Phisher nutzen den Zufall zu ihrem Vorteil
Das BACS erhält immer wieder Meldungen von Opfern, bei denen die Betrugsmails plausibel erscheinen, weil sie zufällig zu einer aktuellen Situation passen. In solchen Fällen ist es besonders schwierig, Phishing zu erkennen.
Wer schon Opfer von Phishing-Versuchen war, weiss: Es gibt plausibel aussehende und weniger echt wirkende Maschen. Wenn der Betrug aber per Zufall zu einer aktuellen Situation passt, fällt man eher auf schlecht verpackte Versuche rein. Solche Fälle wurden dem Bundesamt für Cybersicherheit (BACS) in den vergangenen Wochen häufiger gemeldet, wie das Amt in einer Mitteilung schreibt.
In einem Fall kamen demnach gleich mehrere Zufälle zusammen. Die betroffene Person erwartete ein Paket und wurde kurz darauf per E-Mail informiert, das Paket könne nur gegen Gebühr zugestellt werden. Das Opfer sah darin keinen Grund zur Beunruhigung und gab die Kreditkartendaten ein. Auch als daraufhin das Telefon klingelte und ein angeblicher Sicherheitsbeauftragter einer Bank eine verdächtige Transaktion ausfindig gemacht haben wollte, nahm das Opfer das Gespräch ernst. Dass es sich sowohl beim E-Mail als auch beim Anruf um voneinander unabhängige Betrugsmaschen handelte, erachtete Opfer angesichts der Umstände als unwahrscheinlich.
Je mehr gephisht wird, desto wahrscheinlicher sind Zufälle
Laut BACS sind solche Zufälle keine Seltenheit. Das liege an der Menge von Phishing-Mails, die im Umlauf seien. Swisspass werde etwa besonders häufig für Betrüge missbraucht. Da dieser mit verschiedensten Konten verbunden ist, könne es auch hier zu plausibel scheinenden Meldungen kommen. So erhielt ein Opfer in einem dem BACS gemeldeten Fall eine Meldung der ÖV-Ticket-App Fairtiq, die Kreditkarte sei abgelaufen. Gleichzeitig kam eine gefälschte Nachricht von Swisspass, das Konto sei gesperrt worden und müsse via Link wieder aktiviert werden. Während die Meldung zur Kreditkarte zwar korrekt war, erwies sich die Swisspass-Nachricht als falsch. Was unter normalen Umständen als Betrug erkannt werde, könne bei so vielen zufälligen, aber passenden Gegebenheiten jedoch schwierig werden, heisst es beim BACS.
"Gerade bei betrügerischen E-Mails und Anrufen, die in sehr grosser Zahl im Umlauf sind, sind Zufälle vorprogrammiert. Die grosse Masse ist sicher auch eine Taktik der Angreifer. Da die E-Mails und Anrufe mittlerweile von vielen als betrügerisch eingestuft werden, versuchen sie, mit dem Massenversand ihre Chancen zu erhöhen, dass eine Mail zufälligerweise zu einer tatsächlichen Situation passt", schreibt das BACS.
Um solche Situationen richtig einzuschätzen, empfiehlt das BACS, folgende Punkte zu beachten:
- Prinzipiell gilt: Seien Sie skeptisch, wenn sich jemand unaufgefordert meldet. Sei dies per Telefon, Textnachricht oder E-Mail.
- Geben Sie in solchen Fällen unter keinen Umständen Daten wie Passwörter, Codes oder Kreditkartendaten preis.
- Passwörter, Codes oder Kreditkartendaten werden niemals von Institutionen per Telefon oder E-Mail abgefragt.
- Gestatten Sie auch niemandem Fernzugriff auf den Computer, auch wenn dies noch so plausibel erscheint.
Lesen Sie ausserdem: Seit dem Sommer 2023 haben sich Anrufe von Fake-Behörden verdreifacht.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.