Phishing-Mails sind nicht mehr lustig. Die Zeiten, in denen ein nigerianischer Prinz Dir 24 Millionen US-Dollar überweisen wollte und die Mail sechs Rechtschreibfehler im Betreff hatte, sind vorbei. Heute kommt die Mail vom Schweizer-Post-Konto-Avis, sieht professionell aus, hat ein echtes Logo und einen Link, der täuschend echt aussieht. Und wenn Du draufklickst und Deine Daten eingibst, ist das Konto am nächsten Morgen leer.
Das NCSC bekommt jeden Tag mehrere hundert Phishing-Meldungen aus der Schweiz. Was hilft, ist nicht ein Spamfilter – der versagt bei guten Phishing-Mails. Was hilft, ist ein eingeübter Blick auf drei Stellen.
Warnsignal 1: Die Absenderadresse, ganz genau
Der Klar-Name in der Mail («PostFinance», «Swisscom», «Steueramt Zürich») ist erfunden. Den kann jeder ins Mail-Programm eintragen. Was zählt, ist die echte E-Mail-Adresse dahinter.
Klick im Mail-Programm auf den Absender-Namen. Es klappt eine Adresse aus. Und jetzt schau genau hin: service@postfinanc-ch.com ist nicht service@postfinance.ch. noreply@swisscom.ch.security-update.com ist nicht swisscom.ch. Das Geheimnis steckt nach dem letzten Punkt vor dem Slash.
Wenn die Adresse seltsam aussieht, fremde Endung hat, oder der Domain-Name eine kleine Variation enthält: Phishing. Tipp am Smartphone: lange auf den Absender drücken, dann poppt die Adresse auf.
Warnsignal 2: Druck und Eile
«Ihr Konto wird in 24 Stunden gesperrt.» «Letzte Mahnung vor Inkasso.» «Verdächtige Anmeldung – jetzt bestätigen.» Dieser Tonfall ist kein Zufall. Phishing-Mails arbeiten gezielt mit Zeitdruck, weil Angst und Hektik die Wahrscheinlichkeit erhöhen, dass jemand klickt, ohne nachzudenken.
Echte Banken, echte Versicherungen, echte Behörden in der Schweiz machen das nicht. Sie schreiben Briefe. Wenn etwas wirklich dringend ist, rufen sie an. Wer Dich per Mail unter Zeitdruck zur sofortigen Aktion drängt – Login bestätigen, Daten eingeben, Geld überweisen – ist mit grosser Wahrscheinlichkeit kein echter Absender.
Faustregel: Bei Druck-Mails einmal kurz innehalten. Tee kochen. Dann nochmal lesen. Wenn der Druck dann immer noch da ist, das Unternehmen direkt anrufen – nicht die Nummer aus der Mail nehmen, sondern die offizielle Hotline googeln.
Warnsignal 3: Der Link führt nicht dorthin, wo er hinführen soll
Bevor Du auf einen Link klickst, fahre mit der Maus drüber (am Smartphone: lange drücken). Es erscheint die echte Ziel-URL. Vergleich sie mit dem, was im Linktext steht.
Linktext: «Zur PostFinance einloggen»
Tatsächliche URL: https://login.postfinance-secure.ru/auth/...
Das ist Phishing. Echte Login-Seiten der Schweizer Banken und Behörden enden auf .ch und haben den Firmennamen direkt vor dem letzten Punkt. Alles andere – .ru, .com mit kreativem Domain-Namen, oder kryptische Adressen mit IP-Nummern – ist verdächtig.
Im Zweifel: nicht den Link klicken. Stattdessen die Webseite direkt im Browser eintippen oder über das Lesezeichen aufrufen. postfinance.ch, swisscom.ch, steuern.zh.ch. Wenn dort nichts auf Dich wartet, war die Mail wahrscheinlich Phishing.
Was tun, wenn ich draufgeklickt habe?
Passiert. Erstens: nicht panisch werden. Zweitens: handeln.
Wenn Du nur geklickt, aber keine Daten eingegeben hast: Vermutlich nichts passiert. Trotzdem den Browser-Cache leeren und beim nächsten Login die Adresse direkt eingeben.
Wenn Du Login-Daten eingegeben hast: Sofort das Passwort beim echten Anbieter ändern. Wenn das gleiche Passwort auch woanders verwendet wurde – auch dort ändern. Online-Banking: zusätzlich die Bank anrufen und Zugang sperren lassen.
Wenn Du Geld überwiesen hast: Sofort die Bank anrufen. Bei sehr schneller Reaktion (Minuten) gibt es manchmal die Möglichkeit, die Überweisung zurückzuholen. Stunden später meistens nicht mehr.
In allen Fällen: die Mail dem NCSC melden. Über antiphishing.ch oder direkt an reports@antiphishing.ch weiterleiten. Damit hilfst Du, dass die Phishing-Domain schneller blockiert wird – und schützt andere Empfänger.
Drei Sätze zum Mitnehmen
Schau auf die echte Absenderadresse, nicht auf den Namen. Misstraue Mails mit Zeitdruck. Klick keine Links – tippe die Adresse selbst.
Phishing wird besser. Aber diese drei Reflexe halten Dich vor 95 Prozent der Versuche sicher. Und wenn Du Dir unsicher bist: kurze Pause, einmal den echten Anbieter anrufen oder die Webseite direkt aufrufen. Eine fünf-Minuten-Pause hat noch nie ein Konto leergeräumt.
Quelle: NCSC – Bundesamt für Cybersicherheit, antiphishing.ch.