Ob per E-Mail, SMS oder Telefon: Mehr und mehr werden Menschen zu Handlungen aufgefordert, mit denen persönliche oder vertrauliche Informationen offengelegt werden sollen. Ziel dabei ist stets, an das Geld der Menschen zu gelangen. Abgelaufene Produkte, gesperrte Konten, gestohlene alte Kennwörter, vermeintlich gehackte Computer oder intime Videos, die Hacker*innen an Kontakte weiterleiten wollen: Künstliche Intelligenz steigert die Kreativität von Cyberkriminellen, die ihre Opfer mit immer glaubwürdigeren Nachrichten betrügen, in denen die Identität bekannter Marken perfekt gefälscht wird.

Was genau ist Phishing?

Mittels Phishing versuchen Kriminelle, ihre Opfer dazu zu bringen, Kennwörter und andere persönliche Informationen preiszugeben, um an Geld zu gelangen oder Zugang zu ihren Konten zu erhalten. Das Wort Phishing wurde von den Wörtern password und fishing abgeleitet und bedeutet wörtlich übersetzt „Passwortfischen“. Im Französischen spricht man von „hameçonnage“.

Konkret handelt es sich um Nachrichten, die wie vertrauenswürdige Unternehmenskommunikation aussehen und darauf abzielen, die Zugangsdaten der leichtgläubigsten Personen zu stehlen – sei es per E-Mail-Antwort oder über ein Webformular auf einer gehackten oder betrügerischen Website, die die Identität eines bekannten Unternehmens nachahmt.

Um Ihr Vertrauen zu gewinnen, können diese bösartigen E-Mails persönliche Informationen wie Ihren Vornamen, Ihren Domainnamen und dessen Ablaufdatum oder Kennwörter enthalten, die Sie immer noch verwenden. Die Urheber*innen solch böswilliger E-Mails erhalten diese Informationen aus öffentlichen Verzeichnissen wie dem Whois oder nutzen Sicherheitslücken bekannter Websites aus, auf denen Sie diese Informationen im Normalfall rechtmässig eingeben würden.

Über solch betrügerische Praktiken kann auch die Dringlichkeit einer Produktverlängerung oder die Gefahr eines endgültigen Datenverlusts angemahnt werden. Bisweilen werden die Opfer auch mit Gefühlen oder Drohungen hereingelegt.

Daher ist es wichtig, ein sicheres E-Mail-System zu verwenden und diese Bedrohung abzuwehren.

Wie kann man Phishing erkennen und sich davor schützen?

1. Verwenden Sie ein sicheres E-Mail-System.

Das E-Mail-System von Infomaniak erhöht Ihre Wachsamkeit bei der Beantwortung neue E-Mails
Das E-Mail-System von Infomaniak erhöht Ihre Wachsamkeit mit einem gelben „External“-Tag, wenn Sie mit potenziell gefährlichen Kontakten interagieren.

Die Mail-Service von Infomaniak umfassen automatischen Schutz vor Viren, potenziell gefährlichen Nachrichten und betrügerischen Links. Sie warnen Sie auch dann, wenn Sie auf die Nachricht unbekannter Absender*innen antworten, und ermöglichen Ihnen, verdächtige Nachrichten zu melden.

2. Überprüfen Sie die Echtheit Ihrer Nachrichten.

E-Mails von Infomaniak und grossen Unternehmen sind in der Regel an diesem blauen Badge erkennbar, das in Infomaniak Mail wie folgt angezeigt wird:

Das Badge bescheinigt, dass die Nachricht tatsächlich von Infomaniak oder einem legitimen Unternehmen stammt und nicht von einer Person, die versucht, dessen Identität zu missbrauchen. Wenn Sie Zweifel an einer Infomaniak-Rechnung hegen, dann melden Sie sich bei Ihrem Infomaniak-Manager an, um Ihre Rechnungen und den Status Ihrer Dienste zu überprüfen.

3. Überprüfen Sie Links, auf die Sie klicken.

Klicken Sie niemals auf Links und öffnen Sie im Zweifelsfall niemals Anhänge. Betrifft die Nachricht Infomaniak, dann stellen Sie sicher, dass die Adresse der Zielseite Ihres Browsers die Domain infomaniak.com enthält, bevor Sie auf einen Link klicken.

Beispiele:

  • infomaniak.com (Schreibweise muss exakt stimmen):
  • manager.infomaniak.com/XYZ
  • faq.infomaniak.com/XYZ
  • infomaniak.com/XYZ
  • news.infomaniak.com/XYZ
  • usw.

4. Geben Sie niemals sensible Informationen weiter.

Geben Sie niemals Ihre Bank- oder Kreditkartendaten weiter und übermitteln Sie keine Kopien Ihres Reisepasses oder Personalausweises an Unbekannte. Mit diesen Informationen könnten sich diese Dritten als Sie ausgeben.

5. Geben Sie keinen Zugriff auf Ihren Computer.

Geben Sie fremden Personen niemals Zugriff auf Ihren Computer – auch nicht über das Internet. Betrüger*innen könnten Ihre Daten stehlen, Transaktionen veranlassen, Ihren Computer sperren und Geld von Ihnen erpressen. Infomaniak verlangt von Ihnen niemals per E-Mail personenbezogene Daten oder Bankdaten.

6. Überweisen Sie niemals Geld.

Lassen Sie sich niemals – auch nicht am Telefon – dazu verleiten, Daten herauszugeben, Geld zu zahlen oder zu überweisen. Überprüfen Sie die Echtheit eines Anrufs, indem Sie die Behörde oder Firma unter der Nummer anrufen, die auf der offiziellen Website vermerkt ist. Im Zweifelsfall finden Sie hier die offizielle Kontaktseite von Infomaniak: support.infomaniak.com.

