Vorsicht, Falle: Die häufigsten Online-Betrugsmaschen 2026

Betrüger im Internet werden immer raffinierter. Was früher eine schlecht formulierte E-Mail war, ist heute eine täuschend echte Nachricht von Ihrer Bank, ein geklonter Anruf Ihrer Tochter oder ein manipulierter QR-Code am Parkautomaten. Die Schäden gehen in die Millionen, und betroffen sind längst nicht nur unerfahrene Nutzer.

Hier sind die fünf häufigsten Betrugsmaschen 2026 - und wie Sie sich davor schützen.

Eine E-Mail von Ihrer Sparkasse, von PayPal oder von der Deutschen Post: "Ihr Konto wurde eingeschränkt, bitte bestätigen Sie Ihre Daten." Klingt dringend, sieht echt aus - ist es aber nicht. Phishing-Mails gehören zu den häufigsten Betrugsmaschen im Netz. Mittlerweile sind die Fälschungen so perfekt, dass selbst erfahrene Nutzer sie kaum vom Original unterscheiden können.

Die wichtigste Regel: Keine Bank fragt per E-Mail nach Ihren Zugangsdaten. Niemals. Wenn Sie unsicher sind, rufen Sie Ihre Bankfiliale an oder öffnen Sie die Website direkt im Browser - nicht über den Link in der Mail.

Eine neuere Variante ist das sogenannte Quishing: Betrüger überkleben echte QR-Codes an Parkscheinautomaten, E-Ladesäulen oder auf gefälschten Strafzetteln mit eigenen Codes. Scannen Sie den Code, landen Sie auf einer täuschend echten Bezahlseite und geben Ihre Bankdaten an Kriminelle weiter. Der wichtigste Schutz: Prüfen Sie nach dem Scannen die URL in der Adresszeile Ihres Browsers. Stimmt die Domain nicht exakt mit der Ihrer Bank oder des Parkanbieters überein, geben Sie keine Daten ein.

Eine Betrugsmasche, die viele unterschätzen: illegale Glücksspielanbieter im Internet. Sie werben mit hohen Boni, schnellen Auszahlungen und einem riesigen Spielangebot. Hinter der Fassade stecken Anbieter ohne deutsche Lizenz, bei denen Verbraucher im Streitfall leer ausgehen.

Seit 2021 regelt der Glücksspielstaatsvertrag, welche Anbieter in Deutschland legal operieren dürfen. Wie Sie illegale Online Spielotheken erkennen und welche Anbieter eine gültige Lizenz besitzen, steht in der Checkliste von BILD.de.

Vier Merkmale illegaler Anbieter:

• Keine GGL-Lizenz - prüfen Sie die Whitelist auf gluecksspiel-behoerde.de. Nur dort gelistete Anbieter sind in Deutschland legal
• Einzahlungen über 1.000 Euro pro Monat möglich - bei lizenzierten Anbietern ist dieses Limit gesetzlich vorgeschrieben und wird anbieterübergreifend kontrolliert
• Roulette und Blackjack im Angebot - GGL-lizenzierte Spielotheken bieten hauptsächlich Automatenspiele und Poker an. Tischspiele sind dem staatlichen Monopol vorbehalten
• Keine Pause zwischen Spielrunden - bei lizenzierten Anbietern müssen mindestens fünf Sekunden zwischen zwei Spins vergehen

Das Risiko: Bei illegalen Anbietern haben Sie keinen Rechtsanspruch auf Ihre Gewinne. Der Anbieter sitzt im Ausland, und deutsche Gerichte sind nicht zuständig. Allerdings: Weil Verträge mit illegalen Anbietern nach § 134 BGB nichtig sind, haben deutsche Gerichte Spielern das Recht zugesprochen, ihre Verluste per Klage zurückzufordern. Diese Klagewelle läuft aktuell bundesweit.

Diese Masche trifft besonders häufig ältere Menschen: Eine WhatsApp-Nachricht von einer unbekannten Nummer mit dem Text "Hallo Mama, mein Handy ist kaputt, das hier ist meine neue Nummer." Es folgen einige harmlose Nachrichten, dann die Bitte um eine dringende Überweisung.

Der Trick funktioniert, weil er auf Vertrauen und Zeitdruck setzt. Die Betrüger wissen, dass Eltern ihren Kindern helfen wollen - und dass sie unter Druck keine Rückfragen stellen. Noch perfider: Beim sogenannten Voice-Cloning imitiert eine KI die Stimme von Angehörigen so überzeugend, dass selbst ein Anruf zur Überprüfung keine Sicherheit mehr bietet.

