Phishing und der naive Umgang mit daten
Administration

Phishing und der naive Umgang mit Daten

Immer wieder warnt die Melde- und Analystestelle Informationssicherung, bekannt unter dem Kurznamen MELANI, vor sogenannten Phishing-Seiten. Was ist Phsihing, und warum sollte eigentlich gar niemand mehr darauf reinfallen, das erklärt dieser Beitrag.

Phishing ist sprachlich nahe beim englischen Wort Fishing (Fischen) und das ist in der Tat kein Zufall. Beim Phishing geht es nämlich darum, die vertraulichen Daten eines Benutzers zu „fischen“. Wer es schafft, meine Login-Daten für mein Mailkonto, meinen Facebook-Account oder einen beliebigen Online-Shop zu bekommen, kann damit in meinem Namen Mails versenden oder Produkte kaufen.

Wenn in vermeintlich meinem Namen auf Facebook rassistische Postings verbreitet werden, ist das äusserst ärgerlich. Kauft einer auf meine Rechnung ein paar neue Notebooks, tut das weh. Aber richtig lästig wird es, wenn es jemand schafft, an meine Login-Daten fürs Bankkonto zu gelangen und das Geld entwendet, mit dem übermorgen die Löhne hätten bezahlt werden sollen.

Aufmerksamkeit ist ein wirkungsvoller Schutz

Natürlich gibt es verschiedene Möglichkeiten, wie Kriminelle an Daten kommen, die nicht für sie bestimmt sind. In diesem Beitrag solle es aber nur um Phishing gehen, und das funktioniert verhältnismässig einfach. Und, das ist das Erfreuliche, es ist auch einfach zu durchschauen. Wenn man denn ein Mindestmass an Aufmerksamkeit mitbringt.

Vermutlich würden Sie nicht darauf hereinfallen, wenn ich Sie per E-Mail bitten würde, mir Ihre Login-Daten für Ihr Postfinance- oder Bankkonto zu schicken. Auch dann nicht, wenn ich behaupten würde, ich wäre ein Mitarbeiter eben jener Bank und müsste Ihr Konto upgraden.

Ganz anders sieht es aber aus, wenn Sie als UBS-Konto eine E-Mail erhalten, die inhaltlich so aussieht, als wäre sie von der UBS; das richtige Logo am richtigen Ort, korrekte Anschrift, Namen und Funktion des Absenders angegeben, richtige Schriftart, alles perfekt.

In der Mail steht, man hätte irgendwelche Sicherheitsänderungen vorgenommen, um die Kundschaft noch besser vor Betrügern zu schützen (was für eine Ironie). Sie müssten sich hierfür lediglich einmal anmelden, um das Update zu aktivieren.

An dieser Stelle sei erwähnt: Keine Schweizer Bank würde so etwas jemals von ihren Kunden verlangen. Keine. Nie.

Wenn, und ich sage, wenn überhaupt, dann käme eine solche Aufforderung in Briefform, nicht per E-Mail.

Wie funktioniert Phishing denn?

Zurück zur erwähnten Phishing-E-Mail: Natürlich ist in der E-Mail auch gleich ein Link zum vermeintlichen E-Banking-Login. Und da steht auch, wie Sie es als UBS-Kunde kennen: www.ebanking.ch

Aber: Der Text, den Sie als Leser sehen, und der Link, der sich tatsächlich dahinter verbirgt, muss keinesfalls der gleiche sein. Ich schreibe hier www.google.ch hin, trotzdem führt der Link zu MELANI.

Klar, in diesem Fall würden Sie das merken. Aber die Betrüger linken ja auch nicht zu MELANI. Sondern zu einer Seite, die manchmal exakt gleich ausschaut wie die UBS-E-Banking-Seite. Statt ebanking.ch steht da vielleicht ebonking.ch. Ein kleiner, aber wichtiger Unterschied, der eindeutig auf Betrüger hinweist.

Ist Ihnen der Unterschied überhaupt aufgefallen oder mussten Sie zweimal lesen? Genau das passiert auch schnell, wenn man irgendwo klickt, auf die Schnelle die Adresse korrekt ausschaut und der Inhalt auch passt.

Geben Sie auf so einer gefälschten Login-Seite Ihre Daten ein, werden die im Hintergrund auch tatsächlich an die UBS-E-Banking-Seite (die richtige) übermittelt. Deshalb erhalten Sie auch wie gewohnt eine SMS mit dem einmaligen Bestätigungscode, den Sie dann – immer noch auf der gefälschten Betrügerseite – ebenfalls eingeben. Und auch der wird von der Phishing-Seite im Hintergrund an UBS weitergeleitet, womit die Betrüger in Ihrem Konto eingeloggt sind.

Ihnen hingegen wird nun vorgegaukelt, das Login hätte nicht funktioniert, zum Beispiel weil das e-Banking von UBS gerade aufgrund von Wartungsarbeiten nicht erreichbar ist. Sie ärgern sich darüber, wenden sich dann aber anderen Tätigkeiten zu.

Die Betrüger hingegen schauen sich Ihre Konti an und leiten die Überweisungen in die Wege. Wenn sie damit erfolgreich sind und die Bank die verdächtigen Bewegungen nicht rechtzeitig erkennt, wird nicht viel übrig bleiben.

Wie Sie Phishing problemlos vermeiden

  1. Seien Sie sich bewusst, dass Banken und andere Schweizer Finanzinstitute niemals E-Mails verschicken mit Links zu Login-Seiten oder Aufforderungen zu Passwortänderungen und dergleichen.
  2. Achten Sie bei Links darauf, dass sie korrekt sind. Wenn Sie die Seite öffnen und in der Adresszeile faceboook.com statt facebook.com steht, dann stimmt etwas nicht.
  3. Geben Sie bei Unsicherheit die Adresse lieber von Hand ein oder loggen Sie sich auf die Art ein, wie Sie sich gewohnt sind (Bookmark, Favoritenleiste, o.ä.)
  4. Rufen Sie bei Unsicherheit lieber bei Ihrer Bank an, und fragen Sie nach, was Sache ist. Nehmen Sie hierfür aber die Telefonnummer, die Ihnen bekannt ist oder auf Ihren Unterlagen steht, nicht die aus der möglicherweise gefälschten E-Mail.
>