7. Verwenden Sie für alle Ihre Dienste unterschiedliche Kennwörter.

Mit einem Passwortmanager wie BitWarden können Sie ganz einfach lange und sichere Kennwörter für jedes Ihrer Online-Konten erstellen und sicher speichern.

8. Sichern Sie Ihre Konten mit Zwei-Faktor-Authentifizierung.

Wenn Sie Ihre Konten mit der Zwei-Faktor-Authentifizierung schützen, können böswillige Personen, die Ihr Kennwort ohne Ihr Wissen über ein Datenleck erhalten haben, nicht darauf zugreifen. So aktivieren Sie diese Sicherheit bei Infomaniak.

9. Überprüfen Sie, ob Ihre E-Mail-Adresse / Ihr Kennwort einer Schwachstelle zum Opfer gefallen ist.

Wenn eine bekannte Website oder ein bekannter Dienst eine Schwachstelle aufweist, können sensible Informationen (wie Kennwörter und E-Mail-Adressen) von Hacker*innen gestohlen werden. Diese Informationen werden dann häufig im Darkweb weiterverkauft oder geteilt. Im Anschluss verwenden die Angreifer*innen diese Informationen, um Zugang zu Ihren Konten auf anderen Websites zu erhalten, die Sie möglicherweise nutzen. Oder sie senden Ihnen Phishing-Kampagnen, um weitere sensible Informationen von Ihnen zu erhalten, wie Bankdaten.

💡 Auf haveibeenpwned.com können Sie überprüfen, ob Ihre Adresse und Ihr Kennwort einer bekannten Schwachstelle zum Opfer gefallen sind.

Wie sieht Phishing konkret aus? Echte Beispiele

Hier ein erstes Phishing-Beispiel, bei dem unter dem Vorwand einer Rechnung die Identität von Infomaniak missbraucht wird:

Drei Dinge ermöglichen, diesen Betrug zu vereiteln:

  • Das E-Mail-System von Infomaniak zeigt über ein externes gelbes Tag an, dass die E-Mail-Adresse nicht in Ihrer Kontaktdatenbank enthalten ist. Ist dieses Tag zu sehen, dann seien Sie wachsam und prüfen Sie sorgfältig die E-Mail-Adresse, an die sie schreiben.
  • Die E-Mail-Adresse der absendenden Person enthält nicht die Domain @infomaniak.com.
  • Die Echtheit der E-Mail-Adresse der absendenden Person wird nicht durch ein blaues Badge mit Haken (siehe unten) bestätigt.

Hier ein zweites Phishing-Beispiel mit gefälschter Netflix-Identität:

Quelle: https://www.kaspersky.com/blog/netflix-phishing/42927/

Auch hier lässt sich der Betrug anhand der E-Mail-Adresse der absendenden Person entlarven.

Abschliessend noch ein drittes Phishing-Beispiel mit Fälschung einer amtlichen gerichtlichen Vorladung:

Quelle: https://www.pcrisk.com/removal-guides/24481-summon-to-court-for-pedophilia-email-scam

Abermals ist der Betrug durch die E-Mail-Adresse der absendenden Person offensichtlich.

Was können Sie tun, wenn Sie auf einen Phishing-Versuch hereingefallen sind?

  • Sollten Sie bereits auf ein betrügerisches E-Mail geantwortet haben oder mehrfache Aufforderungen erhalten, dann brechen Sie den Nachrichtenverkehr ab und löschen Sie die E-Mails.
  • Sollten Sie ein Lösegeld gezahlt haben, kann es erforderlich sein, bei der Polizei Anzeige zu erstatten und die Transaktion bei Ihrer Bank anzufechten. Bewahren Sie in diesem Fall alle E-Mails und Transaktionsbelege auf.
  • Scannen Sie Ihren Computer mit einem gängigen Antivirus-Programm.
  • Ändern Sie rasch die Kennwörter Ihrer sozialen Netzwerke und der von Ihnen genutzten sensiblen Dienste. Nachfolgend finden Sie die Anleitung zum Ändern Ihrer Infomaniak-Kennwörter.
  • Melden Sie gefährliche Nachrichten gemäss dieser Anleitung.

⚠️ Infomaniak ersucht in E-Mails niemals darum, Zugangsdaten oder sonstige personenbezogene Daten wie Geburtsdatum, Adresse, Bankdaten usw. offenzulegen. Im Übrigen werden unsere Kundinnen und Kunden über den Dienststatus und im Manager permanent über allfällige Bedrohungen informiert.

Was unternimmt Infomaniak, um Phishing zu bekämpfen?

Infomaniak arbeitet kontinuierlich daran, seine Nutzer*innen bestmöglich vor Cybersicherheitsbedrohungen zu schützen, und ergreift mehrere Massnahmen:

  • Proaktives Sperren gefährlicher Websites und Links.
  • Eingebettete Sicherheitsmassnahmen in unserem E-Mail-System, auch für kostenlose Adressen.
  • Kontinuierliche Aktualisierung unserer Spam-Filter, um Bedrohungen im Vorfeld auszuschalten.
  • Schutz unserer E-Mail-Infrastruktur vor Identitätsdiebstahl und gängigen Bedrohungen.
  • Prävention bei unseren Nutzer*innen über unsere Seite status.infomaniak.com und unsere sozialen Netzwerke bei massiven Kampagnen gegen Infomaniak.
  • Erstattung von Strafanzeigen bei der Polizei.
  • Usw.

Weiterführende Ressourcen