Internetbetrug im Zahlungsverkehr

Internetkriminalität, auf Neudeutsch Cybercrime, gehört heute leider mittlerweile zum Alltag dazu. Nahezu jede und jeder sind schon damit in Kontakt gekommen. Die einen vielleicht bewusst, die anderen eventuell, ohne es bemerkt zu haben. Denn die Täter versuchen uns ganz subtil weiszumachen, dass wir mit einem uns bekannten Dienstleister oder Händler kommunizieren. In diesem Beitrag werde ich Ihnen erklären, wie Sie den Betrug erkennen und verhindern können.

Stefan Berger, 28. März 2023

Welche Methoden von Cyber-Angriffen gibt es?

Im Bereich des Zahlungsverkehrs sind es diese vier Arten von Cybercrime mit denen wir alle vorwiegend konfrontiert sind.

 

  • Social Engineering – «menschliche» Täuschungsmanöver

    Hierbei handelt es sich nicht um eine klassische Variante eines Cyber-Angriffs. Social Engineering kann auch am Telefon oder direkt an der Haustür stattfinden. Grundsätzlich wird das Opfer immer über die Identität und die Absicht des Täters getäuscht. Dieser versucht menschliche Eigenschaften wie Vertrauen und Hilfsbereitschaft, Respekt oder Angst vor Autorität – in diesem Fall «Schwächen» auszunutzen, um anschliessend vom Opfer vertrauliche Informationen zu erhalten. Dies, um Schadsoftware auf einem Computer zu installieren, Überweisungen zu tätigen oder Sicherheitsfunktionen auszuhebeln.

    Die am weitesten verbreitete Form davon ist Phishing.

  • Phishing - betrügerisches Ausspionieren von Passwörtern oder persönlichen Daten

    Der Begriff besteht aus den beiden Wörtern Passwort und fishing - englisch für fischen. Meist geschieht dies mit einer gut gefälschten E-Mail. Der Inhalt der Mail kann verschiedene Vorwände haben. Die zuletzt am häufigsten aufgetretenen Fälle waren die (angebliche) Sperrung der Debitkarte und der versprochene Erhalt eines Geschenks.

    Sowohl die Gestaltung der Mail als auch die verlinkten Internetseiten sehen auf den ersten Blick aus, als ob sie von einem bekannten, vertrauenswürdigen Absender kommen. Das Opfer wird dazu verleitet, auf der gefälschten Seite vertrauliche Informationen, wie beispielsweise Kreditkartendaten und Verifikationsmerkmale wie E-Mailadresse und Passwort einzugeben. Mit diesen Daten können die Betrüger die Karte anschliessend missbräuchlich benutzen.

    Dieser Fall aus dem letzten Jahr zeigt wie echt die gefälschten Mails und Seiten mittlerweile wirken.

  • Malware - Schadprogramme

    Dies ist der Überbegriff für jegliche Art von Schadprogrammen. Dabei kann es sich um Viren, Würmer oder Trojaner handeln.

    Schadsoftware wird entwickelt, um unerwünschte und schädliche Funktionen am Gerät des Opfers auszuführen. Beispielsweise das Ausschalten von Sicherheitsprogrammen wie dem Virenschutz oder der Firewall.

  • CEO-Fraud, oder CEO-Betrug

Wie werde ich Opfer eines Cyber-Angriffs?

Optisch und inhaltlich gut gefälschte E-Mails sind nach wie vor das beliebteste Mittel für Betrugsversuche. Vereinzelt kann es aber auch mal eine SMS oder eine andere Nachricht über einen Kurznachrichtendienst sein. Üblicherweise werden Sie zu einer Handlung aufgefordert. Meistens werden Sie via Link auf eine ebenfalls gefälschte Webseite weitergeleitet. Dort wird versucht, Sie dazu zu bewegen, vertrauliche Informationen wie Passwörter oder Kreditkartendaten bekannt zu geben.

Eine andere Variante verleitet Sie dazu, eine Datei zu öffnen. Das kann jede Art von Datei sein. Ein Word-Dokument, ein PDF oder auch ein Bild. Im schlimmsten Fall reicht es, wenn Sie auf einen Link in der Nachricht klicken. Auf diesem Weg riskieren Sie, Ihr Gerät mit Malware wie beispielsweise Viren zu infizieren.

Hier sehen Sie eine Phishing-Mail vom 19.12.2022. Der Empfänger sollte auf den ersten Blick davon ausgehen, die Mail sei von einer grossen Schweizer Baumarktkette verschickt worden. Die Logos haben wir aus rechtlichen Gründen unkenntlich gemacht. Mit dieser Mail wurde versucht das Opfer dazu zu bewegen, auf einer gefälschten Seite seine Kreditkartendaten bekannt zu geben.

Beispiel einer Phishing-Mail

Beispiel einer Phishing-Mail

So einfach werden Sie Opfer von Cyberkriminalität. Seien Sie also immer aufmerksam.

