13.06.2023 - Das NCSC erhält jede Woche unzählige Meldungen über angebliche Paket-Notifikationen. Diese geben vor, dass ein Paket am Zoll festgehalten wird und nur herausgelöst werden kann, wenn eine Gebühr bezahlt wird. Doch was steckt dahinter? Entgegen der ersten Vermutung handelt es sich nicht um Phishing-Seiten. Sondern dubiose Geschäftemacher wollen so die Opfer verleiten unbewusst ein kostenpflichtiges Abonnement abzuschliessen.
Gefälschte Paket-Notifikationen werden dem NCSC regelmässig gemeldet. In den letzten Wochen gab es vermehrt Meldungen zu solchen Benachrichtigungen bei denen sich die Gebühren auf CHF 1.99 belaufen. Nach dem Klick auf den Link in einem solchen E-Mail, werden zuerst ein paar Fragen zu der angeblichen Lieferung gestellt und ob das Paket nach Hause oder beispielsweise an den Arbeitsplatz geliefert werden soll. Was hier eingegeben wird, ist allerdings egal. Am Schluss öffnet sich immer eine Seite auf der die Kreditkartendaten eingegeben werden sollen. Auf den ersten Blick handelt es sich um einen klassischen Phishing-Versuch bei dem die Angreifer versuchen, Kreditkartendaten zu stehlen, um diese dann im Darknet weiterzuverkaufen. Allerdings ist die Vorgehensweise in den hier beobachteten Fällen viel perfider. Die Betrüger versuchen nämlich sich mit diversen Tricks in eine gesetzliche Grauzone zu mogeln und dem ganzen Ablauf einen legitimen Charakter zu geben, so dass Sicherheitsbehörden und Provider die Seiten nicht einfach deaktivieren können.
Die entscheidende Information wird dem Opfer vorenthalten
Bei einer detaillierten Analyse der Seite fällt auf, dass der obere Teil der Seite nicht vollständig angezeigt wird. Die Scrollbar auf der rechten Seite zeigt nämlich, dass sich oben auf der Seite noch etwas verbirgt. Die Betrüger haben die Seite extra so präpariert, dass dieser Teil aus dem Sichtfeld des Benutzers und der Benutzerin fällt.
In diesem verbogenen Abschnitt wird in sehr kleiner Schrift darauf hingewiesen, um was es sich in Wirklichkeit handelt. Mit dem Absenden der Daten bestätigt man eine Mitgliedschaft bei einem nicht näher beschriebenen Dienst, die sich nach einer drei tägigen Testphase automatisch in ein kostenpflichtiges Abonnement umwandelt. Die Mitgliedschaftsgebühr beträgt in diesem Fall 65 CHF, welche zweimal im Monat automatisch von der Kreditkarte abgebucht wird. Das Opfer merkt erst am Ende des Monats, dass die Beträge auf der Kreditkarte belastet wurden. Meist wurden bis dann schon zwei Mitgliedschaftsbeträge abgezogen.
Wer liest schon die Allgemeinen Geschäftsbedingungen?
Auch bei einer zweiten Variante, die dem NCSC letzte Woche gemeldet wurde, denkt man im ersten Moment an einen Phishing-Versuch. Im Gegensatz zur oben beschriebenen Variante fällt aber auf, dass in diesem Fall Allgemeine Geschäftsbedingungen (AGB) akzeptiert werden müssen und eine Checkbox angekreuzt werden soll. Die Betreiber spekulieren, dass niemand die AGBs wirklich durchliest und diese auf gut Glück akzeptiert werden. Öffnet man diese, findet man allerdings detailliert aufgelistet die länderspezifischen Kosten eines monatlichen Abonnements, welches automatisch abgeschlossen wird, wenn man die AGBs akzeptiert. Für die Schweiz belaufen sich die monatlichen Kosten auf 52.35 CHF. Die bekannten 1.99 CHF sind die Kosten für die Testphase.
Auch neue Varianten im Umlauf
Solche Abofallen werden aber nicht nur über gefälschte Paketbenachrichtigungen verteilt, auch andere Varianten sind im Umlauf. In der neuesten Variante wird dem Empfänger vorgemacht, dass sein iCloud-Speicher die maximale Limite erreicht habe und er deshalb keine Dateien mehr speichern könne. Es gebe aber momentan die Chance eines Promotionsangebots bei dem zusätzliche 50 GB an Speicher gebucht werden können. Zur Verifikation der Apple ID müsse man auf der nachfolgenden Webseite die Kreditkartendaten eingeben. Auch hier wird das Opfer dann auf eine Seite einer Abofalle geleitet. Im Kleingedruckten wird auf eine monatliche Abbuchung auf die Kreditkarte verwiesen.
Grauzone
Die Betreiber solcher Dienste versuchen mit diesen Tricks den Angeboten einen legitimen Charakter zu geben. Sie befinden sich in einer gesetzlichen Grauzone, was es den Sicherheitsbehörden erschwert, gegen solche Webseiten vorzugehen und diese zu deaktivieren. Während bei Phishing-Seiten der Prozess klar geregelt ist, muss in einem solchen Fall abgeklärt werden, inwiefern der Hinweis, dass es sich um ein kostenpflichtiges Abonnement handelt, genügend klar und genügend gross angezeigt wurde. In jedem Fall dauert der Prozess länger als bei Phishing-Seiten.
- Melden Sie sich umgehend bei Ihrem Kreditkartendienstleister, wenn Sie Ihre Kreditkartendaten angegeben haben;
- Kontrollieren Sie Ihre Transaktionen auf der Kreditkarte regelmässig. So können Sie bei missbräuchlichen Überweisungen umgehend bei Ihrem Kreditkarteninstitut intervenieren;
- Seien Sie vorsichtig bei angeblichen Paketnotifikationen;
- Seien Sie besonders vorsichtig, wenn Sie bei Gratisangeboten Kreditkartendaten angeben müssen;
- Das Staatsekretariat für Wirtschaft SECO hat zu Abofallen im Internet einen Artikel und ein Merkblatt publiziert: https://www.seco.admin.ch/seco/de/home/seco/nsb-news.msg-id-34118.html
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 13.06.2023
