News 05.05.2017, 06:50 Uhr

Neue Phishing-Masche: Hacker geben sich als Schweizer Beamte aus

Cyberkriminelle stehlen Daten, indem sie sich als Bundesamt oder Schweizer Firma ausgeben. Seien Sie vorsichtig!
Phishing-Mails, die als Absender Schweizer Firmen und Behörden missbrauchen, haben im Moment gerade Hochkonjunktur. Das schreibt die Melde- und Analysestelle für Informationssicherheit (Melani) auf ihrer Webseite. Eine E-Mail, die angeblich von der Eidgenössischen Steuerverwaltung stammt, machte laut Melani jüngst die Runde. Die Betrüger nahmen dabei Bezug auf eine fiktive Steuerrückerstattung und forderten die Empfänger zum Ausfüllen eines angehängten Dokuments auf. Beim Öffnen der Datei installierte sich darauf automatisch die Schadsoftware – sowohl auf Macs als auch auf Windows-Rechnern. Eine Steuerrückerstattung gab es selbstverständlich nicht.
Mit solchen Mails werden User verunsichert
Im Februar machte eine Mail die Runde, die auf den ersten Blick von der Swisscom zu stammen schien, bei der Cyberkriminelle eine ähnliche Taktik anwendeten. Die gefälschte Rechnung war mit dem Button «Rechnung einsehen» versehen, der auf eine präparierte Webseite verwies. Auf dieser wurden die Opfer anschliessend mit Malware infiziert.
Auch gefälschte Swisscom-Rechnungen sind im Umlauf
Gemäss Melani werden auch Einladungen zu Gerichtsverhandlungen oder Nachrichten der Kantonspolizei als Tarnung verwendet. «Ziel der Angreifer ist es, den Benutzer zu überrumpeln, seine Neugier zu wecken oder ihm Angst zu machen, um ihn dann zu einer unbedachten Aktion zu verleiten», so die Bundesstelle.
Nächste Seite: Wie man sich als Privatperson schützen kann und was betroffene Firmen tun sollten

Wie man sich als Privatperson schützen kann und ...

In Anbetracht der aktuellen Gefahrenlage stellte Melani für Privatpersonen und Firmen einige Tipps zum Schutz vor Phishing-Attacken zusammen.
Tipps für Mail-Empfänger:
  • Unaufgefordert erhaltenen Mails grundsätzlich misstrauen.
  • Nicht nur bei Mails von unbekannten Personen kritisch sein und Vorsicht walten lassen.
  • Nicht unter Druck setzen lassen, gegebenenfalls bei der Firma nachfragen.
  • Plausibilität überprüfen (legitime E-Rechnungen enthalten etwa stets Vor- und Nachname des Empfängers), im Zweifelsfall bei der Firma erkundigen.
Was tun, wenn die Firma als Absender missbraucht wurde?
  • Gut sichtbar auf der Webseite darauf hinweisen, Verhaltens-Empfehlung für Kunden abgeben.
  • Per Newsletter auf Betrugsversuche hinweisen.
Bei der Kommunikation mit Kunden sollten zudem folgende Grundregeln eingehalten werden:
  • Links sparsam setzen, lediglich auf die eigene Domain verlinken.
  • Wenn möglich auf verschlüsselte Seiten (https) verlinken.
  • Links für Nutzerinnen und Nutzer sichtbar machen.
  • Nicht auf Webseiten verlinken, die eine Angabe von Nutzername und Passwort erfordern.
  • Sofern möglich, Kundschaft mit Vor- und Nachnamen anschreiben.
  • Wichtige Informationen zu Konten schriftlich per Brief versenden (vor allem im Finanzsektor).



Kommentare
Es sind keine Kommentare vorhanden.