Woche 22: Phishing in zwei Schritten – So umgehen Angreifer klassische Sicherheitsmassnahmen

Service navigation

Suche

Navigation

Woche 22: Phishing in zwei Schritten – So umgehen Angreifer klassische Sicherheitsmassnahmen

03.06.2025 - Phishing gehört seit Jahren zu den am häufigsten gemeldeten Phänomenen überhaupt. Es handelt sich dabei um ein Massenphänomen. Die Phisher versenden grosse Mengen an E-Mails in der Hoffnung, dass ein kleiner Prozentsatz der Empfängerinnen und Empfänger darauf hereinfällt. Die Angreifer setzen hier auf Masse statt Klasse. Das BACS beobachtet jedoch zunehmend gezielte Angriffe, die zwar in kleinerer Zahl und grösserem Aufwand, dafür aber mit grösserer Erfolgschance durchgeführt werden. Letzte Woche wurde dem BACS ein spezieller Fall gemeldet, der ein zweistufiges Angriffsverfahren nutzt und die steigende Komplexität von Phishing-Attacken verdeutlicht.

Letzte Woche wurde dem BACS ein spezieller Fall gemeldet, der ein zweistufiges Angriffsverfahren nutzt und die zunehmende Raffinesse von Phishing-Attacken zeigt. Die neue Masche beginnt scheinbar harmlos mit einer E-Mail, die angeblich von einer Bank stammt. Im Rahmen einer angeblichen Compliance-Richtlinie eines Finanzinstitutes und um die Richtigkeit der Kundendaten zu gewährleisten, soll eine Aktualisierung der persönlichen Daten durchgeführt werden.

E-Mail, welche vorgibt, dass die Kundendaten aktualisiert werden müssen.
E-Mail, welche vorgibt, dass die Kundendaten aktualisiert werden müssen.

Nach dem Anklicken des Links öffnet sich eine Webseite, die dem Webauftritt der entsprechenden Bank täuschend ähnlich sieht. Dort werden Daten wie Vertragsnummern (z. B. E-Banking-Vertrag), Namen und Telefonnummern abgefragt. Zahlreiche Internetnutzerinnen und -nutzer werden solche Informationen ohne grosse Bedenken eingeben, da die einzugebenden Daten auf den ersten Blick nicht besonders sensibel erscheinen. Kreditkartendaten oder Passwörter müssen keine angegeben werden. Nach der Eingabe der Daten wird man auf die Startseite der entsprechenden Bank weitergeleitet.

Es handelt sich also nicht um einen klassischen Phishing-Angriff. Selbst das BACS warnt lediglich davor, auf Webseiten besonders vorsichtig zu sein, wenn sensible Daten wie Kreditkartendaten oder Passwörter angegeben werden müssen. Genau das macht diese Vorgehensweise so gefährlich, wie der weitere Verlauf des Angriffs zeigt.

Webseite, auf der Daten wie Vertragsnummer,Vorname, Name und Telefonnummer angegeben werden sollen.
Webseite, auf der Daten wie Vertragsnummer,Vorname, Name und Telefonnummer angegeben werden sollen.

Der Anruf

Die von den Angreifern erhobenen Daten sind aber lediglich der erste Schritt, um den eigentlichen Betrug durchzuführen. Der zweite Schritt findet einige Tage später statt. Die Angreifer melden sich erneut, diesmal per Telefon. Die Anrufer geben sich als Vertreter der Bank des Angerufenen aus. Dabei wird tatsächlich die Telefonnummer des entsprechenden Finanzdienstleisters angezeigt.

Die Anrufer sprechen das Opfer mit korrektem Namen an und flechten persönliche Daten wie die Wohnadresse oder Informationen zur Bankkarte in das Gespräch ein. Die Anrufer nehmen sich dabei Zeit und das ganze Gespräch dauert oft mehrere Minuten. Ziel ist es, mit dem Gespräch und den Daten das Vertrauen des Opfers zu gewinnen. Hat der vermeintliche Bankmitarbeiter das Vertrauen gewonnen, nennt er den eigentlichen Grund für den Telefonanruf und behauptet, dass eine betrügerische Überweisung an ein Hotel in Mailand stattgefunden habe, die nun blockiert werden müsse. Um diese Transaktion zu stoppen, müsse dazu ein QR-Code mit der E-Banking-App gescannt werden, um so das Konto zu sichern.

Was das Opfer nicht weiss: Mit dem Scannen dieses QR-Codes gibt man den Betrügern Zugriff auf das E-Banking-Konto. Mit diesem Vorgehen wird von den Betrügern der zweite Faktor der Authentifizierung missbraucht.

Gezielte Phishing-Angriffe – ein Trend

Während klassische Phishing-Kampagnen auf Masse setzen, beobachtet das BACS zunehmend auch gezielte Angriffe. Diese sind zwar aufwändiger, aber bieten scheinbar höhere Erfolgschancen.

Ein typisches Beispiel dieses Trends sind die sogenannte Kleinanzeigen-Phishing-Angriffe. Hier geben sich Betrüger als Kaufinteressenten auf Kleinanzeigenseiten aus, die angeblich über einen sicheren Zahlungsdienst bezahlen möchten. Die Opfer werden auf täuschend echt aussehende Webseiten gelockt – und geben dort ihre Daten ein. Auch in diesen Fällen wird zuerst Vertrauen aufgebaut. Mit dem Bezug auf einen Verkauf auf einer Kleinanzeigenplattform kommt die Phishing E-Mail nicht aus heiterem Himmel, sondern knüpft an eine vertraute Situation an. Die Vorgehensweise ist bekannt und nutzt ein einfaches, aber effektives Prinzip: Die gesunde Portion Skepsis sinkt deutlich, wenn sich die Opfer in einer vertrauten Umgebung befinden oder das Gegenüber bereits viele Informationen über das Opfer hat.

Massnahmen

  • Misstrauen Sie auch harmlosen Anfragen. Selbst wenn keine sensiblen Daten abgefragt werden, kann es sich um den ersten Schritt eines Angriffs handeln. Wenn Sie persönliche Daten angeben, können diese für gezielte Angriffe genutzt werden.
  • Scannen Sie QR-Codes mit der E-Bankin-App nur, wenn Sie absolut sicher sind, dass Sie auf der Originalseite sind. Geben Sie niemals TANs oder Passwörter weiter. Kein seriöser Anbieter wird Sie jemals telefonisch oder per E-Mail dazu auffordern.
  • Geben Sie keine persönlichen und sensiblen Daten über das Telefon an.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 03.06.2025

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2025/wochenrueckblick_22.html