Bankkunden sind im Visier der Datendiebe

Eine Auswertung von über 15'000 Meldungen des Bundes zeigt, welche Firmen besonders von versuchtem Datendiebstahl betroffen sind.

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Über 15'000-mal ist die Melde- und Analysestelle Informationssicherung (Melani) des Bundes seit Mitte 2014 auf Websites gestossen, die Schweizer Nutzerdaten stehlen wollten. In der Fachsprache spricht man dabei von sogenanntem Phishing. Cyberangreifer imitieren die Websites einer Bank, einer Telekommunikationsfirma oder eines Onlineshops und stehlen die persönlichen Daten: E-Mails, Telefonnummern, Passwörter, Kreditkartennummern.

Besonders betroffen sind Kunden der UBS. Über 800 der vom Bund registrierten Website-Fälschungen imitierten UBS-Angebote. Das sind über 5,4 Prozent der Vorfälle. Gerade in den letzten Monaten sind die Phishing-Hinweise, die die Schweizer Grossbank betreffen, stark angestiegen. Im Oktober kamen insgesamt 121 Meldungen zusammen. Ein absoluter Spitzenwert. In diesem Monat war damit jeder vierte Phishing-Hinweis, den die Schweizer Behörden meldeten, ein Hinweis zu einem Phishing-Angriff auf UBS-Kunden.

Die Masche mit den Phishing-Websites funktioniert folgendermassen: Die Cyberkriminellen sammeln im Internet in Datenbanken, Onlineforen oder im Darknet E-Mail-Adressen und adressieren damit massenhaft Nutzer, zum Beispiel im Namen der UBS. Die Empfänger werden in den E-Mails etwa aufgefordert, ihre Kreditkartennummern zu bestätigen oder sich mit Nutzernamen und Passwort für einen neuen Dienst anzumelden, vielleicht für 3D-Secure. Eigentlich eine Technik, die die Nutzung von UBS-Kreditkarten im Internet sicherer machen sollte.

Tatsächlich passiert in diesem Fall das Gegenteil: Die Kreditkarte wird nicht geschützt, sondern dem Dieb übergeben. Die Diebe operieren dafür mit leicht modifizierten Webadressen wie ubs-online-digital.com oder ubs-e-banking.com, die auf den ersten Blick unauffällig wirken. Das Onlineformular der vermeintlichen 3D-Secure-Anmeldung befindet sich allerdings nicht auf dem Server der Bank, sondern auf demjenigen des Verbrechers. Ohne es zu merken, gibt der Nutzer seine Daten also den Cyberkriminellen preis.

Das falsche Webformular (oben) wirkt auf den ersten Blick äusserst seriös.

Ein andere Firma, die in den letzten Wochen mit besonders vielen Phishing-Attacken zu kämpfen hat, ist Sunrise. Allerdings auf wesentlich tieferem Niveau als die UBS. Sunrise kommt seit 2014 auf knapp 100 Phishing-Meldungen seitens der Melani.

Den Sunrise-Kunden versuchten die Kriminellen vorzugaukeln, dass sie sich auf der richtigen Sunrise-Mail-Seite befinden. Sie benutzten dazu die Adresse mipsunrise.weebly.com. Oft merken die Nutzer nicht einmal, dass sie ihre E-Mail-Adresse gerade einem Kriminellen ausgehändigt haben. Was die Angriffe noch viel raffinierter macht: Sobald die Nutzer sich eingeloggt haben, werden sie auf das richtige Mail-Portal umgeleitet. Hier müssen sie E-Mail-Adresse zwar nochmals angeben, aber die meisten Nutzer werden einfach annehmen, dass sie zuvor das Passwort falsch eingegeben haben.

Die URL mipsunrise.weebly.com wirkt zwar auffällig, das Formular selber aber seriös.

Wie viele Kunden tatsächlich auf die Phishing-Tricks hereinfallen, ist schwer abzuschätzen. Je nach Experten variieren die Schätzungen von Bruchteilen eines Prozents bis zu zwei Prozent. Doch das reicht den Cyberkriminellen meist. In Massen-E-Mails sind sie in der Lage, auf einen Schlag Zehntausende Nutzer anzuschreiben. Wenn selbst nur 0,01 Prozent auf den Trick hereinfällt, kommen trotzdem einige 100 Erfolgsfälle zusammen.

