Startseite Navigation Inhalt Kontakt Sitemap Suche
HomeBedrohungenPhis­hing

Phis­hing

Mit­tels Phis­hing ver­su­chen Angreifer an Zugangs­daten ahnungs­loser Inter­net­be­nutzer z.B. zum E-Ban­king oder zu Online-Shops zu gelangen. Die Täter täu­schen dabei eine fal­sche Iden­tität vor und nutzen so die Gut­gläu­big­keit ihrer Opfer aus.

Schützen Sie sich vor Phis­hing, indem Sie…

  • nie einen Link ver­wenden, der per E-Mail, SMS oder Mes­senger-Dienst zuge­schickt oder per QR-Code ein­ge­scannt wurde, um sich bei einem Finanz­in­stitut anzumelden.
  • nie For­mu­lare aus­füllen, die per E-Mail zuge­stellt wurden und zur Ein­gabe von Anmel­de­infor­ma­tionen auffordern.
  • Anhänge von E-Mails und Kurz­nach­rich­ten­diensten mit grosser Vor­sicht behandeln.
  • in Tele­fon­ge­sprä­chen nie ver­trau­liche Infor­ma­tionen, wie z.B. Pass­wörter, preisgeben.
  • die Adresse zur Anmel­de­seite Ihres Online-Dienst­leis­ters oder Finanz­in­sti­tuts immer manuell in die Adress­zeile Ihres Brow­sers eingeben.
  • beim Aufruf der Anmel­de­seite die SSL-Ver­bin­dung (https://, Schloss­symbol) über­prüfen und sich durch die Kon­trolle der Inter­net­adresse in der Adress­zeile Ihres Brow­sers ver­ge­wis­sern, dass Sie sich am rich­tigen Ziel befinden.
  • sich bei Unsi­cher­heit oder Unklar­heit an das Finanz­in­stitut wenden.

So läuft ein Phis­hing-Angriff typi­scher­weise ab

1. Kon­takt­auf­nahme

Kri­mi­nelle ver­schi­cken gefälschte E-Mails und geben sich als Mit­ar­bei­tende von Online-Dienst­leis­tern oder Finanz­in­sti­tuten aus. Die Emp­fänger der E-Mails werden bei­spiels­weise darauf hin­ge­wiesen, dass die Kon­to­in­for­ma­tionen oder Zugangs­daten (z.B. Benut­zer­name und Pass­wort) nicht mehr sicher oder aktuell seien und diese unter dem im E-Mail auf­ge­führten Link aktua­li­siert werden sollten.

2. Abfangen per­sön­li­cher Daten

Der Link führt aller­dings nicht auf die Ori­gi­nal­seite des ange­ge­benen Dienst­leis­ters, son­dern auf eine gefälschte, jedoch täu­schend echt aus­se­hende Web­seite. Dort ein­ge­ge­bene, per­sön­liche Infor­ma­tionen, wie bei­spiels­weise Pass­wörter, gelangen dadurch direkt zur Täterschaft.

3. Berei­che­rung

Die Kri­mi­nellen tätigen dann mit den gestoh­lenen Infor­ma­tionen im Namen der Opfer bei­spiels­weise Bank­über­wei­sungen, kaufen online auf deren Kosten ein oder plat­zieren gefälschte Ange­bote bei Online-Auktionsanbietern.

 

Damit Sie Phis­hing-Mails erhalten, müssen die Betrüger Ihre E-Mail-Adresse kennen. Um diese Gefahr zu ver­rin­gern und auch gene­rell den Spam in Ihrem Post­ein­gang zu redu­zieren, hilft die Befol­gung einiger ein­fa­cher Regeln, die Sie in unserem Artikel zum Thema Spam finden.

Unter Phis­hing wird der Dieb­stahl schüt­zens­werter Infor­ma­tionen wie z.B. Anmel­de­infor­ma­tionen von Inter­net­be­nut­zern verstanden.

Der Begriff ist ein eng­li­sches Kunst­wort, wel­ches sich aus «pass­word» und «fishing» zusammensetzt.

 

Merk­blatt:

Wei­ter­füh­rende Infor­ma­tionen für Interessierte

Klas­si­sches Phishing

Beim klas­si­schen Phis­hing ver­su­chen die Angreifer ihre Opfer mit­hilfe von gefälschten E-Mails auf gefälschte Web­seiten zu locken und dazu zu bringen, dort ihre Anmel­de­infor­ma­tionen (z.B. Ver­trags­nummer, Pass­wort) ein­zu­geben.

