01.03.2022 - Der Meldeeingang war letzte Woche etwas tiefer. Grund dafür dürfte auch die Anpassung einer Spam-Policy beim NCSC sein, die zu einer signifikanten Reduktion von Spam-Meldungen führte. Zudem wurde bei einem Kleinanzeigebetrug die Internetadresse eines Bezahldienstes aufwändig gefälscht. Das NCSC zeigt auf, wie man solche gefälschten Internetadressen erkennt.
Betrug mit Internetadressen
Die Internetadresse (URL) dient uns allen zum Auffinden von Inhalten im Internet. Viele Betrügereien basieren jedoch darauf, diese URL zu fälschen, um uns auf betrügerische Websites zu locken. Wichtig zu wissen ist hierbei, dass eine URL aus folgenden Teilen besteht: «Subdomain» («www»), «Domain» (z. B. Name des Unternehmens) und «Top Level Domain» (z. B. «ch», «com»). Diese drei Teile sind immer mit einem Punkt getrennt: Bsp. «www.abcdefgh123.com».
Bei einem Kleinanzeigebetrug, welcher gemeldet worden war, wurde das NCSC auf eine aufwändig gestaltete Betrugsseite aufmerksam. Für die angeblich sichere Zahlung wurde der Webauftritt eines seriösen Unternehmens kopiert. Damit der Link auf die gefälschte Webseite nicht sofort als Fälschung erkennbar ist, haben die Betrüger eine eigene Domain reserviert, welche dem Schema «.ch-123xyz.com» folgt. Nun ergänzten Sie diese mit dem Namen des seriösen Unternehmens, so dass sich die URL folgendermassen präsentierte: «www.abcdefgh123.ch-123xyz.com».
Auf den ersten Blick sieht die Internetadresse der offiziellen URL zum Verwechseln ähnlich. Ein Betrug ist aber zumeist schnell ersichtlich, wenn diese URL genauer angeschaut wird. Im Zweifelsfall soll immer die tatsächliche URL des Unternehmens direkt im Browser eingegeben werden.
Weitere Tricks der Betrüger bei URLs:
Einsatz einer falschen Top-Level-Domain:
Eine weitere betrügerische Art ist die Nutzung einer falschen Top Level Domain (z. B. «.com», statt «.ch»). Ein bekannt gewordener Fall betraf in der Vergangenheit die offizielle Webseite des Weissen Hauses in den USA mit der URL «www.whitehouse.gov». Auf der wohl weitaus häufiger aufgerufenen Webseite «www.whitehouse.com» waren jedoch Sexangeboten zu finden. Im Wochenrückblick 5 berichtete das NCSC bereits über eine gefälschte Downloadseite für den Passwort-Tresor «KeePass».
Vertipper:
Wie ebenfalls im Wochenrückblick 5 aufgezeigt, nutzen die Betrüger auch das Vertippen bei der Eingabe einer URL (Typosquatting) aus, indem sie die Opfer, auf eine ähnlich lautende, jedoch betrügerische Website locken. Dort wird dann ein Konkurrenzangebot oder eine Werbung angezeigt oder sogar Schadsoftware verteilt. Für die Webseite www.ncsc.ch wäre ein Vertauscher «www.nscs.ch», ein Verdoppler «www.ncssc.ch» oder ein Vertipper «www.ncsv.ch» denkbar.
Missbrauch mit ähnlichen Buchstaben:
Dass sich ein kleines «L» nicht von einem grossen «i» unterscheiden lässt, kennen wir alle – auch die verschiedenen «O» und die Nullen sind manchmal schwierig zu unterscheiden. Mit der Einführung von internationalen Zeichen für Domainnamen hat sich diese Palette nochmals vergrössert. Als Beispiel hier einige Zeichen, welche mit unserem «i» verwechselt werden können: «ì», «í» und «ı».
Die Webseite www.example.com könnte folgendermassen gefälscht werden: ęxąmplę.com. Wenn man diese URL prüft, lässt sich jedoch erkennen, dass sie eigentlich auf «xn--xmpl-bta2jf.com» zeigt. Und dies wird häufig von Betrügern zur Täuschung genutzt.
Hinweise:
- Melden Sie betrügerische Domänen dem NCSC;
- Überprüfen Sie immer die Adresszeile des Browsers, ob Sie sich auf der richtigen Seite befinden. Insbesondere, wenn Sie Login und Passwort oder Kreditkartendaten angeben müssen.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 01.03.2022