Woche 26: Neue Phishing-Varianten via Telefon oder mit personalisierten SMS

05.07.2022 - Beim NCSC war letzte Woche der Meldeeingang deutlich tiefer, was vor allem auf den Rückgang von Fake Extortion-E-Mails zurückzuführen ist. Aufgefallen sind Phishing-Versuche, bei denen kein Link versendet wird, sondern in dem um einen Rückruf gebeten wird sowie Phishing-SMS, bei denen ein personalisierter Link verwendet wird, welcher nach Gebrauch deaktiviert werden kann. Die beiden unterschiedlichen Vorgehensweisen zeigen, dass Angreifer bereit sind, mehr Aufwand in ihre Phishing-Kampagnen zu investieren.

Phishing ist normalerweise ein Massengeschäft. Die Angreifer registrieren eine Webseite, welche jener eines bekannten Unternehmen ähnlichsieht und versenden dann den Link an tausendende Empfänger. Dies in der Hoffnung, dass die eine oder andere Person reagiert und ihre Daten angibt. In den letzten beiden Wochen wurden dem NCSC mehrere Fälle gemeldet, die zeigen, dass im Bereich Phishing die Angriffe gezielter werden. Die Cyberkriminellen betreiben einen viel höheren Aufwand, um an Passwörter und Kreditkartendaten zu kommen.

Nach Anruf Phishing

Ein exemplarischer Phishing-Versuch startete mit einer E-Mail ohne Phishing-Link, aber mit einer angehängten Rechnung von einer Firma, in diesem Beispiel von der angeblich französischen Firma «Paiement Techmania LLC». Die Rechnung gibt vor, dass eine Bezahlung von 540 CHF für die Erneuerung eines Antiviren-Abonnements eingegangen sei. Bei Problemen mit der Zahlung soll man auf die angegebene Telefonnummer anrufen. Da die Rechnung erfunden ist und der Empfänger somit auch nie Geld überwiesen hat, ist die Wahrscheinlichkeit gross, dass die Empfänger auf die genannte Nummer anrufen, um den vermeintlichen Irrtum aufzuklären.

Im vorliegenden Fall nahm beim Angerufenen jedoch niemand ab. Stattdessen erfolgte einige Stunden später ein Rückruf von einer ähnlichen Nummer. Der Anrufer gab an, die Bestellung zu stornieren und das angeblich bezahlte Geld zurückzuerstatten. Dazu sandte der vermeintliche Verkäufer eine E-Mail, dieses Mal allerdings mit einem Link auf eine Phishing-Webseite.

E-Mail mit Link auf eine Phishing-Seite, die nach dem Telefongespräch durch die Betrüger versandt wurde.
E-Mail mit Link auf eine Phishing-Seite, die nach dem Telefongespräch durch die Betrüger versandt wurde.

Mit dem Telefongespräch versucht der Angreifer zusätzlich Vertrauen aufzubauen und das Opfer zu einer unbedachten Aktion zu bewegen. Der betrügerische Link zirkuliert nur eingeschränkt, da er ausschliesslich an Personen geht, welche die Rechnung ernst genommen und zurückgerufen haben. Auf diese Weise verringern die Angreifer die Wahrscheinlichkeit, dass der Link schnell den Sicherheitsbehörden gemeldet und die Phishing-Seite anschliessend vom Netz genommen wird.

Phishing-SMS mit persönlicher Anrede

Auch mit einer anderen Methode versuchen die «Phisher» ihre Phishing-Seiten zu schützen. Hier verwenden die Angreifer personalisierte Links, welche nach Gebrauch – also nach dem das Opfer auf den Link geklickt hat - deaktiviert werden können.

Personalisierte SMS mit Link auf eine Phishing-Seite
Personalisierte SMS mit Link auf eine Phishing-Seite

In einem ersten Schritt wird in einer SMS, die einen Phishing-Link enthält, die empfangende Person mit korrektem Namen angesprochen.

Auch die Phishing-Seite ist mit der Telefonnummer und dem Namen personalisiert.
Auch die Phishing-Seite ist mit der Telefonnummer und dem Namen personalisiert.

Sobald das Opfer den Phishing-Link anklickt, erhält es einen personalisierten Login-Screen, auf dem die richtige Telefonnummer und der Name des Opfers ersichtlich sind. Interessanterweise muss in einem nächsten Schritt die E-Mail-Adresse angegeben werden –die «Phisher» haben diese anscheinend nicht.

Die «bephishte» Person wird aufgefordert, die E-Mail-Adresse einzugeben (oder nochmals die Telefonnummer).
Die «bephishte» Person wird aufgefordert, die E-Mail-Adresse einzugeben (oder nochmals die Telefonnummer).

Erst nach der Eingabe der E-Mail-Adresse erscheint die Webseite, auf der die Kreditkartendaten gephisht werden.

Ob sich der hier beschriebene, von den «Phishern» geleistete Zusatzaufwand lohnt, kann nicht eingeschätzt werden. Sicher ist aber, dass das NCSC versucht, dank der tatkräftigen Mithilfe der Melderinnen und der Melder, solche Webseiten möglichst rasch vom Netz zu nehmen.

  • Misstrauen Sie E-Mails oder SMS, die Sie unaufgefordert erhalten;
  • Lassen Sie sich nicht unter Druck setzen und nehmen Sie sich genügend Zeit für Abklärungen;
  • Falls Sie Abklärungen treffen, nutzen Sie dazu nicht die Telefonnummer oder die E-Mail-Adresse in der erhaltenen E-Mail, sondern suchen Sie die Nummer oder die E-Mail-Adresse auf der offiziellen Firmenwebseite;
  • Melden Sie Phishing-Links direkt an reports@antiphishing.ch oder auf www.antiphishing.ch. Falls Sie unsicher sind, ob es sich um Phishing handelt, können Sie die E-Mail jederzeit über das NCSC-Meldeformular zur Analyse weiterleiten.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 05.07.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2022/wochenrueckblick_26.html