X

Beliebte Themen

Multimedia

Angler mit Absichten

Phishing ist nicht mehr so leicht zu erkennen wie einst. Mit immer perfideren Tricks versuchen Betrüger, online an Ihre Daten zu kommen.

TEXT
25. März 2019

Der nigerianische Prinz möchte Ihnen Millionen überweisen und den Jackpot der spanischen Lotterie haben Sie auch geknackt – bestimmt kennen Sie solche kuriosen Mails. Phishing nennt sich das – eine Zusammensetzung aus den englischen Wörtern «password» und «fishing», weil Betrüger damit nach Daten wie Passwörtern angeln. Seit Jahren wird man vor diesen E-Mails gewarnt. Weshalb werden dann gemäss einer Studie von Google noch immer 47 Prozent der Schweizer Opfer von Phishing? «Auf die nigerianischen Prinzen fällt heute fast niemand mehr herein», weiss Mark Risher, der bei Google für Sicherheitsfragen zuständig ist. Heute seien die Nachrichten viel zielgerichteter. «Die Betrüger sammeln erst Informationen über ihre Opfer und passen ihre Nachricht an. Plötzlich erhält man nicht mehr einfach eine E-Mail von einer Bank, sondern von der Filiale in der Nähe des eigenen Hauses.»

Wettbewerb

Gewinnen Sie eines von 12 Security-Kits von Google

Wir verlosen 12 Security-Kits von Google. Diese erhalten einen physischen Sicherheitsschlüssel, der zusätzlich zum Passwort nötig ist, um auf Ihr Google-Konto zuzugreifen.

Social Engineering nennt sich dieses Vorgehen: Man beschafft sich Informationen über eine Person und versucht, sie damit zu beeinflussen. Das bedeutet für Kriminelle deutlich mehr Aufwand. «Aber er lohnt sich für sie, weil auch der Ertrag viel höher ist», sagt Risher. «Auf die alten massenhaft versandten Mails fällt vielleicht einer von einer Million rein, auf die persönlichen viel mehr.»

Viele Opfer würden sich schämen, wenn ein Krimineller mit dieser Masche Erfolg hat, sagt Risher. «Dafür gibt es keinen Grund. Oft sind Phishing-Versuche sehr gut gemacht.» Entsprechend schwierig ist es, sich effektiv vor ihnen zu schützen. «Es hilft schon, sich der Bedrohung bewusst zu sein.»

So schützen Sie sich

Die alten Sicherheitstipps sind noch gültig: Klicken Sie nicht auf verdächtige Links. Aufgepasst: Steht in einer Mail ein Link, kann dahinter auch eine andere URL hinterlegt sein. Tippen Sie den Link im Zweifelsfall lieber ab. Überprüfen Sie die Mailadresse des Absenders. Oft enthalten diese kleine Abweichungen zum Original. Aber selbst wenn der Absender ein Freund ist, könnte sein Konto gehackt worden sein. Fragen Sie bei verdächtigem Inhalt den Freund lieber direkt, ob er der Urheber ist.

Unpersönliche Anreden wie «Sehr geehrter Kunde» sind Grund zur Vorsicht – allerdings benutzen auch Angreifer heute oft persönliche Anreden. Keine Firma wird Sie nach personenbezogenen Daten wie Passwörtern oder Kreditkartennummern fragen. Phishing findet auch auf sozialen Medien, per SMS oder Anruf statt. Ein Blick auf die Nummer des Anrufers oder Absenders hilft nicht immer – denn Nummern von Bekannten und Firmen können kopiert werden.

Überprüfen Sie regelmässig, was Sie in sozialen Medien öffentlich preisgeben, das sich Betrüger zunutze machen könnten. Begrenzen Sie den Schaden erfolgreichen Phishings, indem Sie alle Accounts mit eigenem Passwort und Zwei-Faktor-Authentifizierung schützen. 

Tipps im Umgang mit Phishing-Mails

Phishing-Mails erkennen

  • Unpersönliche Anrede wie «Sehr geehrter Kunde»
  • Falsche oder verdächtige Absenderadresse
  • Falsches oder verdächtiges E-Mail-Design (z.B. schlecht aufgelöste Logos)
  • Fremdsprache (meistens Englisch) oder schlechtes Deutsch
  • Falsche URL – Achtung: Nur weil der Link im Mail korrekt ist, kann dahinter trotzdem eine falsche URL hinterlegt sein. In vielen Mailprogrammen wird die hinterlegte URL angezeigt, wenn man den Cursor auf den Link bewegt.
  • Abfrage von Anmeldedaten – Wenn Sie gebeten werden, auf einen Link zu klicken und dann erst einmal Ihre Anmeldedaten einzugeben, ist das ein deutliches Zeichen für einen Phishing-Versuch.
  • Dringende Handlungsaufforderungen und Drohungen wie «Ihre Kreditkarte wird gesperrt, wenn Sie nicht …»
  • Anhänge mit kryptischen Namen
  • Bei E-Mails von Freunden: atypische Formulierungen, falscher Dialekt, komischer Inhalt
  • Gewinne bei Lotterien, an denen man nicht teilgenommen hat, oder Rechnungen von Unternehmen, bei denen man nichts gekauft hat

Phishing verhindern

  • Möglichst wenige persönliche Daten öffentlich zugänglich machen
  • URLs selber eintippen statt auf Links klicken
  • Nur auf Links klicken, wenn man dem Absender vertraut
  • Richtigen E-Mail-Client benutzen, nicht einfach die vorinstallierte App auf dem Handy
  • Anti-Virus-Software mit Phishing-Schutz installieren
  • Bei verdächtigem Inhalt Freunde fragen, ob eine Mail wirklich von ihnen stammt

Folgen von Phishing einschränken

  • Jeden Account mit einem eigenen Passwort sichern
  • Zwei-Faktor-Authentifizierung für alle Accounts einrichten
  • Phishing(-Versuche) melden – z.B. Mail weiterleiten an reports@antiphishing.ch oder URL der Phishing-Seite eingeben unter www.antiphishing.ch