Hüten Sie sich vor diesen E-Mails

E-Banking ist populär. Deshalb haben es Cyberkriminelle auf Ihre Daten abgesehen. So erkennen Sie verdächtige Mails.

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Manchmal sind die E-Mails professionell formuliert, manchmal dilettantisch. Das Ziel ist aber immer das gleiche: Der Empfänger wird neugierig gemacht oder unter Druck gesetzt, damit er den Link anklickt. So wird er auf eine Seite geleitet, die haargenau wie die seiner Bank aussieht, und loggt sich dort ein.

Irgendwo in Osteuropa kommt dann der Betreiber der falschen Website zum Zug. Er loggt sich mit den erhaltenen Zugangsdaten im echten E-Banking der betreffenden Bank ein – und gibt dort Zahlungen in Auftrag. Derweil wird dem Inhaber des Kontos eine gefälschte Fehlermeldung angezeigt. Erst wenn er nächstes Mal seinen Kontostand sieht, merkt er, dass Geld fehlt. Dieses ist längst von Mittelsmännern abgehoben und mit Western Union nach Moskau geschickt worden, wo es jemand unter falschem Namen entgegengenommen hat.

Im Normalfall zeigt sich die Bank kulant und erstattet dem Kunden den vom Hacker gestohlenen Betrag. Dies jedoch erst, nachdem er eine Geheimhaltungserklärung unterschrieben hat. So stellt die Bank sicher, dass die Fälle nicht an die Öffentlichkeit gelangen und das Vertrauen in ihr E-Banking schmälern.

Vorsicht vor Office-Dokumenten

Eine Meldepflicht für die sogenannten Phishing-Fälle gibt es in der Schweiz nicht, und so können auch die Cyberkriminalitäts-Experten des Bundes nur erahnen, wie gross das Problem ist. «Die Phishing-E-Mails sind immer professioneller gemacht», sagt Max Klaus von der Melde- und Analysestelle Informationssicherung (Melani). Dadurch werde es für Laien immer schwieriger, Fälschungen zu erkennen. Ein neuer Trend sei, dass den E-Mails Office-Dokumente mit einem Makro (einem kleinen Programm) angehängt würden. Wer ein solches Word-, Excel- oder Powerpoint-Dokument öffnet, aktiviert das Programm, das automatisch eine Spionagesoftware (Trojaner) auf dem Computer installiert. Auch mit diesem kann der Hacker Login-Daten fürs E-Banking abfangen und sich selbst einloggen.

Gefälschte Mails kommen nicht mehr nur im Namen von Banken, sondern auch im Namen der SBB, von Kreditkartenanbietern oder von KMU. Wenn die Absender Mails von Banken imitieren, sind meist die grossen Banken wie UBS, Credit Suisse, Postfinance und Raiffeisen betroffen. Denn bei diesen ist die Wahrscheinlichkeit am grössten, dass man bei 100'000 verschickten E-Mails auch tatsächlich Kunden dieser Bank erreicht.

«Phishing ist ungebrochen populär», sagt Michael Liebi, Chef des Berner IT-Sicherheitsunternehmens United Security Providers, das die Credit Suisse und verschiedene Privatbanken mit Software beliefert. In der Schweiz gehe der jährliche Schaden in die Millionen. Jedoch hätten die Schweizer Banken im Gegensatz zu vielen im Ausland ihre Hausaufgaben gemacht. So haben die meisten Institute fürs E-Banking eine Zwei-Faktor-Authentifizierung eingeführt. Das heisst, fürs Log-in wird ein Passwort und ein zweites Gerät benötigt. Für zusätzliche Sicherheit würde laut Liebi ein dritter Faktor sorgen, nämlich ein biometrischer.

Log-in mit dem Fingerabdruck

Als biometrisches Merkmal steht der Fingerabdruck im Fokus der Banken, weil die neueren iPhones über einen Fingerabdruckleser verfügen. Dies sorge dafür, dass die Technologie in der Bevölkerung langsam akzeptiert werde. Gleichzeitig arbeitet man bei United Security Providers daran, dass man die Kunden anhand ihres Standorts besser identifizieren kann. Dafür müssen die Kunden jedoch die Standortdaten ihres Smartphones oder Computers für die Bank freigeben.

Zudem versuchen die Banken auch, betrügerische Transaktionen auf den Konten ihrer Kunden besser zu erkennen. So schlägt die Software Alarm, wenn unüblich hohe Beträge überwiesen werden und/oder die Empfänger in Ländern sitzen, in welche der Kunde sonst nie überweist. Die Banken müssten jedoch stets zwischen Sicherheit und Benutzerfreundlichkeit abwägen, meint Liebi: «Man muss das Mass an Schutzmassnahmen für die Kunden erträglich halten.»

Erstellt: 06.08.2016, 11:06 Uhr

Wie man Phishing-Mails erkennt

Die Maskerade der Hacker

Absender: Als Absendernamen verwenden Cyberkriminelle zwar Banknamen. Doch wer sich die dahinter liegende E-Mail-Adresse ansieht, findet einen ganz anderen Absender. Es ist jedoch auch möglich, Absenderadressen wie info@postfinance.ch zu fälschen.

Sprache:
Gutes Deutsch ist auch heute noch eine Hürde für Cyberkriminelle. Merkwürdig formulierte Sätze sind ein gutes Indiz für gefälschte E-Mails. Verdächtig sind auch Mails, die den Empfänger zeitlich unter Druck setzen wollen, indem sie von Dringlichkeit schreiben oder eine Frist von 24 oder 48 Stunden erwähnen.

Anrede: Einige Versender von Phishing-Mails kennen nicht nur die E-Mail-Adressen ihrer Empfänger, sondern auch den Namen, wie im Fall rechts. Es ist kaum nachzuvollziehen, aus welcher Datenbank die Angaben gestohlen wurden, besonders wenn man die betreffende Adresse häufig und bereits seit längerer Zeit verwendet.

Internetadressen: Die Links in den Phishing-E-Mails geben zwar vor, auf die Website der Bank umzuleiten. Die Seiten sind exakte Kopien des jeweiligen Originals. Doch wo man wirklich landet, sieht man in der Adresszeile des Browsers.

Tipp: Um sicherzugehen, dass man auf der echten Seite seiner Bank landet, sollte man die Adresse von Hand eintippen. Handelt es sich um die echte Seite, wird eine sichere Verbindung aufgebaut (https:// statt //). Dabei zeigt der jeweilige Browser in der Adressleiste ein Vorhängeschloss-Symbol an und zeigt die Adresse in grüner Farbe oder grün unterlegt an.

Im Notfall: Wer sich versehentlich in einem gefälschten E-Banking-Portal eingeloggt hat, sollte sofort seine Bank anrufen und allfällige Transaktionen annullieren lassen. (sul)

Weiterbildung

Lohncheck in Pflegeberufen

Qualifiziertes Pflegepersonal ist rar. Eine Pflegeinitiative setzt sich darum für höhere Löhne ein.

Kommentare

Die Welt in Bildern

Im Wiederaufbau: Das Sonnenlicht am frühen Morgen scheint auf die Kathedrale Notre-Dame in Paris. (16. September 2019)
(Bild: Ian Langsdon) Mehr...