Aktuelle Vorfälle
Phishing E-Mail mit angeblicher Steuerrückerstattung
Zurzeit erhält das NCSC Meldungen zu Phishing E-Mails, die einen angeblichen Anspruch auf eine Steuerrückerstattung in Aussicht stellen. Als Absender wird "eIAM - eGovernment" missbräuchlich verwendet. Der auf "Jetzt bewerben" hinterlegte Link führt auf eine Phishing-Seite. Ignorieren Sie diese E-Mails, klicken Sie nicht auf den Link und geben Sie keine persönlichen Daten auf der Phishing-Seite ein.
09.12.2022 13:30
Phishing SMS gegen Revolut-Kunden
Zurzeit erhält das NCSC Meldungen zu Phishing-SMS, welche sich gegen Kunden von Revolut richten. Dabei wird der Kunde aufgefordert aufgrund von regulatorischen Vorgaben einen Identitätscheck durchzuführen und hierzu eine Webseite aufzurufen. Ignorieren Sie diese SMS. Geben Sie keine Passwörter auf Seiten an, die Sie per Link geöffnet haben.
24.10.2022 16:00
Gefälschte E-Mails im Namen des NCSC
Momentan versenden Cyberkriminelle gefälschte E-Mails im Namen des NCSC. Dabei verwenden die Täter die Domain ncscS (zusätzliches S). Antworten Sie nicht auf solche E-Mails!
05.07.2022 17:50
Angebliches SBB-Gewinnspiel
Momentan erhält das NCSC zahlreiche Meldungen zu einem angeblichen Gewinnspiel der SBB. Zum 120. Geburtstag erhalte man 2000 CHF. Nach einigen Fragen soll man sich registrieren und schliesst so eine Abonnement für 14.50 CHF / Woche ab. Ignorieren Sie diese WhatsApp-Meldung und senden Sie diese nicht weiter.
10.06.2022 11:20 Momentan erhält das NCSC zahlreiche Meldungen zu einem angeblichen Gewinnspiel der SBB. Zum 120. Geburtstag erhalte man 2000 CHF. Nach einigen Fragen soll man sich registrieren und schliesst so eine Abonnement für 14.50 CHF / Woche ab. Ignorieren Sie diese WhatsApp-Meldung und senden Sie diese nicht weiter.
Anrufwelle von Callcentern mit gefälschten Rufnummern
Aktuell tätigen Callcenter Anrufe mit gefälschten Nummern, die eigentlich Privatpersonen zugeordnet ist. Der Inhaber der Rufnummer erhält nun Rückrufe von anderen Privatpersonen, da diese einen Anruf in Abwesenheit angezeigt bekommen. Es können Dutzende solcher Anrufe sein. Leider lässt sich dagegen kaum etwas unternehmen. Die Wellen klingen erfahrungsgemäss nach kurzer Zeit wieder ab.
03.06.2022 09:00
SMS mit angeblicher «Voice Nachricht» führt zu Schadsoftware
Zurzeit ist eine SMS mit einer angeblichen Benachrichtigung des Mobilfunkproviders im Umlauf, dass eine «Voice Nachricht» verfügbar sei. Um die ganze Nachricht zu hören, soll man einen Link anklicken. Nach dem Anklicken des Links öffnet sich eine Seite mit dem Logo des Mobilfunkfunkproviders und der Aufforderung, eine sogenannte «apk-Datei» herunterzuladen. Dabei handelt es sich um Schadsoftware. Installieren Sie diese Datei auf keinen Fall!
10.05.2022 16:05
SMS mit angeblicher Benachrichtigung, führt zu Schadsoftware
Zur Zeit sind SMS mit angeblichen (Paket-)Benachrichtigungen im Umlauf. Beispiele sind «S ie haben einen neue Bena chrichtigung!» oder «Tr acking: Ihr Paket ist unteowegs». Typisch sind die Leerzeichen in den Wörtern. Nach Anklicken des Links öffnet sich eine Seite auf der dann eine Paketsoftware heruntergeladen werden soll. Dabei handelt es sich um die Schadsoftware «flubot». Haben Sie eine solche SMS erhalten, löschen Sie sie umgehend. Installieren Sie die Datei auf keinen Fall!
