„Vorsicht Betrug!“: Massive Abzocke mit der BahnCard
Eine BahnCard 100 für knapp zwei Euro? Derzeit kursieren Pishing-Mails, die genau das anpreisen. Die Deutsche Bahn warnt nun vor diesen Fake-Angeboten.
Köln – 4.300 Euro für ein Jahr – so viel kostet eine BahnCard 100 für die zweite Klasse aktuell. Ein stattlicher Preis, der sich in der Regel nur für Kundinnen und Kunden lohnt, die sehr viel Bahn fahren und das entsprechende Geld verdienen. Umso attraktiver erscheint dann eine Mail, in der eine BahnCard 100 für gerade mal 1,95 Euro angepriesen wird.
Deutsche Bahn warnt vor Fake-Angeboten und Gewinnspielen
Die Deutsche Bahn hat nun auf ihrem Twitterkanal vor diesen Mails gewarnt. „Vorsicht Betrug: Es gibt keine BahnCard 100 für 1,95 Euro! Momentan gibt es vermehrt Fake-Angebote und -Gewinnspiele. In unseren Gewinnspielen werden keine Zahlungsdaten abgefragt“, heißt es in dem Posting. Die Bahn bezieht sich dabei auf sogenannte Pishing-Mails, die aktuell auch in anderen Kontexten im Umlauf sind.
Auf ihrer Website warnt die Bahn ausdrücklich vor gefälschten Angeboten und Gewinnspielen. „Gutscheine und Fahrkarten werden immer zum aufgedruckten Preis verkauft, es gibt keine verbilligten Gutscheine oder Tickets.“ Der Appell an die Kundinnen und Kunden: Bahn-Tickets und Gutscheine nur in offiziellen Verkaufsstellen erwerben. Denn: „Sobald der Betrug auffliegt, werden die Gutscheine gesperrt und sind nichts mehr wert.“
Pishing-Radar der Verbraucherzentrale: Aktuelle Warnungen melden und einsehen
Sollte dann doch ein unbekannter Betrag, angeblich im Namen der Bahn, abgebucht worden sein, rät die Bahn dazu, sich bei der Polizei zu melden und eine Rückbuchung über die Bank zu veranlassen. Außerdem sollte man umgehend mit dem Kundenservice der Bahn selbst unter fahrkartenservice@bahn.de in Kontakt treten und den Vorfall melden.
Die Bahn verweist außerdem auf den Pishing-Radar der Verbraucherzentrale, der aktuelle Pishing-Warnungen sammelt und veröffentlicht. Phishing ist eine Methode, bei der Kriminelle versuchen, Menschen dazu zu bringen, persönliche Informationen wie Passwörter, Kreditkarteninformationen oder andere sensible Daten preiszugeben.
Dazu schicken sie gefälschte E-Mails, Textnachrichten oder verweisen auf Websites, die täuschend echt aussehen. In den vergangenen Jahren haben diese Betrügereien zugenommen – oft trifft Pishing größere Konzerne oder Banken, wie die Sparkasse. Erst vor kurzem hatte es wieder vermehrt solche Pishing-WhatsApp-Nachrichten gegeben, bei denen Betrüger mehrere Tausend Euro erbeutet hatten.
Pishing-Mail: Die häufigsten Merkmale
- Die Anrede ist teilweise mit, teilweise aber auch ohne Namen
- Die Mail enthält Grammatik- oder Orthografie-Fehler
- Die Mail ist in einer fremden Sprache geschrieben
- Dem Empfänger wird Zeitdruck gemacht: Angeblich besteht dringender Handlungsbedarf und es wird mit Konsequenzen gedroht, wenn man nicht umgehend handelt (zum Beispiel der Sperrung eines Kundenkontos)
- Am Ende der Mail steht ein Link, auf den man klicken soll oder es ist ein Anhang beigefügt: Man soll die Datei öffnen oder auf den Link klicken
- Man wird dazu aufgefordert, persönliche Daten wie PINs, TANs oder Bankdaten weiterzugeben
- Bisher war man gar kein Kunde oder keine Kundin bei dem jeweiligen Unternehmen, von dem die Mail angeblich kommt
Derzeit viele Pishing-Mails im Umlauf – nicht nur im Namen der Bahn
Ein Blick auf den Pishing-Radar der Verbraucherzentrale zeigt: Derzeit sind einige solcher Betrugs-Mails im Umlauf. So warnt die Verbraucherzentrale aktuell unter anderem vor Pishing-Mails, die DHL-Kundinnen und Kunden dazu auffordern, eine Paketgebühr zu zahlen oder vor Fake-Mails, in denen die Sparkasse angeblich mit Sperrung des Kontos droht.
Rat der Verbraucherzentrale: Mails genau lesen und nicht auf Links klicken
Die Verbraucherzentrale rät, sich Mails immer sehr genau anzuschauen. Denn auch bei namentlicher Anrede könne man sich inzwischen nicht mehr sicher sein, ob es sich um eine echte oder eine gefälschte Mail handelt, da Kriminelle sowohl Design als auch Logos von Mails inzwischen täuschend echt nachahmen könnten.
Wenn man sich nicht sicher ist, woher die Mail kommt, gelte: Lieber beim Anbieter nachfragen. Außerdem könne man den Mail-Header prüfen. „Dort steht die IP-Adresse des Absenders. Nur diese ist fälschungssicher und gibt Aufschluss über den tatsächlichen Absender“, so die Verbraucherzentrale.
Auf ihrer Website spricht die Verbraucherzentrale eine deutliche Warnung gegenüber mitgesendeten Links und Anhängen aus: „Klicken Sie keinesfalls auf Links oder Anhänge, antworten Sie nicht auf die E-Mail, auch wenn Sie sich darüber ärgern. Denn dadurch verraten Sie Betrügern, dass diese E-Mail-Adresse regelmäßig genutzt wird. Sie könnten dann noch mehr Spam- und Phishing-Mails erhalten.“
So geht man vor, wenn man eine Pishing-Mail erhalten hat
- Screenshot von der Mail machen
- Mail an die Verbraucherzentrale (phishing@verbraucherzentrale.nrw) und den echten Anbieter (zum Beispiel die Deutsche Bahn) weiterleiten, dann löschen
- Wenn man auf einen Link oder Anhang geklickt hat: Virenschutzprogramm aktualisieren und über den PC laufen lassen
- Wenn persönliche Daten abgefragt worden sind: Konten und Karten sperren lassen, Passwörter und Sicherheitsfragen ändern, Strafanzeige bei der Polizei stellen
Erhält man eine solche Pishing-Mail, sollte man diese idealerweise erst an die Verbraucherzentrale und den echten Anbieter schicken, damit beide dagegen vorgehen können. Erst danach sollte man die Mail löschen. Hat man schon auf einen Link oder Anhang geklickt, sei es noch wichtiger, die Mail nicht zu löschen, da sie dann als Beweismaterial für die Polizei relevant wird.
Wer selbst solche Mails bekommt, kann diese direkt per Mail an phishing@verbraucherzentrale.nrw der Verbraucherzentrale melden. Auf Twitter unter @vznrw_pishing und der entsprechenden Facebook-Seite kann man zudem Warnungen einsehen. Fair und unabhängig informiert, was in Köln und NRW passiert – hier unseren kostenlosen 24RHEIN-Newsletter abonnieren.