"Geben Sie bitte 20 iTAN ein"

Dort stimmt alles: Es gibt eine FAQ, ein Impressum und so weiter. All diese Links verweisen auf echte Sparkassen-Adressen. Wichtig ist hingegen die Eingabemaske: Dort wird der Anwender um die Eingabe seiner Postleitzahl, Kontonummer und PIN gebeten. Spätestens hier sollten experimentierfreudige Zeitgenossen auf falsche Werte ausweichen - übrigens immer eine gute Methode, um eine Phishing-Website auszutricksen. Lässt die Website trotz falscher Werte einen Login zu, ist der Phishing-Versuch entlarvt.

Natürlich funktioniert der Login. "Geben Sie bitte 20 iTAN ein", verlangt die Website. Zwanzig Fantasiewerte und einen Klick auf "Anmelden" später erscheint ein weiteres Fenster: "In einem der Felder haben Sie einen Fehler begangen, wir bitten Sie 20 iTAN wiederholen", behauptet die Website. Nur, dass es sich bei den TANs nicht um die gleichen handelt wie die, die zuvor eingegeben werden sollten. Fällt also jemand auf die Masche herein, erhalten die Phisher vierzig von hundert möglichen iTANs inklusive ihrer Nummer auf der Liste. Das iTAN-Verfahren wäre ausgehebelt.

Wohl gemerkt: Es WÄRE ausgehebelt, wenn, ja wenn dieser Phishing-Versuch nicht derart plump wäre, als dass jemand ernsthaft darauf hereinfallen könnte. Doch es gibt sie immer, die naiven, älteren und ängstlichen Anwender, die sich von diesen Maschen beeindrucken lassen und noch nie von all den Warnungen durch die Banken gehört haben. Deshalb an dieser Stelle noch einmal der Hinweis, dass Banken, egal ob Sparkasse, Dresdner Bank, Postbank oder Citibank, niemals E-Mails an ihre Kunden verschicken.

Vorsicht vor den Phishing-Abzockern

Phishing-Mails sind in der Regel allein daran gut zu erkennen. Doch auch Anwendern, die noch nie etwas von Phishing gehört haben, sollten Phishing-Nachrichten spanisch vorkommen, weil sie in der Regel in schlechtestem oder zumindest sehr holprigem Deutsch formuliert sind. Kostprobe gefällig? "Zur Zeit ist uns das Verfahren, die die Betrüger für die Entwendung der TAN-Listen benutzen, nicht bekannt", heißt es in der Sparkassen-Mail.

Spätestens jedoch, wenn sich in den Mails Floskeln wie "Hochatungsvoll, Ihre Postank" befinden, sollte auch der leichtgläubigste Nutzer skeptisch werden. Wer sich nicht sicher ist oder Angst hat, dass zwischen all den Phishing-Mails doch einmal eine wichtige Nachricht dabei ist, sollte sich bei Erhalt einer Phishing-Mail grundsätzlich mit seiner Bank in Verbindung setzen. Und zwar nicht per E-Mail, am besten über die Adresse im Phishing-Versuch, sondern telefonisch mit der Nummer, die im Telefonbuch oder auf der Visitenkarte des Beraters steht, um professionelle Phishing-Versuche im Keim zu ersticken.