Phishing, Vishing, Smishing

Phishing

Mittels Phishing versuchen Kriminelle, die Opfer zu verleiten, ihre Passwörter und weitere persönliche Informationen anzugeben.

Mittels Phishing versuchen Betrüger, an vertrauliche Daten von ahnungslosen Nutzerinnen und Nutzern zu gelangen. Dabei kann es sich beispielsweise um Zugangsdaten von E-Mail-Konten, Online-Auktionsanbietern oder um Kreditkartendaten handeln. Die Betrüger nutzen die Gutgläubigkeit und Hilfsbereitschaft ihrer Opfer aus, indem sie ihnen E-Mails mit gefälschten Absender-Adressen zustellen. In den E-Mails wird das Opfer beispielsweise darauf hingewiesen, dass seine Kontoinformationen und Zugangsdaten (z. B. Benutzernamen und Passwort) nicht mehr sicher oder aktuell seien und es diese unter dem in der E-Mail aufgeführten Link ändern solle. Der Link führt dann allerdings nicht auf die Originalseite des jeweiligen Dienstleistungsanbieters, sondern auf eine vom Betrüger identisch aufgesetzte Webseite.

Konkrete Massnahmen

Sobald Sie bemerken, dass Sie das Passwort auf einer Phishing-Seite angegeben haben, ändern Sie dieses sofort bei allen Diensten, wo Sie dieses einsetzen.
Sollten Sie Kreditkartendaten angegeben haben, wenden Sie sich umgehend an Ihren Kreditkartendienstleister, damit dieser die Kreditkarte sperren kann.
Handelt es sich um ein E-Mail Passwort, setzen Sie auch alle Passwörter der Web-Dienstleister zurück, die mit diesem Konto in Verbindung stehen.

Vorbeugende Massnahmen

Installieren Sie wenn immer möglich eine Zwei-Faktor-Authentifizierung. Dies bietet eine zusätzliche Schutzebene, um zu verhindern, dass Ihr Konto gehackt wird.
Keine Bank und kein Kreditkarteninstitut wird Sie jemals per E-Mail auffordern, Passwörter zu ändern oder Kreditkartendaten zu verifizieren.
Geben Sie nie persönliche Daten wie Passwörter oder Kreditkartendaten auf einer Webseite ein, die sie über einen Link in einer E-Mail oder SMS angeklickt haben.
Bedenken Sie, dass E-Mail-Absender leicht gefälscht werden können.
Seien Sie skeptisch, wenn Sie E-Mails bekommen, die eine Aktion von Ihnen verlangen und ansonsten mit Konsequenzen drohen (Geldverlust, Strafanzeige oder Gerichtsverfahren, Konto- oder Kartensperrung, Verpasste Chance, Unglück).

Auswirkungen und Gefahren

Mit den erschlichenen Daten können beispielsweise Kreditkartenzahlungen getätigt werden oder Angebote bei einer Online-Versteigerung platziert werden.
Mit erschlichenen E-Mail-Zugangsdaten erhalten die Betrüger vollen Zugriff auf das E-Mail Konto. Alle Daten können so herausgelesen werden und die Betrüger können im Namen des Opfers betrügerische E-Mails an deren Kontakte senden.
Wenn Angreifer Zugriff auf Ihr E-Mail-Konto haben, können alle Dienste, die diese Adresse als Login nutzten und eine Passwortrückstellungsfunktion haben, übernommen werden.

Weiterführende Information

Weiterführende Informationen finden Sie auf unserer Webseite:
Konto gehackt – Was nun?
Schützen Sie Ihr Konto

Vishing

Ein anderer Weg, um an sensible Daten zu kommen, ist das so genannte Vishing («Voice» und «Phishing»). Beim Vishing werden Opfer mündlich, meist am Telefon, zu Handlungen aufgefordert, von denen sie glauben, sie seien in ihrem Interesse.

Vishing-Versuche sind vielfach schwer zu erkennen. So können Anrufer beispielsweise die angezeigte Telefonnummer beliebig fälschen (Spoofing). Dies erschwert die Identifikation des Anrufers, wenn beispielsweise eine bekannte oder vertrauenswürdige Nummer eingeblendet wird. Die Betroffenen merken oft erst nach Preisgabe ihrer Anmeldeinformationen, dass die Person am anderen Ende der Telefonleitung ein Betrüger oder eine Betrügerin ist. Es gibt jedoch einige Warnzeichen, die beim Erkennen potentieller Betrügereien hilfreich sind:

In vielen Fällen bezeichnen sich die Anrufer selbst als Experten oder Profis auf ihrem Gebiet. Sie geben sich als Computertechniker, Bankiers, Polizisten oder sogar selbst als Opfer aus;
Die Anrufer üben Druck aus;
Die Anrufer erfragen am Telefon vertrauliche Informationen.

