Woche 8: Von einer angeblichen Bundesrats-SMS und anderen neuen Phishing-Varianten

Service navigation

Suche

Navigation

Woche 8: Von einer angeblichen Bundesrats-SMS und anderen neuen Phishing-Varianten

28.02.2023 - Der Meldeeingang des NCSC ist in der achten Woche 2023 wieder gestiegen. Phishing-Nachrichten, sowohl SMS als auch E-Mail, gehören zu den am meisten dem NCSC gemeldeten Cyberphänomenen. In den meisten Fällen handelt es sich dabei um einfache Standard-Phishings. In der letzten Woche wurden jedoch einige speziell aufwändig oder originell entwickelte neue Varianten gemeldet. Dazu zählten angebliche Voice-Nachrichten, passwortgeschützte Phishing-PDF’s sowie hinter verspäteten Vignetten-Angeboten getarnte Phishing-Webseiten.

Personalisierte Phishing-Domain in angeblicher Sprachnachricht

Um ihre kriminellen Absichten zu verschleiern, erfinden Cyberkriminelle immer neue Geschichten. So meldete sich in dieser Woche ein Empfänger einer Phishing-E-Mail, weil er befürchtete, auf einer Backliste zu landen. Hintergrund war der folgende, wie eine genauere Analyse des NCSC zeigte: Die Phisher hatten die Absender-Adresse der E-Mail so manipuliert, dass die E-Mail scheinbar vom Empfänger selbst stammt. Da viele nicht wissen, dass es nicht schwierig ist, den Absender zu fälschen (siehe auch Absender E-Mail-Adressen lassen sich beliebig fälschen), liess die oben erwähnte Phishing-E-Mail den Meldenden natürlich befürchten, dass er als Phisher gemeldet werden und darum auf einer Blacklist landen könnte.

Der gefälschte Absender war aber nicht die einzige Personalisierung in diesem Fall. Auch das in der E-Mail als Sprachnachricht getarnte HTML-Dokument enthielt einen auf den Empfänger personalisierten Phishing-Link. Um die Sprachnachricht abzuhören wurde der Empfänger aufgefordert, auf den Link zu klicken und dann auf der sich öffnenden Seite die Zugangsdaten für seinen E-Mail-Account anzugeben. Seine E-Mail-Adresse war dabei im Login-Feld des Formulars bereits ausgefüllt.

Oben die E-Mail, welche scheinbar vom Empfänger selbst stammt. Unten das HTML-Dokument mit dem Phishing-Script. Die Anmelde-E-Mail-Adresse ist bereits im Phishing-Link eingebettet – die E-Mails wirken entsprechend personalisiert.
Oben die E-Mail, welche scheinbar vom Empfänger selbst stammt. Unten das HTML-Dokument mit dem Phishing-Script. Die Anmelde-E-Mail-Adresse ist bereits im Phishing-Link eingebettet – die E-Mails wirken entsprechend personalisiert.

Phishing-Link in einem passwortgeschützten PDF

Eine ebenfalls neue Variante war eine angeblich vom Support der Crypto-Handelsplattform «Coinbase» stammende E-Mail, welche als Beilage ein passwortgeschütztes PDF mitführte. In der E-Mail selbst befindet sich ein Passwort, das für das Öffnen des PDFs benötigt wird. Das PDF selbst enthält dann einen Link auf die Phishing-Plattform, welche die «Coinbase» Login-Daten stiehlt.

Links die E-Mail mit dem Passwort. Das beiliegende PDF-Dokument (rechts) mit dem Phishing-Link hinter dem «Confirm now» Button. Das Dokument kann durch Eingabe des in der E-Mail enthaltenen Passworts geöffnet werden.
Links die E-Mail mit dem Passwort. Das beiliegende PDF-Dokument (rechts) mit dem Phishing-Link hinter dem «Confirm now» Button. Das Dokument kann durch Eingabe des in der E-Mail enthaltenen Passworts geöffnet werden.

