Sicherheit beim Onlineshopping: So gehst du Internetbetrügern nicht ins Netz

Die Flut an Phishing-Mails, Hackerangriffen und Social-Engineering-Aktivitäten reisst nicht ab. Was vor einem Jahr galt, als dieser Artikel erstmalig erschien, gilt auch heute noch. Kaum eine Woche vergeht, in welcher die Medien nicht über eine neue Betrugsmaschen berichten. Klar ist auch: Gerade in den umsatzstärksten Monaten rund um die Weihnachtszeit treiben die dreisten Hacker vermehrt ihr Unwesen. Zu den Geschädigten zählen immer wieder auch einige Kundinnen und Kunden von Galaxus.

Ein guter Grund, der Community nochmals die Tipps und Tricks unseres hausinternen IT-Sicherheitsexperten Martin Wrona in Erinnerung zu rufen. Dies, damit es beim Shoppen keine bösen Überraschungen gibt. Bei merkwürdigen Mails kurz innezuhalten und die Botschaft kritisch zu hinterfragen, ist schon die halbe Miete.

Martin, mit welchen betrügerischen Maschen sind die Kundinnen und Kunden von Galaxus und Digitec derzeit konfrontiert? Internetbetrüger sind kreativ und versuchen mit allen Mitteln Kundendaten zu ergaunern. Hoch im Kurs liegen die sogenannten Phishing-Mails, die jede und jeder von uns täglich im elektronischen Postfach findet. Beispielsweise ein Hinweis, dass das Netflix-Abo erneuert werden muss oder der Zoll das Paket nicht weiterschicken kann, solange die fällige Zollgebühr nicht bezahlt ist. Wer unaufmerksam ist, kann den «Daten-Phishern» ins Netz gehen und seine Daten preisgeben.

Wie erkenne ich als Laie, dass ich ein Phishing-Mail bekommen habe? In vielen Fällen gibt es eindeutige Hinweise. Allerdings stelle ich fest, dass die E-Mails mit gefälschtem Absender immer perfider werden. Einige der Cyberkriminellen sind wahre Künstler: Ihre toxische Post ist nur bei sehr genauem Hinschauen erkennbar.

Worauf muss ich achten? Ich empfehle, dass man sich bei sämtlichen E-Mails folgende Fragen stellt: Erstens: Habe ich mit dem Absender etwas zu tun? Lautet die Antwort nein, dann ab in den Papierkorb mit der ungeöffneten E-Mail. Zweitens: Sehe ich im Mailtext Tippfehler, merkwürdige Formulierungen oder stimmt etwas mit dem Firmenlogo des Absenders nicht? Ist dies der Fall: E-Mail löschen. Drittens: Wird Druck erzeugt, etwa mit der Kündigung eines laufenden Vertrags gedroht, dann weg mit dem Köder. Viertens: Verschleiert der Absender seine Mailadresse? Wer mit dem Mauszeiger über den sichtbaren Absender «schwebt» oder auf diesen klickt, sieht die tatsächliche Adresse des Absenders. Ist daran etwas komisch, gehört die Mail in den Papierkorb. Wichtig: Bei besagtem Mail auch keine Anhänge öffnen oder auf Links klicken.

Wie kann ich mein Konto bei Galaxus und/oder Digitec vor dem Zugriff Fremder schützen? Es gibt mehrere Möglichkeiten, mit denen jeder die Sicherheit seiner Konten markant erhöhen kann. Der wichtigste Tipp: Unbedingt ein einzigartiges Passwort mit ausreichender Länge und genügend Komplexität verwenden. Wir empfehlen ein mindestens zehn Zeichen langes Passwort mit Sonderzeichen und Gross-Klein-Buchstaben für das Login. Noch besser wären zwölf oder mehr Zeichen. Und wenn ich von «einzigartig» spreche, dann heisst das, dass das Passwort wirklich nur einmalig verwendet wird. Wer die identische Login-Passwort-Kombination fürs E-Banking, das Reservationssystem des Pneuhändlers und die Bestellung beim Gemüsehändler nutzt, setzt sich einem unnötigen Betrugsrisiko aus.

