Vorsicht vor Phishing-Mails und Gratisapps für QR-Codes-Scanner: Beide könnten digitale Stolperfallen für unvorsichtige Computernutzer:innen sein. Es gilt: Nicht nach jedem Köder schnappen und keine Daten bekannt geben.

KEREM S. MAURER
Es ist wie beim richtigen Fischen: Will ein Angler einen Fisch fangen, braucht er neben dem Köder auch einen Fisch, der nach diesem schnappt und sich quasi selbst an den Angelhaken hängt. Unter Phishing (siehe Kasten) versteht man Versuche von Internetbetrügern, die sich als vertrauenswürdige Kommunikationspartner tarnen und sich über gefälschte Websites, E-Mails oder Kurznachrichten persönliche Daten von Internetnutzern erschleichen. Dass dies bei Kreditkarten immer mal wieder vorkommt, ist bekannt. Doch mit der Einführung der neusten Generation der Debitkarten und der stetig grösser werdenden Einsatzmöglichkeiten und Verbreitung von QR-Codes eröffnen sich für Daten-Phisher weitere Möglichkeiten.

Vorsicht bei Gratis-Apps
Smartphones neueren Datums haben in ihrer Kamera einen integrierten QR-Code-Scanner. Das heisst, dass das Handy ohne Installation einer zusätzlichen App QR-Codes lesen kann. Wer das nicht weiss oder ein älteres Smartphone nutzt, könnte im Bedarfsfall auf die Idee kommen, sich eine entsprechende Gratis-App herunterzuladen. Wobei gratis bedeutet, dass diese Apps mittels Werbung finanziert werden. Diese Art von Finanzierung ist gebräuchlich und legal. Doch genau hier ist Vorsicht geboten: Denn es kann vorkommen, dass – nachdem man einen QR-Code gelesen hat – die Werbung prominenter angezeigt wird als der gewünschte Inhalt. Klickt man dann auf die Werbung, kann es sein, dass man auf eine ungewünschte oder gefälschte Website weitergeleitet und dort aufgefordert wird, seine Handynummer einzugeben. Dadurch kann unwissentlich bereits ein Abo abgeschlossen werden, das einen beispielsweise neun Franken pro Woche kostet. Unter Umständen bemerkt man das nicht sofort und der Betrag wird heimlich, still und leise regelmässig monatlich abgebucht.

Kein seriöses Institut verlangt die Daten
Daniel Perreten, Leiter Organisationsentwicklung bei der Saanen Bank, informiert, dass die neue Debit Mastercard in diesem Jahr eingeführt wurde. Mit dieser Debitkarte kann man – wie mit Kreditkarten – im Internet einkaufen, Hotels buchen und vieles mehr tun. Und dies ruft natürlich auch die Internetbetrüger, sogenannte Phisher, auf den Plan. «Die Betrüger verschicken aktuell im angeblichen Namen der SIX Group AG haufenweise Phishingmails und gaukeln potenziellen Opfern vor, ihre Debitkarte sei aus Sicherheitsgründen gesperrt worden», erläutert Perreten das Vorgehen. Dabei sei das Ziel der Betrüger, an die Login- und Kartendaten der Internetnutzer:innen zu gelangen. Er betont: «Kein Institut, egal ob Bank, Versicherung oder Telefonanbieter, würde seine Kunden auffordern, solch persönliche Daten via E-Mail oder Telefon bekannt zu geben.» Er weist darauf hin, dass jeder Betrug, der der Saanen Bank bislang gemeldet wurde, aufgrund von Unvorsichtigkeiten seitens der Kundschaft erfolgte und deshalb die Sensibilisierung der Kundinnen und Kunden so wichtig sei. Die Kantonspolizei Bern rät in diesem Zusammenhang: «Lassen Sie sich nicht unter Druck setzen und geben Sie nie vertrauliche Informationen oder Daten über unpersönliche Kanäle wie E-Mail, SMS, Telefon oder auf einem Social-Media-Kanal preis.»

Links vor dem Anklicken prüfen
Meldungen zu klassischen Phishingmails gebe es immer wieder, das sei nichts Neues, teilt die Kantonspolizei Bern mit. Aktuell könne sie zwar keine Häufung solcher Fälle feststellen, weder was die neuen Debitkarten noch die Vorgehensweise mit den QR-Codes-Scannern betreffe, aber sie rät Betroffenen: «Informieren Sie umgehend ihr Kreditkarten- oder Finanzinstitut und lassen Sie die involvierten Zugangsdaten und Kredit- oder Debitkarten sperren. Begeben Sie sich nach telefonischer Voranmeldung zu ihrer örtlichen Polizeiwache und erstatten Sie Anzeige.» Und wie kann man prüfen, ob ein Link, den man anklicken will, vertrauenswürdig ist oder auf gefakte Websites – die den echten täuschend ähnlich sehen – führt? Noch einmal die Medienstelle der Kantonspolizei Bern: «Prüfen Sie den Link, indem Sie mit der Maus darüber fahren, ohne jedoch den Link anzuklicken. Je nach Browser oder Mailprogramm sehen Sie daraufhin die tatsächliche Zieladresse als Einblendung oder am unteren Rand des Fensters.»

PHISHING

Der Begriff ist ein englisches Kunstwort, das sich aus «password harvesting» (Passwörter ernten) und «fishing» (fischen, angeln) zusammensetzt und bildlich das Angeln nach Passwörtern mit Ködern verdeutlich.