← Alle Situationen Dringend — handeln Sie jetzt
Ich habe auf einen falschen Link oder eine Fake-SMS geklickt. Was tun?
Erst mal: durchatmen. Ein Klick auf einen Link bedeutet noch nicht, dass Sie etwas verloren haben. Gefährlich wird es meist erst, wenn Sie Daten eingeben oder etwas installieren. Sie haben Zeit, die Schritte unten in Ruhe durchzugehen, einen nach dem anderen.
Die ersten Schritte, jetzt
- Geben Sie nichts mehr ein auf der Seite, die sich geöffnet hat. Schließen Sie sie. Falls Sie schon Daten eingegeben haben, gehen Sie sofort zum nächsten Schritt.
- Falls Sie Kartendaten oder Ihr Banking-Passwort eingegeben haben: Rufen Sie jetzt Ihre Bank unter der Nummer auf der Kartenrückseite an — oder den Sperr-Notruf 116 116 (rund um die Uhr, eine Nummer für girocard, Kreditkarten und Online-Banking). Rufen Sie nicht die Nummer aus der Nachricht an.
- Falls Sie ein Passwort eines Kontos eingegeben haben (E-Mail, Facebook usw.): Ändern Sie es sofort in der offiziellen App und aktivieren Sie die Zwei-Faktor-Authentisierung.
- Prüfen Sie Konten, um die Sie sich sorgen, nur über die offizielle App oder indem Sie die Adresse selbst im Browser eintippen — niemals über den Link aus der Nachricht.
- Löschen Sie die Nachricht. Wenn möglich, melden Sie sie als Spam/Phishing (WhatsApp, SMS und E-Mail haben dafür eine Funktion). Ob eine Masche gerade im Umlauf ist, sehen Sie im Phishing-Radar der Verbraucherzentrale.
Was Sie NICHT tun sollten
- Rufen Sie keine Nummern aus der verdächtigen Nachricht an und schreiben Sie nicht an die angegebenen Adressen.
- Geben Sie niemandem Kartendaten, eine TAN aus der SMS oder Ihr Passwort weiter — egal wie offiziell die Nachricht wirkt.
- Installieren Sie keine App, die der Link verlangt (besonders keine „Sicherheits-“ oder Fernzugriffs-Apps) — über falsche Paket-SMS verbreitet sich so Schadsoftware auf Android-Handys.
Woran Sie es beim nächsten Mal erkennen
- Druck und Angst: „Ihr Konto wird in 24 Stunden gesperrt“, „das Paket geht zurück an den Absender“. Zeitdruck ist das wichtigste Warnsignal.
- Die Adresse passt nicht: Der Link sieht fast echt aus, hat aber zusätzliche Buchstaben, Bindestriche oder eine seltsame Domain.
- Es werden Daten verlangt, die Ihre echte Bank nie per Link abfragt: PIN, vollständiges Passwort, TAN, Kartenprüfnummer.
- Sprachfehler, ein gestelzter Amtston — oder ein QR-Code, den Sie „bequem“ scannen sollen.
- Häufige Beispiele gerade jetzt: Paket-SMS — „Ihre DHL-/Hermes-/DPD-Sendung konnte nicht zugestellt werden“, „ungültige Postleitzahl“ — mit Link für eine angebliche Gebühr (echte Gebühren zahlen Sie bei der Zustellung; die Sendungsverfolgung prüfen Sie direkt auf der Website des Paketdienstes). Dazu gefälschte Mails im Namen von Amazon, PayPal, Telekom oder AOK — die aktuellen Wellen dokumentiert das Phishing-Radar. Alles falsch — Sie prüfen nur, indem Sie selbst die offizielle Seite aufrufen, nie über den Link.
Dieser Ratgeber hilft Ihnen, schnell zu handeln. Er ersetzt nicht die offiziellen Anweisungen Ihrer Bank, der Polizei oder der Behörden. Im Zweifel rufen Sie die Nummern oben an.