Neue Phishing-Masche 04.05.2017, 15:00 Uhr

Hacker geben sich als Schweizer Beamte aus

Beim Versuch, ihren Opfern Malware unterzujubeln, greifen Cyber-Kriminelle zu immer perfideren Tricks. Neuerdings geben sie sich als Schweizer Firmen und Bundesämter aus. Melani gibt Tipps, wie sich Privatpersonen und betroffene Unternehmen verhalten sollten.
Phishing-Mails, die als Absender Schweizer Firmen und Behörden missbrauchen, haben im Moment gerade Hochkonjunktur. Das schreibt die Melde- und Analysestelle für Informationssicherheit (Melani) auf ihrer Webseite. Eine E-Mail, die angeblich von der Eidgenössischen Steuerverwaltung stammt, machte laut Melani jüngst die Runde. Die Betrüger nahmen dabei Bezug auf eine fiktive Steuerrückerstattung und forderten die Empfänger zum Ausfüllen eines angehängten Dokuments auf. Beim Öffnen der Datei installierte sich darauf automatisch die Schadsoftware ? sowohl auf Mac, als auch auf Windows-Rechnern. Eine Steuerrückerstattung gab es selbstverständlich nicht.
Im Februar geisterteeine Mail ? auf den ersten Blick von der Swisscom ? herum, bei der Cyber-Kriminelle eine ähnliche Taktik anwendeten. Die gefälschte Rechnung war mit dem Button «Rechnung einsehen» versehen, der auf eine präparierte Webseite verwies. Auf dieser wurden die Opfer anschliessend mit Malware infiziert.
Gemäss Melani werden auch Einladungen zu Gerichtsverhandlungen oder Nachrichten der Kantonspolizei als Tarnung verwendet. «Ziel der Angreifer ist es, den Benutzer zu überrumpeln, seine Neugier zu wecken oder ihm Angst zu machen, um ihn dann zu einer unbedachten Aktion zu verleiten», so die Bundesstelle. Nächste Seite: Wie man sich als Privatperson schützen kann und was betroffene Firmen tun sollten In Anbetracht der aktuellen Gefahrenlage stellte Melani für Privatpersonen und Firmen einige Tipps zum Schutz vor Phishing-Attacken zusammen. Tipps für Mail-Empfänger:
  • Unaufgefordert erhaltenen Mails grundsätzlich misstrauen
  • Nicht nur bei Mails von unbekannten Personen kritisch sein und Vorsicht walten lassen
  • Nicht unter Druck setzen lassen, gegebenenfalls bei der Firma nachfragen
  • Plausibilität überprüfen (legitime E-Rechnungen enthalten etwa stets Vor- und Nachname der Empfänger), im Zweifelsfall bei der Firma erkundigen
Was tun, wenn die Firma als Absender missbraucht wurde?
  • Gut sichtbar auf der Webseite darauf hinweisen, Verhaltens-Empfehlung für Kunden abgeben
  • Per Newsletter auf Betrugsversuche hinweisen
Bei der Kommunikation mit Kunden sollen zudem folgende Grundregeln eingehalten werden:
  • Links sparsam setzen, lediglich auf die eigene Domain verlinken
  • Wenn möglich auf verschlüsselte Seiten (https) verlinken
  • Links für Nutzerinnen und Nutzer sichtbar machen
  • Nicht auf Webseiten verlinken, die eine Angabe von Nutzername und Passwort erfordern
  • Sofern möglich, Kundschaft mit Vor- und Nachnamen anschreiben
  • Wichtige Informationen zu Konten schriftlich per Brief versenden (vor allem im Finanzsektor)


Das könnte Sie auch interessieren