25.03.2022 09:30
Angeblich doppelt bezahlte Swisscom-Rechnungen
Zurzeit erhalten wir zahlreiche Meldungen zu angeblich doppelt bezahlten Swisscom-Rechnungen. Es handelt sich dabei um Phishing-Mails. Die Angreifer versuchen mit dieser Vorgehensweise sowohl an die Zugangsdaten zum Swisscom-Kundenportal zu kommen als auch zu Kreditkartendaten inklusive Einmal-SMS-Code. Ignorieren Sie solche E-Mails!
25.02.2022 15:00
Drohmails angeblich von der Polizei
In den letzten Tagen verzeichnete das NCSC eine Zunahme von angeblichen Drohungen im Namen der Polizei (fedpol, Europol, Interpol). In der E-Mail wird gedroht, ein Strafverfahren gegen die Empfängerin oder den Empfänger einzuleiten, weil dieser / diese Webseiten mit kinderpornografischem Inhalt besucht habe. Die E-Mail kommt in diversen Varianten daher. Ignorieren Sie solche Drohmails.
02.02.2022 11:00
Definition, Schutz und wie Angriffe ablaufen
Phishing
Was ist Phishing?
Nachdem wir uns schon mit Viren, Trojanern, Spyware und Spam herumschlagen müssen, gibt es seit einiger Zeit eine neue Gefahr im World Wide Web: das Phishing. Das Kunstwort Phishing kommt aus dem englischen und setzt sich aus den Wörtern „password“ und „fishing“ zusammen. Es bedeutet so viel wie „nach Passwörtern angeln“. So versuchen Betrüger mit gefälschten E-Mails und manipulierten Webseiten nicht nur Ihre Passwörter ausfindig zu machen, sondern auch Ihre persönlichen Daten. Interessant sind dabei Ihr Name, Anschrift, Geburtstag, Bankverbindungen, Kreditkartennummer und Ihre Zugangsdaten zum Online-Banking.
Wie gehen die Gauner vor?
Sie als ahnungsloser Bürger erhalten eine gefälschte, aber täuschend echt aussehende E-Mail von einer vermeidlichen echten Bank oder einer Firma. In dieser vermeidlich seriösen E-Mail werden Sie gebeten, über einen bestimmten Internetlink eine Webseite zu besuchen. Hinter diesem Link verbirgt sich jedoch nicht die Webseite einer echten Bank, sondern eine ganz andere Webseite. Diese Webseite kann zum Beispiel einer Banken-Homepage sehr ähneln. Selbst die Webseiten-Adresse unterscheidet sich nur minimal von der eigentlichen originalen Webseiten-Adresse der Bank. Auf der manipulierten Seite werden Sie nun aufgefordert, zum Beispiel Ihre Kreditkartennummer einzugeben, ein abgelaufenes Passwort zu erneuern oder aus Sicherheitsgründen Ihre persönlichen Daten erneut einzugeben. Falls Sie in eine solche Falle tappen sollten, dann ist der Ärger vorprogrammiert.
Zusammenfassend: Sie erhalten eine E-Mail, die Sie durch einen Link auf eine bösartige Webseite lockt, um Ihre Daten dort einzugeben und letztendlich frei zu geben.
Die meisten dieser Phishing-Mails kommen übrigens aus den USA. China und Russland folgen auf den Plätzen zwei und drei, allerdings mit großem Abstand, wie die nachfolgende Grafik zeigt:
Achtung: kein Schadenersatz, wenn TAN verraten wird
Wer auf eine Phishing-Mail reagiert und eine gültige TAN übermittelt, geht im Schadensfall leer aus. Zu diesem Urteil kam das Amtsgericht München in dem unter dem Aktenzeichen 132 C 49/15 verhandelten Fall einer Frau, die auf eine Phishing-Mail reagierte, indem sie auf den darin enthaltenen Link klickte und online ihre Konto- sowie Adressdaten eingab. Im Anschluss darauf meldete sich eine angebliche Mitarbeiterin der Bank bei ihr, die kurze Zeit später per SMS die Freigabenummer (TAN) für eine Überweisung in Höhe von 4.444 Euro. Das Gericht urteilte auf grobe Fahrlässigkeit, die Bank muss den entstandenen Schaden daher nicht ersetzen.
Wie erkennt man Phishing-Mails bzw. -Seiten?
Früher konnte man eine Phishing-Mail schnell ausfindig machen, denn fast alle waren in einem sehr schlecht verständlichen Deutsch verfasst. Das lag daran, dass die Betrüger aus dem Ausland kamen und die E-Mails von einem Computerprogramm oder von einem Laien übersetzt wurden. Doch leider werden die Phishing-Mails heutzutage immer perfekter und die „Phishing-Banden“ treten mit immer besseren Technologien auf. Somit steigt ständig die Gefahr, dass man auf einen solchen Betrug hereinfällt.
