Startseite Navigation Inhalt Kontakt Sitemap
Unter Phishing wird der Diebstahl schützenswerter Informationen, wie z. B. Anmeldeinformationen von Internetbenutzern, verstanden. Der Begriff ist ein englisches Kunstwort, welches sich aus «password» und «fishing» zusammensetzt.

 

Schützen Sie sich vor Phishing, indem Sie …
Merkblatt: «Phishing» Information und Prävention
  • nie einen Link verwenden, der per E-Mail zugeschickt oder per
    QR-Code eingescannt wurde, um sich bei einem Finanzinstitut anzumelden
  • nie Formulare ausfüllen, die per E-Mail zugestellt wurden und zur Eingabe von Anmeldeinformationen auffordern
  • in Telefongesprächen nie vertrauliche Informationen, wie z. B. Passwörter, preisgeben
  • die Adresse zur Anmeldeseite des Finanzinstituts immer manuell eingeben
  • die SSL-Verbindung überprüfen
  • sich bei Unsicherheit oder Unklarheit an das Finanzinstitut wenden

 

Phishing-Test

 

Mittels Phishing versuchen Angreifer auf unerlaubte Weise Passwörter zu erlangen, um Zugang zu vertraulichen Daten ahnungsloser Internetbenutzer zu erhalten. Das können z. B. die Anmeldeinformationen fürs E-Banking oder Kontoinformationen von Online-Shops sein. Die Täter nutzen die Gutgläubigkeit ihrer Opfer aus, indem sie etwa als Mitarbeiter vertrauenswürdiger Finanzinstitute auftreten.

Phishing-Angriffe gehören zur Klasse der Man-in-the-Middle-Angriffe. Bei diesem Angriffstyp wird die Kommunikation über eine unberechtigte Zwischenstation (Man-in-the-Middle / Angreifer) geführt, die den umgeleiteten Datenverkehr abhört und allenfalls manipuliert. Im Fall von Phishing werden abgehörte Anmeldeinformationen für die Anmeldung beim echten Webserver des Finanzinstituts missbraucht.

Die folgende Abbildung zeigt schematisch, wie ein Phishing-Angriff funktioniert.

 

Phishing als Man-in-the-Middle-Angriff

 

Neben dem klassischen Phishing via E-Mail existieren weitere verschiedene Varianten (Vishing und QR-Phishing), welche nachfolgend beschrieben sind.

 

Klassisches Phishing

Vorgehen der Angreifer

Beim klassischen Phishing versuchen die Angreifer mögliche Opfer mithilfe von gefälschten E-Mails auf gefälschte Webseiten zu locken und auf diese Weise dazu zu bringen, auf den gefälschten Webseiten ihre Anmeldeinformationen einzugeben. Der Angreifer als Betreiber der gefälschten Webseite kommt so in den Besitz der Anmeldeinformationen des Opfers. Sehr oft arbeiten Phisher mit Spammern zusammen, da letztere über diejenige Infrastruktur verfügen, die notwendig ist, um gefälschte E-Mails in sehr grosser Zahl zu versenden.

Die folgende Abbildung zeigt eine gefälschte E-Mail, die für einen Angriff auf den Bezahl-Dienstleister PayPal im Jahr 2005 verwendet worden ist.

 

Gefälschte Phishing-E-Mail

 

In der E-Mail wird der Empfänger aufgefordert, einen Link anzuklicken, um sich bei PayPal anzumelden. Der angezeigte Link entspricht der tatsächlichen Adresse der Anmeldeseite von PayPal (echte Webseite). Beim Klicken auf den Link wird allerdings eine Verbindung zur Webseite des Angreifers hergestellt (gefälschte Webseite), die der echten Webseite täuschend echt nachgebildet ist. Die Adresse der gefälschten Webseite wird im blau hinterlegten Kästchen angezeigt. Microsoft Outlook zeigt diese Adresse automatisch an, wenn der Mauszeiger über den Link geführt wird. (Es ist dazu also kein Mausklick notwendig.)

Die folgende Bildsequenz zeigt die echte PayPal-Webseite, die gefälschte Seite und die Unterschiede der beiden Seiten.

