Zum Inhalt springen

Betrügerische E-Mail Lupenreine Absenderadresse der SBB entpuppt sich als Phishing

Betrüger können Absenderadressen von E-Mails so fälschen, dass sie nicht als Fake zu entlarven sind.

Ein Kunde der SBB aus dem Kanton Luzern erhält eine E-Mail auf Schweizerdeutsch. Der Absender: noreply@sbb.ch. Als der Kunde mit der Maus über die Absenderadresse fährt, passiert nichts Verdächtiges.

Anders als bei Spam- oder Phishing-Mails üblich, erscheint also keine komplett andere Absenderadresse. Eigentlich ein gutes Zeichen: Absender scheint die SBB zu sein, denn diese versendet tatsächlich E-Mails von dieser Adresse.

Sprache ist fehlerhaft – Anhang sinnlos

Der aufmerksame Mann merkt jedoch schnell, dass das Mail nicht von der SBB stammen kann. Er meldet sich deshalb beim SRF-Konsumentenmagazin «Espresso», um andere zu warnen. Das Schweizerdeutsch ist fehlerhaft und enthält seltsame Worte, wie zum Beispiel «bitte klick uf de Knopf unte». Dann auf Hochdeutsch: «Bestätigen Sie ihr Konto». Auch inhaltlich gibt es Ungereimtheiten. Die Rede ist von einem «SBB-Reisepass», den man wieder aktivieren solle. Was ist denn bitte ein SBB-Reisepass?

«Espresso» ist an Ihrer Meinung interessiert

Box aufklappen Box zuklappen

Fährt man mit der Maus über den Link, über den man sein Konto bestätigen soll, erscheint eine lange Abfolge von Zahlen und Buchstaben. Auch das ist ein Hinweis, dass das Mail nicht von der SBB stammt. Ausserdem ergibt der Anhang keinen Sinn – eine Rechnung über einen Betrag von null – eine Währung ist nicht ersichtlich.

SBB rät, Phishing-Mails zu melden

Dies sei ein klassisches Phishing-Mail, bei welchem die Marke SBB durch Dritte missbraucht worden sei, schreibt die SBB auf Anfrage. Sie verweist auf die Seite antiphishing.ch des Bundesamtes für Cybersicherheit (Bacs). Dort könne man solche E-Mails melden. Alternativ könne man die Nachrichten auch direkt an reports@antiphishing.ch weiterleiten.

Diese Faktoren deuten auf Phishing hin:

Box aufklappen Box zuklappen
  • Firmen kommunizieren üblicherweise nicht auf Mundart.
  • Texte ergeben keinen Sinn oder es gibt inhaltliche Unstimmigkeiten, wie im konkreten Fall der «SBB-Reisepass» – einen solchen gibt es nicht.
  • Immer, wenn in E-Mails verlangt wird, auf einen Link zu klicken oder einen Anhang zu öffnen, sollte man misstrauisch sein.

Grundsätzlich gilt, verdächtige E-Mails zu löschen oder bei Unsicherheit den Absender im Internet zu suchen und sich beim dort angegebenen Kontakt zu melden. Kontakte in Fake-Mails sind jeweils auch Fake.

Absender fälschen ist einfach

Das Mail mit der lupenreinen Absenderadresse noreply@sbb.ch ist also ein Phishing-Versuch. «Für jemanden, der Spam oder Phishing-Mails verschickt, ist es trivial, eine Adresse zu fälschen. Das wird oft gemacht», sagt SRF-Digitalexperte Guido Berger. Und in diesem Fall wollten die Betrüger auch nicht, dass man auf noreply@sbb.ch antworte, sondern dass man auf einen Link klicke und dort seine Zugangsdaten eingebe.

Wollen die Betrüger jedoch eine Antwort, sei es etwas komplizierter, so Berger. «Da müssen sie etwas kreativer vorgehen, weil sie Zugriff auf die Antwortmails haben müssen.» Die Absenderadresse sehe dann sehr ähnlich aus, wie die offizielle Adresse. Auf den ersten Blick merkt das der Empfänger möglicherweise nicht und fällt darauf herein.

Radio SRF 1, Espresso, 2.6.25, 8:10 Uhr

Meistgelesene Artikel