Was ist Phishing?
Das Wort Phishing setzt sich aus den englischen Wörtern «Password», «Harvesting» und «Fishing» zusammen. Mittels Phishing versuchen Betrüger, an vertrauliche Daten von ahnungslosen Internet-Benutzern zu gelangen. Dabei kann es sich beispielsweise um Kontoinformationen von Online-Auktionsanbietern (zum Beispiel eBay) oder Zugangsdaten für das Internet-Banking handeln.
Die Betrüger nutzen die Gutgläubigkeit ihrer Opfer aus, indem sie ihnen E-Mails mit gefälschten Absenderadressen zustellen. In den E-Mails wird das Opfer beispielsweise darauf hingewiesen, dass seine Kontoinformationen und Zugangsdaten (zum Beispiel Benutzernamen und Passwort) nicht mehr sicher oder aktuell sind und es diese unter dem im E-Mail aufgeführten Link ändern soll. Der Link führt dann allerdings nicht auf die Originalseite des jeweiligen Dienstanbieters (etwa der Bank), sondern auf eine vom Betrüger identisch aufgesetzte Webseite.
Mit den erschlichenen Daten kann ein Betrüger im Namen des Opfers beispielsweise Banküberweisungen tätigen oder Angebote bei einer Online-Versteigerung platzieren.
Phishing-Attacken zielen auf die Herausgabe persönlicher Daten
Das klassische Phishing, bei dem Opfer in E-Mails dazu verleitet werden, sensible Daten wie Kreditkartendaten anzugeben, ist auf dem Vormarsch. In den letzten Jahren kamen aber auch zahlreiche Voice-Phishing-Angriffe hinzu, die gegen Schweizer E-Banking-Kunden gerichtet waren (siehe Bild unten): Dabei werden Phishing-E-Mails versendet, welche vorgeben, dass das Finanzinstitut zum Schutz des E-Banking-Kontos ein neues Sicherheitssystem installiert hat. Ein Bankmitarbeiter werde sich mit dem Opfer telefonisch in Verbindung setzen, um den Prozess zu diskutieren und zu vervollständigen. Zu diesem Zweck wird das Opfer gebeten, neben persönlichen Daten auch seine Telefonnummer anzugeben.
Anschliessend werden die Opfer von den Betrügern angerufen und unter dem Vorwand, die Sicherheit zu verbessern, dazu bewegt, das Passwort und das zweite Sicherheitselement anzugeben.
Dabei wird das Opfer beispielsweise aufgefordert, einen Code in den Kartenleser einzugeben und dem Angreifer das Ergebnis mitzuteilen. Mit diesen Angaben kann sich der Betrüger in das E-Banking-Konto einloggen und eine Zahlung auslösen. Wird für das Auslösen der Zahlung die sogenannte Transaktionssignierung verlangt, wird der Prozess wiederholt und auch diese in der gleichen Art und Weise vom Betrüger erfragt. Der Telefonanruf wird jeweils professionell durchgeführt und erfolgt oftmals auch in Schweizerdeutsch.
So schützt ihr eure Daten
Gebe keine persönlichen Daten an, wenn du per E-Mail dazu aufgefordert wirst, sondern lösche die E-Mail.
Beende umgehend Telefongespräche, bei denen du nach Passwörtern, Kreditkartendaten oder anderen persönlichen Informationen gefragt wirst. Keine Bank fordert ihre Kunden per Telefon oder E-Mail auf, Passwörter, Kreditkartendaten oder andere persönlichen Angaben anzugeben, zu verifizieren oder zu aktualisieren.
Misstraue E-Mails, die du unaufgefordert bekommst.
Besonders gerne werden E-Mail-Adressen vertrauenswürdiger Firmen für betrügerische Zwecke missbraucht.
Kunden, welche Passwörter oder Kreditkartendaten wie oben beschrieben einem Betrüger angegeben haben, sollten sich umgehend an die E-Banking-Hotline der jeweiligen Bank wenden.
Wie Phishing-Mails melden?
Wer als Privatperson Opfer einer Phishing-Attacke geworden ist und einen Schaden erlitten hat, sollte sich in erster Linie bei der lokalen Polizeistelle melden.
Sind Firmen oder andere grosse Organisationen betroffen, können sich diese an die Nationale Anlaufstelle Cybersicherheit wenden. Die Aufgabe der Anlaufstelle ist es jedoch nicht, strafrechtliche Ermittlungen aufzunehmen. Dies ist Sache des Bundesamts für Polizei (Fedpol), das im Auftrag der Bundesanwaltschaft handelt. Anzeigen sollten Unternehmen bei der Kantonspolizei erstatten.