Echte Webseite:

Echte Webseite

Gefälschte Webseite:

Gefälsche Webseite

Unterschiede zwischen gefälschter und echter Webseite:

Unterschiede zwischen gefälschter und echter Webseite

Prävention

Durch richtiges Surfverhalten:

  • Nie einen Link verwenden, der per E-Mail zugeschickt wurde, um sich bei einem Finanzinstitut anzumelden. Ebenso wenig dürfen Formulare, die per E-Mail zugestellt wurden und zur Eingabe von Anmeldeinformationen auffordern, ausgefüllt werden. Finanzinstitute verschicken nie solche E-Mails!
  • Die sichere Navigation zur Anmeldeseite eines Finanzinstituts erfolgt über eine manuelle Eingabe der Adresse in der Adresszeile des Browsers.

Durch Überprüfung der SSL-Verbindung:

 

Varianten des klassischen Phishing

Phishing mit Malware

Beim Phishing mit Malware wird das Opfer nicht durch eine gefälschte E-Mail auf die gefälschte Webseite des Finanzinstituts umgeleitet, sondern durch Malware (=bösartige Software, z. B. in Form eines Trojaners), die sich auf dem Computer des Opfers eingenistet hat. Beim Zugriff auf die echte Webseite wird das Opfer automatisch und unbemerkt auf die gefälschte Webseite umgeleitet.

Prävention: Die Webseite des Finanzinstituts muss auf Echtheit überprüft werden. Da heutzutage alle Finanzinstitute sichere SSL-Verbindungen einsetzen, muss deshalb die SSL-Verbindung auf Korrektheit überprüft werden.

Klicken Sie hier, um zu sehen wie Sie ein Zertifikat überprüfen können.

 

Pharming

Pharming gehört wie das klassische Phishing oder das Phishing mit Malware zur Gruppe der Man-in-the-Middle-Angriffe. Beim Pharming erfolgt die Umleitung auf die gefälschte Webseite aber durch eine Manipulation des so genannten Domain Name System (DNS), eines Internetdienstes, der beim Aufbau einer Verbindung zu einem Webserver eine zentrale Rolle spielt. Der Name Pharming rührt daher, dass die Angreifer, die Pharming betreiben, über grosse Server-Farmen verfügen, auf denen viele verschiedene gefälschte Webseiten abgelegt sind.

Prävention: Die Webseite des Finanzinstituts muss auf Echtheit überprüft werden. Da heutzutage alle Finanzinstitute sichere SSL-Verbindungen einsetzen, muss deshalb die SSL-Verbindung auf Korrektheit überprüft werden.

Klicken Sie hier, um zu sehen wie Sie ein Zertifikat überprüfen können.

Spear-Phishing

Bei Spear-Phishing handelt es sich um massgeschneiderte Betrugsversuche per E-Mail. Im Gegensatz zum klassischen Phishing, wo grosse Mengen von E-Mails wahllos an ein breites Publikum verschickt werden, werden die Empfängerinnen und Empfänger beim Spear-Phishing gezielt ausgewählt und erhalten E-Mails, die auf sie persönlich zugeschnitten sind. Angriffe richten sich in der Regel also an eine bestimmte Person oder Organisation und zielen unter anderem darauf ab, nicht autorisierten Zugriff auf vertrauliche Daten zu erhalten. Der Absender tarnt sich dabei als vertrauenswürdige Person, häufig als Bekannter, Mitarbeiter oder Geschäftspartner des Empfängers. Der Inhalt der E-Mails wirkt glaubwürdig und authentisch und wird daher oft auch von Spam-Filtern nicht erkannt.

Vorgehen der Angreifer

Ein Beispiel für einen typischen Spear-Phishing-Angriff:

  • Der Angreifer recherchiert im Internet und auf der Website eines Unternehmens, auf der Kontaktdaten einzelner Mitarbeitenden angegeben sind.
  • Auf Social-Media-Plattformen wie z. B. Facebook und in Fachforen durchkämmt er die Online-Profile der namentlich bekannten Mitarbeitenden, um persönliche Informationen über deren Aktivitäten und ihre Kontakte und somit die nötigen Ansatzpunkte für einen massgeschneiderten Angriff zu sammeln.
  • Mithilfe der verfügbaren Informationen verfasst er eine personalisierte, authentisch wirkende Nachricht an einen auf der Kontaktseite genannten Mitarbeitenden. Darin gibt er sich beispielsweise als Netzwerk-Administrator, Personalchef oder Geschäftspartner aus und formuliert eine Aufforderung, die plausibel erscheint, oder legt einen attraktiven Köder aus. Zum Beispiel soll sich der Empfänger der E-Mail über einen Link auf einer speziellen Seite mit Benutzernamen und Kennwort anmelden oder einen Office- oder PDF-Anhang öffnen.
  • Fällt auch nur ein Mitarbeiter auf ein solches Spear-Phishing herein, kann der Angreifer in Zukunft dessen Identität verwenden oder über die Infektion des Computers Zugriff zu persönlichen und firmeninternen Daten erlangen und die Computer weiterer Mitarbeitenden kompromittieren und ausspionieren.

