03.01.2024 - Traditionsgemäss schaut das NCSC, heute BACS, im letzten Wochenrückblick des Jahres zurück auf die eingegangenen Meldungen der vergangenen zwölf Monate. Das Jahr 2023 war geprägt von gefälschten Drohmails und Drohanrufen im Namen der Polizei. Allein diese beiden Phänomene sind für über einen Drittel der Meldungen verantwortlich. Welche Cyberbedrohungen die vergangenen zwölf Monate ausserdem geprägt haben, erfahren Sie im letzten Wochenrückblick. Wir danken Ihnen an dieser Stelle für alle Ihre Hinweise und Meldungen. Diese helfen dem NCSC, die Lage im Cyberraum besser einschätzen und weitere mögliche Opfer frühzeitig warnen zu können.
Die Gesamtzahl der beim NCSC eingegangenen Meldungen haben auch im 2023 zugenommen. Mit knapp 50’000 Meldungen ist die Zahl im Vergleich zum Vorjahr (34’527 Meldungen) um 30% gestiegen. Die Zunahme in absoluten Zahlen ist mit 15'000 Meldungen etwas höher als im Vorjahr (Zunahme 2021/22 + 12'813). Der erneute Anstieg ist vor allem auf die Zunahme von Phänomenen wie betrügerische Stellenangebote oder gefälschte Anrufe im Namen der Polizei zurückzuführen.
Das Verhältnis der Meldungen aus der Bevölkerung (88%) zu denjenigen von Unternehmen, Vereinen und Behörden (12%) blieb weiterhin stabil. Bei den am häufigsten von Unternehmen gemeldeten Betrugsdelikten ist ein starker Anstieg bei den Phänomenen CEO-Betrug (2023: 484 / 2022:116) und Rechnungsmanipulationsbetrug (2023: 118 / 2022:36) zu verzeichnen. Meldungen zu Angriffen auf die Verfügbarkeit (DDoS) (2023:40 2022:24) haben ebenfalls zugenommen. Stabil blieb die Zahl der Meldungen über Ransomware-Angriffe auf Unternehmen.
Gefälschte Drohmails im Namen der Polizei auf Vorjahresniveau - seit Juni wird aber auch per Telefon gedroht
Droh-E-Mails im Namen von Strafverfolgungsbehörden waren bereits im letzten Jahr (2022) eines der meist gemeldeten Phänomene beim NCSC. Dies war auch in 2023 nicht anders. Fast 10'000 Meldungen gingen zu dieser Thematik ein. In diesen Drohmails wird behauptet, dass die angeschriebene Person eines massiven Fehlverhaltens (typischerweise in Zusammenhang mit Kinderpornographie) überführt worden sei und die Anklage gegen sie nur durch eine Geldüberweisung fallengelassen werden könne. Erste Berichte über ein ähnliches Phänomen per Telefon tauchten Ende Juni 2023 auf. Die Variante startet mit einem Anruf von einer vermeintlichen Polizeibehörde. Eine computergenerierte Stimme informiert dabei die Betroffenen darüber, dass z. B. ihre persönlichen Bankkontodaten im Zusammenhang mit einer Straftat aufgetaucht seien. Für weitere Informationen soll die Ziffer 1 gedrückt werden. Drückt das Opfer die 1, wird es mit einem «Mitarbeiter» verbunden und aufgefordert, ein Fernzugriffs-Tool herunterzuladen und dem Angreifer Zugriff auf den Computer oder das Mobiltelefon zu gewähren. Die Angreifer versuchen so, Zugang zum E-Banking-Konto des Opfers zu erhalten und lösen über das Fernzugriffs-Tool im Hintergrund Zahlungen aus. Die Meldungen zu diesem Phänomen haben in der zweiten Jahreshälfte 2023 extrem zugenommen. Höhepunkt war die Kalenderwoche 44, in der das NCSC mit insgesamt 2059 Meldungen einen Melderekord verzeichnete, wovon rund die Hälfte, 935 Meldungen, Drohanrufe betrafen.
Spoofing bleibt ein Thema
Fast 2000 Meldungen erreichten das NCSC zu Spoofing. Dabei rufen Betrüger ihre Opfer an und fälschen dabei die angezeigte Telefonnummer. Damit hat sich die mit 1100 Meldungen bereits hohe Zahl von 2022 noch einmal fast verdoppelt. Die Problematik hat sich mit dem Auftauchen der Fake-Anrufe im Namen der Polizei weiter verschärft. Auch bei diesem Phänomen verwenden die Betrüger gefälschte Nummern, die beim Anruf eingeblendet werden. Diese auf den ersten Blick harmlose Vorgehensweise hat weitreichende Folgen für die Besitzer dieser Telefonnummer. Wird der Anruf der Betrüger verpasst und die Nummer im Display angezeigt, rufen viele darauf zurück und der Inhaber der Nummer wird mit Anrufen überhäuft.
