Phishing-Angriffe nehmen seit Jahren zu und die Maschen werden immer perfider. Die Täter:innen versenden oft im Namen von bekannten Absendern wie der Schweizer Post, Banken oder der SBB gefälschte Nachrichten. Card Security hat mit Michael Gerber, Senior Systemarchitekt bei der SBB über das Thema Phishing gesprochen. Erfahren Sie im Interview, was das Unternehmen gegen die Angriffe unternimmt und wo mögliche Gründe für die Zunahme liegen.
30.11.2023 –Immer wieder sind Phishing-Mails im Namen der SBB im Umlauf. Welche Massnahmen ergreifen Sie, um die SBB-Kund:innen vor solchen Nachrichten zu warnen?
Wir sensibilisieren unsere Kundinnen und Kunden aktiv auf das Thema Phishing. Auf SwissPass.ch, dem Branchenportal von Alliance SwissPass, wurde eigens eine Informationsseite eingerichtet (www.swisspass.ch/phishing), auf die wir unsere Kundinnen und Kunden z. B. im Newsletter vom Oktober 2023 aufmerksam gemacht haben. Auch unter www.sbb.ch/phishing finden sich nützliche Tipps. Zudem sensibilisieren wir die Kundinnen und Kunden über unsere Social-Media-Kanäle. Hintergrund der laufenden Aufklärungsinitiativen sind, die in den letzten Monaten verstärkt aufgetretenen Phishing-Versuche, bei welchen durch Hacker ‒ unter Verwendung der Marke SwissPass oder SBB ‒ entsprechende E-Mails versendet wurden.
Haben Phishing-Attacken in jüngster Zeit zugenommen? Falls ja, was sind Ihrer Meinung nach die Gründe dafür?
Mit der zunehmenden Digitalisierung und der verstärkten Nutzung von Online-Diensten haben auch die Möglichkeiten für Phishing-Attacken zugenommen. Cyberkriminelle passen sich oft den aktuellen Trends an, um ihre Erfolgschancen zu maximieren. Angreifer entwickeln fortlaufend raffiniertere Phishing-Techniken. Mit gefälschten Websites oder bösartigen E-Mails, die den Original-E-Mails sehr ähnlich scheinen und gut getarnte gefährliche Links enthalten, versuchen Betrüger und Betrügerinnen an Kundendaten wie Passwörter, oder Kreditkarteninformationen zu gelangen. Mit den erbeuteten Kundendaten erzielen Cyberkriminelle einen finanziellen Gewinn.
Oftmals sind erfolgreiche Phishing-Angriffe auf menschliche Fehler zurückzuführen. Ein Mangel an Sicherheitsbewusstsein in Organisationen und bei Einzelpersonen kann die Erfolgschancen von Phishing-Attacken erhöhen.
Was unternehmen Sie, um solche Angriffe zu reduzieren?
Um Angriffe möglichst zeitnah feststellen zu können, analysieren wir laufend die Zugriffe auf unsere Systeme. Sobald Phishing-Aktivitäten erkannt werden, ergreifen wir umfangreiche Massnahmen zu deren Eindämmung wie z. B. die Sperrung von betroffenen Servern. Unsere oberste Priorität gilt dabei immer dem Schutz der Daten unserer Kundinnen und Kunden.
Mit der Möglichkeit der Zwei-Faktor-Authentifizierung (2FA) auf swisspass.ch besteht für unsere Kundinnen und Kunden die Möglichkeit, eine zusätzliche Sicherheitsebene zu aktivieren. Dies macht es für Angreifer und Angreiferinnen schwieriger, auf Konten zuzugreifen, selbst wenn sie bereits über Zugangsdaten wie das Passwort verfügen.
Zurzeit prüfen wir, wie wir den Kundinnen und Kunden noch phishing-resistentere Lösungen anbieten können, die einfach zu nutzen sind.
Die laufenden Sensibilisierungskampagnen können ebenso dazu beitragen, das Bewusstsein für Phishing-Angriffe zu schärfen.
Was raten Sie Kartenbesitzer:innen, um sich vor Phishing-Angriffen zu schützen?
Überprüfen Sie sorgfältig den Absender von E-Mails. Seien Sie besonders vorsichtig bei E-Mails von unbekannten Absendern oder mit verdächtigen Adressen. Achten Sie auf Rechtschreibfehler, ungewöhnliche Formatierungen, fehlende oder allgemein gehaltene Begrüssung. Verdächtig sind auch nicht erwartete Aufforderungen wie z.B. Kreditkartenangaben anzugeben zwecks angeblicher Rückerstattung von Tickets, die Sie gar nie gekauft haben.
Falls Sie bei einer E-Mail unsicher sind, ob diese legitim oder Phishing ist: Klicken Sie niemals auf den Link in der E-Mail direkt, sondern tippen Sie die erwähnte Webseite manuell im Browser ein. Öffnen Sie keine Anhänge von unbekannten Quellen, es sei denn, Sie haben die Authentizität der E-Mail überprüft.
Aktivieren Sie die Zwei-Faktor-Authentifizierung auf swisspass.ch. Diese bietet eine zusätzliche Sicherheitsebene und verunmöglicht dem Angreifer Zugriffe auf Ihr Konto, selbst wenn er von Einbrüchen in andere Systeme Ihr Passwort erlangt hat.
Prüfen Sie auf spezialisierten Webseiten wie z. B. www.haveibeenpwned.com, ob Ihre Zugangsdaten als gestohlen aufgelistet werden. Wechseln Sie in diesem Fall sofort Ihre Zugangsdaten.
Melden Sie verdächtige E-Mails oder gefälschte Webseiten auf www.antiphishing.ch oder via das Meldeformular des Nationalen Zentrums für Cybersicherheit (NCSC) www.report.ncsc.admin.ch.
Weitere Informationen, wie Sie sich vor Kartenbetrug schützen können finden Sie auch auf der Präventionsplattform der Polizei: www.card-security.ch
Weitere News
Vorsicht mit öffentlichen WLANs
Öffentliche WLANs – ob im Café, Hotel oder am Flughafen – sind eine praktische Lösung, um… Mehr
Black Friday: Schnäppchen oder Falle?
Am 28. November 2025 locken unzählige Sonderangebote – aber auch Betrüger:innen sind besonders… Mehr
Wer zahlt bei Debit- oder Kreditkartenbetrug?
Kartenbetrug kann schnell teuer werden – aber wer haftet eigentlich im Schadensfall? Mehr
Falsche Parkbussen im Umlauf
Aktuell kursieren gefälschte E-Mails und SMS, die zur Zahlung angeblich offener Parkbussen… Mehr