Woche 43: «One fits all» auch bei gefälschten Websites von Banken

Service navigation

Suche

Navigation

Woche 43: «One fits all» auch bei gefälschten Websites von Banken

01.11.2022 - Die Anzahl der beim NCSC eingegangenen Meldungen ist gegenüber der Vorwoche gestiegen. Letzte Woche gab es Meldungen zu einer Internetadresse, unter welcher gleich mehrere bekannte Finanzinstitute imitiert wurden, und zwar auf dynamisch generierten Websites. Solche Fake-Bank-Websites werden vornehmlich für Vorschussbetrug, aber auch - wie in diesem Fall - für Romance Scam verwendet. Auch bei einer Phishing-Webseite, die auf Web-Administratoren ausgerichtet war, hatten die Betrüger die Webseite dynamisch gestaltet.

Gefälschte Bank-Website - «One fits all»

Die meisten Internet-Nutzerinnen denken bei gefälschten Websites von Banken zuallererst an Phishing. Es gibt aber auch andere Delikte, bei denen Betrüger auf gefälschte Banken-Websites zurückgreifen. So wird bei einem Vorschussbetrug die Existenz einer vermeintlichen Erbschaft oder eines vermeintlichen Lotteriegewinnes oft durch ein Bankkonto auf einer gefälschten Bank-Website untermauert, auf der man tatsächlich die versprochene Summe auf dem vermeintlichen Konto sieht.

Damit die Angreifer aber nicht für jeden Betrug neue Websites aufsetzen müssen, werden dynamische Betrugsseiten eingesetzt. So können die Betrüger ihren Angriff auf das Opfer anpassen («One fits all»). Bei Schweizer Opfern benutzen sie beispielsweise keine Schweizer Banken, da diese die Banken zu gut kennen oder sogar dort ein Konto haben und ihnen die Ungereimtheiten auffallen würden. Umgekehrt werden vermutlich gegen Opfer im Ausland oft Schweizer Banken eingesetzt.

Im aktuellen Fall, der dem NCSC letzte Woche gemeldet wurde, ging es um einen Fall von Romance Scam. Bei dieser Betrugsart werden gefälschte Profile auf Social Media und Internet-Partnerbörsen erstellt, um anderen Personen die grosse Liebe vorzuspielen und schliesslich finanzielle Zuwendung zu erhalten. Um das Vertrauen des Opfers zu gewinnen und auch um vorzutäuschen, dass der vermeintliche Liebhaber wohlhabend ist, kommen ebenfalls Fake-Banken zum Einsatz. Als Vertrauensbeweis gibt der Betrüger dem Opfer seine «Zugangsdaten» und das Opfer sieht dann das grosse Vermögen und die zahlreichen Transaktionen über jeweils hohe Summen. Bei einem dringenden Geschäft geht dann aber plötzlich das Login nicht mehr und das Opfer wird gebeten, die Transaktion von seinem Konto aus zu tätigen. Im aktuellen Fall konnten die Betrüger über 25'000 CHF ergaunern.

Dynamische Fake-Bank-Websites unter der gleichen Internetadresse. Sogar die Farbe der Buttons wird entsprechend der Bank angepasst.
Dynamische Fake-Bank-Websites unter der gleichen Internetadresse. Sogar die Farbe der Buttons wird entsprechend der Bank angepasst.

Im erwähnten Fall haben die Betrüger eine Website aufgesetzt, bei der durch das Anfügen der eigentlichen richtigen URL der Bank auch tatsächlich im unteren Teil der Browser-Ansicht die aktuelle Banken-Website eingeblendet wurde. Diese wurde im Hintergrund direkt von der richtigen Banken-Website geladen. Der obere Balken mit diversen Links war aber unter der Kontrolle der Betrüger und der vermeintliche Login-Link führte direkt auf die Login-Seite der Betrüger. Bei seiner Recherche ist dem NCSC aufgefallen, dass die Seite nicht mit allen Banken funktioniert. Im Hintergrund ist also kein Automatismus implementiert. Vielmehr haben sich die Angreifer auf grosse Banken wie beispielsweise UBS, Credit Suisse, HSBC, BNP Paribas oder Crédit Agricole beschränkt. Wahrscheinlich, weil diese auch beim Opfer besser bekannt sind und somit mehr Vertrauen erwecken.

Das NCSC konnte den Provider informieren und dieser hat die Website, die bereits am 27. Mai 2022 gelöst wurde, sofort deaktiviert.

  • Senden Sie weder Geld noch Güter an Ihnen unbekannte Personen, die Sie noch nie getroffen haben!
  • Seien Sie skeptisch, wenn Sie E-Mails bekommen, die eine Aktion von Ihnen verlangen und ansonsten mit Konsequenzen drohen (Geldverlust, Strafanzeige oder Gerichtsverfahren, Konto- oder Kartensperrung, Verpasste Chance, Unglück).

Personalisierte Domain-Erneuerung

Auch in einem zweiten Betrugsfall hat das NCSC letzte Woche den Einsatz von dynamischen Websites beobachtet. In diesem Fall ging es um eine vermeintliche Verlängerung der Domain-Registrierung, die vor allem an Website-Administratoren gesendet wurden. Für die Bezahlung mussten die Kreditkartendaten angegeben werden. Es handelte es sich also um ein typisches Phishing. Auch hier wurde die Eingabe des zu verlängernden Domain-Namens in der Adresszeile direkt im Formular übernommen und so den Anschein erweckt, als handle es sich um eine personalisierte Aufforderung.

Phishing-Seite, personalisiert auf die entsprechende Domäne: Zur Anschauung hat das NCSC hat in diesem Fall den Phishing-Link mit seiner Domäne ergänzt. Entsprechend erscheint dieser auf der Registrationsseite (links rot umrandet).
Phishing-Seite, personalisiert auf die entsprechende Domäne: Zur Anschauung hat das NCSC hat in diesem Fall den Phishing-Link mit seiner Domäne ergänzt. Entsprechend erscheint dieser auf der Registrationsseite (links rot umrandet).
  • Keine Bank und kein Kreditkarteninstitut wird Sie jemals per E-Mail auffordern, Passwörter zu ändern oder Kreditkartendaten zu verifizieren.
  • Geben Sie nie persönliche Daten wie Passwörter oder Kreditkartendaten auf einer Webseite ein, die sie über einen Link in einer E-Mail oder SMS angeklickt haben.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 01.11.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2022/wochenrueckblick_43.html