Phishing: Schützende Tipps

Klassisches Phishing

Beim klassischen Phishing versuchen die Angreifer ihre Opfer mithilfe von gefälschten E-Mails auf gefälschte Webseiten zu locken und dazu zu bringen, dort ihre Anmeldeinformationen (z.B. Vertragsnummer, Passwort) einzugeben.

Alternativ oder zusätzlich werden oft Mail-Anhänge beigefügt, welche einen Trojaner enthalten, der sich bei öffnen des Anhangs im Hintergrund installiert und fortan die Zugangsdaten des Internetbenutzers ausspioniert oder ihn auf gefälschte Websites führt.

Wichtig zu wissen: Finanzinstitute verschicken nie solche E-Mails!

Prävention: Keine Links oder Anhänge in E-Mails anklicken, sondern die Adresse des Finanzinstituts stets manuell im Browser eingeben. Überprüfung der SSL-Verbindung und des Zertifikats.

Spear Phishing und Dynamite Phishing

Im Gegensatz zum klassischen Phishing, wo grosse Mengen von E-Mails wahllos an ein breites Publikum verschickt werden, werden die Empfänger beim Spear-Phishing gezielt ausgewählt und erhalten E-Mails, die auf sie persönlich zugeschnitten sind.

Der Absender tarnt sich dabei als vertrauenswürdige Person, häufig als Bekannter, Mitarbeiter oder Geschäftspartner des Empfängers. Der massgeschneiderte Inhalt der E-Mails wirkt glaubwürdig und authentisch und wird daher oft auch von Spam-Filtern nicht erkannt.

Werden die personalisierten Mails automatisiert erstellt und massenhaft verschickt, spricht man auch von «Dynamite Phishing».

Prävention: Seien Sie misstrauisch bei unerwarteten E-Mails oder solchen mit ungewöhnlichem Inhalt, auch wenn Sie den Absender zu kennen glauben. Setzen Sie sich mit ihm im Zweifelsfall über einen zweiten Kanal, beispielsweise telefonisch, in Verbindung.

Smishing (SMS-Phishing)

Auch SMS-Nachrichten werden immer öfter für Phishing-Angriffe eingesetzt. Das perfide an «Smishing» ist, dass die meisten Kriterien zur Erkennung von Phishing E-Mails bei SMS-Nachrichten nicht anwendbar sind: Eine persönliche Anrede fehlt meist. Sprache und Gestaltung der Kurznachrichten sind zu einfach und zu knapp, um Rückschlüsse auf eine mögliche Fälschung zu erlauben. Und der wahre Absender sowie der Link lassen sich mit den meisten Mobilgeräten nur schwer überprüfen. Zudem sind sich viele Anwender gewohnt, SMS-Nachrichten zur Verifikation der E-Banking-Anmeldung oder Finanztransaktionen zu erhalten.

Prävention: Klicken Sie niemals auf Links in SMS-Nachrichten, sondern geben Sie die Ihnen bekannte Adresse der Website des Finanzinstituts von Hand im Browser ein und überprüfen Sie die sichere Verbindung (Schlosssymbol, Zieladresse). Kontaktieren Sie bei unerwarteten SMS-Nachrichten die Bank über die Ihnen bekannten Kontaktinformationen (z.B. offizielle Telefonnummer), und lassen Sie sich den Versand der SMS-Nachricht bestätigen.

Vishing (Phone-Phishing)

Vishing ist die sprachbasierende respektive telefonische Variante des Phishing. Ähnlich wie beim klassischen Phishing werden Benutzer durch gut ausgedachte Geschichten dazu verleitet, vertrauliche Informationen wie z.B. die Anmeldeinformationen fürs E-Banking preiszugeben.

Prävention: Geben Sie vertrauliche Daten wie Passwörter nie einer anderen Person bekannt. Beenden Sie Telefonanrufe, in denen Sie danach gefragt werden, umgehend. Kontaktieren Sie Ihr Finanzinstitut nur über die offiziellen Telefonnummern.

QR-Phishing

Beim QR-Phishing überkleben Angreifer QR-Codes (Quick Response-Codes) an häufig frequentierten Orten durch eigene und führen somit Benutzer auf eine falsche URL. So können ohne Weiteres, insbesondere auf mobilen Geräten, Downloads gestartet, Skripte ausgeführt oder eine gefälschte Login-Seite eines Finanzinstituts angezeigt werden.

Prävention: Verwenden Sie niemals einen QR-Code, um sich bei einem Finanzinstitut anzumelden. Prüfen Sie vor dem Scannen, ob der QR-Codes nicht durch einen gefälschten überdeckt wurde. Überprüfen Sie, ob der Link auf die gewünschte Adresse zeigt.