Phishing
Um das Internet mit seinen Möglichkeiten nutzen zu können, müssen Internet-Nutzerinnen und -Nutzer immer wieder gewisse persönliche Daten angeben. Diese Notwendigkeit nutzen Kriminelle aus, indem sie unsere persönlichen Daten stehlen oder uns mit allerlei Tricks dazu bringen wollen, ihnen unsere persönlichen Daten zu verraten.
Definition
Das Wort Phishing setzt sich aus den englischen Begriffen «Password», «Harvesting» (dt. Ernten) und «Fishing» zusammen. Wie der Name bereits andeutet, ist Phishing eine Technik, um an vertrauliche Daten von ahnungslosen Internet-Nutzerinnen und -Nutzerinnen zu gelangen. Dabei kann es sich zum Beispiel um die Zugangsdaten von E-Mail-, Post-, E-Banking- oder Online-Plattformen handeln. Phishing-Angriffe können von organisierten Banden aber auch von Einzelpersonen ausgehen und finden über E-Mail, Webseiten, Internet-Telefonie (VoIP) oder Messenger-Dienste statt. Findet der Phishing-Angriff über Messenger-Dienste statt, spricht man von Smishing (SMS und Phishing), findet er übers Telefon statt, nennt man es Vhishing (Voice Phishing).
Weiterlesen
Betrüger verwenden die erschlichenen und gestohlenen Daten für verschiedene Vermögensdelikte: Sie tätigen im Namen der bestohlenen Person Banküberweisungen, kaufen online auf deren Kosten ein oder platzieren sogar gefälschte Angebote bei Online-Marktplätzen. Die erschlichenen E-Mail-Zugangsdaten ermöglichen den Betrügern zudem vollen Zugriff auf deren E-Mail-Konto. Auf diese Weise können Betrüger weitere betrügerische E-Mails an die Kontakte des Betroffenen senden, das Passwort ändern oder das Konto sperren.
Merkmale eines Phishing-Angriffs
Phishing-Angriffe können ganz unterschiedlich ablaufen, nichtsdestotrotz gibt es typische Merkmale und Gemeinsamkeiten:
- Am Anfang eines jeden Phishing-Angriffs wird eine Person aufgefordert, ihre persönlichen Daten preiszugeben. Sei es zur Erneuerung der persönlichen Daten zu Sicherheitszwecken, zur Aktualisierung des jeweiligen Benutzerkontos oder aus einem anderen Vorwand (beispielsweise die Rückerstattung von Elektrizitätskosten durch eine Behörde).
- Die Person erhält solche Aufforderungen meist per E-Mail oder als Nachricht, zusammen mit einem Link zu einer gefälschten Webseite.
- Auf der gefälschten Webseite wird die Person aufgefordert mit Hilfe eines Formulars ihre persönlichen Daten anzugeben. Nebst vertraulichen Bankdaten werden meist auch andere persönliche Daten (Name, Vorname, E-Mail-Adresse, Benutzername und Passwörter für diverse Konten etc.) erfragt.
- Die Absenderadresse und Inhalte der Phishing-Mails sowie die Gestaltung der Webseite, auf die im Phishing-Mail verwiesen werden, täuschen der Empfängerin oder dem Empfänger vor, dass es sich beim Absender um bekannte Finanzinstitute, die Post, Online-Marktplätze (z. B. Ricardo, tutti oder eBay), E-Mail-Provider oder Behörden handelt.
- Es kann auch vorkommen, dass Webseiten von seriösen Unternehmen gehackt werden, um eine Phishing-Seite einzufügen. Diese Problematik ist vor allem im Bereich E-Banking bekannt.
- Beim Phishing-Angriff via Telefon geben sich die Betrügerinnen und Betrüger z.B. als Polizeiangehörige, Finanzdienstleister oder IT-Fachleute aus und erzählen eine erfundene Geschichte zu vermeintlichen Problemen mit der Kreditkarte oder dem Identitätsausweis, um an persönliche Daten zu gelangen.
Rechtslage
Im Schweizerischen Strafgesetzbuch StGB gibt es keinen eigenen Straftatbestand zu Phishing. Folgende Artikel können jedoch oft zur Ahndung angewendet werden:
- Art. 143 StGB Unbefugte Datenbeschaffung
- Art. 143bis StGB Unbefugtes Eindringen in ein Datenverarbeitungssystem
- Art. 144 StGB Sachbeschädigung
- Art. 147 StGB Betrügerischer Missbrauch einer Datenverarbeitungsanlage
- Art. 179decies StGB Identitätsmissbrauch
- Art. 251 StGB Urkundenfälschung
- Art. 305bis StGB Geldwäscherei
Was tut die Polizei?
Im Einzelfall ist Phishing enorm schwierig zu verfolgen. Häufig verwendet die Täterschaft nämlich im Ausland ansässige Proxy-Dienste zur Erstellung der Phishing-Seiten. Zur Verschleierung der Täterschaft werden Phishing-E-Mails oftmals entweder über Botnets (eine Gruppe von automatisierten Computerprogrammen) versendet oder die Phishing-Seiten werden im Ausland gehostet respektive auf gehackten Servern von Drittparteien platziert. Ausserdem werden die gestohlenen Daten meist verkauft und von anderen Kriminellen weiterverwendet. Da die Ermittlungen sehr aufwändig bis unmöglich sind, ist es umso wichtiger, sich vor solchen Angriffen zu schützen.
Was kann ich tun?
Damit Sie kein Opfer von Phishing werden:
- Grundsätzlich gilt: Seriöse Dienstleister wie Banken, die Post, Online-Auktionsanbieter, Behörden oder ähnliche Institutionen werden Sie nie über E-Mail oder Telefon zur Angabe von Passwörtern oder Kreditkartendaten auffordern.
- Seien Sie misstrauisch, wenn Sie E-Mails bekommen, die persönliche Daten verlangen und mit Konsequenzen wie Geldverlust, Strafanzeige oder Kartensperrung drohen.
- Löschen Sie solche E-Mails konsequent, ohne auf Links zu klicken oder zu antworten.
- Überprüfen Sie verdächtige Websites: https://checkawebsite.ibarry.ch
Wenn Sie Opfer von Phishing wurden:
- Ändern Sie sofort die kommunizierten Passwörter und erstellen Sie neue und sichere Passwörter.
- Falls Sie vertrauliche Daten preisgegeben haben, nehmen Sie umgehend Kontakt mit Ihrem Dienstleistungsanbieter (Finanzinstitut, Provider oder E-Mail-Dienst) auf und schildern Sie Ihre Situation.
- Melden Sie den Phishing-Angriff ausserdem dem Bundesamt für Cybersicherheit BACS.
Phishing
So schützen Sie sich vor Datendiebstahl
Das Faltblatt «Phishing – So schützen Sie sich vor Datendiebstahl» ist in Zusammenarbeit mit «eBanking – aber sicher!» entstanden. Im Faltblatt wird erklärt, wie Phishing genau funktioniert und worauf man bei Phishing-E-Mails achten muss. (Das Faltblatt ist auch in Englisch verfügbar.)
