Phishing
So schützen Sie sich vor Phishing
Wie funktioniert Phishing?
Betrüger:innen verschicken häufig gefälschte E-Mails, SMS oder Nachrichten auf Social Media bzw. Verkaufs-Plattformen mit dem Ziel, Sie zur Bekanntgabe vertraulicher Daten zu verleiten. Um die potenziellen Opfer zu täuschen und dazu zu bringen, den Links zu folgen und die eigenen Daten einzugeben, verwenden die Täter:innen unterschiedliche Tricks, z.B.
vermeintlich dringende Aufforderungen, um Sie zu raschem und unüberlegtem Handeln zu verleiten (z. B. es droht “Gefahr” oder finanzieller Verlust, wenn nicht rasch gehandelt wird...)
Links zu nachgemachten Webseiten - z. B. https://sparkasse.at.secure-login.net/ statt https://login.sparkasse.at/ (ähnlich aussehende Domain, die jedoch nicht zu uns gehört)
Webseiten, die unser Design oder das anderer, bekannter Unternehmen imitieren (so soll Vertrauenswürdigkeit suggeriert werden)
Solche Phishing-Seiten werden jedoch nicht von uns, sondern von den Täter:innen betrieben, die Ihre vertraulichen Informationen „abfangen“, sobald Sie dort Ihre Daten eingeben. Auf diese Weise erlangte persönliche Anmeldeinformationen werden beispielsweise für gleichzeitige Login-Versuche durch die Täter:innen verwendet. In anderen Fällen werden die erlangten Daten womöglich erst einige Zeit später für verschiedene Betrugsmaschen verwendet.
👍 Tipp: Wenn Sie wissen, worauf zu achten ist, können Sie ganz einfach legitime Webseiten von gefälschten unterscheiden und sich so vor Betrugsversuchen durch Phishing schützen.
So erkennen Sie unsere echten Seiten
Sie erkennen unsere Seiten immer an der Haupt-Domain *.sparkasse.at. Vor unserer Haupt-Domain können verschiedene Sub-Domains (dargestellt durch das *-Symbol) verwendet werden: login bei der Anmeldung, george bzw. george-business für unser Internetbanking oder www für unsere Webseite. Wichtig ist, dass die Haupt-Domain immer sparkasse.at lautet.
👍 Tipp: Prüfen Sie vor der Eingabe von vertraulichen Daten immer in der Adresszeile Ihres Browsers, dass Sie sich tatsächlich auf unserer Domain sparkasse.at befinden.
Wie setzt sich ein Domain-Name zusammen?
Die vollständige Domain, z. B. www.sparkasse.at besteht meist aus drei Teilen, die durch einen Punkt voneinander getrennt sind. Von rechts nach links:
- Top-Level Domain (TLD): Die „Länderkennung“ am Ende – z. B. „.at“, „.de“, oder „.com“. Das ist der Teil vor dem ersten, einzelnen Schrägstrich (/).
- Second-Level Domain (SLD): Der „Hauptteil“ in der Mitte - in unserem Fall „sparkasse“.
- Third-Level Domain (oder Sub-Domain) - Ein (optionaler) Teil am Anfang, der meist zur Gliederung in Bereiche verwendet wird - z. B. „www“, „shop“ oder „login“. In unserem Fall z. B. „www.sparkasse.at“, „login.sparkasse.at“ oder “george.sparkasse.at”.
Einige Beispiele:
| Link | Sicher? | Warum? |
| https://www.sparkasse.at/privatkunden | ✅ Ja | Haupt-Domain ist sparkasse.at |
| https://login.sparkasse.at/sts/oauth/[...] | ✅ Ja | Haupt-Domain ist sparkasse.at |
| https://george.sparkasse.at/ | ✅ Ja | Haupt-Domain ist sparkasse.at |
| https://sparkasse.at.secure-login.com/ | ❌ Nein | Haupt-Domain ist secure-login.com |
| https://sparkasse.at-sicherheit.com/ | ❌Nein | Haupt-Domain ist at-sicherheit.com |
| https://sparkasse.at.george-aktivierung.net/ | ❌Nein | Haupt-Domain ist george-aktivierung.net |
👍 Tipp: Achten Sie immer auf die Haupt-Domain, also die beiden Teile vor dem ersten einzelnen Schrägstrich (/). Beim Internetbanking muss hier immer “sparkasse.at” stehen, wie bei diesen legitimen URLs von uns:
- https://www.sparkasse.at/erstebank/privatkunden
- https://george.sparkasse.at/
- https://login.sparkasse.at/sts/oauth/authorize...
