Mit Phishing versuchen Betrüger und andere Cyberkriminelle, ahnungslosen Nutzern vertrauliche Daten wie beispielsweise die Zugangsdaten für E-Banking-Websites oder E-Mail-Konten zu entlocken. Organisationen und Unternehmen simulieren deshalb Phishing, um ihre Nutzer für die Gefahr von Phishing zu sensibilisieren.
Allerdings können bei solchen Phishing-Tests unerwünschte Nebenwirkungen auftreten.
Dazu zählt beispielsweise, dass ein Phishing-Test zu einem falschen Alarm bei Behörden und Providern führen kann. In der Folge werden Massnahmen gegen das Phishing ergriffen, die den Test verhindern können. Es drohen ausserdem finanzielle und rechtliche Folgen für die Urheber einer simulierten Phishing-Kampagne.
Empfohlene Praxis für Phishing-Kampagnen
Um unerwünschte Nebenwirkungen zu verhindern, hat die Melde- und Analysestelle Informationssicherung (MELANI) gemeinsam mit anderen Sicherheitsakteuren Empfehlungen und Grundsätze entwickelt, wie simulierte Phishing-Kampagnen in der Schweiz «zielführend und ohne Kollateralschäden ablaufen können»:
- Behörden und andere Sicherheitsakteure müssen vorgängig über MELANI per E-Mail an awareness@antiphishing.ch informiert werden
- Die Sicherheit der Datenbearbeitung, zum Beispiel bei der Übertragung der gephishten Daten, muss mit Verschlüsselung und anderen Massnahmen sichergestellt werden
- Die betroffenen Infrastruktur-Betreiber – insbesondere der Hosting-Provider, der Registrar und die Registry – müssen vorgängig informiert werden
- Die Rechteinhaber von Logos, Marken und anderen Zeichen, die verwendet werden sollen, müssen vorgängig ihre Einwilligung erteilen
Beim schweizerischen Government Computer Emergency Response Team (GovCERT.ch) sind die vollständigen Empfehlungen mit zahlreichen nützlichen Hinweisen per E-Mail an awareness@antiphishing.ch kostenlos erhältlich. Die Empfehlungen wurden von MELANI gemeinsam mit der .ch-Registry SWITCH und der Swisscom erarbeitet.
Nutzer, die eine Phishing-E-Mail erhalten oder eine Phishing-Website entdeckt haben, können die Meldemöglichkeit via antiphishing.ch nutzen.
Siehe auch: E-Banking – PostFinance schützt mit bis zu 100’000 Franken gegen Malware und Phishing.