Mit diesen Tricks locken Phisher ihre Opfer in die Falle

Phishing ist und bleibt ein Problem. Weit über 6 Millionen Phishing-Mails sollen Cyberkriminelle allein 2024 in Schweizer E-Mail-Postfächer gespült haben und auch 2025 dürften sie das Geschäft mit vorgetäuschten Identitäten und erlogenen Versprechen weiter vorantreiben.

Mit Phishing befasst sich ebenfalls das Bundesamt für Cybersicherheit (BACS). Die Behörde nimmt Meldungen zu Cyberbetrügereien entgegen und warnt regelmässig vor den neuesten Maschen. Im aktuellen Wochenrückblick beschreibt es jedoch nicht eine konkrete Phishing-Kampagne, sondern fasst die häufigsten Tricks der Cyberbetrüger zusammen. Denn so variantenreich Phishing scheinen mag, nutzen die Urheber der Kampagnen doch immer wieder dieselben Grundzutaten.

So besteht eine Phishing-Masche in der Regel aus zwei Komponenten, wie das BACS schreibt: einerseits die Kontaktaufnahme (eine Phishing-Nachricht) und andererseits die Abfrage der Daten (Phishing-Seite im Internet).

Vier Tricks, sieben Tipps

Die Nachrichten, die das Opfer neugierig machen und es zum handeln verleiten sollen, kommen heutzutage nicht mehr nur per Mail, sondern auch per SMS, Whatsapp, iMessage und in bestimmten Fällen gar mit der regulären Briefpost. Im Wochenrückblick präsentiert das BACS vier populäre Fundstücke aus der Trickkiste der Betrüger.

• Die angebliche Rückerstattung: Ist ein Beispiel für die Geschichten, die sich Betrüger für ihre Opfer ausdenken. "Ein grosser Teil der Bevölkerung bezahlt grössere Beträge für z. B. Steuern oder Krankenkassen. Unter gewissen Umständen sind Rückerstattungen denkbar und die meisten würden sich über eine solche Rückerstattung freuen", schreibt das Bundesamt. Vor einem konkreten Fall warnte es etwa im Herbst 2024, als Phisher die AHV zur Protagonistin ihres Märchens machten.

• Die bekannten Marken: Von der Schweizerischen Post über Swisscom bis hin zu den SBB geraten alle Unternehmen regelmässig unfreiwilliger Weise ins Zentrum von Phishing-Kampagnen. Die Gründe sind einfach: "Diese Unternehmen haben in der Schweiz einen umfangreichen Kundenstamm und geniessen ein grosses Vertrauen bei ihren Kunden", erklärt das BACS. Für Phisher bedeutet dies, dass sie mit enormen Mengen an Spam-E-Mails eine grosse Anzahl potenzieller Opfer erreichen, auch wenn die Betrüger nicht wüssten, ob die betreffende Person tatsächlich Kundin oder Kunde des Unternehmens ist.

• Fake-Absender: Mit einer einfachen Manipulation erreichen die Phisher, dass ihre E-Mails den Namen und die Adresse des Unternehmens im Absender tragen, das sie für ihre Betrugsmasche missbrauchen. Mitunter gelingt es den Kriminellen sogar, die Benachrichtigungssysteme der jeweiligen Unternehmen zu kapern – so geschehen im Fall des Buchungsportals Booking.com, konkretisiert das BACS.

• Adress-Schummeleien: Für die Web-Adressen zu ihren Phishing-Seiten wenden Cybergauner ebenfalls ein paar Verschleierungstaktiken an. So machen sie sich etwa zu Nutze, dass kleine Smartphone-Screens nur einen Teil von langen Adressen anzeigen. Die Gauner sorgen dann dafür, dass der effektiv sichtbare Teil der Adresse aussieht, als gehöre der Link zum imitierten Unternehmen. Tatsächlich aber hosten die Cyberkriminellen ihre Phishing-Seiten äusserst selten bei den Unternehmen, dessen Namen sie missbrauchen. Laut dem BACS reservieren sie manchmal zu ihrer Masche passende eigene Domainnamen oder verwenden kostenlose Subdomains. Mitunter verwenden sie auch gehackte Webseiten für Phishing oder andere boshafte Zwecke.

Die vier Phishing-Tricks ergänzt das BACS mit sieben Ratschlägen, um nicht in die Falle zu tappen oder den Schaden gering zu halten:

• Seien Sie vorsichtig, wenn Sie in E-Mails, Textnachrichten oder Anrufen aufgefordert werden, persönliche Daten anzugeben. Gehen Sie im Zweifelsfall über den offiziellen Link auf die Webseite, nicht über den Link in der Nachricht, oder rufen Sie den Support des Unternehmens an.

• Geben Sie auf keinen Fall sensible Daten wie Kreditkartendaten oder Passwörter auf einer Seite ein, welche Sie über einen Link in einer Textnachricht oder einer E-Mail geöffnet haben.

• Haben Sie Ihr Passwort auf einer Phishing-Seite angegeben, ändern Sie es sofort bei allen Diensten, wo Sie es einsetzen. Besonders heikel sind E-Mail-Passwörter.

• Melden Sie die Phishing-URL an www.antiphishing.ch. Wenn Sie eine Antwort auf Ihre Meldung erhalten möchten, verwenden Sie stattdessen das Online-Meldeformular des BACS.

• Sollten Sie Kreditkartendaten angegeben haben, wenden Sie sich umgehend an Ihren Kreditkartendienstleister, damit dieser die Kreditkarte sperren kann.

• Seien Sie besonders vorsichtig bei Kurz-Links. Überprüfen Sie, ob Sie auch wirklich auf der richtigen Seite gelandet sind.

• Bei einem finanziellen Schaden empfiehlt das BACS, bei der zuständigen Kantonspolizei Anzeige zu erstatten. Auf der Seite von Suisse ePolice können Sie Polizeiposten in Ihrer Nähe und deren Telefonnummern suchen.

Im Februar 2025 fanden in Bern wieder die Swiss Cyber Security Days statt. Zu den Highlights zählen eine Analyse der Schwachstellen in der Schweiz, das Lob eines FBI-Agenten für Schweizer Ermittler und ein Gespräch zu den Gefahren für Minderjährige im Netz. Hier geht’s zum Eventbericht.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.