Zur Homepage

Phishing, Betrug und Datenabfragen

So schützt du dich vor Cyberattacken

Trotz der besten Sicherheitsvorkehrungen, gibt es leider keinen hundertprozentigen Schutz vor Cyberkriminalität. Daher möchten wir einige grundsätzliche Sicherheits-Tipps geben.

Wie funktioniert Phishing?

file

Phishing funktioniert so: In einer E-Mail wird um eine Anmeldung bei ImmoScout24 gebeten. Du wirst dann auf eine Fake-Seite gelenkt, die kaum als solche zu erkennen ist. Dort musst du aufgrund einer angeblichen Software-Umstellung oder anderen vorgeschobenen Gründen, deine Daten eingeben.

Phishing ist oft das Einfallstor, das eine ganze Kettenreaktion von Angriffen auf andere Accounts nach sich zieht. Schon alleine deshalb solltest du ein Passwort nie zweimal verwenden.

Unser Security-Team arbeitet jeden Tag daran, betrügerische Seiten zu finden und so schnell wie möglich zu schließen. Dafür setzen wir Tools ein, die proaktiv nach solchen Seiten suchen. Sobald wir eine betrügerische Seite entdecken, werden von uns die erforderlichen Maßnahmen ergriffen. Hierzu gehört, dass wir betrügerische Seiten bei Anti-Phishing-Instanzen melden. Trotzdem möchten wir folgend einige Tipps an dich weitergeben.

Das Wichtigste in Kürze

  • Überprüfe die Web-Adresse einer genau; bei vertrauenswürdigen Seiten ist diese mit SSL verschlüsselt.
  • Halte deine Software, deinen Browser, sowie dein Anti-Virenschutz Programm immer aktuell.
  • Verwende sichere Passwörter, die aus mindestens 20 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen.
  • Achte auf Details bei Anzeige- und Absendedaten von E-Mails. Auch wenn der Anzeigename bei einer E-Mail vermeintlich richtig erscheint, solltest du die E-Mail Adresse genau überprüfen, da Betrüger:innen keine von Firmen verifizierte E-Mail Adressen verwenden können. 

So erkennst du Phishing-Seiten

Eigentlich ist es ganz einfach: ImmoScout24 fragt in E-Mails nicht nach Passwörtern, Zahlungsdaten oder einem Foto von Ausweispapieren. Im Zweifel sollte man genau hinschauen. Inzwischen sehen die Phishing-Seiten und E-Mails sehr authentisch aus.

Bei der Anmeldung muss die Web-Adresse so aussehen:

file

Stelle sicher, dass eine Adresse zu 100% korrekt und mit SSL verschlüsselt ist, bevor du sensible Daten eingibst.

  • Richtig: https://www.immobilienscout24.at  
  • Falsch: http://www.immobiliensocut24.at 
  • Falsch: http://www.immobilienscout24.immoxyz.com

Alle unsere Adressen sind nach folgendem Muster aufgebaut:
https://www.beispielseite.immobilienscout24.at/beispiel oder
https://www.immobilienscout24.at/beispielseite

Tipp: Betrüger:innen können solche Adressen nicht anbieten, deswegen versuchen sie diese so ähnlich wie möglich zu gestalten.

So erkennst du Phishing E-Mails

  • Du solltest immer den Kontext einer E-Mail oder Nachricht berücksichtigen. Beispielsweise verzichten die meisten Online-Konten auf sichtbare Mitgliedsnummern. Daher solltest du vorsichtig sein, wenn du E-Mails mit einer „Mitgliedsnummer“ für Dienste erhältst, die diese im Allgemeinen gar nicht verwenden oder wo die Daten gar falsch sind. Erwähnungen von Betriebssystemen und Software, die gar nicht von dir verwendet werden, können ebenso Indikatoren für einen Phishing-Versuch sein.
  • Da auch Betrüger:innen laufend dazulernen, werden auch die Phishing-Versuche immer professioneller. Dennoch solltest du nach Grammatik- und Rechtschreibfehlern Ausschau halten: Legitime Unternehmen beschäftigen häufig Redakteure, die sicherstellen, dass die von ihnen versendeten Materialien fehlerfrei sind.

Das solltest du im Zweifel tun

Wenn du den Verdacht hast, dass du auf einer betrügerischen Seite gelandet bist, schließe diese sofort wieder. Wenn du dir bei einer E-Mail nicht sicher bist, ob es sich dabei um eine echte Nachricht eines dir bekannten Anbieters handelt, dann klicke nicht auf Links in der E-Mail, sondern versuche den Vorgang direkt über die dir bekannte Seite durchzuführen. Öffne die Seite einfach über deinen Browser. Meist findet sich dann in den Konto-Einstellungen der Vorgang wieder.

