Zurück zur Blog-Übersicht

Schutz im Internet: Hüte dich vor diesen 4 Phishing-Fallen

Wie hoch ist das Risiko eines Angriffs auf deine Daten? Welche Situation kann sich als fiese Phishing-Fallen herausstellen? Und was tut Sunrise zur Bekämpfung von Cybercrime? Wir wollen es genauer wissen. Norberto Ferreira, Team Lead Security Operations bei Sunrise, stand uns Rede und Antwort.

Noëlle Tschudi

22. November 2022 . Lesedauer: 6 Min.

Ein Unglück kommt selten allein – Phisher lauern an jeder Ecke

Vorsicht ist besser als Nachsicht – das gilt offline sowie auch online. Doch oftmals ist das Missgeschick schneller geschehen als erwartet. So etwa bei Alex, der sich einen zeitlich begrenzten Deal im Netz sichern wollte, Theo, der vergangene Woche eine E-Mail an das vermeintliche HR-Team seines Arbeitgebers versendet hat, oder aber Nina, die sich derweil über eine scheinbar defekte App ärgert, die sie zu einer Bildergalerie führen sollte. Auch Laura, die mit den anderen zusammen an einem Tisch sitzt und sich am vergangenen Wochenende noch darüber gefreut hatte, ein iPhone gewonnen zu haben, beschwert sich beim Kaffee lautstark über die lange Wartezeit und den Betrag, den sie «extra noch zahlen» musste, um ihren Gewinn zugeschickt zu bekommen. Doch was haben Alex, Theo, Nina und Laura gemeinsam? Sie alle sind Opfer von Phishing-Attacken geworden, ohne den leisesten Verdacht geschöpft zu haben.

Zu früh gefreut: Ein neues iPhone klingt verlockend – das wissen auch Kriminelle.

Wie kann das sein? Hätten sie nicht Verdacht schöpfen sollen? Wird nicht schon genug Aufklärungsarbeit in Sachen Cyberkriminalität betrieben? Die knappe und ernüchternde Antwort lautet: Leider nein – eine Einschätzung, die Norberto Ferreira so unterschreiben würde. Als Team Lead Security Operations bei Sunrise hält er ein bis zwei jährliche Cybersecurity-Awareness-Tage in einem Unternehmen für angebracht und sinnvoll.

NOT AVAILABLE

Phishing oder Smishing?

●      Phishing: Beim Begriff Phishing handelt es sich um eine Zusammenziehung der englischen Worte «password» (Passwort), «harvesting» (ernten) und «fishing» (fischen). Phishing bezeichnet den Vorgang, sich sensible Daten von Internet-Usern zu beschaffen. Mit entwendeten Infos wie Login-Daten, Kreditkartennummern und Passwörtern versuchen Betrüger, Geld von Konten abzuheben oder off- sowie online Käufe zu tätigen.

●      Smishing: Smishing, das sich aus den Worten «SMS» und «Phishing» zusammensetzt, ist eine Phishing-Sonderform. Anstelle einer E-Mail wird beim Smishing eine SMS-Nachricht versendet, die den Empfänger zum Beispiel dazu verleiten soll, einen gefährlichen Link zu öffnen.

Ein Tag im Leben von Norberto Ferreira – kein Tag wie der andere

Norberto Ferreira ist bei Sunrise die Person, die über die Gefahren im Netz bestens Bescheid weiss. Seit rund 17 Jahren arbeitet er für Sunrise und ist mit viel Herzblut bei der Sache. Einen typischen Arbeitstag gibt es für ihn nicht, da im Security Management kein einziger Tag wie der andere ist und er und sein Team immer wieder mit neuen Herausforderungen konfrontiert werden.

Zu den Kernaufgaben von Norberto Ferreiras Team gehören unter anderem die Genehmigung firmeninterner Up- und Downloads, die Customer Internet Security und die Kundenkommunikation bezüglich der Sicherheit im Netz. An dieser Stelle wären wir auch schon bei den Phishing-Fallen angelangt, in die Nina, Alex und Co. getappt sind.