Prävention

  • Der beste Schutz besteht darin, zu wissen, woran Sie einen typischen Spear-Phishing-Angriff erkennen. Aufforderungen eines Mitarbeitenden oder Vorgesetzten, vertrauliche Informationen zu übermitteln, ungewöhnliche Bitten eines Geschäftspartners oder Links mit unbekannter URL erfordern äusserste Vorsicht. Gleiches gilt für vermeintlich attraktive E-Mail-Anhänge mit vielsagenden Dateinamen wie «Löhne_2018.xls» oder «Pressetext-Stellenabbau.pdf».
  • Wenn Sie bei einem empfangenen E-Mail unsicher sind, setzen Sie sich mit dem Absender über einen zweiten Kanal, beispielsweise telefonisch, in Verbindung. Handelt es sich um Ihr Finanzinstitut, kontaktieren Sie dieses nur über die offiziellen Telefonnummern, die Sie z. B. auf den Kontoauszügen finden.
  • Wenn Sie in sozialen Netzwerken aktiv sind, sollten Sie zu grosse Offenheit vermeiden. Besonders vorsichtig sollten Sie beim Posten auf öffentlich zugänglichen Accounts wie Facebook, Twitter oder Instagram sein. Weitere Informationen dazu finden Sie hier.
  • Verwenden Sie stets ein aktuelles Antivirenprogramm und achten Sie darauf, Aktualisierungen für Betriebssystem, Browser, Programme und Apps möglichst zeitnah zu installieren.

Vishing (Voice-Phishing oder auch Phone-Phishing)

Vishing ist die sprachbasierende respektive telefonische Variante des Phishings. Der Begriff «Vishing» steht für «Voice-Phishing» oder «Phishing via VoIP» und bezeichnet die organisierte Datenbeschaffung via Telefon. Ähnlich wie beim klassischen Phishing werden Benutzer durch gut ausgedachte Geschichten dazu verleitet, vertrauliche Informationen wie die Anmeldeinformationen fürs E-Banking preiszugeben. Sowohl die Angriffsvorbereitung als auch der eigentliche Datenklau kann telefonisch erfolgen. Beim Vishing handelt es sich also um einen typischen Social Engineering Angriff.

Vorgehen der Angreifer

Folgende Vorgehen der Angreifer sind zurzeit bekannt:

  • Die Angreifer rufen automatisiert Telefonnummern an. Nimmt ein Empfänger den Anruf an, wird eine Sprachmitteilung abgespielt. Darin wird dem Opfer vorgetäuscht, dass der Anruf von einer vertrauenswürdigen Institution wie einem Finanzinstitut stammt. Während des Telefonats werden die Opfer aufgefordert, Informationen wie Kontonummern, PINs und TANs preiszugeben.
    Die Betrüger machen sich bei diesem Vorgehen u. a. die niedrigen Kosten der Internettelefonie zu nutze.
  • Neben den automatisierten Telefonanrufen mit Sprachmitteilungen existiert auch die persönliche Variante, bei der die Empfänger direkt durch die Angreifer angerufen werden. Wie beim automatisierten Anruf wird dem Empfänger vorgetäuscht, dass der Anruf von einer vertrauenswürdigen Institution wie einem Finanzinstitut stammt. Unter einem Vorwand (z. B. verbesserte Sicherheit, Probleme mit dem Konto), werden die Opfer dazu bewegt, geheime Informationen wie Passwörter, PINs oder TANs preiszugeben.
    Die Telefonanrufe können sehr professionell durchgeführt werden und erfolgen oftmals sogar in Schweizerdeutsch.
  • Bei einer anderen Variante des Angriffs verschicken Betrüger E-Mails, die unter einem Vorwand dazu auffordern, eine angegebene Telefonnummer zu wählen. Zum Beispiel erhalten die Opfer eine gefälschte Nachricht mit dem Absender des Finanzinstituts, die über den Missbrauch der Kreditkarte informiert. Um Schlimmeres zu vermeiden, solle sich der Empfänger umgehend melden. Kommt das Opfer der Aufforderung nach und ruft die Telefonnummer an, wird es entweder durch eine automatisierte Ansage oder direkt durch die Angreifer zur Authentifizierung aufgefordert: Z. B. muss mündlich oder über die Telefontastatur die gefährdete Kreditkartennummer übermittelt werden.
    Diese Angriffsform ist besonders gefährlich, weil sie den Ratschlag vieler Finanzinstitute ausnutzt, nicht auf E-Mails zu reagieren, sondern telefonisch Kontakt aufzunehmen.