Seit neustem ist das Phishing nicht nur noch auf das Internet beschränkt, sondern die Betrüger sind auch auf der Jagd nach Nutzern der Internettelefonie (VoIP). Diese neue Art von Datenklau nennt sich auch „Vishing“ („Voice Phishing“).
Ein erheblicher Schaden entsteht auch bei den Banken, in dessen Namen die Betrüger auftreten, denn der Image-Verlust für sie ist immens.
Tendenzen beim Phishing
Dass Phishing im Vormarsch ist, zeigen folgende Zahlen der Bitkom, die in Zusammenarbeit mit den Landeskriminalämtern entstanden sind:
Die Zahl der Phishing-Opfer ist 2006 um 23 Prozent auf 3250 Fälle angestiegen. Auf diese Weise ist ein Schaden von 13 Millionen Euro entstanden, was einen Durchschnitt von 4000 Euro pro Angriff ausmacht.
Das Bundeskriminalamt verweist jedoch auf andere Zahlen:
Laut seiner Statistik gab es 62.000 Straftaten in der Internet- und Kommunikationstechnologie. Des Weiteren gab es laut seiner Statistik 118.000 Straftaten, die als Tatmittel das Internet verwendeten. Laut BKA ist die Zahl der Phishing-Opfer 2006 mit etwa 3000 im Vergleich zu 2005 gleich geblieben. Die unterschiedlichen Zahlen sind darauf zurück zu führen, dass es viele Fälle nicht bis zum BKA schaffen, sondern bei den Landeskriminalämtern hängen bleiben.
Die Anzahl der Phishing-Fälle in Deutschland steigt laut Statistik des Bundeskriminalamtes weiter an:
Bedienhinweis: Einzelne Datenreihen lassen sich durch Klick auf die betreffende Überschrift aus- und wieder einblenden. Quellen:
Wie schützen Sie sich am besten vor diesen Angriffen?
Quellen: Bundeskriminalamt
Wenn Sie nun folgende Hinweise berücksichtigen, dann gehen Sie ein sehr geringes Risiko ein, Opfer zu werden:
Halten Sie Ihren Browser, E-Mail-Client unbedingt auf dem neusten Softwarestand bzw. installieren Sie auf jeden Fall vom Hersteller angebotene Patches
Installieren Sie unbedingt ein Virenprogramm und eine Firewall. Halten Sie diese immer aktuell.
Achten Sie bei Geldgeschäften im Internet auf eine Verschlüsselte Verbindung (SSL). Im Browser erscheint dann ein „Schlosssymbol“ bzw. in der Adressleiste erscheint „https“ statt „http“.
Klicken Sie niemals auf einen Link auf einer E-Mail. Geben Sie stattdessen die Adresse selbst in die Adressleiste ein.
Öffnen Sie nur E-Mail-Anhänge von Absendern, die Ihnen vertraut sind.
Seriöse Banken oder Auktionshäuser fordern Sie niemals dazu auf, Ihre persönlichen Daten bzw. PIN/TAN über eine E-Mail oder sogar am Telefon zu aktualisieren.
Verwenden Sie beim Online-Banking iTANs oder mTANs statt der TANs
Sollten Sie dennoch Opfer einer Phishing-Attacke werden, melden Sie den entstanden Schaden sofort Ihrer Bank, die in den meisten Fällen sogar eine eigens dafür eingerichtete Hotline anbietet. Je schneller dies geschieht, umso größer ist die Chance, dass Sie Ihr Geld zurückbekommen.
In den meisten Fällen erstatten die Banken den Phishing-Schaden, aber ein Rechtsanspruch besteht nicht. Des Weiteren fordern die meisten Banken Sie auf, diese Straftat bei der Polizei anzuzeigen.
