«Zahlen Sie innert 48 Stunden, sonst ist das Paket weg»: Wie Cyberkriminelle den Namen der Post missbrauchen
Betrugsversuche im Namen von bekannten Schweizer Firmen sind zum Massenphänomen geworden. Über eine halbe Million gefälschte SMS oder Mails wurden 2023 beim Bundesamt für Cybersicherheit (BACS) gemeldet. Mit solchen Phishing-Versuchen wollen Kriminelle an Geld und Daten von Opfern gelangen. Ein besonders beliebtes Feigenblatt dafür ist offenbar die Post: «Mit 21 Prozent wurde der Markenname der Schweizerischen Post am meisten von Cyberkriminellen für Phishing missbraucht», wie im Anti-Phishing-Bericht des BACS steht.
Die Nachrichten lauten etwa so: «Die Zahlung muss innerhalb von 48 Stunden erfolgen, sonst wird Ihr Paket retourniert.» Damit schüren die Kriminellen die Angst, eine Sendung könnte verloren gehen, wenn der Empfänger oder die Empfängerin nicht zahlt.
Doch zugleich nutzten sie das Vertrauen in die bekannte Marke aus. Das erklärt IT-Sicherheitschef Marcel Zumbühl in einem Blog-Beitrag der Post: «Einer Nachricht der Post vertrauen die meisten Kundinnen und Kunden – besonders, wenn sie regelmässig Waren online bestellen.» Wie viele andere Logistik-Anbieter auch sei die Post ein beliebtes Ziel. Man kämpfe «Tag und Nacht gegen die ständige Gefahr» aus dem Cyberspace.
Die Zahlen, die die Post nennt, sind eindrücklich: Über 100 gezielte Hackerangriffe, gut 280 Phishing-Wellen gegen Kundinnen und sowie rund 10 Millionen Spam- und Phishing-Mails wehrt Zumbühls Team ab – jeden Monat.
Die Betrugsversuche beschränkten sich nicht nur auf Mails und SMS. Auch «Deep Fakes», also mithilfe künstlicher Intelligenz gefälschte Fotos, Videos oder Sprachnachrichten, kommen laut Zumbühl immer mehr auf.
Grundsätzlich fragt die Post nie per Mail, SMS oder Telefon nach Passwörtern oder Kreditkartenangaben.
Offizielle Mails der Post zum Sendungsstatus tragen immer den Absender «notifications@post.ch». Dies lässt sich prüfen, indem man indem mit der Maus über die Adresse fährt.
Vorsicht ist geboten, wenn besonders kurze Fristen angesetzt werden (etwa 24 oder 48 Stunden) oder wenn der Ton einschüchternd ist.
Generell ist gegenüber unaufgefordert erhaltenen Nachrichten Misstrauen angebracht.
Man sollte die verdächtige Nachricht löschen, ohne auf Links zu klicken oder Anhänge zu öffnen.
Eine Meldung beim Contact Center der Post (0848 888 888) und beim Bundesamt für Cybersicherheit (reports@antiphishing.ch) hilft, um Phishing-Versuche schneller zu enttarnen und zu unterbinden.
Hat man bereits Daten eingegeben, rät die Post, sofort im Kundencenter alle Passwörter zu Postdienstleistungen zu ändern und falls nötig die Kreditkarte zu sperren.
Geld zurück? Geld weg!
Oft setzen die Cyberkriminellen wie im Paket-Beispiel auf die Karte Angst. Doch es gibt auch Beispiele, wie sie beim Phishing positive Reize ausnutzen: etwa die Aussicht auf eine Geldrückerstattung. Zu viele Krankenkassenprämien gezahlt? Für einen verspäteten Flug entschädigt werden? Genau deshalb, weil es so verlockend klingt, ist Vorsicht geboten.
Auf der Website «cybercrimepolice.ch» warnt die Kantonspolizei Zürich vor aktuellen Gefahren. Darunter waren zuletzt etwa Betrugsversuche im Namen der CSS-Krankenkasse. Per Mail wurden Kundinnen und Kunden «informiert», sie hätten einen Anspruch auf Rückerstattung. Ein Link führte sie dann auf eine gefälschte Website, auf der die Opfer ihre Login- und Kreditkartendaten angeben sollten.
Auch der Name der portugiesischen Airline TAP wird missbraucht. Die Kriminellen verschicken Mails im Namen der Fluggesellschaft. Darin behaupten sie, es bestehe Anspruch auf eine Entschädigung wegen einer Flugverspätung. Um das Geld zu bekommen, müsse man ein Online-Formular ausfüllen. So wollen die Kriminellen persönliche Informationen sowie Kreditkartendaten abgreifen. Mit einer Frist von 48 Stunden erhöhen sie den Druck.
Auch vor offiziellen Stellen machen die Betrüger nicht halt: Ende 2023 kursierten Mails im Namen der Bundesverwaltung, die eine Steuerrückerstattung versprachen. Stutzig machen musste dabei, dass die angebliche Gutschrift in Euro und via Kreditkarte statt IBAN erfolgen sollte.