nicht umgehend aktualisieren, gehen sie unwiederbringlich verloren.“
• Manchmal wird sogar gedroht. So heißt es beispielsweise: „Wenn Sie nicht reagieren, müssen wir Ihr Konto leider sperren.“

Wichtig: Lassen Sie sich nicht unter Druck setzen.

• Sie sollen vertrauliche Daten wie die PIN für Ihr Online-Banking oder eine Kreditkartennummer eingeben. Banken oder andere seriöse Organisationen würden jedoch nie per E-Mail danach fragen.

Wichtig: Geben Sie niemals vertrauliche Daten preis.

• Die E-Mail enthält Links oder angebliche Formulare. Wenn Sie mit der Maus über den Link fahren, wird Ihnen eine ganz andere oder unbekannte und verdächtige Webseite angezeigt.
• Die E-Mail enthält Dateianhänge. Vorsicht, nicht anklicken - dahinter verbirgt sich oft Schadsoftware, die Daten stiehlt.
• Vorsicht auch bei QR-Codes, die als Links fungieren und Daten abgreifen sollen (das nennt sich Quishing).

Wie schütze ich mich vor Phishing?

Am wichtigsten sind diese zwei Dinge:

• starke Passwörter
• Zwei-Faktor-Authentifizierung

Eine Alternative zu Passwörtern sind Passkeys, die häufig über Geräte-PIN, Fingerabdruck oder Gesichtserkennung funktionieren.

„Wer diese grundlegenden Schutzmaßnahmen umsetzt, kann das Risiko eines solchen Angriffs deutlich reduzieren“, sagt Larissa Hänzgen, BSI-Expertin für digitalen Verbraucherschutz.

„Die Zwei-Faktor-Authentifizierung ist sehr sicher“, sagt André Nash. Der Betrug setze heute außerhalb der Einflusssphäre der Banken an.

Was tun, wenn ich auf Phishing hereingefallen bin?

Für diesen Fall hat das BSI eine Checkliste parat.

Fall 1: Sie haben Zugangsdaten fürs Online-Banking weitergegeben

• Sperren Sie den Zugang zu Ihrem Bankkonto über den Sperr-Notruf 116 116 (kostenlos) oder aus dem Ausland über +49 116 116 (Gebühren).
• Kontrollieren Sie die Umsätze auf Ihrem Konto und setzen Sie sich mit Ihrer Bank zu weiteren Schritten in Verbindung.
• Nutzen Sie nach der Entsperrung nur neue Passwörter und PIN.

Fall 2: Sie haben die Zugangsdaten für Ihr E-Mail-Postfach oder einen Online-Shop weitergegeben

Das E-Mail-Konto ist für viele der Schlüssel zu zahlreichen weiteren Online-Diensten. „Wird dieser Schlüssel gestohlen, können Angreifende im schlimmsten Fall die komplette digitale Identität übernehmen“, warnt BSI-Expertin Hänzgen. Handeln Sie schnell:

• Vergeben Sie so schnell wie möglich ein neues Passwort und aktivieren Sie die Zwei-Faktor-Authentisierung.
• Beenden Sie alle aktiven Sitzungen, loggen Sie alle Geräte aus.
• Prüfen Sie, ob schon Einkäufe getätigt wurden. Falls ja, setzen Sie sich mit dem E-Mail-Anbieter oder Shop in Verbindung.
• Prüfen Sie, ob in Ihrem Konto sensible Zahlungsdaten einsehbar waren. Falls ja, informieren Sie Ihre Bank.
• Prüfen Sie, ob weitere Konten kompromittiert sind - etwa, weil die E-Mail-Adresse zum Zurücksetzen anderer Passwörter genutzt wird.

Wichtig: Überweisen Sie niemals Geld, wenn Sie Zahlungsaufforderungen bekommen, mahnt das BSI. Erstatten Sie Anzeige bei der Polizei.

Was tun, wenn ich nicht mehr ins E-Mail-Konto komme?

In diesem Fall rät das BSI, unverzüglich die Kontowiederherstellung beim jeweiligen Anbieter anzustoßen.

Je nach Anbieter und vorheriger Einrichtung helfen Backup-Codes, Wiederherstellungsschlüssel, hinterlegte Wiederherstellungsoptionen oder die offizielle Kontowiederherstellung.

Wichtig: Codes zur Kontowiederherstellung müssen Sie bereits hinterlegt haben, bevor der Ernstfall eintritt. Sie sollten die Daten getrennt vom E-Mail-Konto an einem sicheren Ort aufbewahren.

Darüber hinaus empfiehlt es sich, sämtliche sicherheitsrelevante Einstellungen wie hinterlegte Wiederherstellungsoptionen und Weiterleitungen zu überprüfen, so das BSI. Entfernen Sie unbekannte Einträge und behalten Sie alle Aktivitäten im Auge.

Außerdem sollten Sie prüfen, ob über ihr Konto unbefugt Nachrichten versendet wurden, und Ihr persönliches Umfeld entsprechend warnen.