Urteil stärkt Verbraucher-Rechte: Bank trägt Beweislast bei Phishing-Angriffen
Das Landgericht Oldenburg (Az.: 8 O 1454/15) hat in einem Phishing-Fall zugunsten des betroffenen Kunden entschieden. Diesem entstand infolge von unberechtigten Überweisungen ein Schaden von mehr als 11.000 Euro. Die Bank lehnte ein Schadenersatz ab mit der Begründung, dass der Kläger grob fahrlässig gehandelt habe. Die Richter sahen dies anders. Denn nicht der Kunde müsse nachweisen, dass er Opfer von Phishing geworden ist und die Zahlung autorisiert hat. Nur das Kreditinstitut müsse beweisen, dass der Kunde den Vorgang veranlasst habe. Die elektronische Aufzeichnung von Zahlungsvorgängen reicht nicht aus. Im Übrigen spricht auch kein Anscheinsbeweis für eine autorisierte Zahlung, wenn die Legitimation unter Verwendung der dem Kläger zur Verfügung gestellten Benutzernamen, PIN und TAN erfolgt. Denn die Verwendung der korrekten Zugangsdaten allein sei noch kein Beweis. Der Kunde war auf ein heimtückisches Vorgehen hereingefallen.
Hinweis: Stand 02/2016, Urteil noch nicht rechtskräftig
Identitätsdiebstahl/Phishing
Straftäter sind an allen Arten von Zugangsdaten interessiert, mit denen sie zu Lasten Dritter und zum eigenen Vorteil Verfügungen im Internet vornehmen können – von der Bestellung von Waren bis hin zur Manipulation von Aktienkursen. Dabei werden oftmals zunächst Daten gesammelt und erst später "Geschäftsmodelle" für deren illegale Verwendung entwickelt.
Ausführliche Informationen zu Identitätsdiebstahl/Phishing finden Sie im Bereich Internetkriminalität/Cybercrime.
Prävention
Um Ihre digitale Identität zu schützen, sollten Sie bei der Internetnutzung mit PC oder mobilem Endgerät folgende Grundregeln einhalten:
Sorgen Sie dafür, dass Betriebssystem, Browser version, Firewall und Anti-Viren- Software Ihrer Geräte stets auf dem neuesten Stand sind, indem Sie Ihre Soft- und Firmware regelmäßig aktualisieren.
version, und Anti-Viren- Ihrer Geräte stets auf dem neuesten Stand sind, indem Sie Ihre Soft- und regelmäßig aktualisieren. Verwenden Sie für den Zugriff auf das Internet ausschließlich ein Benutzerkonto mit eingeschränkten Rechten, keinesfalls ein Administrator-Konto.
Führen Sie regelmäßig Datensicherungen auf Ihrem System durch. Legen Sie diese Sicherungen ( Back-ups ) auf externen Datenträgern ab, die ansonsten nicht mit Ihrem Rechner verbunden sind.
) auf externen Datenträgern ab, die ansonsten nicht mit Ihrem Rechner verbunden sind. Laden Sie Programme nur aus Originalquellen, Apps nur aus legalen App-Stores herunter. Führen Sie vor der Installation eine Überprüfung mit Anti-Viren- Software durch.
nur aus legalen herunter. Führen Sie vor der Installation eine Überprüfung mit Anti-Viren- durch. Öffnen Sie Anhänge und folgen Sie Links nur, wenn diese aus vertrauenswürdiger Quelle stammen.
Rufen Sie keine Webseiten unseriöser Anbieter auf und klicken Sie keine Werbebanner an.
Gehen Sie im Internet und in Sozialen Netzwerken möglichst restriktiv mit Ihren persönlichen Daten um. Seien Sie kritisch im Umgang mit Kontaktaufnahmen über Soziale Netzwerke, auch wenn diese vom Account eines Bekannten aus erfolgen. Fragen Sie im Zweifel bei den "echten" Freunden nach.
Sperren Sie Ihre Geräte und Nutzer-Accounts für Außenstehende durch den konsequenten Gebrauch effektiver Passwörter.
Laden Sie Ihr Smartphone via USB nur über vertrauenswürdige Computer, tätigen Sie keine sensiblen Transaktionen über öffentliche Hotspots und deaktivieren Sie drahtlose Verbindungen und GPS bei Nicht-Nutzung.
via USB nur über vertrauenswürdige Computer, tätigen Sie keine sensiblen Transaktionen über öffentliche und deaktivieren Sie drahtlose Verbindungen und bei Nicht-Nutzung. Arbeiten Sie bei Bank-Transaktionen mit der Zwei-Faktoren-Authentifikation.
Lassen Sie Premium- SMS oder -Dienste bei Ihrem Provider sperren, damit diese von Cyber kriminellen nicht mittels Schad software aktiviert werden können.
Weitere Hinweise und Tipps zum Schutz Ihres Computers und Smartphones und zur Sicherheit im Internet erhalten Sie hier:
nach oben