Das Bundesamt für Kommunikation (BAKOM) verpflichtet die Telefonanbieter, ihre Kundinnen und Kunden vor Anrufen mit gefälschter Anrufernummer zu schützen, soweit es der Stand der Technik zulässt. Die Telefonanbieter dürfen dazu Anrufe ganz filtern oder, als mildere Massnahme, die Anzeige der Anrufernummer unterdrücken (ähnlich wie dies in Deutschland gehandhabt wird). Der Kampf gegen Spoofing ist aber herausfordernd, denn die Angreifer können ihre Nummern leicht fälschen und die Telefonanbieter müssen über das Filtern des Anrufs entscheiden, ohne dass sie den Inhalt des Gesprächs kennen.
Chain-Phishing bei Unternehmen – Paketpost-Phishing und doppelt bezahlte Rechnungen bei Privaten
Bei Unternehmen steigt der Druck auf Zugangsdaten zu Firmen-E-Mails und insbesondere zu Office365-Konten weiter an. Zunehmend sind Phishing-Versuche nach dem Schneeballprinzip zu beobachten. Dabei wird ein Firmen-E-Mail-Konto gehackt und anschliessend im Namen des Opfers eine Phishing-E-Mail an die Firmen-Kunden gesendet. Fällt ein Kunde darauf herein, fängt das Spiel von vorne an und es werden wiederum Kunden angeschrieben. Diese Vorgehensweise wird auch «Chain-Phishing» genannt.
Bei den Privatpersonen sind die am häufigsten gemeldeten Phishing-Versuche die gleichen wie im Vorjahr. Immer noch werden gefälschte Paketbenachrichtigungen zu Tausenden versendet. Auch angebliche Rückerstattungs-E-Mails im Namen von Providern, der SBB oder auch der Steuerverwaltung gehören zum Standardrepertoire der Phisher. Die Angreifer nutzen hier vor allem die hohe Wahrscheinlichkeit aus, dass jemand tatsächlich ein Paket erwartet oder eine Rechnung bei einem Provider usw. bezahlt hat. Dies verleiht der E-Mail eine höhere Glaubwürdigkeit.
Meldungen zu Ransomware deutlich gesunken – aber nur bei Angriffen gegen Privatpersonen
Nicht bei allen Phänomenen wurde eine Zunahme beobachtet. Gerade in der Kategorie Ransomware sind die Zahlen, verglichen mit dem Jahr 2022, deutlich zurückgegangen. Mit rund 109 Meldungen gingen fast 40 Meldungen weniger ein als im Vorjahr. Der Rückgang betrifft allerdings nicht Unternehmen, sondern ausschliesslich Privatpersonen. So gingen im 2023 lediglich 11 Meldungen ein, die Privatpersonen betrafen. Im letzten Jahr waren dies noch 56. Die bei Privatpersonen besonders im Fokus stehenden heimischen NAS-Systeme (Netzwerkspeicher) werden nur noch vereinzelt angegriffen. Zum einen, weil in diesem Jahr eine gravierende Schwachstelle ausblieb, zum anderen dürften die Angriffe auch zu wenig lukrativ gewesen sein. Mit anderen Betrugsvarianten lässt sich bei Privatpersonen mehr Geld machen.
Betrachtet man die Zahl der Meldungen zu Ransomware bei Unternehmen, so ist der Abwärtstrend deutlich moderater und die Zahl der Meldungen stabilisiert sich praktisch auf dem Niveau des Vorjahres – 98 anstelle von 103 Meldungen. Festzuhalten ist, dass die Angriffe mittlerweile fast immer mit einem Datenabfluss einhergehen, was das Schadensausmass zusätzlich erhöht.
Besonders aktiv ist weiterhin die Ransomware «Lockbit». Weitere gemeldete Ransomware-Familien sind «Play», «Medusalocker», «Black-cat», «Phobos», «BlackByte», «BlackBasta», «Babuk», «ECh0raix» und «Akira».
Das Nationale Zentrum für Cybersicherheit, welches seit dem 1.1.2024 als Bundesamt für Cybersicherheit weiterhin gerne Ihre Meldungen entgegennimmt, dankt Ihnen für Ihr Vertrauen und Ihre Unterstützung und wünscht Ihnen ein betrugs- und virenfreies neues Jahr, sowohl in der digitalen als auch in der analogen Welt und einen guten Start ins 2024!
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 03.01.2024