Konkrete Massnahmen

Brechen Sie dubiose Telefonanrufe sofort ab;
Geben Sie einem Anrufer niemals sensible Informationen wie Kreditkartendaten oder Passwörter preis;
Öffnen Sie keine Webseite und installieren Sie keine Programme auch wenn der Anrufer Sie dazu drängt;
Öffnen Sie auch keine Anhänge oder Links in E-Mails, welche Ihnen der Anrufer vor, während oder nach dem Gespräch sendet;
Geben Sie einer Person, die Sie anruft, niemals Zugriff auf den Computer per Fernzugriff.

Vorbeugende Massnahmen

Bedenken Sie, dass die Anrufnummer leicht gefälscht werden kann;
Seien Sie skeptisch, wenn Sie via Telefon aufgefordert werden, vertrauliche Informationen preiszugeben oder Aktionen zu tätigen;
Keine Bank und kein Kreditkarteninstitut wird Sie jemals per Telefon auffordern, Passwörter zu ändern oder Kreditkartendaten zu verifizieren.

Auswirkungen und Gefahren

Mit den erschlichenen Daten können beispielsweise Kreditkartenzahlungen getätigt werden oder Angebote bei einer Online-Versteigerung platziert werden;
Wenn Angreifer Zugangsdaten oder Kontoinformationen haben, können alle Dienste, die diese Informationen als Login nutzen und eine Passwortrückstellungsfunktion haben, übernommen werden.

Weiterführende Information

Erklärungen zur Manipulation von Telefonnummern, dem sogenannten Spoofing, finden Sie auf der Webseite der Schweizerischen Kriminalprävention:

Spoofing: Wenn die Notrufnummer «117» auf dem Display aufleuchtet

Smishing

Auch per SMS können Daten gestohlen werden. Smishing ist eine Form des Phishings («SMS» und «Phishing»), bei dem überzeugende Phishing-SMS/Textnachrichten verwendet werden, um ein potenzielles Opfer dazu zu verleiten, auf einen Link zu klicken und private Informationen zum Betrüger zu senden.

In Smishing-Nachrichten täuschen die Betrüger typischerweise vor, ein vertrauenswürdiger Absender zu sein, zum Beispiel ein bekanntes Detailhändler- oder Logistikunternehmen. Beispielsweise sind diese Nachrichten als Paketbenachrichtigung getarnt. Ein Link in der Nachricht führt normalerweise auf eine eigens von den Betrügern präparierte Website, auf welcher man aufgefordert wird, persönliche Daten oder Kreditkartendetails einzugeben.

Konkrete Massnahmen

Ignorieren Sie Paketankündigungen, welche auf die Bezahlung einer Gebühr drängen;
Im Zweifelsfalle und wenn Sie ein Paket erwarten, fragen Sie direkt beim entsprechenden Paketdienstleister nach;
Nutzen Sie ausschliesslich die offizielle App des Paketdienstleisters;
Sind Sie unsicher beim Absender einer SMS, klicken Sie auf keine Links und antworten Sie nicht auf die Nachricht;
Laden Sie keine Apps herunter, auch wenn Sie dazu aufgefordert werden.

Vorbeugende Massnahmen

Keine Bank und kein Kreditkarteninstitut wird Sie jemals per SMS auffordern, Passwörter zu ändern oder Kreditkartendaten zu verifizieren.
Vermeiden Sie es, auf eine Rufnummer zu antworten, die Sie nicht kennen.
Installieren Sie keine Software, die ausserhalb der offiziellen Stores der Betriebssysteme angeboten wird

Auswirkungen und Gefahren

Beim Herunterladen einer schädlichen App besteht die Gefahr des Abgreifens von persönlichen (Authentifizierungs-)daten oder sogar dem Sperren des gesamten Geräts.
Zahlungsdaten können missbraucht werden, z. B. wenn man seine Apple-ID auf einer gefälschten Seite eingeben muss, um eine scheinbar dringende App zu laden, oder wenn ein Link auf eine gefälschte Zahlungsseite führt.

Weiterführende Information

Schweizerische Kriminalprävention | Smishing – Kurznachricht mit Langzeitschaden (skppsc.ch)