Woche 51: Wie die Betrüger das NCSC und andere Sicherheitsdienstleister austricksen wollen

Service navigation

Suche

Navigation

Woche 51: Wie die Betrüger das NCSC und andere Sicherheitsdienstleister austricksen wollen

27.12.2023 - Das NCSC erhält täglich zahlreiche Meldungen zu betrügerischen Webinhalten, verschiedenen Phishings oder dubiosen Werbeseiten. Bei der Prüfung der gemeldeten Seiten durch das NCSC werden dann aber manchmal ganz normale, unverdächtige Webseiten angezeigt. In diesen Fällen lohnt es sich dranzubleiben und nicht zu glauben, dass sich die Melder vertan haben oder die Seite bereits durch den Provider deaktiviert wurde. Bei einer genaueren Analyse erkennt man nämlich in vielen Fällen, dass Betrüger verschiedene Techniken einsetzen, um möglichst lange von Sicherheitsbehörden unentdeckt zu bleiben.

Der IP-Adressen Check

Oft sind Betrugs- oder Phishing-Versuche auf ein einzelnes Land zugeschnitten. Phishing-E-Mails im Namen von Schweizer Finanzinstituten richten sich beispielsweise ausschliesslich an Schweizer Internetnutzer. Die Angreifer schränken den Zugriff beispielsweise so ein, dass die betrügerische Webseite nur angezeigt wird, wenn sie von einer Schweizer IP-Adresse aus aufgerufen wird. Bei Zugriffen von IP-Adressen, die nicht der Schweiz zugeordnet sind, wird eine unverdächtige Seite angezeigt oder beispielsweise auf eine Suchmaschine umgeleitet. Der Hosting-Provider, auf dessen Server die betrügerische Seite gespeichert ist und der sich in der Regel im Ausland befindet, sieht auch nur die harmlose Seite, da er mit einer länderspezifischen IP-Adresse ausserhalb der Schweiz daherkommt. Im schlimmsten Fall ergreift er keine Gegenmassnahmen. Auch Analysten arbeiten oft nicht mit ihrer wahren IP-Adresse, sondern verwenden sogenannte VPN-Verbindungen. Dies kann von Webseiten ebenfalls erkannt werden und dem Analysten wird in der Folge eine unverdächtige Webseite angezeigt.

Der Referrer-Check

Einige betrügerische Webseiten überprüfen auch den sogenannten «Referrer», der bei jedem Seitenaufruf mitgeliefert wird. Der Referrer enthält die Information, über welche vorangehende Webseite der Nutzer auf die aktuelle Seite gelangt ist. Wird eine Seite jedoch direkt über die Eingabe der URL in der Adresszeile des Browsers aufgerufen, wird kein solcher Referrer mitgeliefert. Der Webserver weiss dann, dass der Aufruf direkt ausgelöst wurde, nicht über einen Link. So gibt es Seiten, die sich beim direkten Aufruf unverdächtig verhalten. Beim Aufruf derselben Seite über eine Suchmaschine, einen Link in einer betrügerischen Werbung oder über Social Media wird jedoch der dubiose Inhalt präsentiert.

Der Browser-Check

Gerade im privaten Umfeld wird heute ein Grossteil der Webseiten über das Smartphone aufgerufen. Dies machen sich Betrüger zunutze, indem sie die betrügerische Seite nur auf dem Smartphone anzeigen. Beim Aufruf einer Webseite wird nämlich auch der so genannte User-Agent übertragen. Im User-Agent werden Betriebssystem und Browsertyp des Besuchers übermittelt und der Server kann erkennen, ob die Anfrage z. B. von einem Android-Gerät oder einem iPhone kommt, oder ob die Seite von einem Notebook oder PC aus aufgerufen wurde. Während die meisten potenziellen Opfer über ein Smartphone kommen, wird für die Analyse in der Regel ein Bürogerät verwendet.

Beim Öffnen der URL mit Windows kann die Seite scheinbar nicht gefunden werden, beim Öffnen mit Android hingegen wird eine Phishing-Seite angezeigt.
Beim Öffnen der URL mit Windows kann die Seite scheinbar nicht gefunden werden, beim Öffnen mit Android hingegen wird eine Phishing-Seite angezeigt.

Analyse trotzdem möglich

Diese technischen Vorkehrungen der Betrüger dienen dazu, dass die Webseiten möglichst lange unentdeckt bleiben und auch bei einer Meldung an die zuständigen Stellen nicht als bösartig erkannt und bekämpft werden. Die gute Nachricht: Diese Versuche der Betrüger, die Analyse auszutricksen, lassen sich leicht vereiteln. Die übermittelten Daten zu Betriebssystem, Referrer und Browsertyp können mit geeigneten Werkzeugen manipuliert werden. Manchmal braucht es mehrere Versuche mit verschiedenen Einstellungen, bis man am Ziel ist. Und natürlich gibt es auch Möglichkeiten, IP-Adressen entsprechend den Anforderungen auszuwählen. So lässt man die Versuche der Angreifer ins Leere laufen und auch in diesen Fällen werden die betrügerischen Webseiten schnell analysiert, verifiziert und möglichst deaktiviert, damit die Schweizer Bevölkerung bestmöglich geschützt ist.

Dennoch ist es wichtig, ein paar einfache Regeln zu beachten, damit Sie gar nicht erst auf einen betrügerischen Link klicken:

  • Vorsicht bei E-Mails, die eine Aktion von Ihnen verlangen oder Sie zeitlich unter Druck setzen;
  • Seien Sie vorsichtig, wenn Sie dazu gedrängt werden, eine Aktion auszuführen. Dabei kann es sich beispielsweise um das Anklicken eines Links oder das Öffnen eines Anhangs handeln. Geben Sie niemals persönliche Daten auf einem Formular ein, das Sie über einen Link in einer E-Mail geöffnet haben;
  • Seien Sie misstrauisch:
    Betrüger denken sich immer neue Szenarien aus, um die Opfer zu bewegen, unbedacht zu reagieren. Die Methode, welcher sich die Täterschaft bedient, heisst «Social Engineering». Damit soll erreicht werden, dass die Opfer die von der Täterschaft gesteuerten Handlungen ausführen, ohne es zu bemerken. Lassen Sie sich deshalb nicht überrumpeln, sondern denken Sie in Ruhe darüber nach und fragen Sie im Zweifelsfall Freunde, Arbeitskollegen oder das NCSC, wie der Sachverhalt zu beurteilen sei.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 27.12.2023

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2023/wochenrueckblick_51.html