Phishing-Falle 1: Smishing mit Schadsoftware

SMS von einem Familienmitglied oder fiese Betrugsmasche?

Auch die SMS eines vermeintlichen Familienmitglieds kann sich als brandgefährliches Sicherheitsrisiko herausstellen. Das ist vielen Nutzern nicht bekannt. Ferreira verweist als Beispiel auf die über SMS verbreitete Schadsoftware Flubot, die in der Schweiz insbesondere im vergangenen Juni für rote Köpfe sorgte.

Ein Mobile-Abo, das du nicht bestellt hast, bereitet dir Kopfzerbrechen? Dahinter könnte Betrug stecken.

In Nachrichten, die einen Link zu einer App enthielten, wurden Handynutzende auf verpasste «Sprachnachrichten» oder «verpasste Paketlieferungen» hingewiesen. Bei der App handelte es sich allerdings um eine Tracking-App, mit der Passwörter und sensible Daten gestohlen wurden. Das Perfide: Sobald sich die schädliche Software auf dem Handy befand, konnte sie nicht nur auf Kontaktdaten zugreifen, sondern auch unbemerkt weitere Nachrichten an diese verschicken. Mehrere tausend Handynutzende wurden Opfer dieser Masche, wobei die Dunkelziffer noch deutlich höher sein dürfte.

Einige Phishing-Mails kannst du daran erkennen, dass du nicht persönlich angesprochen wirst.

Vor diesem Hintergrund wird deutlich, dass die unzugängliche Bildergalerie, auf die Nina über eine App zugreifen wollte, für weitaus mehr Ärger sorgen kann, als ursprünglich angenommen. Etwa, wenn sich das Herunterladen der App, wie in ihrem Fall, als Phishing-Versuch herausstellt, bei der Betrügerinnen oder Betrüger an ihre Daten gelangen und diese schliesslich nutzen, um Zugriff auf ihr Bankkonto zu erlangen.

Glücklicherweise hat Sunrise dieses Risiko erkannt. Hier kommt der neue SMS-Filter von Sunrise ins Spiel. Dank SMS-Filter wird eine Phishing-Welle, die im Ausland aufkommt, bereits dort festgestellt und blockiert: Die URL wird blockiert und die SMS gelangt nicht mehr in die Schweiz. Nina würde also keinen Download-Link zur schädlichen App und keine SMS erhalten. Auch wenn die SMS aus der Schweiz versendet wird, wäre sie mit dem SMS-Filter von Sunrise vor einem solchen Betrug sicher.

NOT AVAILABLE

Call Filter

Sunrise bietet nebst dem SMS-Filter zum Schutz vor Phishing-, Viren-, Ransomware-, Hacking- und Botnet-Attacken auch einen Call-Filter an, der seit dem 1. Juli 2021 unlautere Anrufe auf Mobil- und Festnetz automatisch blockiert und für alle Sunrise Kundinnen und Kunden kostenlos ist.

Phishing-Falle 2: Phishing nach Zufalls- und Glücksprinzip

E-Mail vom Arbeitgeber oder Phishing-Versuch nach gut Glück?

Cyberattacken werden immer ausgeklügelter und zielgerichtete Angriffe immer häufiger. Doch auch Cyberkriminelle, die nach Zufalls- und Glücksprinzip agieren, müssen nicht zwingend leer ausgehen.

Kontrolliere Kreditkartenabrechnungen und Bankauszüge regelmässig.

Gewisse Phishing-E-Mails werden noch immer nach Zufallsprinzip an tausende potentielle Opfer verschickt. Die Cyberkriminellen spekulieren hierbei auf die Leichtgläubigkeit oder Unaufmerksamkeit ihrer Opfer. Kritisch ist dabei, dass sich Phisher dabei nicht mehr zwingend durch Schreibfehler, Buchstabenverdreher oder aber E-Mail-Adressen verraten, die lediglich auf den ersten, flüchtigen Blick legitim wirken. Aus diesem Grund ist besondere Vorsicht geboten.