Für die Meldestelle des Bundes Melani ist nachvollziehbar, dass eine Bank und ein Telekomunternehmen im Fokus der Cyberkriminellen sind. Bei Banken erhofften sich die Diebe Zugriff auf E-Banking-Daten oder auf Kreditkartennummern. Bei Telekomfirmen seien die Angreifer meist an E-Mail-Konten interessiert, um ohne das Wissen der Nutzer deren Konten für weitere Phishing-Attacken zu missbrauchen. Dass ausgerechnet UBS und Sunrise im Fokus stehen, erachtet die Meldestelle des Bundes als Zufall. Gisela Kipf, Sprecherin der Meldestelle, sagte: «Wir sehen häufig eine temporäre Konzentration auf ein bestimmtes Ziel.»

Sunrise wies auf Anfrage die Ergebnisse der Analyse der Melani-Daten auf Phishtank.com zurück. Die Angaben seien unvollständig. Die Melani würde nicht alles bei Phishtank melden. Zudem würden nicht alle Unternehmen in der Schweiz Phishing-Meldungen so konsequent ausweisen, wie Sunrise. Rolf Ziebold, Sunrise-Sprecher, sagt: «Derjenige, der ehrlich und konsequent meldet und somit seine Kunden schützt, scheint nun am Pranger zu stehen.» Das Problem sei, dass Anbieter nicht gesetzlich verpflichtet seien, bekannte Phishing-Fälle zu melden.

Interne Zahlen zeigten gar, dass die Konkurrenz mehr mit Phishing zu kämpfen hätte. Ziebold sagt: «Die Aussage, dass Sunrise gegenüber Phishing-Attacken mehr oder stärker exponiert ist, ist falsch. Vielmehr ist gerade das Gegenteil der Fall.»

Tatsächlich kommt zum Beispiel Swisscom seit 2014 in den Daten auf 123 Nennungen, also auf leicht mehr als Sunrise. Doch seit Anfang 2016 sind die Attacken auf Swisscom leicht zurückgegangen, während sie bei Sunrise angestiegen sind. Das geht aus der Analyse der Daten von Phishtank.com hervor.

Die UBS führt die aktuelle Zunahme der Phishing-Fälle auf eine Umstellung zurück, die derzeit noch im Gange sei, sagte die Pressestelle auf Anfrage. UBS-Kunden können sich neuerdings per App im E-Banking authentifizieren. Bis alle Kunden umgestellt haben, versuchen die Cyberkriminellen offenbar mögliche veraltete Einfallstore auszunutzen, so die Logik der Bank. Marco Tomasina sagte auf Anfrage: «Wir verzeichnen aber keineswegs mehr erfolgreiche Betrugsfälle. Sie verharren auf sehr tiefem Niveau, was nicht zuletzt auf unsere Sensibilisierung der Kunden zurückzuführen sein dürfte.»

Bei den untersuchten Phishing-Meldungen der Melani handelt es sich um Hinweise, die die Meldestelle des Bundes von Schweizer Unternehmen oder aus der Bevölkerung erhalten hat. Der Bund führt seit 2015 unter www.antiphishing.ch selber eine Website, auf der verdächtige Websites gemeldet werden können.

Die gefälschten Weblinks werden zuerst automatisch geprüft. Diejenigen, die nicht herausgefiltert werden, untersuchen die Melani-Mitarbeiter dann manuell, um sie an die Hersteller von IT-Sicherheitssoftware oder an Internetanbieter zu senden; und an den Dienst Phishtank. Die Informationen nutzen Sicherheitsfirmen oder Internetanbieter dazu, ahnungslose Websurfer vor den gefährlichen Websites zu schützen. In vielen Fällen kommen Internetnutzer gar nicht mehr erst in Kontakt mit den gefährlichen Inhalten, weil sie automatisch gesperrt werden.

