Gewusst wie

Fünf Tipps, um nicht in die Phishing-Falle zu tappen

Phishing ist digitaler Betrug par excellence und erlebt in Zeiten von Corona einen regelrechten Boom. Marcel Zumbühl, Leiter Informationssicherheit der Post, gibt uns fünf Tipps, mit denen man erkennt, wann ein E-Mail ein Phishing-Versuch ist.

Inhaltsbereich

Marcel Zumbühl, Chief Information Security Officer der Post.
Marcel Zumbühl, Chief Information Security Officer der Post.

Kriminelle nutzen die ausserordentliche Situation aus und versuchen, mit einer exponentiell gestiegenen Anzahl E-Mails ahnungslose, bereits verunsicherte Personen mit Phishing oder infizierten Computern abzuzocken. Ihr Ziel ist es, sensible Personendaten zu ergaunern – zum Beispiel eine Kreditkartennummer oder die Zugangsdaten zum E-Banking – oder Computer und Smartphones über Links und Anhänge mit Schadsoftware zu infizieren. «Niemand, keine Institution und kein Unternehmen, ist vor solchen Betrugsversuchen geschützt», erklärt Marcel Zumbühl, Leiter Informationssicherheit der Post. «Die Post fragt ihre Kundinnen und Kunden grundsätzlich nie per E-Mail, SMS oder Telefon nach persönlichen Sicherheitselementen wie Passwörtern oder Kreditkartennummern.» Zumbühl, ein Experte für Phishing, gibt hier einige Tipps, wie Phishing-Mails erkannt werden können.

  • Sie erhalten eine E-Mail ohne besonderen Grund: Unternehmen kontaktieren ihre Kundinnen und Kunden nie ohne präzisen Grund und fragen nie per E-Mail nach sensiblen Daten. Misstrauen Sie auch nicht-personalisierten E-Mails («Sehr geehrter Kunde, wir bitten Sie, Ihre Kreditkartennummer hier einzutragen.»), solchen mit einschüchterndem Ton («Wenn Sie Ihre Angaben nicht eintragen, sehen wir uns gezwungen, Ihren Account zu schliessen.») oder solchen, die eine sehr kurze Frist für eine Handlung enthalten. Löschen Sie solche E-Mails sofort.
  • Sie erhalten von einem legitim erscheinenden Absender ein E-Mail: Vergleichen Sie den Namen des Absenders mit der Mailadresse, indem Sie mit der Maus über diese Adresse fahren. Um sicher zu sein, schauen Sie in Ihrem Posteingang nach, ob Sie von diesem Absender bereits vertrauenswürdige E-Mails erhalten haben. Die E-Mails zum Sendungsstatus einer Sendung der Post kommen zum Beispiel immer von der Adresse «notifications@post.ch», sind DKIM-signiert und enthalten keine XLS-Anhänge.
  • Den Link überprüfen: Bevor Sie einen Link öffnen, prüfen Sie, ob die angegebene Webadresse wirklich dieselbe ist wie jene, auf die der Link führt. Dies geht sehr einfach, indem Sie mit der Maus über den Link fahren (ohne zu klicken!). Prüfen Sie, ob die Ziel-Domain (z.B. xxxx.domain-name.ch/xxxx) zum Absender passt.
  • HTTPS oder HTTP: Haben Sie den Link dennoch geöffnet, hier eine schnelle und wichtige Überprüfung, bevor Sie sensible Daten zu E-Banking, Onlineshops oder Social-Media-Accounts eingeben: Kontrollieren Sie, ob es sich um eine sichere HTTPS-Verbindung handelt und nicht nur um eine normale HTTP-Verbindung. Um nicht betrogen zu werden, wäre es am besten, wenn Sie im Browser jedes Mal von Hand die Webadresse für einen Loginbereich eingeben.
  • Bombensicheres Passwort: Das Problem der immer gleichen Passwörter ist alt. Aber tun Sie sich selbst einen Gefallen: Verwenden Sie stets sichere Passwörter mit Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen.

Sie sind trotzdem in die Falle getappt – was nun?

Falls Sie Ihre Daten auf einer Phishing-Seite angegeben haben, sollten Sie umgehend im Kundencenter Ihre Zugangspasswörter zu Postdienstleistungen ändern und falls nötig Ihre Kreditkarte sperren.
Melden Sie Phishing-Versuche der Melde- und Analysestelle Informationssicherung (MELANI) des Bundes oder dem Kundendienst der Post.

Weitere Informationen finden Sie hier.