«Wenn du dir nicht sicher bist, schreib zurück! Das kostet dich nichts»
Norberto Ferreira

Erreicht eine solche E-Mail einen Empfänger per Zufall in einem zeitlich naheliegenden Moment, sind persönliche Daten schnell weitergegeben. Dies ist auch Theo passiert: Als er eine E-Mail vom HR-Team erhält, denkt er sich zunächst nicht viel dabei. Schliesslich ist er gerade eben umgezogen und die Angabe seiner persönlichen Daten in einem Onlineformular, zu dem ihn ein Link in der Mail führt, scheint ihm unter diesen Umständen nicht verdächtig. Als er am Monatsende schliesslich keinen Lohn erhält, wird er stutzig und meldet sich beim HR-Team seines Arbeitgebers. Doch dort weiss man von nichts. Offensichtlich ist auch er in eine Falle getappt.

Phishing-Falle 3: Verdächtige Schnäppchenjagd - zu gut, um wahr zu sein

Der perfekte Deal oder ein Versuch, Schnäppchenjäger hinters Licht zu führen?

Täglich werden dutzende Personen Opfer eines Kleinanzeigenbetrugs. Sobald ein Angebot im Internet zu gut ist, um wahr zu sein, sollten Schnäppchenjäger und Schnäppchenjägerinnen davon ausgehen, dass es tatsächlich zu gut ist, um wahr zu sein.

Laut Interpol zählen Cyberverbrechen zu den aktuell grössten Bedrohungen.

Durch einen zeitlich begrenzten Deal steigt die Bereitschaft der Käufer und Käuferinnen, ohne zu zögern einen riskanten Kauf zu tätigen. Die Folgen sind bitter: Anstelle eines coolen Headsets zum «Wahnsinnspreis» winkt Schnäppchenjäger Alex eine Kontobelastung in Höhe von 300 Franken sowie ein Denkzettel, um in Zukunft mehr Vorsicht walten zu lassen.

Phishing-Falle 4: Zielgerichtetes Phishing mit perfektem Timing

Grossartiger Wettbewerbsgewinn oder bodenloser Betrug?

Freude über einen Wettbewerbsgewinn kann lange währen, muss aber nicht. Auf Laura wartete kein neues iPhone, sondern die Aufforderung, einen Franken einzuzahlen, um ihren Gewinn zu erhalten.

Die Cybersecurity-Massnahmen und Dienstleistungen für die Sunrise Kundinnen und Kunden werden laufend ausgebaut.

Diese Art des Betrugs hat laut Norberto Ferreira vor zwei bis drei Jahren einen Aufschwung erlebt. Üblicherweise geben sich die Kriminellen in einem solchen Fall als Firma aus, die einen Wettbewerb durchführt. Teilweise imitieren sie  auch Social Media-Profile und setzen somit auf die Unachtsamkeit der Wettbewerbsteilnehmenden. Nicht selten melden sich die vermeintlichen Gewinnerinnen und Gewinner schliesslich bei der Firma, unter deren Namen die Kriminellen den Wettbewerb ausgeschrieben haben, und merken erst dann, dass sie einer Betrugsmasche auf den Leim gegangen sind.

Der eine Franken ist dann in aller Regel verloren. Doch der Schaden ist natürlich noch viel weitreichender: Meist werden auf diesem Weg die Kreditkartendaten entwendet. Als wäre das nicht schlimm genug, wird bei der Wettbewerbsteilnahme auch oft automatisch ein Abo für unerwünschte SMS-Dienste abgeschlossen.

TIPP: Wenn du Opfer eines solchen Betrugs geworden bist, wende dich an das Finanzinstitut, das die Transaktion durchgeführt hat, um Hilfe zu erhalten.

Weitere Artikel