Was kann ich tun, wenn ich auf Phishing reingefallen bin?

Solltest du nur den Link in einer E-Mail geklickt und auf der Phishing-Seite keine Daten angegeben haben, dann verschiebe die E-Mail in den Spam-Ordner und lösche sicherheitshalber deine Browserdaten. 

Hast du bereits deine Zugangsdaten eingegeben?

Ändere deine Zugangsdaten umgehend über unsere Seite, wenn das noch möglich ist. Bitte wende dich außerdem auf jeden Fall an uns unter support@immobilienscout24.at wenn du befürchtest, Opfer eines Phishing-Versuchs geworden zu sein.

Tipps um Phishing vorzubeugen:

Tipp 1: Software aktuell halten

Eine gute Absicherung gegen Phishing ist die regelmäßige Aktualisierung der Software. Du solltest stets ein aktualisiertes Betriebssystem inklusive aktueller Security-Software, sowie aktualisierte Browser und auch den integrierten Schutz des E-Mail-Programms zum Filtern von Nachrichten verwenden.

Wie machst du das?:

  • Das Betriebssystem (z.B Windows oder Mac OS) regelmäßig updaten.
  • Browser, Firewalls, Viren & Malware-Schutz auf Neuestem Stand halten.
  • Konfigurieren des E-Mail-Programms, um den automatischen Download von Bildern und Dateien zu blockieren.


Viele Security-Softwares bieten aber bereits nicht nur Schutz vor „Einbruch, Viren & Malware“, sondern auch Schutz gegen Phishing und weitere Gefahren. Google Chrome hat auch bereits einen integrierten Schutz gegen gemeldete Phishing-Sites. Die Softwareanbietenden kooperieren mit Anti-Phishing-Instanzen und geben einen entsprechenden Hinweis, sobald eine gemeldete betrügerische Seite aufgerufen wird.

Tatsächlich haben sich viele Betrüger:innen auf Sicherheitslücken veralteter Software spezialisiert. Das regelmäßige Update kann manchmal etwas nerven, aber bei Weitem nicht so sehr, wie die Folgen eines erfolgreichen Phishing Versuchs.

Tipp 2: Starkes Passwort verwenden

Passwörter sollten immer sicher mit mehr als 20 Zeichen mit Sonderzeichen, Groß-, & Kleinbuchstaben und Zahlen gewählt werden. Zudem sollte jeder deiner Konten ein individuelles Passwort haben, dass regelmäßig geändert wird. Es darf jedenfalls kein zentrales Passwort für mehrere Websites verwendet werden und es sollten Passwörter nicht mit anderen Personen geteilt werden, da auch diese Personen Opfer eines Betrugsversuchs werden können. Als Unterstützung dienen Passwortmanager (z. B. KeyPass).

Tipp 3: Auf Details bei Absender und Nachricht achten

Du solltest die Absender:innen genau prüfen, wenn du die Legitimität einer Nachricht überprüfst. Die meisten Unternehmen verwenden eine einzelne Domain für den Versand ihrer Nachrichten (bspw. no-reply@immobilienscout24.at). Eine Nachricht, die von einer anderen Domain oder bei einer SMS-Nachricht von einer nicht validen Nummer stammt, stellt eine Gefahr dar.

Es kann auch der angezeigte Name der Absendenden täuschen.

  • Angezeigter Name: ImmoScout24 (unauffällig)
  • Die eigentliche E-Mail-Adresse lautet aber immobilienscout24@fakesite.com (sehr auffällig).


Ähnlich wie bei den Absendenden solltest du auch in der Nachricht nach Auffälligkeiten suchen. Solche wären beispielsweise nicht übereinstimmende Web-Adressen. Eine eingebettete Web-Adresse kann zwar vollkommen legitim scheinen, wenn du aber den vermeintlich „richtigen“ Link genau prüfst, indem du mit der Maus darüber schwebst oder den Quelltext der Nachricht überprüfst, wird möglicherweise eine andere hinterlegte Webadresse angezeigt.

Hier: www.immobilienscout24.at -> führt eigentlich zu www.immobilienscout24.fakesite.at.

file
Tipp:

Generell gilt: Wenn etwas verdächtig erscheint, stellt es auch eine potenzielle Gefahr dar. Du solltest daher immer vorsichtig sein, wenn es darum geht, persönlich identifizierbare Informationen per Nachrichten und E-Mail zu versenden oder eben sensible Daten auf einer Website einzugeben.