Du suchst auf Google nach «Steuerportal Zürich» oder «Online-Banking PostFinance» oder «Microsoft Support». Du klickst auf den ersten Treffer. Auf den ersten Blick ist alles richtig: das Logo stimmt, das Layout sieht offiziell aus, die Adresse irgendwie auch. Du gibst Deine Login-Daten ein – und jemand anders hat sie jetzt.
Was hier passiert, ist nicht das alte E-Mail-Phishing. Es ist eine neue Variante, die das BACS am 20. Januar 2026 als wachsendes Phänomen in der Schweiz benannt hat: SEO-Poisoning. Angreifer optimieren bösartige Webseiten so, dass sie bei Google ganz oben erscheinen – manchmal noch über den echten Treffern. Wer die Suchmaschine nutzt, statt direkt die Adresse einzutippen, läuft direkt in die Falle.
Wie das funktioniert
Klassisches Phishing erreicht Dich über eine Mail. SEO-Poisoning erreicht Dich über Deine eigene Suche. Du wirst zum Ziel, indem Du selbst nach etwas Sinnvollem googelst – nichts liegt näher als das.
Drei Mechanismen:
Bezahlte Anzeigen. Ganz oben in den Google-Ergebnissen stehen die «Anzeigen». Diese Plätze kann jeder kaufen – auch Kriminelle. Eine Anzeige für «Microsoft Office Support» mit Domain microsoft-office-help.com sieht für Schnellsucher aus wie der echte Microsoft. Tatsächlich ist die Domain frei verfügbar und gehört irgendeinem Tech-Support-Scammer.
Manipulierte organische Treffer. Aufwändiger, aber wirkungsvoller. Die Angreifer betreiben Webseiten, die mit gut platzierten Inhalten und Backlinks bei den natürlichen Suchergebnissen aufsteigen. Ist eine Webseite mal in den Top-3, generiert sie Tausende Klicks pro Tag – ohne Werbe-Kosten.
Kompromittierte echte Webseiten. Manchmal werden legitime Webseiten gehackt und unsichtbar mit Weiterleitungen zu Phishing-Seiten ausgestattet. Du klickst auf kantonsverband-xy.ch – aber unsichtbar wirst Du auf steueramt-zh-login.com umgeleitet.
Was besonders gefährdet ist
Suchanfragen, bei denen Phishing besonders lohnt:
- Online-Banking-Logins (alle grossen Schweizer Banken)
- Behörden-Portale (Steuern, AHV, IV, Krankenkasse)
- Tech-Support (Microsoft, Apple, Google)
- Shopping-Plattformen (Galaxus, Ricardo, Brack)
- Krypto-Wallets und -Börsen
- E-Banking von Krypto-Exchanges
Das Muster ist immer ähnlich: Login-Felder, Eingabe von Zugangsdaten, danach landet das Geld oder die Identität bei jemand anderem.
Vier Reflexe, die Dich schützen
Suchmaschine nicht für Logins benutzen. Klingt unbequem, ist aber die wichtigste Regel. Lesezeichen anlegen für Online-Banking, Steuerportal, Versicherungen. Adresse direkt eintippen für alles, was sicherheitskritisch ist. postfinance.ch in den Browser eingeben dauert drei Sekunden länger als googeln, spart aber im Ernstfall vier Stellen.
Anzeigen-Treffer ignorieren. Die ersten 1-2 Treffer in Google-Suchen sind oft «Anzeige» gekennzeichnet. Bei Login-relevanten Suchen lieber gleich weiter scrollen zum ersten organischen Treffer – oder, noch besser, die Adresse manuell eingeben.
Domain prüfen, bevor Du Daten eingibst. Bevor Du irgendwo Username und Passwort eingibst: kurz die Browser-Adresse anschauen. Endet sie auf .ch? Steht der erwartete Firmenname direkt vor dem letzten Punkt? Bei Schweizer Banken und Behörden gilt: postfinance.ch, ubs.com, via.admin.ch, steuern.zh.ch. Alles mit Bindestrichen, fremden Endungen oder kreativen Subdomain-Konstruktionen ist verdächtig.
Passwort-Manager als Sicherheitsnetz. Ein guter Passwort-Manager (Bitwarden, 1Password, KeePassXC) füllt nur dann automatisch ein, wenn die Domain stimmt. Wenn Du auf einer Phishing-Kopie der Bank-Seite landest und die Felder leer bleiben – das ist Dein Hinweis. Nicht manuell eingeben.
Warum das gerade jetzt zunimmt
Zwei Entwicklungen treffen aufeinander. Erstens: SEO-Tools und KI-gestützte Inhalte machen es einfacher, schnell viele plausibel wirkende Phishing-Seiten zu produzieren. Zweitens: Google selbst hat das Problem in den letzten Jahren nicht ausreichend in den Griff bekommen. Bezahlte Anzeigen mit verdächtigen Domains werden schneller geschaltet als geprüft.
Konsequenz: die Schutzlogik verschiebt sich vom Anbieter zu Dir. Wer 2026 noch jeden Treffer in der Suchmaschine als vertrauenswürdig betrachtet, wird früher oder später ein Konto verlieren.
Praktischer Schritt für heute
Lege heute fünf Bookmarks an. Online-Banking, Steuerportal Deines Kantons, AHV/IV-Konto-Login, Mail-Anbieter, Krankenkasse-Portal. Diese fünf Adressen erreichst Du ab jetzt nur noch über Bookmark oder direkt eingetippt – nie über Google. Damit bist Du gegen 90 Prozent dieser Angriffsklasse abgesichert.
Quelle: NCSC – BACS Bundesamt für Cybersicherheit, Warnung vom 20.01.2026: «Wenn Hacker Suchmaschinenoptimierung betreiben» (ncsc.admin.ch).