Woche 19: Angebliche E-Mail der SBB verteilt Schadsoftware

Service navigation

Suche

Navigation

Woche 19: Angebliche E-Mail der SBB verteilt Schadsoftware

13.05.2025 - Immer wieder sind gefälschte E-Mails im Umlauf, die vorgeben, von SwissPass oder der SBB zu stammen. Diese E-Mails werden dem Bundesamt für Cybersicherheit (BACS) regelmässig gemeldet und stellen in der Regel Phishing-Versuche dar. Aktuell gibt es jedoch eine besonders gut gemachte Variante, über die versucht wird, Schadsoftware für Android-Geräte zu verbreiten.

Seit letzter Woche erhält das BACS Meldungen über angebliche E-Mails der SBB. In diesen E-Mails wird behauptet, dass ein verdächtiger Billettkauf für 224 CHF festgestellt worden sei. Die in französischer Sprache verfasste E-Mail weist auf einen verdächtigen Kauf hin, der von einem unbekannten Gerät aus getätigt worden sei. Wenn man diesen Kauf nicht getätigt habe, solle man die Schaltfläche «Ich war das nicht» («Ce n’était pas moi») anklicken.

Betrügerische E-Mail angeblich von der SBB.
Betrügerische E-Mail angeblich von der SBB.

Beim Klick auf die Schaltfläche öffnet sich eine Seite, die einen angeblichen Billettkauf von Paris nach Strasbourg anzeigt. Ein funktionsloses QR-Code-Imitat wird ebenfalls eingeblendet, um dem Ganzen einen offizielleren Anschein zu geben. Zudem ist auch eine vermeintliche Reservationsnummer vorhanden. Zahlreiche Ausrufezeichen und Warnhinweise verstärken die Dringlichkeit des Vorfalls. Dies ist typisch für betrügerische E-Mails. Das Opfer soll zu einer schnellen Handlung gedrängt werden, ohne Zeit zu haben, Ungereimtheiten zu bemerken.

Webseite, die einen angeblichen Kauf eines Billetts von Paris nach Strasbourg anzeigt.
Webseite, die einen angeblichen Kauf eines Billetts von Paris nach Strasbourg anzeigt.

Um den Kauf zu ändern oder zu stornieren, sollen auf der nächsten Seite persönliche Daten angegeben werden. Neben dem Namen und der Adresse sei auch die Angabe der Zahlungsart und der Bank erforderlich. Spätestens hier sollte man skeptisch werden, da die Bankverbindung in einem solchen Fall nicht relevant und definitiv nicht notwendig ist.

Um den angeblichen Kauf rückgängig zu machen, sollen zuerst die persönlichen Daten angegeben werden, darunter auch die Zahlmethode und die Bank.
Um den angeblichen Kauf rückgängig zu machen, sollen zuerst die persönlichen Daten angegeben werden, darunter auch die Zahlmethode und die Bank.

Die Vorgehensweise sieht nach einem typischen Phishing-Versuch aus. Würde es sich um ein klassisches Phishing handeln, wäre zu erwarten, dass es im nächsten Schritt darum geht, Passwörter oder Kreditkartendaten zu erfragen.

In diesem Fall nimmt der Vorfall jedoch eine andere Wendung: Klickt man auf den Button, wird im nächsten Schritt eine sogenannte apk-Datei heruntergeladen. Android-Nutzer werden diesen Dateityp kennen – es handelt sich um ein Installationspaket für Android-Apps. Diese heruntergeladene Datei ist eine Schadsoftware, die darauf abzielt, sensible Daten zu stehlen. Das blosse Herunterladen der Datei infiziert das Mobiltelefon jedoch noch nicht, da die Datei zuerst installiert werden muss. Dies geschieht nicht ohne Zutun des Opfers. Die Angreifer versuchen deshalb im letzten Schritt, dem Opfer detailliert zu erklären, wie man diese apk-Datei auf seinem Mobiltelefon installieren und vor allem die Sicherheitsmechanismen aushebeln soll. Normalerweise werden auf Mobiltelefonen nämlich nur Apps aus dem offiziellen Store installiert. Da sich die von den Angreifern angebotene Datei nicht in einem offiziellen Store befindet, muss zuerst die entsprechende Option geändert und das Installieren aus «unbekannten Quellen» aktiviert werden. Folgt man diesen Anweisungen, installiert sich die Schadsoftware auf dem Gerät.

Detaillierte Anleitung für die Installation der Schadsoftware auf dem Android-Telefon.
Detaillierte Anleitung für die Installation der Schadsoftware auf dem Android-Telefon.

Am Schluss kann man noch angeben, ob man die Schadsoftware erfolgreich installieren konnte oder ob man Probleme hatte und Hilfe benötige. Was passiert, wenn die Schaltfläche «Hilfe benötigt» angeklickt wird, konnte das BACS nicht verifizieren. Allenfalls rufen die Betrüger tatsächlich an, um entsprechende «Hilfestellung» zu leisten. Die entsprechende Telefonnummer wurde ja schon im vorangegangenen Formular angegeben.

Zusammen mit den zuvor angegebenen Daten wie der Bankverbindung und der Telefonnummer des Opfers eröffnet sich für die Betrüger ein breites Spektrum an Angriffsmöglichkeiten. Sie können diese Informationen nutzen, um gezielte Angriffe gegen Zugangsdaten durchzuführen, finanzielle Transaktionen zu manipulieren oder persönliche Daten zu missbrauchen.

Empfehlungen

  • Installieren Sie nie ein Programm von einer Webseite, die sie über einen Link in einer E-Mail oder SMS geöffnet haben.
  • Installieren Sie nur notwendige Programme und Apps und laden Sie diese immer von der Herstellerseite oder einem offiziellen App-Store herunter.
  • Verwenden Sie alternative App-Stores nur, wenn Sie sich der möglichen Sicherheitsprobleme bewusst sind und Sie den Quellen uneingeschränkt vertrauen.
  • Falls Sie dennoch eine solche Software installiert haben, sollten Sie das Gerät von einer Fachperson überprüfen lassen und während dieser Zeit weder Bankgeschäfte noch Online-Einkäufe tätigen. Geben Sie auch keine Passwörter ein.
  • Das Zurücksetzen des befallenen Gerätes auf die Werkseinstellungen ist fast die einzige Möglichkeit, eine solche Schadsoftware vom Gerät zu entfernen.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 13.05.2025

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2025/wochenrueckblick_19.html