Cyberkriminalität

Neue Phishing-Welle erreicht die Schweiz

Uhr
von Oliver Wietlisbach (Watson), nsa

Der Bund warnt: Kriminelle versenden aktuell gefälschte E-Mails im Namen der Schweizerischen Eidgenossenschaft. Sie haben es auf deine Kreditkartendaten abgesehen. Auch Fake-Anrufe im Namen des BAG sorgen für Ärger.

(Source: Profit_Image / Shutterstock)
(Source: Profit_Image / Shutterstock)

Das "Computer Security Incident Response Team" (GovCERT) des Bundes warnt vor einer neuen Phishing-Welle: "Vorsicht! Aktuell versenden Betrüger/innen gefälschte E-Mails in Namen der Schweizerischen Eidgenossenschaft mit dem Ziel, an Kreditkarteninformationen von Bürgerinnen und Bürger zu kommen - Melden Sie Phishing-Versuche auf www.antiphishing.ch"

In den gefälschten E-Mails heisst es in perfektem Deutsch: "Nach der letzten Überprüfung Ihrer Krankenversicherungsdatei haben wir festgestellt, dass Sie eine Rückerstattung von CHF 509.90 erhalten. Bitte füllen Sie Ihr Rückerstattungsformular aus und bestätigen Sie es über den folgenden Link:"

Typisch für Phishing-E-Mails ist der Betreff "Aktion erforderlich", der einen angeblichen Handlungsbedarf signalisiert. Gerade im Zusammenhang mit vermeintlichen Nachrichten von Behörden wird so Druck erzeugt, die E-Mail zu lesen. Die Angreifer spekulieren darauf, dass Menschen, die vor Kurzem ihre Steuererklärung eingereicht haben, eher auf eine E-Mail mit Absender ruckerstattung@admin.ch reagieren.

Aufgrund der vom GovCERT verpixelten Anrede im Screenshot der Phishing-Mail ist zu vermuten, dass die Kriminellen ihre potenziellen Opfer mit Namen anschreiben, was die betrügerischen E-Mails besonders glaubhaft und somit gefährlich macht. Persönliche Daten wie Name, E-Mail, Telefonnummer oder Postadresse stammen oft aus gigantischen Datenlecks bei Firmen wie Swisscom, Facebook, Uber, LinkedIn, Dropbox, Sony Playstation etc., die ihre Kundendaten zu wenig geschützt haben.

So läuft der Angriff ab

Die betrügerischen E-Mails werden mutmasslich von Diensten verschickt, die die Angreifer ausschliesslich zu diesem Zweck bei ausländischen Providern gemietet haben. Innert weniger Minuten werden bei solchen Phishing-Wellen teils Zehntausende E-Mails verschickt. Dabei tappt nur ein verschwindend kleiner Prozentsatz in die Falle, doch das reicht den Angreifern bereits.

Wer auf den Link klickt, wird auf eine gefälschte Webseite der Schweizerischen Eidgenossenschaft mit dem angeblichen Rückerstattungsformular umgeleitet. Dort wird man aufgefordert, Name, Kreditkartennummer, Verfallsdatum und CVV-Code einzugeben. Wer dies tut, sendet die Daten direkt an die Betrüger.

Zuletzt kam es auch immer wieder vor, dass Kriminelle im Namen des Bundesamts für Gesundheit BAG anrufen. Dies unter dem Vorwand, es werde geprüft, ob man wegen Corona eine Krankenkassenrückvergütung zugute habe. Die Angreifer sprechen Deutsch.

In diesem konkreten Fall nutzen die Betreiber der Phishing-Webseiten die erbeuteten Daten für Kreditkarten-Betrug. Allenfalls verkaufen sie die erbeuteten Kreditkartendaten im Darknet auch an andere Kriminelle weiter. Solche im Netz gehandelten Datensätze werden zunehmend für weitere Betrugsmaschen wie Online-Erpressung missbraucht. Beim sogenannten Sextortion-Scam kontaktieren die Betrüger ihre Opfer per E-Mail und behaupten, ihr Passwort zu kennen und intimes Videomaterial zu besitzen, das mit der Webcam aufgenommen wurde und sie angeblich dabei zeigt, wie sie pornografische oder illegale Inhalte ansehen.

Was seit Jahren auffällt: Die betrügerischen Phishing- und Malware-Mails werden immer professioneller und perfider. Seien es gefälschte Einladungen zu Gerichtsterminen, Fake-Rechnungen oder Steuerrückerstattungs-Versprechen – wer die Nachrichten mit dem angeblich offiziellen Absender von Behörden oder Firmen öffnet, fängt sich im schlimmsten Fall einen E-Banking- oder Erpressungs-Trojaner ein. Letzterer verschlüsselt die Festplatte des Computers. Die Erpresser verlangen daraufhin Lösegeld, damit sie die Daten (hoffentlich) wieder freigeben. Ein weiterer Klassiker ist der Betrug mit angeblich nicht zustellbaren Paketen.

Das steckt hinter den merkwürdigen Paket-SMS, die gerade Tausende Schweizer erhalten

Phising-Versuche sollten umgehend gelöscht, bzw. auf antiphishing.ch gemeldet werden. Die Provider sperren in diesem Fall die entsprechenden Phishing-Webseiten und versuchen die gefälschten E-Mails oder SMS zu filtern. Phishing-Webseiten sind daher in der Regel nach kurzer Zeit offline und stellen somit keine Gefahr mehr dar. Die automatische Erkennung solcher Phishing-Mails wird zwar laufend verbessert, aber für die Provider bleibt der Kampf gegen Spam- bzw. Phishing-E-Mails eine Gratwanderung: Wird zu viel gefiltert, bleiben auch legitime E-Mails hängen.

Phishing-Webseiten können beispielsweise auch Google mit diesem Formular gemeldet werden. Chrome blockiert darauf nach einer Prüfung durch Googles SafeBrowsing-Team den Zugriff auf die gefährliche Webseite.

Dieser Beitrag erschien zuerst auf Watson.ch

Webcode
DPF8_214278