Phishing-Mails gehören seit vielen Jahren zu den häufigsten Cyberangriffen. In letzter Zeit häufen sich jedoch die Meldungen zu gezielten Attacken. Diese sind oft besonders perfide.
Bei Phishing handelt sich primär um ein Massenphänomen: Kriminelle versenden grosse Mengen an E-Mails – in der Hoffnung, dass ein kleiner Anteil der Empfängerinnen und Empfänger darauf hereinfällt. Das Bundesamt für Cybersicherheit BACS beobachtet aber immer mehr gezielte Angriffe, die zwar in kleinerer Zahl und mit grösserem Aufwand, dafür aber auch mit grösserer Erfolgsquote durchgeführt werden (sog. Spear Phishing).
Bei einer neuen Masche erhalten Anwendende etwa eine scheinbar harmlose E-Mail, die angeblich von einer Bank stammt und Aktualisierung der persönlichen Daten verlangt. Nach dem Anklicken des Links öffnet sich eine täuschend echt wirkende Banken-Website – soweit nichts Neues für ein Phishing-Mail.
Auf der Fake-Seite werden Daten wie Namen und Telefonnummern abgefragt. Kreditkartendaten oder Kennwörter müssen keine eingegeben werden. Viele Konsumentinnen und Konsumenten werden derartige Informationen ohne Bedenken eingeben, da die angeforderten Daten nicht sonderlich sensibel erscheinen.
Die erhobenen Daten sind aber nur der erste Schritt des Angriffs. Die Kriminellen melden sich erneut, diesmal per Telefon, und geben sich als Vertreter der Bank des Opfers aus. Dabei wird teilweise sogar die korrekte Telefonnummer des entsprechenden Finanzinstituts angezeigt – dies wird auch «Call ID Spoofing» (Fälschung der Telefonnummer) genannt.
Im Gespräch wird das Opfer mit korrektem Namen angesprochen, und mit weiteren persönlichen Details wie etwa der Wohnadresse bauen die Angreifer gezielt Vertrauen auf. Danach gibt der vermeintliche Bankmitarbeiter als Grund des Anrufs zum Beispiel eine betrügerische Überweisung an. Um die Transaktion zu stoppen, müsse ein QR-Code mit der E-Banking- bzw. Mobile-Banking-App eingescannt werden. Doch mit dem Scannen des QR-Codes gibt man den Betrügern Zugriff auf das eigene E-Banking-Konto.
Die Vorgehensweise nutzt ein einfaches, aber effektives Prinzip: Das gesunde Misstrauen sinkt markant, wenn das Gegenüber bereits viele Informationen über das Opfer hat. Wie Sie sich vor solchen Betrügereien schützen, lesen Sie in unserem Artikel zu Phishing.