08.04.2025 - Regelmässig warnt das Bundesamt für Cybersicherheit (BACS) vor Kleinanzeigenbetrug. Kleinanzeigen bieten Betrügern eine Vielzahl von Angriffsmöglichkeiten. Zu den klassischen Varianten gehört der Verkauf nicht vorhandener Waren oder das Nichtbezahlen von gekaufter und bereits versandter Waren. Beim so genannten Kleinanzeigen-Phishing haben es die Betrüger auf Kreditkartendaten, die Übernahme von Twint oder gar des E-Banking-Kontos abgesehen. In den letzten Wochen haben die Meldungen zum Kleinanzeigen-Phishing stark zugenommen.
Das BACS warnt regelmässig vor Kleinanzeigenbetrug, da diese Plattformen eine Vielzahl von Angriffsmöglichkeiten bieten. In den letzten Wochen war ein besorgniserregender Anstieg von Meldungen zum Thema Kleinanzeigen-Phishing zu verzeichnen. Während vor einem Jahr die gemeldeten Fälle noch unter 50 lagen, stiegen die Meldungen im Februar 2025 auf über 250 an.
Der Betrugsversuch beginnt mit einem Verkauf auf einer Kleinanzeigenplattform. Typisch ist, dass sich bereits kurz nach Veröffentlichung der Anzeige ein Interessent meldet. Man wird sich schnell einig und es folgt ein Austausch über WhatsApp, in dem es um die Zahlungsmodalitäten geht. Der Käufer schlägt eine Zahlungsmethode eines bekannten Unternehmens, meist der Schweizerischen Post, vor und sendet einen Link, den das Opfer anklicken soll, um das Geld, das der Käufer angeblich bereits überwiesen hat, abzuholen. Die sich öffnenden Seiten wirken täuschend echt und erwecken Vertrauen, sind jedoch darauf ausgelegt, sensible Daten wie Bank- oder Kontoinformationen abzugreifen. Auch der Link ist so gewählt, dass er zwar den Namen des bekannten Unternehmens enthält, in Wirklichkeit aber auf die Webseite des Betrügers führt.
Um die Webseite glaubwürdig zu gestalten, wird sie auf den Verkäufer zugeschnitten. Zum Beispiel wird der Preis an das Angebot angepasst und manchmal sogar ein Foto des verkauften Gegenstandes eingefügt.
Im nächsten Schritt kann man wählen, ob das Geld auf die Kreditkarte oder auf Twint überwiesen werden soll. Bei der Auswahl Kreditkarte müssen die Kreditkartendaten eingegeben werden - ein einfaches Kreditkarten-Phishing. Wählt man hingegen Twint, wird man auf eine Seite mit den Twint-Logos verschiedener Banken weitergeleitet, wie dies auch bei vielen Online-Shops der Fall ist.
Ein Klick auf das entsprechende Symbol öffnet eine exakte Kopie der Login-Seite der jeweiligen Bank. Gibt man dann die Vertragsnummer, Login und Passwort ein, erscheint ein Fenster mit dem Hinweis, man solle warten und das Fenster nicht schliessen, da der Vorgang sonst abgebrochen werde. Dies ist ein Indiz dafür, dass die Betrüger nun im Hintergrund versuchen, sich ins E-Banking einzuloggen. Alle E-Banking-Konten sind mit einem zweiten Faktor geschützt. Login und Passwort reichen nicht aus, sondern es wird noch der zweite Faktor benötigt. Dieser wird aber erst abgefragt, nachdem der Login-Prozess gestartet worden ist. Die Betrüger loggen sich also im Hintergrund ein und halten das Opfer solange hin.
Tatsächlich erscheint nach einer Weile ein Support-Fenster, in dem man z. B. gefragt wird, ob man im Besitz eines Kartenlesegerätes sei. Die Betrüger teilen dem Opfer nun mit, welchen Code es in das Kartenlesegerät eingeben soll. Diesen Code haben die Betrüger zuvor nach Eingabe von Login und Passwort erhalten. Gibt das Opfer den Code an die Täter zurück, haben diese Zugang zum E-Banking-Portal. Ob sie diesen Zugang letztlich für eine Direktabbuchung nutzen oder ob die Betrüger mit diesen Zugangsdaten versuchen, das mit dem Bankkonto gekoppelte Twint-Konto auf eine andere Nummer zu überschreiben, ist dem BACS nicht bekannt.
Auch direkter Angriff gegen das Prepaid-Twint-Konto
In einer weiteren Variante wird behauptet, der vermeintliche Käufer habe das Geld bereits überwiesen und der Verkäufer könne es sich nun auf das Prepaid-Twint-Konto auszahlen lassen. Dazu muss er nur noch einige Zugangsdaten angeben. Dies sind in einem ersten Schritt die Telefonnummer und die Twint-PIN. Mit diesen Daten versuchen die Betrüger, das Konto auf ihr Gerät zu übertragen und damit den Versand eines Sicherheits-Codes auszulösen, der dem Opfer per SMS zugestellt wird. Nur mit Kenntnis dieses Codes kann das Twint-Konto auch wirklich transferiert werden. Deshalb versuchen die Betrüger in einem zweiten Schritt, das Opfer dazu zu bringen, auch diesen Code an die Betrüger weiterzuleiten. Mit diesem Code und der zuvor eingegebenen 6-stelligen Twint-PIN können die Betrüger das Konto übernehmen und haben direkten Zugriff auf das Twint-Konto des Opfers.
Als Fallback noch ein Angriff auf die Kreditkartendaten
Doch damit nicht genug. Wenn etwas schief geht oder die Betrüger gerade nicht online sind, haben sie eine weitere Falle eingebaut und das Opfer wird auf eine weitere Phishing-Seite umgeleitet, die nach den Kreditkartendaten fragt. So haben die Betrüger zumindest diese Daten, die sie dann missbrauchen können.
Empfehlungen
- Wenn Sie als Verkäufer Geld erhalten sollen, müssen Sie nie Ihre Kreditkartendaten, E-Banking-Zugangsdaten oder einen Twint-Code angeben.
- Geben Sie niemals Codes weiter, die Sie per SMS erhalten haben.
- Klicken Sie nicht auf Links in verdächtigen Nachrichten: Geben Sie niemals persönliche Daten auf Webseiten ein, die Sie über einen Link in einer verdächtigen E-Mail oder SMS erhalten haben.
- Versenden Sie die Ware erst, wenn der vereinbarte Kaufpreis auf Ihrem Konto eingegangen ist, oder vereinbaren Sie Barzahlung bei Abholung der Ware. Akzeptieren Sie keine Bezahlung mittels Check.
- Vertrauen Sie bei Zahlungen nicht auf Zahlungsbestätigungen per E-Mail. Diese können gefälscht sein. Prüfen Sie direkt in Ihrem Konto, ob die Zahlung vollständig eingegangen ist.
- Seien Sie vorsichtig, wenn der Käufer mehr zahlen will als ursprünglich vereinbart wurde.
- Bezahlen Sie keine angeblichen Transport- oder Überweisungsgebühren, wenn Sie einen Artikel verkaufen.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 08.04.2025
