Phis­hing

Mit­tels Phis­hing ver­su­chen Angreifer an Zugangs­daten ahnungs­loser Inter­net­be­nutzer z.B. zum E-Ban­king oder zu Online-Shops zu gelangen. Die Täter täu­schen dabei eine fal­sche Iden­tität vor und nutzen so die Gut­gläu­big­keit ihrer Opfer aus.

Schützen Sie sich vor Phis­hing, indem Sie…

  • nie einen Link ver­wenden, der per E-Mail, SMS oder Mes­senger-Dienst zuge­schickt oder per QR-Code ein­ge­scannt wurde, um sich bei einem Finanz­in­stitut anzu­melden.
  • nie For­mu­lare aus­füllen, die per E-Mail zuge­stellt wurden und zur Ein­gabe von Anmel­de­in­for­ma­tionen auf­for­dern.
  • in Tele­fon­ge­sprä­chen nie ver­trau­liche Infor­ma­tionen, wie z.B. Pass­wörter, preis­geben.
  • die Adresse zur Anmel­de­seite Ihres Online-Dienst­leis­ters oder Finanz­in­sti­tuts immer manuell in die Adress­zeile Ihres Brow­sers ein­geben.
  • beim Aufruf der Anmel­de­seite die SSL-Ver­bin­dung (https://, Schloss­symbol) über­prüfen und sich durch die Kon­trolle der Inter­net­adresse in der Adress­zeile Ihres Brow­sers ver­ge­wis­sern, dass Sie sich am rich­tigen Ziel befinden.
  • sich bei Unsi­cher­heit oder Unklar­heit an das Finanz­in­stitut wenden.

So läuft ein Phis­hing-Angriff typi­scher­weise ab

1. Kon­takt­auf­nahme

Kri­mi­nelle ver­schi­cken gefälschte E-Mails und geben sich als Mit­ar­bei­tende von Online-Dienst­leis­tern oder Finan­zi­sti­tuten aus. Die Emp­fänger der E-Mails werden bei­spiels­weise darauf hin­ge­wiesen, dass die Kon­to­in­for­ma­tionen oder Zugangs­daten (z.B. Benut­zer­name und Pass­wort) nicht mehr sicher oder aktuell seien und diese unter dem im E-Mail auf­ge­führten Link aktua­li­siert werden sollten.

2. Abfangen per­sön­li­cher Daten

Der Link führt aller­dings nicht auf die Ori­gi­nal­seite des ange­ge­benen Dienst­leis­ters, son­dern auf eine gefälschte, jedoch täu­schend echt aus­se­hende Web­seite. Dort ein­ge­ge­bene, per­sön­liche Infor­ma­tionen, wie bei­spiels­weise Pass­wörter, gelangen dadurch direkt zur Täter­schaft.

3. Berei­che­rung

Die Kri­mi­nellen tätigen dann mit den gestoh­lenen Infor­ma­tionen im Namen der Opfer bei­spiels­weise Bank­über­wei­sungen, kaufen online auf deren Kosten ein oder plat­zieren gefälschte Ange­bote bei Online-Auk­ti­ons­an­bie­tern.

 

Damit Sie Phis­hing-Mails erhalten, müssen die Betrüger Ihre E-Mail-Adresse kennen. Um diese Gefahr zu ver­rin­gern und auch gene­rell den Spam in Ihrem Post­ein­gang zu redu­zieren, hilft die Befol­gung einiger ein­fa­cher Regeln, die Sie in unserem Artikel zum Thema Spam finden.

Unter Phis­hing wird der Dieb­stahl schüt­zens­werter Infor­ma­tionen wie z. B. Anmel­de­in­for­ma­tionen von Inter­net­be­nut­zern ver­standen.

Der Begriff ist ein eng­li­sches Kunst­wort, wel­ches sich aus «pass­word» und «fishing» zusam­men­setzt.

 

Merk­blatt:

Wei­ter­füh­rende Infor­ma­tionen für Inter­es­sierte

Klas­si­sches Phis­hing

Beim klas­si­schen Phis­hing ver­su­chen die Angreifer ihre Opfer mit­hilfe von gefälschten E-Mails auf gefälschte Web­seiten zu locken und dazu zu bringen, dort ihre Anmel­de­in­for­ma­tionen (z.B. Ver­trags­nummer, Pass­wort) ein­zu­geben.

Alter­nativ oder zusätz­lich werden oft Mail-Anhänge bei­gefügt, welche einen Tro­janer ent­halten, der sich bei öffnen des Anhangs im Hin­ter­grund instal­liert und fortan die Zugangs­daten des Inter­net­be­nut­zers aus­spio­niert oder ihn auf gefälschte Web­sites führt.

Wichtig zu wissen: Finanz­in­sti­tute ver­schi­cken nie solche E-Mails!

Prä­ven­tion: Keine Links oder Anhänge in E-Mails ankli­cken, son­dern die Adresse des Finanz­in­sti­tuts stets manuell im Browser ein­geben. Über­prü­fung der SSL-Ver­bin­dung und des Zer­ti­fi­kats.