Alter­nativ oder zusätz­lich werden oft Mail-Anhänge bei­gefügt, welche einen Tro­janer ent­halten, der sich bei öffnen des Anhangs im Hin­ter­grund instal­liert und fortan die Zugangs­daten des Inter­net­be­nut­zers aus­spio­niert oder ihn auf gefälschte Web­sites führt.

Wichtig zu wissen: Finanz­in­sti­tute ver­schi­cken nie solche E-Mails!

Prä­ven­tion: Keine Links oder Anhänge in E-Mails ankli­cken, son­dern die Adresse des Finanz­in­sti­tuts stets manuell im Browser ein­geben. Über­prü­fung der SSL-Ver­bin­dung und des Zer­ti­fi­kats.

Spear Phis­hing und Dyna­mite Phishing

Im Gegen­satz zum klas­si­schen Phis­hing, wo grosse Mengen von E-Mails wahllos an ein breites Publikum ver­schickt werden, werden die Emp­fänger beim Spear-Phis­hing gezielt aus­ge­wählt und erhalten E-Mails, die auf sie per­sön­lich zuge­schnitten sind.

Der Absender tarnt sich dabei als ver­trau­ens­wür­dige Person, häufig als Bekannter, Mit­ar­beiter oder Geschäfts­partner des Emp­fän­gers. Der mass­ge­schnei­derte Inhalt der E-Mails wirkt glaub­würdig und authen­tisch und wird daher oft auch von Spam-Fil­tern nicht erkannt.

Werden die per­so­na­li­sierten Mails auto­ma­ti­siert erstellt und mas­sen­haft ver­schickt, spricht man auch von «Dyna­mite Phis­hing».

Prä­ven­tion: Seien Sie miss­trau­isch bei uner­war­teten E-Mails oder sol­chen mit unge­wöhn­li­chem Inhalt, auch wenn Sie den Absender zu kennen glauben. Setzen Sie sich mit ihm im Zwei­fels­fall über einen zweiten Kanal, bei­spiels­weise tele­fo­nisch, in Verbindung.

Smis­hing (SMS-Phis­hing)

Auch SMS-Nach­richten werden immer öfter für Phis­hing-Angriffe ein­ge­setzt. Das per­fide an «Smis­hing» ist, dass die meisten Kri­te­rien zur Erken­nung von Phis­hing E-Mails bei SMS-Nach­richten nicht anwendbar sind: Eine per­sön­liche Anrede fehlt meist. Sprache und Gestal­tung der Kurz­nach­richten sind zu ein­fach und zu knapp, um Rück­schlüsse auf eine mög­liche Fäl­schung zu erlauben. Und der wahre Absender sowie der Link lassen sich mit den meisten Mobil­ge­räten nur schwer über­prüfen. Zudem sind sich viele Anwender gewohnt, SMS-Nach­richten zur Veri­fi­ka­tion der E-Ban­king-Anmel­dung oder Finanz­trans­ak­tionen zu erhalten.

Prä­ven­tion: Kli­cken Sie nie­mals auf Links in SMS-Nach­richten, son­dern geben Sie die Ihnen bekannte Adresse der Web­site des Finanz­in­sti­tuts von Hand im Browser ein und über­prüfen Sie die sichere Ver­bin­dung (Schloss­symbol, Ziel­adresse). Kon­tak­tieren Sie bei uner­war­teten SMS-Nach­richten die Bank über die Ihnen bekannten Kon­takt­in­for­ma­tionen (z.B. offi­zi­elle Tele­fon­nummer), und lassen Sie sich den Ver­sand der SMS-Nach­richt bestätigen.

Vis­hing (Phone-Phis­hing)

Vis­hing ist die sprach­ba­sie­rende respek­tive tele­fo­ni­sche Vari­ante des Phis­hing. Ähn­lich wie beim klas­si­schen Phis­hing werden Benutzer durch gut aus­ge­dachte Geschichten dazu ver­leitet, ver­trau­liche Infor­ma­tionen wie z.B. die Anmel­de­infor­ma­tionen fürs E-Ban­king preiszugeben.