Prävention

  • Geben Sie persönliche Daten wie Passwörter nie einer anderen Person bekannt! Beenden Sie Telefonanrufe, in denen Sie danach gefragt werden, umgehend.
  • Kontaktieren Sie Ihr Finanzinstitut nur über die offiziellen Telefonnummern, die Sie z. B. auf den Kontoauszügen finden.

QR-Phishing

QR-Codes (Quick Response-Codes) befinden sich oft auf Produkten, Werbe- oder Filmplakaten, Print-Katalogen oder Zeitungen/Zeitschriften. Sie dienen dazu, Anwender auf zusätzliche Informationsquellen im Internet zu verweisen. Da der Inhalt von QR-Codes von Menschen nicht ohne weiteres dekodiert werden kann, muss der Code zunächst z. B. mit dem Smartphone eingescannt werden. Benutzer können vor dem Einlesen eines QR-Codes in der Regel nicht erkennen, welche Informationen in diesem kodiert wurden. Dies wissen Kriminelle für sich auszunutzen.

Vorgehen der Angreifer

Die Angreifer gehen meistens wie folgt vor: Sie überkleben QR-Codes an häufig frequentierten Orten einfach durch eigene und führen somit leichtgläubige Nutzer auf eine falsche URL. So können ohne weiteres, insbesondere auf mobilen Geräten, Downloads gestartet, Skripte ausgeführt oder eine gefälschte Login-Seite eines Finanzinstituts angezeigt werden. Gerade auf mobilen Geräten fällt vielen Nutzern die Unterscheidung von echten und gefälschten URLs schwerer. Ausserdem hat man je nach mobilem Betriebssystem auch kaum Informationen zu gestarteten Downloads.

Prävention

  • Prüfen Sie vor dem Scannen eines QR-Codes, ob dieser nicht durch einen gefälschten überdeckt wurde.
  • Verwenden Sie nach Möglichkeit einen QR-Code-Scanner (App), der zunächst die decodierten Inhalte anzeigt und nachfragt, ob Sie etwa einen Link besuchen oder eine bestimmte Aktion ausführen möchten. Überprüfen Sie wenn möglich, ob der Link auf die gewünschte Adresse zeigt.
  • Verwenden Sie niemals einen QR-Code, um sich bei einem Finanzinstitut anzumelden.

 

Damit Sie Phishing-Mails erhalten, müssen die Betrüger Ihre E-Mail-Adresse kennen. Um diese Gefahr zu verringern und ganz generell den Spam in Ihrem Posteingang zu reduzieren, hilft die Befolgung einiger einfacher Regeln, die Sie in unserem Merkblatt zum Thema Spam und Phishing-Mails finden.

antiphishing.ch Banner

 

Aargauische KantonalbankBaloise Bank SoBaBanca del Ceresio SABanca del SempioneBancaStatoBank CoopBank LinthBanque CIC (Suisse)Basellandschaftliche KantonalbankBasler KantonalbankFreiburger KantonalbankBanque Cantonale du JuraBanque Cantonale NeuchâteloiseBanque Cantonale VaudoiseBerner KantonalbankBanca Popolare di Sondrio (SUISSE)cash zweiplusClientisCornèr Bank AGGlarner KantonalbankGraubündner KantonalbankHypothekarbank LenzburgJulius BärLiechtensteinische Landesbank AGLuzerner KantonalbankMigros BankNidwaldner KantonalbankObwaldner KantonalbankPiguet GallandPostFinanceSchaffhauser KantonalbankSchwyzer KantonalbankUBSUrner KantonalbankValiant Bank AGVontobel AGVP BankWalliser KantonalbankZuger KantonalbankZürcher Kantonalbank