… auch wenn das Passwort zwölf oder mehr Zeichen hat, und vorschriftsgemäss Gross- und Kleinbuchstaben, Zahlen und Satzzeichen kombiniert? Das spielt keine Rolle. Genau wegen der häufig identischen Login-Passwort-Kombinationen haben die Betrüger ein leichtes Spiel. Die Passwörter werden über Phishing-Mails oder Malware wie Viren und Trojaner ergaunert. Beispielsweise bekommt man eine Mail mit dem Logo von Digitec oder Galaxus und dort steht: «Deine Bestellung ist bereit, für Abholung hier klicken». Wer draufklickt, kommt auf eine neue, meistens recht gut kopierte Seite des vermeintlichen Anbieters. Gibt man dann seine Logindaten preis, erscheint oft «Login und Passwort falsch». Im Hintergrund werden die Daten aber von den Kriminellen gespeichert.

Und wie kommen diese Login-Passwort-Kombinationen in Umlauf? Kriminelle verkaufen im Internet Listen erbeuteten Login-Passwort-Kombinationen an Betrüger, die versuchen, sich in die gängigen Onlineshops einzuloggen. Besonders anfällig auf Internetbetrug ist deshalb, wer Login-Passwort-Kombinationen mehrfach nutzt.

Und was ist mit der zweiten Sicherheitsstufe – etwas der Zwei-Faktor-Authentifizierung, wie wir sie von den Finanzdienstleistern kennen? Wir empfehlen eine so genannte Zwei-Faktor-Authentifizierung (2FA). Mit dieser holen wir bei jedem frischen Login eine Bestätigung übers Handy ein, z.B. wenn man sich das erste Mal mit dem neuen Notebook einloggt. Wir weisen unsere Kundinnen und Kunden mit redaktionellen Beiträgen sowie nach jeder Bestellung auf unsere 2FA-Option hin. Denn die zweite Sicherheitsstufe kann verhindern, dass Betrüger sich ins Kundenkonto einloggen und unbemerkt etwas bestellen.Es ist ratsam die Zwei-Faktor-Authentifizierung auch bei anderen Konten, wie zum Beispiel beim E-Mail-Anbieter zu aktivieren, wenn diese angeboten wird.

Weshalb verlangen Galaxus und Digitec die 2FA nicht standardmässig? Sprich: Wieso ist die Sicherheitsmassnahme optional? Wir wollen unsere Kundinnen und Kunden nicht bevormunden – auch nicht bezüglich Sicherheit. Klar, wir von der IT-Security hätten am liebsten eine grosse, rote, blinkende Warnschrift mit der Aufforderung: «2FA aktivieren». Zwingen wollen wir aber niemanden. Unsere Betrugserkennung ist wirkungsvoll und wir entwickeln sie ständig weiter. Haben die Schelme aber vom PC der Opfer ein gültiges Login und Passwort ergaunert und genannte 2FA ist nicht aktiviert, dann ist es für uns sehr schwierig betrügerische Bestellungen zu erkennen.

Was muss ich beim Einkauf mit der Kreditkarte beachten? Wir haben bei uns keine Kreditkartendaten gespeichert: Die Zahlungen wickelt für uns das spezialisierte Unternehmen Datatrans ab. Für die Sicherheit unserer Kundinnen und Kunden verlangen wir von Kreditkarten-Herausgebern zudem eine sogenannte 3-D Secure-Pflicht: Für jeden Zugriff, jede Zahlung, muss der Nutzer analog zur 2FA einen zweiten Identitätsnachweis erbringen, einen sogenannten zweiten Faktor, den die Bank abfragt. Zum Beispiel durch Eingabe eines SMS-Codes oder durch Scannen des Fingerabdrucks. Ob alle Banken diesen zweiten Faktor einfordern, können wir nicht überprüfen. Deshalb empfehlen wir unseren Kundinnen und Kunden, dass sie nur jene Kreditkarten fürs Onlineshopping nutzen, die eine 3-D Secure-Abfrage auslösen.

Und welche Sicherheitsmassnahme haben wir bisher noch nicht diskutiert? Meist hilft es, den gesunden Menschenverstand einzuschalten und E-Mails unverzüglich zu löschen, die keinen Sinn ergeben. Zum Beispiel diese absurden Aktionen, die mit leuchtendem Preisschild locken: «Macbook Pro 2022 für 1.99 CHF» Und wer aus Sicherheitsüberlegungen versehentlich eine wichtige E-Mail löscht, kann sicher sein, dass sich der Absender nochmal melden wird.

* Dieser Beitrag ist erstmals im November 2023 erschienen. Er wurde leicht aktualisiert und mit Blick auf die Black Friday Week und auf Weihnachten erneut publiziert.