Woche 48: Phishing im Namen der SERAFE - Vorwand «Wohnsitz-Verifizierung»

Service navigation

Suche

Navigation

Woche 48: Phishing im Namen der SERAFE - Vorwand «Wohnsitz-Verifizierung»

02.12.2025 - Eine aktuelle Phishing-Kampagne missbraucht den Namen der «SERAFE». Unter dem Vorwand, die «aktuelle Wohnsituation verifizieren» zu müssen, versuchen Angreifer, zahlreiche Informationen zu stehlen. Neben persönlichen Daten wie Name, E-Mail-Adresse, Geburtsdatum und Telefonnummer werden auch die AHV-Nummer, das Datum eines allfälligen Umzugs und schliesslich die Kreditkartendaten verlangt. Warum diese spezifische Datenkombination für Betrüger besonders nützlich ist und wie man sich davor schützt, zeigt der aktuelle Wochenrückblick.

Aktuell kursiert eine Phishing-E-Mail im Namen der Schweizerischen Erhebungsstelle für die Radio- und Fernsehabgabe (SERAFE). Unter dem Vorwand, die «aktuelle Wohnsituation» verifizieren zu müssen, versuchen Betrüger, an ein ganzes Paket von Informationen zu gelangen. Das Ziel ist eine mehrstufige Datenernte: Sie beginnt bei der AHV-Nummer und endet bei den Kreditkartendaten.

SERAFE nicht zufällig gewählt

Dass die Betrüger den Namen SERAFE missbrauchen, ist nicht zufällig, sondern eine gezielte Strategie. Werden Betrugs-E-Mails im Namen einer Organisation oder Firma versendet, hängt die Erfolgsquote in der Regel davon ab, ob das Opfer tatsächlich eine Kundenbeziehung zu dieser hat und die E-Mail deshalb plausibel erscheint. Die Betrüger fokussieren sich deshalb auf Firmen oder Behörden mit möglichst grosser Reichweite. Radio- und Fernsehgebühren müssen in der Schweiz von jedem Haushalt an SERAFE bezahlt werden. Somit fühlt sich praktisch jede Empfängerin und jeder Empfänger im ersten Moment angesprochen. Ein ähnliches Muster zeigt sich bei Angriffen, die den Namen der Steuerverwaltung missbrauchen. Da alle volljährigen Personen steuerpflichtig sind, wird eine E-Mail mit grosser Wahrscheinlichkeit die richtige Empfängerin oder den richtigen Empfänger erreichen. Die Trefferquote ist somit bei fast 100 Prozent.

Nicht nur einfaches Kreditkarten-Phishing

Im aktuellen Fall werden Opfer per E-Mail aufgefordert, einen Link anzuklicken, um ihre Daten zu «bestätigen». Auf der gefälschten Webseite werden sie dann schrittweise zur Eingabe persönlicher Daten wie der Telefonnummer, der E-Mail-Adresse oder des Geburtsdatums aufgefordert.

Screenshot der betrügerischen E-Mail.
Screenshot der betrügerischen E-Mail.

In den Folgeschritten werden sogar die AHV-Nummer und das «Datum eines allfälligen Umzugs» abgefragt. Erst ganz am Schluss, nachdem das Opfer bereits alle diese Identitätsmerkmale preisgegeben hat, werden Kreditkarteninformationen verlangt. Dass so viele Daten abgefragt werden und nicht sofort auf die Eingabe der Kreditkartendaten gedrängt wird, ist unüblich.

Aufbau der betrügerischen Webseite.
Aufbau der betrügerischen Webseite.

Die Frage stellt sich deshalb, wieso ausgerechnet das Umzugsdatum verlangt wird. Es ist durchaus denkbar, dass dies nur als Ablenkungsmanöver für ein Kreditkarten-Phishing verwendet wird. Wie im Wochenrückblick 43 beschrieben, beschaffen die Betrüger aber zunehmend auch aktiv Daten: Durch gezieltes «Informations-Phishing» bringen sie Personen dazu, ihre persönlichen Daten freiwillig preiszugeben, welche dann wieder für Folgeangriffe verwendet werden. Das Umzugsdatum eröffnet Angreifern zum Beispiel die Möglichkeit, zeitlich abgestimmte Folgeangriffe zu starten: beispielsweise unter dem Vorwand von Post-, Bank- oder Paketdienstleistungen. Die Betrüger beziehen sich dann gezielt auf den Umzug und spekulieren darauf, dass die Empfänger sich in einer stressigen Phase befinden und daher weniger aufmerksam reagieren. Da es bei Umzügen häufig zu administrativen Problemen oder Verzögerungen kommt, wirken entsprechende E-Mails besonders plausibel. Diese Unsicherheit nutzen die Angreifer bewusst aus, um ihre Täuschungsversuche glaubwürdig erscheinen zu lassen.

Am Schluss wird dann nach Kreditkartendaten gefragt.
Am Schluss wird dann nach Kreditkartendaten gefragt.

Empfehlungen

  • Die SERAFE wird Sie niemals per E-Mail auffordern, Ihre Wohnsituation zu verifizieren, Ihre AHV-Nummer preiszugeben oder Kreditkartendaten einzugeben.
  • Die SERAFE erhält alle notwendigen Daten (z. B. bei einem Umzug) ausschliesslich und automatisch von der Einwohnerkontrolle Ihrer Gemeinde. Sie müssen einen Umzug nie separat der SERAFE melden.
  • Geben Sie niemals sensible Daten auf Webseiten ein, die Sie über einen Link in einer E-Mail erreicht haben.
  • Die offiziellen Zahlungsmethoden der SERAFE sind eBill, Lastschriftverfahren (LSV) oder der Einzahlungsschein.
  • Bewegen Sie die Maus über den Link (ohne zu klicken), um die wahre Ziel-Adresse in der Vorschau zu sehen.
  • Melden Sie verdächtige E-Mails dem BACS.

Falls Sie bereits Daten eingegeben haben

  • Kontaktieren Sie umgehend Ihr Finanzinstitut und lassen Sie die Karte sperren. Überprüfen Sie alle Transaktionen.
  • Erstatten Sie Anzeige bei Ihrer kantonalen Polizei. Dies ist für den Fall eines Identitätsmissbrauchs essenziell und oft online möglich. Auf der Seite von Suisse ePolice können Sie Polizeiposten in Ihrer Nähe suchen. Seien Sie auf Folgeangriffe (Anrufe, E-Mails) vorbereitet, die Ihre gestohlenen Daten (AHV-Nummer, Umzugsdatum) nutzen könnten.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 02.12.2025

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2025/wochenrueckblick_48.html