Ein Kunde der SBB aus dem Kanton Luzern erhält eine E-Mail auf Schweizerdeutsch. Der Absender: noreply@sbb.ch. Als der Kunde mit der Maus über die Absenderadresse fährt, passiert nichts Verdächtiges.
Anders als bei Spam- oder Phishing-Mails üblich, erscheint also keine komplett andere Absenderadresse. Eigentlich ein gutes Zeichen: Absender scheint die SBB zu sein, denn diese versendet tatsächlich E-Mails von dieser Adresse.
Sprache ist fehlerhaft – Anhang sinnlos
Der aufmerksame Mann merkt jedoch schnell, dass das Mail nicht von der SBB stammen kann. Er meldet sich deshalb beim SRF-Konsumentenmagazin «Espresso», um andere zu warnen. Das Schweizerdeutsch ist fehlerhaft und enthält seltsame Worte, wie zum Beispiel «bitte klick uf de Knopf unte». Dann auf Hochdeutsch: «Bestätigen Sie ihr Konto». Auch inhaltlich gibt es Ungereimtheiten. Die Rede ist von einem «SBB-Reisepass», den man wieder aktivieren solle. Was ist denn bitte ein SBB-Reisepass?
Fährt man mit der Maus über den Link, über den man sein Konto bestätigen soll, erscheint eine lange Abfolge von Zahlen und Buchstaben. Auch das ist ein Hinweis, dass das Mail nicht von der SBB stammt. Ausserdem ergibt der Anhang keinen Sinn – eine Rechnung über einen Betrag von null – eine Währung ist nicht ersichtlich.
SBB rät, Phishing-Mails zu melden
Dies sei ein klassisches Phishing-Mail, bei welchem die Marke SBB durch Dritte missbraucht worden sei, schreibt die SBB auf Anfrage. Sie verweist auf die Seite antiphishing.ch des Bundesamtes für Cybersicherheit (Bacs). Dort könne man solche E-Mails melden. Alternativ könne man die Nachrichten auch direkt an reports@antiphishing.ch weiterleiten.
Grundsätzlich gilt, verdächtige E-Mails zu löschen oder bei Unsicherheit den Absender im Internet zu suchen und sich beim dort angegebenen Kontakt zu melden. Kontakte in Fake-Mails sind jeweils auch Fake.
Absender fälschen ist einfach
Das Mail mit der lupenreinen Absenderadresse noreply@sbb.ch ist also ein Phishing-Versuch. «Für jemanden, der Spam oder Phishing-Mails verschickt, ist es trivial, eine Adresse zu fälschen. Das wird oft gemacht», sagt SRF-Digitalexperte Guido Berger. Und in diesem Fall wollten die Betrüger auch nicht, dass man auf noreply@sbb.ch antworte, sondern dass man auf einen Link klicke und dort seine Zugangsdaten eingebe.
Wollen die Betrüger jedoch eine Antwort, sei es etwas komplizierter, so Berger. «Da müssen sie etwas kreativer vorgehen, weil sie Zugriff auf die Antwortmails haben müssen.» Die Absenderadresse sehe dann sehr ähnlich aus, wie die offizielle Adresse. Auf den ersten Blick merkt das der Empfänger möglicherweise nicht und fällt darauf herein.