Jagd im Cyberspace: Wenn der Klick zur Falle wird
Kaum ein Tag vergeht, ohne dass auf der kf-Geschäftsstelle, aber auch auf den privaten Bildschirmen Mails mit Warnungen, Rückvergütungsmeldungen oder Drohungen zu Anzeigen wegen Pornografieverdachts, meist Pädophilie, eingehen. Vermeintliche Versicherungen, Banken, die FedPol, SBB und Post, diverse Päckliversandanbieter und viele weitere «Absender» reissen sich betrügerisch darum, den Konsumenten Daten zu entlocken oder sie auf schädliche Internetseiten zu locken. Und nicht nur das. Ein falscher Klick kann brutale Folgen haben: das Hacken von Bankkonten oder das Sperren sämtlicher Onlinezugänge, die erst wieder durch eine Zahlung an die Erpresser zugänglich werden, sind dramatisch und können existenzbedrohend sein.
Eine Rückverfolgung zu den Tätern ist schwierig bis unmöglich, denn sie sitzen nicht im Nachbardorf, sondern gern in Fernost und in Russland; in Ländern also, wo Hilfestellung in Form von polizeilicher Recherche oder staatlichem Vorgehen gegen die heimischen Betrüger für westliche Kunden nicht vorgesehen ist. Sobald Geld im Spiel ist, nutzen die Betrüger gern Blockchain, wonach ein Betrag in Sekunden aufgesplittet und in unzähligen «Blöcken» gespeichert und versteckt wird. Man kann nicht genug warnen. Das macht das Bundesamt für Cybersicherheit BACS vorbildlich. Nur leider melden sich die meisten Opfer dortselbst erst nach einem Schadenfall. Dabei gibt es durchaus Verdachtshinweise, welche vor allem diejenigen, die nicht allzu online-affin sind, zwingend beachten sollten.
Der erste und wichtigste Hinweis: Absenderadresse prüfen, bevor irgendeine Anweisung befolgt wird. Leider bietet dies noch keine Garantie, denn sogar diese Adresse kann gefälscht sein. Ein gesundes Mass an Misstrauen ist ebenfalls von Vorteil: Warum erhalte ich eine Rückvergütung von der AXA, wenn ich gar nicht bei diesem Unternehmen versichert bin? Warum bekomme ich eine Sendungsbenachrichtigung von DHL, obwohl ich gar nichts bestellt habe? Warum muss ich meine Kreditkartennummer angeben, weil mit meinem Bankkonto «etwas nicht stimmt»? Als User, zu deutsch: Nutzer, muss man wissen: das schädliche Mail, das auf dem PC aufploppt, wurde millionenfach versandt. Irgendeiner erwartet ein Päckli, irgendeiner ist bei AXA versichert, irgendeiner glaubt daran, dass er Kreditkartennummern für die Rettung des Bankkontos nochmals eingeben muss. Spätestens hier müssen alle Alarmglocken schrillen.
Das BACS rät dringend: Geben Sie niemals persönliche Daten wie Passwörter oder Kreditkartendaten auf einer Webseite ein, die Sie über einen Link in einer E-Mail oder Textnachricht angeklickt haben. Dies wird weder von Banken noch Versicherungen noch Kreditkartenanbietern jemals verlangt. Bei derartigen Aufforderungen handelt es sich immer um schädigenden Spam. Wenn Sie unsicher sind, rufen Sie das Unternehmen an. Aber nicht auf eine Nummer, die im erhaltenen Mail vermerkt ist! Die Chance, dass Sie damit direkt beim Betrüger landen, ist riesig.
Sollten Sie einen Dienst beanspruchen, der eine ZweiFaktor-Authentisierung ermöglicht, sollten Sie diese unbedingt aktivieren. Dies erhöht die Sicherheit Ihrer Daten um ein Vielfaches.
Denken Sie daran, dass auch QR-Codes, die Sie in der Mailnachricht erhalten, gefälscht werden können. Beim Anklicken landen Sie auf einer gefälschten Seite – und wiederum direkt beim Betrüger. Diese machen auch vor perfiden Vorgehen nicht halt. So überkleben sie offizielle QR-Codes mit ihren gefälschten Klebern, so zum Beispiel bei Parkuhren.
Oh nein – jetzt habe ich auf den Link geklickt! Was nun? Hier sind die wichtigsten Sofortmassnahmen, welche das BACS empfiehlt: Sollten Sie Kreditkartendaten angegeben haben, wenden Sie sich umgehend an Ihren Kreditkartendienstleister, damit dieser die Kreditkarte sperren kann. Falls Sie Ihr Passwort angegeben haben, ändern Sie dieses sofort bei allen Diensten, bei welchen Sie dieses einsetzen. Verwenden Sie für jeden Online-Dienst ein separates, starkes Passwort.
Handelt es sich um ein E-Mail-Passwort, setzen Sie auch alle Passwörter der Web-Dienstleister zurück, die mit diesem Konto in Verbindung stehen. Falls Sie einen finanziellen Schaden erlitten haben, empfiehlt das BACS eine Strafanzeige bei der örtlichen Polizei. Auf der Seite von Suisse ePolice können Sie Polizeiposten in Ihrer Nähe suchen: https://www.suisse-epolice.ch/search-station
Falls Sie jeweils keine Antwort erwarten, können Sie zukünftige Phishing-Versuche direkt an die E-Mail-Adresse reports@antiphishing.ch weiterleiten oder den Phishing-Link auf www.antiphishing.ch eintragen. Falls Sie eine Antwort wünschen, melden Sie die Phishing-Versuche über das Online-Formular des BACS https://www.report.ncsc.admin.ch/de/
Seien Sie wachsam!
Babette Sigg
Schweizerisches Konsumentenforum