Über einen Link im Mail  wurden die Postkunden auf eine gefälschte Webseite mit der URL .postfinance-ch.net geleitet. Dort sollten sie sich mit ihren drei Sicherheits-Merkmalen einloggen: mit der E-Finance-Nummer, dem Passwort und mit dem vom Postfinance-«Taschenrechner» generierten Sicherheits-Code. 

Im Gegensatz zu früheren Betrugsversuchen enthielt das aktuelle Mail keine auf den ersten Blick verräterischen kyrillischen Zeichen. Dennoch machten einige Rechtschreibfehler hellhörig. 

Der relativ kurze Mailtext lautete: «Sehr geehrte Damen und Herren, wir möchten Sie höfflich daran erinnern dass Sie Ihren Online-Konto überprüfen müssen. Um weiterhin unsere Dienste ununterbrochen benutzen zu können, durfen wir Sie bieten Ihre Daten zu aktualisieren. Bitte melden Sie sich an und folgen Sie die Anweisungen. Mit freundlichen Grüßen, Post Finance.»

Die Nachricht entheilt auch einen der echten Postfinance-Seite ähnlichen Link: http://e-finance.postfinance-ch.net. Die Webseite war jedoch bald enttarnt und nach 10 Uhr morgens nicht mehr abrufbar.

Bild

Auch ein weiteres Merkmal machte hellhörig: Das Mail war in der Zukunft datiert. Es war kurz nach neun Uhr morgens bei den Postkunden angekommen, enthielt jedoch als Zeitstempel die Uhrzeit «11:22» des gleichen Tages. 

«Nur wenig Missbrauchsfälle in den letzten Jahren»

Der Presse-Chef von Postfinance, Alex Josty, bestätigt das Phishing-Mail. Kurz nach zehn Uhr sei die Melde- und Analysestelle Informationssicherung  für Internetkriminalität Melani eingeschaltet worden. Auch wurden Switch und Swisscom benachrichtigt und aufgefordert, die entsprechende Webseite zu sperren. Es seien bis anhin keine auffälligen Kontobewegungen festgestellt worden, sagte Josty

Auf der Webseite von Postfinance war erst einen Tag später eine Warnung vor dem aktuellen Phishing zu lesen. Alex Josty begründet dies so: «Postfinance-Kunden bekamen zahlreiche Phishing-Mails in den letzten Jahren. Wir können nicht auf jedes einzelne Mail hinweisen. Die Kunden haben eine Eigenveranwortung: Enthält ein Mail kyrillische Zeichen oder Rechtschreibefehler, stammt es sicher nicht von der Post. Kein Finanzinstitut würde auch per Mail von Kunden Sicherheits-Codes abfragen.»

Postfinance ist nicht haftbar

Gemäss Allgemeinen Geschäftsbedingungen AGB muss die Postfinance nicht zahlen, wenn Kunden dazu verleitet werden, ihre Sicherheitscodes Preis zu geben. «Wir möchten uns jedoch kulant zeigen», sagt Josty.

«Vor sechs Jahren gab es eine grosse Phishing-Attacke. Damals wurde zehn Postfinance-Kunden Geld von ihrem Konto abgezogen. Postfinance hat sich aber bei allen kulant gezeigt und den Schaden ersetzt. Seither gab es keine solche Fälle mehr», sagte Josty weiter.