Woche 38: «Gestatten, Daniel Bruno, NCSC» - Falscher NCSC-Mitarbeiter verspricht Hilfe

Service navigation

Suche

Navigation

Woche 38: «Gestatten, Daniel Bruno, NCSC» - Falscher NCSC-Mitarbeiter verspricht Hilfe

23.09.2025 - In der vergangenen Woche hat das BACS vermehrt Meldungen zu sogenannten «Recovery Scams» erhalten. Bei dieser Betrugsmasche werden Personen, die bereits Opfer eines Anlagebetrugs geworden sind, ein zweites Mal von den Betrügern angegangen. Diese geben an, die verlorenen Gelder «gefunden» zu haben und behaupten diese gegen eine Gebühr zurückzuholen. Um diesen Betrugsversuchen einen offiziellen Anstrich zu geben, werden oft Namen öffentlicher Institutionen verwendet, darunter der Name eines angeblichen «Mitarbeitenden des NCSC».

Opfer von Anlagebetrug haben nicht nur den finanziellen Verlust zu beklagen, sondern werden oft ein zweites Mal geschädigt. In solchen Fällen melden sich die Betrüger einige Zeit nach dem Betrug und versprechen den Geschädigten, ihre verlorenen Gelder zurückzuholen. Stattdessen werden die Opfer jedoch erneut betrogen und verlieren noch mehr Geld. Diese Betrugsmasche wird auch als «Recovery Scam» oder «Refund Scam», deutsch «Rückerstattungsbetrug» bezeichnet. In den aktuell dem BACS gemeldeten Fällen, werden interessanterweise nicht nur tatsächliche Opfer, sondern auch wahllos unbeteiligte Personen via E-Mail angeschrieben, in der Hoffnung, einen Treffer zu landen. Um dem ganzen einen seriösen Anstrich zu geben, missbrauchen die Betrüger oft Namen von Sicherheitsdienstleistern oder Strafverfolgungsbehörden. Auch Namen von Mitarbeitenden werden hierzu missbraucht. In einigen Fällen handelt es sich um existierende, in anderen Fällen um erfundene Personen. In der letzten Woche wurde insbesondere der fiktive Name des angeblichen NCSC-Mitarbeiters «Daniel Bruno» verwendet. In der E-Mail beschreibt der vermeintliche Fachinspektor des NCSC, dass er mit der Rückholung von Betrugsgeldern betraut sei.

E-Mail des angeblichen NCSC-Mitarbeitenden Daniel Bruno.
E-Mail des angeblichen NCSC-Mitarbeitenden Daniel Bruno.

Der Köder: Eine offiziell anmutende E-Mail oder ein Anruf

Die Täter untermauern ihre angebliche Legitimität mit professionell wirkenden Fälschungen, um ihre Opfer zu täuschen. Der Ablauf startet mit einem Anruf und oder einer E-Mail. Das zentrale Element in den aktuell gemeldeten Fällen ist ein gefälschter Dienstausweis. Dieser weist «Daniel Bruno» als «Senior Asset Investigator» des «National Cyber Security Centre» aus und enthält Logos verschiedener Organisationen, eine fiktive ID-Nummer und ein Gültigkeitsdatum, um Authentizität vorzutäuschen. Die Kontaktaufnahme erfolgt typischerweise per E-Mail oder Telefon, in der «Daniel Bruno» behauptet, in Kooperation mit ausländischen Behörden wie beispielsweise der britischen Finanzaufsicht (Financial Conduct Authority, FCA) zu agieren, was den Anschein einer grossangelegten, internationalen Operation erweckt.

Gefälschter Ausweis des vermeintlichen «NCSC-Mitarbeitenden» Daniel Bruno. Beim abgebildeten Ausweis handelt es sich um einen angeblichen Personalausweis des NCSC UK, dem britischen Gegenstück zum BACS.
Gefälschter Ausweis des vermeintlichen «NCSC-Mitarbeitenden» Daniel Bruno. Beim abgebildeten Ausweis handelt es sich um einen angeblichen Personalausweis des NCSC UK, dem britischen Gegenstück zum BACS.