So kann ich mich vor Online-Betrug schützen

Ihre Konten und Passwörter müssen sicher und gut geschützt sein. Hier die wichtigsten Tipps:

  • Für jeden einzelnen Dienst sollten Sie ein anderes Passwort verwenden
  • Dort wo dies möglich ist, sollten Sie die Zwei-Faktor-Authentifizierung verwenden. Bei dieser muss ein zweiter «Faktor» zur Anmeldung eingegeben werden, wie beispielsweise einen Sicherheitscode, den Sie per E-Mail oder SMS-Code zugesendet bekommen. Wenn vorhanden, können Sie dies meist über «Einstellungen» so einrichten. In unserem E-Banking ist diese Zwei-Faktor-Authentifizierung auch möglich – mehr dazu finden Sie im letzten Abschnitt.
  • Ihre Passwörter sollten mindestens 12 Zeichen lang sein und eine Kombination aus Klein- und Grossbuchstaben, Zahlen und Sonderzeichen enthalten
  • Wählen Sie kein Passwort, dass allein für sich einen Sinn ergibt. Ein Negativbeispiel wäre Passwort123+. Ein sicheres Passwort sollte ungefähr so aussehen: ifDmtIdp486$
  • Geben Sie ein Passwort niemals auf einer Seite ein, welche Sie über einen Link geöffnet haben. Verwenden Sie immer den Browser und geben Sie die Adresse immer manuell ein
  • Geben Sie Ihr Passwort oder Ihre Verifikationsdaten nie heraus. Kein seriöser Dienstleister wird Sie jemals nach Ihrem Passwort fragen

In den meisten Fällen ist eine E-Mail der Ursprung allen Übels. Ein sicherer Umgang mit E-Mails ist also immer sehr wichtig:

  • Seien Sie vorsichtig mit E-Mails, die eine Aktion von Ihnen verlangen. Das kann beispielsweise das Öffnen eines Anhangs oder eines Links sein
  • Auch Nachrichten, in denen Ihnen mit Konsequenzen wie Geldverlust, Strafanzeige oder der Konto- oder Kartensperrung gedroht wird, müssen Sie hinterfragen. Die Polizei oder die Staatsanwaltschaft beispielsweise wählt nie den Weg via Mail oder Kurznachricht, um Sie zu kontaktieren
  • Ebenfalls skeptisch dürfen Sie sein, wenn Sie via Mail aufgefordert werden, Ihr Passwort bei einem Benutzerprofil zu ändern. Folgen Sie nicht dem Link in der Mail. Wenn Sie es überprüfen wollen, gehen Sie auf die Seite oder die App des Anbieters
  • Lassen Sie sich nicht unter Druck setzen. Sie haben genug Zeit, um kurz über den Inhalt einer Nachricht nachzudenken. Falls Sie Zweifel haben, rufen Sie beim vermeintlichen Absender an, und fragen Sie nach
  • Seien Sie nicht zu leichtgläubig. Sie brauchen für kein Geschenk Ihre Kreditkartendaten anzugeben oder eine Vorauszahlung zu leisten
  • Wenn Sie nicht sicher sind, ob eine E-Mail seriös ist oder nicht, fragen Sie jemanden aus Ihrem Umfeld um eine zweite Meinung

Ihr E-Banking-Konto und unsere Infrastruktur ist auf dem aktuellen Sicherheitsstand. Allerdings kann diese Sicherheit, mit der Ihres Computers oder Ihres Smartphones beeinträchtigt werden.

Diese Tipps helfen Ihnen, die Sicherheitsstandards für Ihr E-Banking aufrecht zu erhalten:

  • Benutzen Sie für Ihr E-Banking nur ein Ihnen bekanntes und sicheres Gerät
  • Schützen Sie Ihr Gerät mit Passwort, Virenschutz, Firewall und immer aktualisierten Systemen und Programmen
  • Verwenden Sie nur sichere Netzwerke. Idealerweise Ihren Internetzugang zuhause. Verzichten Sie auf die Benutzung von öffentlich zugänglichen Netzwerken
  • Starten Sie das E-Banking nur über die von Ihnen eingegebene Adresse. Nie über einen Link
  • Überprüfen Sie die Adresse. Die Verbindung muss sicher sein. Dies erkennen Sie mindestens daran, dass die Adresse mit https beginnt. Je nach Browser ist es ebenfalls mit einem Schloss gekennzeichnet. Das müsste in etwa so aussehen:
Beispiel einer sicheren Verbindung

Beispiel einer sicheren Verbindung

  • Wenn Sie fertig sind, loggen Sie sich immer korrekt aus Ihrem E-Banking aus
  • Zu guter Letzt: Geben Sie Ihre persönlichen Zugangsdaten nie an Dritte weiter

Mittlerweile bieten wir oder unsere Partner verschiedene Apps für Mobiltelefone an. Gerade die mobilen Bezahllösungen sind ein beliebtes Ziel für Betrüger. Die Apps sind grundsätzlich sehr sicher, sofern Sie sich an folgende Regeln halten:

  • Verwenden Sie unbedingt die Authentifizierungsmethoden, die Ihr Gerät mit sich bringt: digitaler Fingerabdruck, Gesichtserkennung, Passwort und PIN-Code oder ähnliche
  • Installieren Sie auch auf Ihrem Mobilgerät eine Antivirus-Software
  • Vermeiden Sie wenn möglich öffentliche WLAN-Netzwerke
  • Falls Sie sich trotzdem mal mit einem öffentlichen WLAN verbinden, verzichten Sie auf die Benutzung sensibler Daten. Mit Ihrem E-Banking oder Ihrem E-Mail-Konto sollten Sie sich auf keinen Fall anmelden
  • Wenn Sie die Dienste nicht explizit benutzen wollen, deaktivieren Sie im öffentlichen Raum Bluetooth und WLAN
  • Laden Sie Apps nur über den offiziellen Store wie beispielsweise den App Store oder Google Play herunter
  • Führen Sie regelmässig Updates durch. Ihr Gerät und Ihre Applikationen sind so immer auf dem neuesten Stand, auch was die Sicherheit anbelangt
  • Und auch hier wieder ganz wichtig: Geben Sie Ihre persönlichen Zugangsdaten nie an Dritte weiter

Was tut die SLF, um mich vor Cybercrime zu schützen?

Wir versuchen unsere Kunden auf die Gefahren im Internet aufmerksam zu machen und sie für Themen wie Cybersicherheit zu sensibilisieren.

Unsere Systeme sind immer auf die aktuellen Sicherheitsstandards ausgerichtet. Die Internet-Anwendungen, die Ihnen von uns zur Verfügung gestellt werden, werden regelmässig auf deren Sicherheit und mögliche Lücken hin überprüft.

Ihren Zugang zu unserem E-Banking haben wir mit Airlock 2FA, mit einer Zwei-Faktor-Authentifizierung gesichert. Wenn also jemand unberechtigterweise Ihr Passwort in Erfahrung bringt, wird 2FA ihn daran hindern, Ihr E-Banking benutzen zu können.

Schriftliche, vertrauliche Daten und Informationen tauschen wir mit Ihnen nur via Secure-Mail aus. Dieser Kanal ist gesichert und verschlüsselt. Zur Abfrage müssen Sie sich ebenfalls mit Ihrem E-Banking-Vertrag anmelden.

Zahlungen, die Sie erfassen, werden überprüft. Wurde der Empfänger bisher noch nie von Ihnen verwendet, müssen Sie die Zahlung mittels Zwei-Faktor-Authentisierung nochmals explizit bestätigen.

In Ihrem E-Banking können Sie zudem Benachrichtigungen über Belastungen mit einer von Ihnen definierten Betragshöhe erfassen. Diese werden dann automatisch ausgelöst.

Wenn Sie unsere Debit- oder Kreditkarten benutzen, sind diese ebenfalls mit den üblichen Sicherheitsmerkmalen ausgestattet. Für beide Arten haben Sie eine App, Für die Kreditkarte die Viseca one App, für die Debitkarte die debiX+ App. Mithilfe dieser Apps müssen Sie auch, sofern vom Händler, von dem Sie eine Leistung beziehen vorgesehen, die Bezahlung mit einer Zwei-Faktor-Authentifizierung freigeben.

Wir unternehmen alles, damit Sie Ihren Zahlungsverkehr sicher und unbesorgt erledigen und unsere Zahlungsmittel mit einem guten Gefühl der Sicherheit benutzen können.

Nicht zuletzt müssen wir aber alle dazu beitragen, dass diese Sicherheit nicht beeinträchtigt wird.

Falls Sie zu diesen Themen eine Frage haben, dürfen Sie gerne auf mich zukommen. Wenn Sie den Verdacht haben, dass jemand unberechtigt auf Ihre Daten zugreifen will, melden Sie den Fall der Polizei und informieren Sie uns. Wir werden unseren Teil dazu beitragen, dass Sie die Sache möglichst schadlos überstehen.

Gerne verweise ich auch auf unsere anderen Blog-Beiträge. Keine Angst, es geht nicht immer um Betrug und kriminelle Machenschaften. Stöbern Sie die Seite, wenn Sie Zeit haben, ruhig mal durch. Den Blog können Sie auch ganz einfach am Ende der Seite abonnieren. Dann erhalten Sie immer den neuesten Beitrag.

Somit sind wir leider schon am Ende. Ich wünsche Ihnen bis zum nächsten Blog eine sichere und unbeschadete Zeit.

Blog abonnieren

Tragen Sie Ihre Angaben ein, um bei neuen Beiträgen automatisch benachrichtigt zu werden.

Anrede*

Ein Beitrag von

Stefan Berger

Bereichsleiter Bezahlen und Kundendaten I Prokurist

Dipl. Bankwirtschafter HF

Sind Sie bereits Kunde?

Nein ich will Kunde werden Ja, ich bin Kunde und besitze bereits ein E-Banking-Login Ja, ich bin Kunde, besitze aber noch KEIN E-Banking-Login