So schützen Sie sich: Rufen Sie Ihr Kind unter der Ihnen bekannten Nummer an, bevor Sie Geld überweisen. Vereinbaren Sie ein Codewort innerhalb der Familie - aber keines, das sich über soziale Medien herausfinden lässt (nicht der Name des Haustiers oder der Geburtsort). Das Codewort sollte völliger Nonsens sein, etwa "Blaubeer-Auspuff". Und überweisen Sie nie Geld an unbekannte Konten auf Basis einer SMS oder WhatsApp-Nachricht. Welche persönlichen Daten Sie im Netz preisgeben, sollten Sie regelmäßig prüfen.

"Jetzt 30 Tage kostenlos testen" - und zwei Monate später entdecken Sie eine monatliche Abbuchung auf Ihrem Kontoauszug. Abo-Fallen verstecken sich hinter kostenlosen Testphasen, die automatisch in ein kostenpflichtiges Abonnement übergehen.

Besonders häufig betroffen: Streaming-Dienste, Gesundheits-Apps und Kochboxen. Das Muster ist immer das gleiche - Sie geben Ihre Zahlungsdaten ein, und nach der Testphase wird abgebucht.

Drei Schutzmaßnahmen:

• Kündigungsfrist im Kalender notieren - setzen Sie sich eine Erinnerung mindestens drei Tage vor Ablauf der Testphase
• Virtuelle Kreditkarten nutzen - viele Banken bieten Einmal-Karten, die nach einer Transaktion ablaufen
• Kündigungsbutton nutzen - seit Juli 2022 müssen Anbieter in Deutschland einen leicht auffindbaren Kündigungsbutton anbieten. Fehlt er, ist der Vertrag anfechtbar

"Herzlichen Glückwunsch, Sie haben 5.000 Euro gewonnen!" - per Mail, als Pop-up oder sogar per Post. In Wahrheit haben Sie nichts gewonnen. Fake-Gewinnspiele wollen nur Ihre Daten: Name, Adresse, Geburtsdatum, Bankverbindung - alles, was sich weiterverkaufen oder für Identitätsdiebstahl nutzen lässt.

Die Faustregel: Sie können nichts gewinnen, an dem Sie nicht teilgenommen haben. Seriöse Gewinnspiele verlangen niemals Bankdaten oder eine "Bearbeitungsgebühr". Legen Sie auf, löschen Sie die Mail, ignorieren Sie das Pop-up.

Die meisten Ratgeber erklären, wie Sie sich schützen. Aber was tun, wenn Sie bereits geklickt oder bezahlt haben? Drei Schritte, die sofort helfen:

• Karten sperren über die 116 116 - der bundesweite Sperr-Notruf ist rund um die Uhr erreichbar und sperrt Kredit- und Debitkarten sofort
• Geld zurückfordern - bei Zahlung per Kreditkarte oder PayPal können Sie über den Käuferschutz oder ein Chargeback-Verfahren Ihrer Bank das Geld zurückfordern. Bei Überweisung per Vorkasse ist das Geld in der Regel verloren
• Beweise sichern und Anzeige erstatten - machen Sie Screenshots von Mails, Websites und Nachrichten. Eine Anzeige können Sie bei der Online-Wache Ihrer Landespolizei erstatten, ohne dafür eine Dienststelle aufzusuchen

Ob gefälschte E-Mail, Messenger-Betrug oder illegales Casino - die grundlegenden Schutzmaßnahmen sind immer dieselben:

• Passkeys einrichten - wo möglich, ersetzen Passkeys (biometrischer Login per Fingerabdruck oder Gesichtserkennung) klassische Passwörter komplett. Das ist der beste Schutz gegen Phishing
• Zwei-Faktor-Authentifizierung aktivieren - für alle wichtigen Konten: E-Mail, Banking, soziale Medien
• Passwort-Manager nutzen - für Dienste ohne Passkey-Unterstützung: nie dasselbe Passwort für mehrere Dienste verwenden
• Updates installieren - klingt banal, schließt aber Sicherheitslücken auf Smartphone und Computer

Bleiben Sie misstrauisch bei unerwarteten Nachrichten - egal ob per Mail, SMS oder WhatsApp. Seriöse Absender setzen Sie nie unter Zeitdruck. Aktuelle Warnungen und Sicherheitstipps veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI). Weitere Tipps und Themen aus dem täglichen Leben finden Sie hier auf Berliner Rundfunk.