Ein verräterisches Detail ist jedoch die verwendete E-Mail-Adresse, in dem vorliegenden Fall eine Gmail-Adresse. Regierungsstellen verwenden niemals generische Webmail-Anbieter für die Kommunikation. In der Nachricht wird dem Opfer mitgeteilt, dass im Rahmen einer Untersuchung sein Name in der Kundendatei eines unseriösen Brokers gefunden worden sei und ein hoher Betrag (z. B. 220.600 der Kryptowährung USDT gleichwertig mit dem US-Dollar) zur Rückholung bereitstehe.
Die zunehmende Professionalität dieser Fälschungen ist eine direkte Reaktion der Kriminellen auf das gestiegene öffentliche Bewusstsein für einfache Betrugsversuche. Da die Bevölkerung zunehmend für simple Phishing-E-Mails sensibilisiert ist, müssen Betrüger ihre Methoden verfeinern, um die erhöhte Skepsis potenzieller Opfer zu überwinden. Aufwendig gestaltete Dokumente und der Bezug auf reale Behörden dienen dazu, selbst misstrauische Personen zu überzeugen.

Besonders perfide ist die strategische Wahl, sich ausgerechnet als Mitarbeiter des NCSC auszugeben. Die Betrüger missbrauchen gezielt das Vertrauen in jene Institution, an die sich Opfer von Cyberkriminalität legitimerweise wenden sollen. Sie fangen die Geschädigten auf dem Weg zur echten Hilfe ab.

Das Bundesamt für Cybersicherheit, auf Englisch NCSC, stellt unmissverständlich klar: Die Person Daniel Bruno ist nicht für das NCSC oder eine assoziierte Behörde tätig, weder in der Schweiz noch in Grossbritannien. Alle diesbezüglichen Dokumente sind Fälschungen. Das BACS kontaktiert Bürgerinnen und Bürger niemals unaufgefordert, um verlorene Gelder gegen eine Vorauszahlung zurückzufordern.

Die Anatomie des «Recovery Scams»: Wenn Betrüger zweimal klingeln

Der Fall «Daniel Bruno» ist ein Beispiel für den «Recovery Scam». Weitere Beispiele wurden bereits in früheren Wochenrückblicken des BACS beschrieben (z. B. Wochenrückblick 38/2024).

Weiteres Beispiel von Recovery Scams per E-Mail, die Täter geben sich als Finanzaufsichtsbehörde aus.
Weiteres Beispiel von Recovery Scams per E-Mail, die Täter geben sich als Finanzaufsichtsbehörde aus.

Der Betrug läuft in zwei Stufen ab:

  1. Der Erstbetrug: Das Opfer verliert Geld durch eine beliebige Form von Online-Betrug, beispielsweise durch einen Anlagebetrug mit Kryptowährungen, einen Vorschussbetrug bei einem vermeintlichen Lottogewinn oder einen Phishing-Angriff.
  2. Der Folgebetrug (Recovery Scam): Einige Zeit nach dem ersten Vorfall wird das Opfer von weiteren Betrügern kontaktiert. Diese geben sich als Vertreter einer offiziellen Stelle aus – etwa der Polizei, einer Finanzaufsichtsbehörde, einer Anwaltskanzlei oder eben des NCSC. Sie behaupten, die Täter des Erstbetrugs ermittelt und das Geld des Opfers sichergestellt zu haben.

Der Kern des Betrugs ist die Forderung nach einer Vorauszahlung. Bevor das angeblich wiedererlangte Geld ausgezahlt werden kann, müsse das Opfer eine Gebühr entrichten. Diese wird unter verschiedensten Vorwänden gefordert, wie zum Beispiel als «Bearbeitungsgebühr», «Anwaltskosten», «Verwaltungsgebühr» oder «Steuern». Sobald das Opfer diese Gebühr bezahlt hat, brechen die Betrüger den Kontakt ab oder erfinden weitere, dringende Gebühren, um noch mehr Geld zu erpressen. Das Opfer verliert somit ein zweites Mal Geld und erhält nichts zurück.

Empfehlungen

  • Seien Sie äusserst misstrauisch gegenüber unaufgeforderten E-Mails, die Ihnen eine Rückholung von verlorenen Geldern versprechen.
  • Leisten Sie niemals Vorauszahlungen, um angeblich verlorenes Geld zurückzuerhalten. Seriöse Stellen werden keine Gebühren im Voraus verlangen.
  • Geben Sie keinem Anrufer Zugriff auf Ihren Computer.
  • Überprüfen Sie die E-Mail-Adresse des Absenders. Behörden wie das BACS/NCSC kommunizieren niemals über kostenlose E-Mail-Anbieter.
  • Antworten Sie nicht auf solche E-Mails und klicken Sie auf keine Links oder Anhänge.
  • Bei finanziellem Schaden empfehlen wir, Strafanzeige bei der örtlichen Kantonspolizei zu erstatten.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 23.09.2025

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2025/wochenrueckblick_38.html