Phishing-Gefahr durch irreführende Bank-Domains

Seit Jahren predigen IT-Sicherheitsexperten, dass Nutzer bei Links in E-Mails oder SMS genau auf die Webadresse (Domain) achten sollen. Ein falscher Buchstabe oder eine ungewöhnliche Endung sind klassische Anzeichen für Phishing. Doch aktuell untergraben ausgerechnet große deutsche Banken und Sparkassen diese wichtige Sicherheitsregel. Durch die Nutzung von irreführenden Domains für legitime Dienste trainieren sie ihre Kunden darauf, dubiosen Webadressen zu vertrauen.

Das Paradoxon der Banken-Sicherheit

Stellen Sie sich vor, Ihre Sparkasse schickt Ihnen eine Nachricht mit einem Link zu einer Domain wie "s-pay.de" oder "registrierung-s.de". Für einen geschulten Nutzer sieht das auf den ersten Blick wie ein klassischer Betrugsversuch aus. Das Problem: In vielen Fällen sind diese Adressen tatsächlich echt und werden von den Instituten für Zusatzdienste oder Bestätigungen genutzt.

Diese Praxis ist aus Sicht der Cyber-Resilienz fatal. Wenn Banken ihre Kunden dazu bringen, auf Adressen zu klicken, die nicht direkt auf die Haupt-Domain (wie sparkasse.de oder deutsche-bank.de) verweisen, zerstören sie die mühsam aufgebaute Skepsis gegenüber Phishing-Angriffen. Angreifer haben es dadurch umso leichter, da ihre gefälschten Seiten optisch kaum noch von den "offiziellen" Umwegen der Banken zu unterscheiden sind.

Information Gain: Warum Banken dieses Risiko eingehen

Hinter dieser fragwürdigen Praxis stecken oft Marketing-Abteilungen oder die Einbindung technischer Drittanbieter. Anstatt neue Funktionen tief in das bestehende Sicherheitskonzept der Haupt-Webseite zu integrieren, werden schnell neue "Microsites" auf separaten Domains hochgezogen. Dies mag technisch einfacher sein, hinterlässt jedoch eine massive digitale Angriffsfläche.

Ein weiteres Problem sind SMS-Benachrichtigungen. Da in einer SMS nur wenig Platz für Informationen ist, nutzen Banken oft Kurz-Links. Diese verschleiern das eigentliche Ziel des Links komplett und machen es Betrügern extrem einfach, gefälschte SMS in denselben Nachrichtenverlauf einzuschleusen, in dem auch echte Bank-Meldungen landen.

Lass nicht zu, dass deine Daten in den falschen Händen landen. Jetzt ab 5 € im Monat schützen!

Checkliste: So schützen Sie sich vor irreführenden Domains

• Haupt-Domain bevorzugen: Geben Sie die Webadresse Ihrer Bank immer manuell im Browser ein, anstatt auf Links zu klicken. Loggen Sie sich nur über das offizielle Portal ein.
• Offizielle App nutzen: Führen Sie sensible Aktionen wie Freischaltungen oder Datenaktualisierungen bevorzugt direkt in der offiziellen Banking-App durch. Diese nutzt gesicherte Kanäle.
• SMS-Skepsis bewahren: Banken verschicken keine SMS mit Links zu Log-in-Seiten, wenn es um Sicherheitsvorfälle geht. Jede SMS mit einer Aufforderung zur Passworteingabe ist zu 99 Prozent Phishing.

Oft ist der Grund für den Erhalt solcher Phishing-Nachrichten, dass Ihre Handynummer oder E-Mail-Adresse bereits in kriminellen Datenbanken zirkuliert. Dies geschieht häufig durch Datenlecks bei Brokern oder anderen Diensten. In unserem Artikel über Phishing-Kampagnen haben wir bereits analysiert, wie gezielt Angreifer vorgehen können. Auch die Gefahr durch QR-Code-Betrug nimmt stetig zu.

Fazit: Wachsamkeit bleibt Bürgerpflicht

Solange Banken ihre Domain-Strategie nicht korrigieren und zurück zu klaren, einheitlichen Webadressen kehren, liegt die Verantwortung beim Kunden. Hinterfragen Sie jeden Link, auch wenn er scheinbar von einem vertrauenswürdigen Absender kommt. Cyber-Sicherheit beginnt im Kopf und bei der genauen Analyse der Adresszeile im Browser.