Die Polizeistellen im Inland stehen in Kontakt mit dem Fedpol. Gehen die Ermittlungen über die Landesgrenzen hinweg, tauscht sich das Fedpol mit der zuständigen Polizei im Ausland aus.
Ist Phishing strafbar?
Der blosse Versand von Phishing-Mails ist nicht strafbar.
Erst wenn gegen ein bestimmtes Gesetz verstossen wird, erhält die verschickte Nachricht strafrechtliche Relevanz.
Zu den Vergehen im Zusammenhang mit Phishing-Mails zählen folgende typische Straftatbestände: Urkundenfälschung (Art. 251 StGB), Geldwäscherei (Art. 305bis StGB) oder betrügerischer Missbrauch einer Datenverarbeitungsanlage (Art. 147 StGB). Mit Letzterem ist gemeint, dass ein Angreifer beispielsweise in eine Datenbank eingreift, um dem Opfer mit den erhaltenen Daten einen Schaden hinzuzufügen oder um Geld zu entwenden.
Das Fedpol ermittelt laufend bei Verfahren, die in Bundeszuständigkeit fallen. Dazu zählen zum Beispiel Wirtschaftsdelikte mit internationalem Bezug, terroristisch motivierte Verbrechen oder solche, die den Staat schädigen. Da Cyberdelikte über Kantons- und Landesgrenzen hinweg stattfinden, wurde das Nationale Zentrum für Cybersicherheit (NCSC) neu formiert. Das Kompetenzzentrum ist eine operative Plattform, die einen besseren Austausch und Koordination zwischen Bund (Bundesanwaltschaft, Fedpol, Anlaufstelle Cybersicherheit) und den Kantonen (Kantonspolizeien, Kantonale Staatsanwaltschaften) ermöglicht.
Beispiel von einer typischen Phishing-Mail
Gefälschtes Login beim E-Banking
Die Nationale Anlaufstelle Cybersicherheit warnt vor einer Betrugsmasche beim E-Banking.
Es geht darum, dass Kriminelle den Login-Vorgang beim E-Banking manipulieren. Mittels Social Engineering* werden Smartphone-Nutzer im Glauben gelassen, dass sie aufgrund eines Updates des Online-Banking-Systems die Informationen aus dem Aktivierungsbrief einsenden sollen. Diesen Brief schickt die Bank in der Regel bei der Anmeldung zum E-Banking an den Kunden, damit ein Zweitgerät für die mobile Authentifizierungsmethode zugelassen wird. Damit beabsichtigen die Phishing-Betrüger, an das farbige Mosaikbild zu kommen, welches das Opfer bereits für die Registrierung mit dem Smartphone gescannt hatte.
Die Anlaufstelle warnt, dass es den Betrügern dadurch unter Umständen möglich ist, sich in das E-Banking des Opfers einzuloggen, indem ein weiteres Smartphone für die sogenannte Zwei-Faktor-Authentifizierung aktiviert wird. Ab diesem Zeitpunkt können sich die Angreifer jederzeit in das E-Banking Portal einloggen und ohne das Wissen des Opfers Zahlungen auf ein Konto auslösen.
Diese Sicherheitsvorkehrungen sollte man beachten
Das sind die wichtigsten Tipps der Nationalen Anlaufstelle Cybersicherheit im Umgang mit E-Banking:
Gebe Informationen aus dem Aktivierungsbrief nie weiter, auch nicht an die Bank. Dieser ist persönlich für den Kunden bestimmt. Im Zweifelsfall kontaktieren Sie die Bank direkt und fragen telefonisch nach.
Stelle sicher, dass du beim Login-Vorgang ins E-Banking auf dem mobilen Gerät (beispielsweise Smartphone oder PhotoTAN-Gerät) wirklich das Login bestätigst und dass es sich nicht bereits um die Visierung einer Zahlung handelt.
Lese immer den ganzen Text auf dem mobilen Gerät, wenn Sie eine Zahlung visieren. Überprüfe zur Sicherheit auch nochmals den Betrag und Empfänger (Name, IBAN) vor der Freigabe der Zahlung.
Wer Bedenken hat, bereits in die Falle der Angreifer getappt zu sein, sollte umgehend den E-Banking-Vertrag sperren lassen. Weitere Infos zur Sicherheit beim E-Banking findest du auf www.ebas.ch.