Ein passwortgeschütztes Dokument zusammen mit dem Passwort zu versenden, bietet in etwa gleich viel Sicherheit, wie beispielsweise ein Tresor mit eingestecktem Schlüssel.
Die Verschlüsselung dient hier nur dazu, eine automatische Analyse des PDF durch einen Virenschutz oder andere Sicherheitsprogramme zu verhindern. Dies ist also immer ein handfester Hinweis auf eine Schadsoftware oder ein Phishing.

Angeblich vom Bundesrat stammende SMS führt auf eine Phishing-Seite mit einer Tarnfunktion

Dass sich der Bundesrat angeblich mit einer Nachricht direkt an das Volk wendet ist nicht neu, allerdings waren darunter bisher keine SMS-Nachrichten. Nun wurde dem NCSC eine angeblich vom Bundesrat stammende SMS gemeldet, in der eine Steuerrückerstattung von 160 CHF versprochen wird. Wer dem Phishing-Link folgt, landet auf einer Webseite mit Logo der Bundesverwaltung, welche Kreditkarten-Details für die angebliche Steuerrückzahlung verlangt. Diese Webseite verfügt über eine Tarnfunktion: Durch den Klick auf den Link landet der Benutzer normalerweise auf der Phishing-Seite. Wird jedoch eine automatische Analyse durchgeführt – wie dies zum Beispiel das NCSC macht – versucht die Seite dies zu erkennen und anstelle der Phishing-Seite, wird eine harmlose arabische Newsseite angezeigt. Dieser Mechanismus soll die automatisierte Analyse durch Sicherheitsforscher verhindern.

Links die Phishing-SMS (ein sogenanntes Smishing), rechts die enttarnte Phishing-Seite. Ein nettes Detail – sie macht auch Werbung für die VoteInfo-App des Bundes.
Links die Phishing-SMS (ein sogenanntes Smishing), rechts die enttarnte Phishing-Seite. Ein nettes Detail – sie macht auch Werbung für die VoteInfo-App des Bundes.

Phishing-Webshop angeblich von der Post

Offenbar für Nachzügler, die noch immer keine Autobahnvignette gekauft haben, ist ein altbekanntes Phishing mit einem «tollen» Aktionsangebot für ebendiese Vignetten gedacht. Neu ist, dass der Phishing-Link auf einen angeblich von der Post stammenden Webshop führt.

Links die Phishing-E-Mail mit dem Angebot, rechts im Bild der gefälschte Post-Webshop. Die Webseite ist so schlecht gestaltet, dass nicht einmal die Anzahl der zu bestellenden Vignetten verändert werden kann.
Links die Phishing-E-Mail mit dem Angebot, rechts im Bild der gefälschte Post-Webshop. Die Webseite ist jedoch sehr schlecht gemacht, so dass nicht einmal die Anzahl der zu bestellenden Vignetten verändert werden kann.

Die Webseite ist dabei so schlecht gestaltet, dass weder Links funktionieren noch die Anzahl der zu bestellenden Vignetten verändert werden kann. Man kann sich allerdings vorstellen, dass die abgephishten Kreditkarten trotzdem bei den Phishern landen würden.

Empfehlungen:

  • Installieren Sie wenn immer möglich eine Zwei-Faktor-Authentifizierung. Dies bietet eine zusätzliche Schutzebene, um zu verhindern, dass Ihr Konto gehackt wird.
  • Keine Bank und kein Kreditkarteninstitut wird Sie jemals per E-Mail auffordern, Passwörter zu ändern oder Kreditkartendaten zu verifizieren.
  • Geben Sie nie persönliche Daten wie Passwörter oder Kreditkartendaten auf einer Webseite ein, die sie über einen Link in einer E-Mail oder SMS angeklickt haben.
  • Bedenken Sie, dass E-Mail-Absender leicht gefälscht werden können.
  • Seien Sie skeptisch, wenn Sie E-Mails bekommen, die eine Aktion von Ihnen verlangen und ansonsten mit Konsequenzen drohen (Geldverlust, Strafanzeige oder Gerichtsverfahren, Konto- oder Kartensperrung, Verpasste Chance, Unglück).

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 28.02.2023

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2023/wochenrueckblick_8.html