Allerdings sind nicht alle Meldungen der Melani korrekt. Die Meldestelle macht auch Fehler. Von den 15'000 Meldungen waren bisher 21 eindeutig keine Phishing-Sites. Darunter waren zum Beispiel die Webadressen des Bundesamts für Energie oder der Postfinance. Am 26. Dezember 2017 meldete die Melani gar, Google.ch sei eine Phishing-Site. So witzig das auf den ersten Blick erscheint, falsche Phishing-Meldungen können für Unternehmen unangenehme Folgen haben. Die Firmen stehen für sie aus unerklärlichen Gründen auf schwarzen Listen, und ihre Inhalte sind für Kunden teils gesperrt.

Melani erklärt, dass alle Meldungen, die sie an Dritte weiterreicht, manuell geprüft würden. Dabei könnten Fehler passieren. Melani-Sprecherin Gisela Kipf sagte: «Wir achten darauf, die Fehlerquote möglichst tief zu halten. 21 Sites auf 15'000 Meldungen entsprechen einer Fehlerquote von etwas mehr als 0,1%.» Die Meldungen auf Phishtank.com hätten für die betroffenen Unternehmen keine Auswirkungen, weil die Community die Phishing-Meldungen zuerst auf ihre Echtheit prüft. Dasselbe gilt allerdings nicht für die Weiterleitungen an Telekomunternehmen, die vermeintliche gefälschte Webadressen teils automatisiert auf schwarze Listen aufnehmen.

Um nicht selber nicht in eine Phishing-Falle zu tappen, empfiehlt die Meldestelle des Bundes: Erstens E-Mails, die man unaufgefordert bekomme, zu misstrauen. Auch solche von vertrauenswürdigen Firmen. Denn genau sie würden gerne als gefälschte Absender-Adressen missbraucht. Zweitens immer vorsichtig sein, wenn in einer E-Mail mit Konsequenzen gedroht würde: Geldverlust, Strafanzeige, Konto- oder Kartensperrung, verpasste Chance, Unglück. Und das Wichtigste: Nie verdächtige E-Mails öffnen oder auf deren Anhänge oder Links klicken. (Redaktion Tamedia)

Erstellt: 19.12.2018, 17:33 Uhr

Artikel zum Thema

Es gibt keine Zufälle

Kommentar Warum die Melde- und Analysestelle Informationssicherung derzeit vor allem Argumente für ihre Abschaffung liefert. Mehr...

21'000 Passwörter geklaut – der Bund rät zum Test

In der Schweiz ist eine grosse Anzahl Zugangsdaten gestohlen worden. Die Schweizer Meldestelle für Informationssicherung erklärt, was zu tun ist. Mehr...

Sechs Schweizer Firmen von neuem Cyber-Angriff betroffen

Eines der Unternehmen ist die Werbeplattform Admeira – sie gab bereits gestern über Twitter bekannt, Opfer der Hacker geworden zu sein. Zu den weiteren angegriffenen Firmen macht MELANI keine Angaben. Mehr...

15'000 Phishing-Meldungen

Die 15 000 analysierten Meldungen sind auf der Site Phishtank.com zu finden. Dort meldet die Melde- und Analysestelle Informationssicherung (Melani) des Bunds verdächtige Sites. Das tun nicht nur die Schweizer Behörden, sondern Sicherheitsexperten auf der ganzen Welt. Insgesamt zählt Phishtank.com heute gegen sechs Million Phishing-Meldungen. Die Sicherheitsexperten-Community nimmt diese Meldungen und prüft sie dann in Freiwilligenarbeit. Bei dieser Prüfung ist auch der Bund aktiv. Sie hat bisher 224 Phishing-Sites als solche bestätigt. Sobald vier verifizierte Community-Mitglieder eine Phishing-Site also solche identifiziert, gilt sie als bestätigt.

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Weiterbildung

Gamen in der Schule

Die Schule bereitet Kinder auf die Arbeitswelt vor. Das Rüstzeug soll auch spielerisch vermittelt werden.

Kommentare

Service

Ihre Kulturkarte

Abonnieren Sie den Carte Blanche-Newsletter und verpassen Sie kein Angebot.

Die Welt in Bildern

Mit Sack und Pack: Die Pinguine im Eis- und Schneepark von Harbin müssen Ihren Proviant im Rucksack selber mittragen (13. Januar 2019).
(Bild: Tao Zhang/Getty Images) Mehr...