Mittels Phishing versuchen Angreifer an Zugangsdaten ahnungsloser Internetbenutzer, z.B. zum E-Banking oder zu Online-Shops, zu gelangen. Die Täter täuschen dabei eine falsche Identität vor und nutzen so die Gutgläubigkeit ihrer Opfer aus.
Schützen Sie sich vor Phishing, indem Sie …
- nie einen Link verwenden, der per E-Mail oder Kurznachricht zugeschickt oder per QR-Code eingescannt wurde, um sich bei einem Finanzinstitut anzumelden.
- nie Formulare ausfüllen, die per E-Mail oder Kurznachricht zugestellt wurden und zur Eingabe von Anmeldeinformationen auffordern.
- Anhänge von E-Mails und Kurznachrichten mit grosser Vorsicht behandeln.
- in Telefongesprächen nie vertrauliche Informationen, wie z.B. Passwörter, preisgeben und niemals Fernzugriff gewähren.
- die Adresse zur Anmeldeseite Ihres Online-Dienstleisters oder Finanzinstituts immer manuell in die Adresszeile Ihres Browsers eingeben (z.B. www.ebas.ch).
- beim Aufruf der Anmeldeseite die sichere Verbindung (Schlosssymbol) überprüfen und sich durch die Kontrolle der Internetadresse in der Adresszeile Ihres Browsers vergewissern, dass Sie sich am richtigen Ziel befinden.
- Benachrichtigungen, wie zum Beispiel das Bestätigen von Zahlungen oder Einstellungsänderungen, immer vorsichtig prüfen.
- sich sofort an Ihr Finanzinstitut wenden, falls der Login-Prozess anders als gewohnt abläuft oder Sie sich unsicher fühlen.
So läuft ein Phishing-Angriff typischerweise ab
1. Kontaktaufnahme
Kriminelle verschicken gefälschte E-Mails oder Kurznachrichten (z.B. SMS) und geben sich als Mitarbeitende von Online-Dienstleistern oder Finanzinstituten aus. Die Empfänger der E-Mails werden beispielsweise darauf hingewiesen, dass die Kontoinformationen oder Zugangsdaten (z.B. Benutzername und Passwort) nicht mehr sicher oder aktuell seien und diese unter dem im E-Mail aufgeführten Link aktualisiert werden sollten.
2. Abfangen persönlicher Daten
Der Link führt allerdings nicht auf die Originalseite des angegebenen Dienstleisters, sondern auf eine gefälschte, jedoch täuschend echt aussehende Webseite. Dort eingegebene, persönliche Informationen, wie beispielsweise Passwörter, gelangen dadurch direkt zur Täterschaft.
3. Bereicherung
Die Kriminellen tätigen dann mit den gestohlenen Informationen im Namen der Opfer beispielsweise Banküberweisungen, kaufen online auf deren Kosten ein oder platzieren gefälschte Angebote bei Online-Auktionsanbietern.
Damit Sie Phishing-Mails erhalten, müssen die Betrüger Ihre E-Mail-Adresse kennen. Um diese Gefahr zu verringern und auch generell den Spam in Ihrem Posteingang zu reduzieren, hilft die Befolgung einiger einfacher Regeln, die Sie in unserem Artikel zum Thema Spam finden.
Weiterführende Informationen für Interessierte
Klassisches Phishing
Beim klassischen Phishing versuchen die Angreifer ihre Opfer mithilfe von gefälschten E-Mails auf gefälschte Webseiten zu locken und dazu zu bringen, dort ihre Anmeldeinformationen (z.B. Vertragsnummer, Passwort) einzugeben.
Alternativ oder zusätzlich werden oft Mail-Anhänge beigefügt, welche einen Trojaner enthalten, der sich bei öffnen des Anhangs im Hintergrund installiert und fortan die Zugangsdaten des Internetbenutzers ausspioniert oder ihn auf gefälschte Websites führt.
Wichtig zu wissen: Finanzinstitute verschicken nie solche E-Mails!
Spear Phishing und Dynamite Phishing
Im Gegensatz zum klassischen Phishing, wo grosse Mengen von E-Mails wahllos an ein breites Publikum verschickt werden, werden die Empfänger beim Spear-Phishing gezielt ausgewählt und erhalten E-Mails, die auf sie persönlich zugeschnitten sind.
Der Absender tarnt sich dabei als vertrauenswürdige Person, häufig als Bekannter, Mitarbeiter oder Geschäftspartner des Empfängers. Der massgeschneiderte Inhalt der E-Mails wirkt glaubwürdig und authentisch und wird daher oft auch von Spam-Filtern nicht erkannt.
Werden die personalisierten Mails automatisiert erstellt und massenhaft verschickt, spricht man auch von «Dynamite Phishing».
Smishing (SMS-Phishing)
Auch Kurznachrichten werden immer öfter für Phishing-Angriffe eingesetzt. Das perfide an «Smishing» ist, dass die meisten Kriterien zur Erkennung von Phishing E-Mails bei Kurznachrichten nicht anwendbar sind: Eine persönliche Anrede fehlt meist. Sprache und Gestaltung der Kurznachrichten sind zu einfach und zu knapp, um Rückschlüsse auf eine mögliche Fälschung zu erlauben. Und der wahre Absender sowie der Link lassen sich mit den meisten Mobilgeräten nur schwer überprüfen. Zudem sind sich viele Anwender gewohnt, SMS-Nachrichten zur Verifikation der E-Banking-Anmeldung oder Finanztransaktionen zu erhalten.
Vishing (Phone-Phishing)
Vishing ist die sprachbasierende respektive telefonische Variante des Phishing. Ähnlich wie beim klassischen Phishing werden Benutzer durch gut ausgedachte Geschichten dazu verleitet, vertrauliche Informationen wie z.B. die Anmeldeinformationen fürs E-Banking preiszugeben.
QR-Phishing
Beim QR-Phishing überkleben Angreifer QR-Codes (Quick Response-Codes) an häufig frequentierten Orten durch eigene und führen somit Benutzer auf eine falsche URL. So können ohne Weiteres, insbesondere auf mobilen Geräten, Downloads gestartet, Skripte ausgeführt oder eine gefälschte Login-Seite eines Finanzinstituts angezeigt werden.
Phishing mit Webseiten im Anhang
Beim Phishing mit Webseiten ist kein Link oder Dokument in den E-Mails enthalten – stattdessen befindet sich eine gefälschte Webseite als HTM- oder HTML-Datei im Anhang. Das Opfer wird so ausgetrickst, da kein Link mehr anzuklicken ist. Und das Öffnen der Datei im Anhang scheint auf den ersten Blick auch nicht besonders gefährlich zu sein, da es sich nicht um ein Dokument (Word, Excel etc.) handelt, welches z.B. Makros ausführen könnte.
Doch Achtung: HTM- und HTML-Dateien können das Opfer direkt zum Server des Angreifers umleiten! Die eingegebenen Anmeldeinformationen gelangen so in die falschen Hände. Zudem können solche Dateien auch Skripte beinhalten, welche ev. weiteren Schaden verursachen.
In modernen E-Mail-Programmen werden solche Umleitungen und Skripte aus Sicherheitsgründen blockiert. Wenn Sie jedoch einen HTM- oder HTML-Anhang öffnen, unterliegt dieser nicht mehr den Sicherheitseinstellungen des E-Mail-Programms. Das perfide ist zudem, dass sensibilisierte Benutzer ausgetrickst werden, da in der Adresszeile des Browsers «nur» ein lokaler Dateipfad steht und keine dubiose URL wie beim klassischen Phishing.