Prä­ven­tion: Geben Sie ver­trau­liche Daten wie Pass­wörter nie einer anderen Person bekannt. Beenden Sie Tele­fon­an­rufe, in denen Sie danach gefragt werden, umge­hend. Kon­tak­tieren Sie Ihr Finanz­in­stitut nur über die offi­zi­ellen Telefonnummern.

QR-Phis­hing

Beim QR-Phis­hing über­kleben Angreifer QR-Codes (Quick Response-Codes) an häufig fre­quen­tierten Orten durch eigene und führen somit Benutzer auf eine fal­sche URL. So können ohne Wei­teres, ins­be­son­dere auf mobilen Geräten, Down­loads gestartet, Skripte aus­ge­führt oder eine gefälschte Login-Seite eines Finanz­in­sti­tuts ange­zeigt werden.

Prä­ven­tion: Ver­wenden Sie nie­mals einen QR-Code, um sich bei einem Finanz­in­stitut anzu­melden. Prüfen Sie vor dem Scannen, ob der QR-Codes nicht durch einen gefälschten über­deckt wurde. Über­prüfen Sie, ob der Link auf die gewünschte Adresse zeigt.

Phis­hing mit Web­seiten im Anhang

Beim Phis­hing mit Web­seiten ist kein Link oder Doku­ment in den E-Mails ent­halten – statt­dessen befindet sich eine gefälschte Web­seite als HTM- oder HTML-Datei im Anhang. Das Opfer wird so aus­ge­trickst, da kein Link mehr anzu­kli­cken ist. Und das Öffnen der Datei im Anhang scheint auf den ersten Blick auch nicht beson­ders gefähr­lich zu sein, da es sich nicht um ein Doku­ment (Word, Excel etc.) han­delt, wel­ches z.B. Makros aus­führen könnte.

Doch Ach­tung: HTM- und HTML-Dateien können das Opfer direkt zum Server des Angrei­fers umleiten! Die ein­ge­ge­benen Anmel­de­infor­ma­tionen gelangen so in die fal­schen Hände. Zudem können solche Dateien auch Skripte beinhalten, welche ev. wei­teren Schaden verursachen.

In modernen E-Mail-Pro­grammen werden solche Umlei­tungen und Skripte aus Sicher­heits­gründen blo­ckiert. Wenn Sie jedoch einen HTM- oder HTML-Anhang öffnen, unter­liegt dieser nicht mehr den Sicher­heits­ein­stel­lungen des E-Mail-Pro­gramms. Das per­fide ist zudem, dass sen­si­bi­li­sierte Benutzer aus­ge­trickst werden, da in der Adress­zeile des Brow­sers «nur» ein lokaler Datei­pfad steht und keine dubiose URL wie beim klas­si­schen Phis­hing.

Prä­ven­tion: Seien Sie bei HTM- und HTML-Anhängen grund­sätz­lich skep­tisch. Kli­cken Sie keine Anhänge in E-Mails an, son­dern geben Sie die Adresse des Finanz­in­sti­tuts immer manuell im Browser ein.

Diese Beiträge könnten Sie auch interessieren:

Was möchten Sie weiter zum Thema Sicherheit beim E-Banking wissen?

Jetzt für einen Kurs
anmelden und mehr lernen:

Grund­kurs

Lernen Sie die aktu­ellen Bedro­hungen im Internet kennen und wie Sie sich mit ein­fa­chen Mass­nahmen davor schützen und E-Ban­king sicher anwenden.

wei­tere Informationen

Online-Kurs Mobile Ban­king / Payment

Lernen Sie Mobile Ban­king und Mobile Pay­ment kennen und wie Sie solche Apps sicher nutzen.

wei­tere Informationen

Online-Kurs für unter 30-jährige

Lerne dein Smart­phone sicher zu ver­wenden. Neben Basics zeigen wir dir, was bzgl. Social Media, Clouds, Mobile Ban­king und Mobile Pay­ment wichtig ist.

wei­tere Informationen

Kurs für KMU

Ist Ihr Unter­nehmen genü­gend sicher? Lernen Sie, mit wel­chen Mass­nahmen Sie die Infor­ma­ti­ons­si­cher­heit in Ihrem Unter­nehmen deut­lich erhöhen.

wei­tere Informationen