So schützen Sie sich vor Phishing
Auf Webseiten
Geben Sie Ihre persönlichen Bankdaten keinesfalls auf anderen Webseiten außer https://login.sparkasse.at/ oder https://george.sparkasse.at/ ein. Sie erkennen, dass diese Webseiten authentisch sind, da sie:
- zu unserer Domain sparkasse.at gehören
- über ein SSL-Zertifikat verfügen, welches für *.sparkasse.at ausgestellt wurde
- die Kommunikation zwischen Ihrem Gerät und unseren Servern immer durch https-Verschlüsselung schützen
Am Smartphone oder Tablet
Installieren Sie am Smartphone oder Tablet nur unsere offiziellen Apps aus dem Apple App Store, dem Google Play Store oder der Huawei App Gallery. Sie erkennen die Echtheit am Entwickler „Erste Bank und Sparkassen“, an den hohen Download-Zahlen und den vielen positiven Kundenbewertungen. Installieren Sie nicht achtlos unbekannte Apps, da es sich dabei um Schadsoftware handeln könnte.
Anrufe & SMS
Leider setzen Betrüger:innen verschiedene technische Tricks ein, sodass auch ein Imitieren unserer Telefonnummer(n) bei Anrufen oder SMS nicht immer ausgeschlossen werden kann (Caller ID-Spoofing). Anruf oder SMS werden also nicht notwendigerweise dadurch vertrauenswürdig, dass sie von einer vermeintlich “bekannten” Nummer erfolgen.
E-Mails
Ob eine E-Mail tatsächlich von Erste Bank und Sparkassen stammt, erkennen Sie am einfachsten durch das Prüfen des Absenders. Wichtig ist, dass Sie nicht nur auf den angezeigten Namen achten (z. B. „Sparkasse“), sondern auf die tatsächlich verwendete E-Mail-Adresse. Wir versenden unsere E-Mails in der Regel von einer der folgenden Adressen (das *-Zeichen ist auch hier ein Platzhalter für verschiedene Bezeichnungen vor dem @-Zeichen):
- *@aviso.sparkasse.at
- *@mail.sparkasse.at
- *@sparkasse.at
- *@ebspk.sparkasse.at
- *@avisomail.sparkasse.at
📝 Betrüger können den E-Mail-Absender dennoch fälschen, daher gilt auch hier: Achten Sie nicht nur auf einzelne Merkmale wie den Absender, sondern auch auf die Tonalität, den Inhalt und die vermutete Absicht hinter der E-Mail.
Typische Merkmale von Phishing-Mails oder SMS
- Phishing-Mails oder SMS arbeiten oft mit Zeitdruck oder der Androhung von negativen Konsequenzen, um Sie zu raschem, unüberlegtem Handeln zu verleiten.
- Fast immer befindet sich in Phishing-Nachrichten ein Button oder ein Link, der auf eine gefälschte Webseite unter der Kontrolle der Betrüger:innen führt.
- Oft werden Phishing-Mails von ungewöhnlichen Adressen oder Anbietern versendet, was jedoch durch die Verwendung legitim wirkender Absendernamen „versteckt“ werden kann.
- Sehen Sie also genau hin: Es kann auch hinter dem Absendernamen „Erste Bank und Sparkassen“ eine falsche Absenderadresse stecken.
- Ein Beispiel für eine gefälschte E-Mail wäre z. B. der Absendername „Erste Bank und Sparkassen“ von der Adresse „service@george-aktivierung.net“ (falsch, weil die Domain nicht „sparkasse.at“ lautet, sondern „george-aktivierung.net”).
Wenn Ihnen E-Mails oder Nachrichten verdächtig erscheinen, prüfen Sie bitte zuerst die hier beschriebenen Merkmale. Wenn Sie der Meinung sind, dass die Nachricht betrügerisch ist, bzw. nicht von uns stammt, beachten Sie bitte Folgenes:
- Klicken Sie auf keine Links
- Öffnen Sie keine Anhänge
- Antworten Sie nicht
Bitte schicken Sie uns stattdessen verdächtige E-Mails an fraud@s-servicecenter.at - idealerweise als Anhang einer neuen E-Mail (statt nur “Weiterleitung”). So bleiben alle technischen Metadaten der betrügerischen E-Mail erhalten, was unseren Spezialisten eine genauere Analyse ermöglicht.