Nur ein paar Klicks und die Pizza ist bezahlt, geliefert wird sie jedoch nicht. Denn was aussah wie der Onlineshop der bekannten Pizzakette Dieci, entpuppte sich als perfekte Kopie. Nur sehr wachsame Pizzafreunde haben wohl das verräterische, grosse «I» im Domain-Namen dIeci.ch entdeckt. In den falschen Pizzashop gelangt seien die Kunden über betrügerische Google-Anzeigen, teilt Dieci auf seiner Homepage mit.

Ein ähnliches Schicksal ereilte die grösste Warenhauskette der Schweiz: «Cyberkriminelle haben in den vergangenen Tagen mit kopierten Manor-Websites und falschen Social-Media-Profilen versucht, an persönliche Daten und Kreditkarteninformationen unserer Kundschaft heranzukommen», teilte sie ihren Kunden Ende August mit.Auch die Marke Mode Weber wurde jüngst als Köder zwecks Verkauf von Billigmode verwendet.

Dieci, Manor und Mode Weber sind keine Einzelfälle. Im Gegenteil: Das Phänomen der «falschen» Onlineshops ist weder neu noch selten. Meldungen zu Phishing-Websites gehören seit Jahren zu den meist gemeldeten Cybervorfällen beim Bundesamt für Cybersicherheit (Bacs), wie dieses auf Anfrage mitteilt.

Gemäss dem Anti-Phishing-Bericht des Bacs konnten im vergangenen Jahr 10’007 Phishing-Websites identifiziert werden. 2024 sind es bis anhin 8612. Im Fokus stehen laut dem Bundesamt bekannte Schweizer Marken und Firmen. Sie machten rund zwei Drittel der missbrauchten Namen aus, heisst es im Bericht. Der unliebsame erste Platz gehört der Schweizerischen Post, gefolgt von Swisspass.

Die weite Verbreitung von Phishing-Websites bestätigt auch eine von GFS Zürich durchgeführte Studie. Gemäss dieser wurde jede zehnte befragte Person in den vergangenen fünf Jahren schon einmal auf einem Onlineshop oder einer Buchungsplattform betrogen. Das kümmert aber die wenigsten: Über vier Fünftel der Befragten gaben an, sich selten oder nie Sorgen um Betrug auf Shoppingplattformen zu machen.

Das stimmt die Experten nachdenklich: Der Schutz vor Betrug stehe und falle mit dem vorsichtigen Verhalten der Individuen im Netz, meint Marc Peter, Professor an der Fachhochschule Nordwestschweiz. Die Menschen könnten sich nicht einfach auf behördliche Präventionsmassnahmen verlassen. «Die Sicherheitsvorkehrungen der realen Welt, wie etwa das Abschliessen der eigenen Wohnung, sollten auch in der Cyberdimension gelten», betont Peter.

Aber wie genau wird die Wohnung in der digitalen Welt abgeschlossen? Eine Checkliste findet sich etwa auf der Homepage des Bacs. Indizien für falsche Onlineshops seien insbesondere fehlende oder unausgewogene Bewertungen und keine Rücksendeoptionen. Auch ein unvollständiges, unkorrektes oder gar fehlendes Impressum ist aussagekräftig.

Bei genauem Hinschauen könne zudem oft ein verdächtiger Aufbau der Internetadresse erkannt werden. Verdächtige Websites sollten dem Bundesamt zudem auf der speziell dafür eingerichteten SeiteAntiphishinggemeldet werden.

Zusätzlich rät das Bacs, bei Onlinekonten wie beispielsweise E-Mail oder Social Media wenn immer möglich eine Multi-Faktor-Authentisierung zu aktivieren und Passwörter nicht mehrfach zu verwenden. Damit kann verhindert werden, dass die Betrüger erhaltene Kontoinformationen online mehrmals missbrauchen.

Wichtig ist jedoch vor allem eines: der Erste-Hilfe-Plan nach erfolgtem Phishingangriff, sagt Katja Dörlemann, Präsidentin des Websecurity-Vereins Swiss Internet Security Alliance. Eine Kontaktaufnahme mit der Bank oder die Meldung der verdächtigen Website beim Bacs sei vielen Personen noch fremd. Schamgefühl ist in einem solchen Fall fehl am Platz, denn laut Dörlemann ist ein hundertprozentiger Schutz schwierig.

Einen Versuch ist es jedenfalls wert: dem vollen Schutz mittels erhöhter Aufmerksamkeit im Netz einen Schritt näher zu kommen.