Spear Phis­hing und Dyna­mite Phis­hing

Im Gegen­satz zum klas­si­schen Phis­hing, wo grosse Mengen von E-Mails wahllos an ein breites Publikum ver­schickt werden, werden die Emp­fänger beim Spear-Phis­hing gezielt aus­ge­wählt und erhalten E-Mails, die auf sie per­sön­lich zuge­schnitten sind.

Der Absender tarnt sich dabei als ver­trau­ens­wür­dige Person, häufig als Bekannter, Mit­ar­beiter oder Geschäfts­partner des Emp­fän­gers. Der mass­ge­schnei­derte Inhalt der E-Mails wirkt glaub­würdig und authen­tisch und wird daher oft auch von Spam-Fil­tern nicht erkannt.

Werden die per­so­na­li­sierten Mails auto­ma­ti­siert erstellt und mas­sen­haft ver­schickt, spricht man auch von «Dyna­mite Phis­hing».

Prä­ven­tion: Seien Sie miss­trau­isch bei uner­war­teten E-Mails oder sol­chen mit unge­wöhn­li­chem Inhalt, auch wenn Sie den Absender zu kennen glauben. Setzen Sie sich mit ihm im Zwei­fels­fall über einen zweiten Kanal, bei­spiels­weise tele­fo­nisch, in Ver­bin­dung.

Smis­hing (SMS-Phis­hing)

Auch SMS-Nach­richten werden immer öfter für Phis­hing-Angriffe ein­ge­setzt. Das per­fide an «Smis­hing» ist, dass die meisten Kri­te­rien zur Erken­nung von Phis­hing E-Mails bei SMS-Nach­richten nicht anwendbar sind: Eine per­sön­liche Anrede fehlt meist. Sprache und Gestal­tung der Kurz­nach­richten sind zu ein­fach und zu knapp, um Rück­schlüsse auf eine mög­liche Fäl­schung zu erlauben. Und der wahre Absender sowie der Link lassen sich mit den meisten Mobil­ge­räten nur schwer über­prüfen. Zudem sind sich viele Anwender gewohnt, SMS-Nach­richten zur Veri­fi­ka­tion der E-Ban­king-Anmel­dung oder Finanz­trans­ak­tionen zu erhalten.

Prä­ven­tion: Kli­cken Sie nie­mals auf Links in SMS-Nach­richten, son­dern geben Sie die Ihnen bekannte Adresse der Web­site des Finanz­in­sti­tuts von Hand im Browser ein und über­prüfen Sie die sichere Ver­bin­dung (Schloss­symbol, Ziel­adresse). Kon­tak­tieren Sie bei uner­war­teten SMS-Nach­richten die Bank über die Ihnen bekannten Kon­takt­in­for­ma­tionen (z.B. offi­zi­elle Tele­fon­nummer), und lassen Sie sich den Ver­sand der SMS-Nach­richt bestä­tigen.

Vis­hing (Phone-Phis­hing)

Vis­hing ist die sprach­ba­sie­rende respek­tive tele­fo­ni­sche Vari­ante des Phis­hing. Ähn­lich wie beim klas­si­schen Phis­hing werden Benutzer durch gut aus­ge­dachte Geschichten dazu ver­leitet, ver­trau­liche Infor­ma­tionen wie z.B. die Anmel­de­in­for­ma­tionen fürs E-Ban­king preis­zu­geben.

Prä­ven­tion: Geben Sie ver­trau­liche Daten wie Pass­wörter nie einer anderen Person bekannt. Beenden Sie Tele­fon­an­rufe, in denen Sie danach gefragt werden, umge­hend. Kon­tak­tieren Sie Ihr Finanz­in­stitut nur über die offi­zi­ellen Tele­fon­num­mern.

QR-Phis­hing

Beim QR-Phis­hing über­kleben Angreifer QR-Codes (Quick Response-Codes) an häufig fre­quen­tierten Orten durch eigene und führen somit Benutzer auf eine fal­sche URL. So können ohne Wei­teres, ins­be­son­dere auf mobilen Geräten, Down­loads gestartet, Skripte aus­ge­führt oder eine gefälschte Login-Seite eines Finanz­in­sti­tuts ange­zeigt werden.

Prä­ven­tion: Ver­wenden Sie nie­mals einen QR-Code, um sich bei einem Finanz­in­stitut anzu­melden. Prüfen Sie vor dem Scannen, ob der QR-Codes nicht durch einen gefälschten über­deckt wurde. Über­prüfen Sie, ob der Link auf die gewünschte Adresse zeigt.

Was möchten Sie weiter zum Thema Sicherheit beim E-Banking wissen?

Jetzt für einen Kurs
anmelden und mehr lernen:

Grund­kurs

Der Grund­kurs zeigt die aktu­ellen Bedro­hungen im Internet auf und ver­mit­telt, wie Sie sich mit ein­fa­chen Mass­nahmen davor schützen können.

wei­tere Infor­ma­tionen

Pra­xis­kurs

Lernen und üben Sie an von uns bereit­ge­stellten Com­pu­tern die wich­tigsten Mass­nahmen für Ihre Com­puter- und E-Ban­king-Sicher­heit.

wei­tere Infor­ma­tionen

Send this to a friend