Woche 40: Kleinanzeigen-Phishing – Angreifer verteilen neu Schadsoftware statt nur Phishing-Links

Service navigation

Suche

Navigation

Woche 40: Kleinanzeigen-Phishing – Angreifer verteilen neu Schadsoftware statt nur Phishing-Links

07.10.2025 - Vorsicht beim Online-Verkauf. Die bekannte Betrugsmasche auf Kleinanzeigenplattformen, bei der Täter mittels Webseiten Kreditkartendaten abgreifen, hat eine gefährliche Weiterentwicklung erfahren. Anstatt ihre Opfer nur auf Phishing-Seiten zu locken, versuchen Angreifer nun, sie zur Installation von Schadsoftware zu verleiten. Die installierte «Info Stealer»-Malware stiehlt nicht nur einzelne Zugangsdaten, sondern alle auf dem Computer gespeicherten Passwörter, Finanzinformationen und persönlichen Daten. Der aktuelle Wochenrückblick analysiert die neue Taktik und erklärt, wie Sie sich davor schützen.

Betrugsversuche auf Kleinanzeigenplattformen bleiben eine anhaltende Bedrohung. Bislang folgten die Angriffe einem bekannten Muster: Ein vermeintlicher Käufer kontaktiert den Verkäufer, verlagert die Kommunikation schnell auf WhatsApp und schickt dem Verkäufer einen Link oder QR-Code, der zu einer gefälschten Webseite der PostFinance oder eines Zahlungsdienstleisters führt und vorgibt, dass der Verkäufer das Geld erhalte, wenn er die Zahlung «bestätige». Das Ziel ist klassisches Phishing, also das Abgreifen von Kreditkartendaten oder E-Banking-Zugängen. Aktuelle Vorfälle zeigen jedoch eine besorgniserregende Eskalation dieser Methode. Wenn die Opfer nicht auf das Phishing reagieren, versuchen die Angreifer in einem weiteren Schritt, sie zur Ausführung von Schadsoftware zu verleiten. Diese taktische Anpassung ist eine Reaktion auf die gestiegene Sensibilisierung der Bevölkerung gegenüber Phishing-Links. Da Nutzerinnen und Nutzer zunehmend lernen, verdächtige Web-Adressen zu erkennen, verlagern Kriminelle ihren Fokus auf neue Angriffsvektoren, in diesem Fall auf das Öffnen eines angeblichen Dokuments.

Analyse eines aktuellen Vorfalls

Ein dem BACS gemeldeter Fall illustriert die neue Vorgehensweise detailliert.

Phase 1: Kontaktaufnahme und Vertrauensaufbau
Kurz nach dem Inserieren eines Artikels meldet sich ein Interessent und bittet darum, die Konversation auf WhatsApp fortzusetzen. Um Vertrauen zu erwecken, wird eine Schweizer Mobilfunknummer verwendet, was dem Verkäufer lokale Präsenz und Legitimität suggeriert.

Phase 2: Der erste Köder – Die gefälschte Zahlungsbestätigung
Zunächst setzen die Täter auf die bekannte Masche. Sie senden eine PDF-Datei, die als offizielle Rechnung von PostFinance getarnt ist und einen QR-Code enthält.

Klassisches Phishing: Der Kaufinteressent schickt dem Verkäufer eine angebliche Zahlungsbestätigung der PostFinance.
Klassisches Phishing: Der Kaufinteressent schickt dem Verkäufer eine angebliche Zahlungsbestätigung der PostFinance.

Phase 3: Die Eskalation zur Schadsoftware
Nachdem der Verkäufer auf den ersten Versuch nicht wie gewünscht reagiert, folgt der eigentliche Angriff. Die Täter senden eine ZIP-Datei mit dem Namen «Twint-Rechnung.zip».  Der Dateiname nutzt erneut den vertrauenswürdigen Namen eines bekannten Dienstleisters, um das Opfer in Sicherheit zu wiegen.

Phase 4: Psychologische Manipulation (Social Engineering)
Der Versand der Datei wird von massivem psychologischem Druck begleitet. Mit Nachrichten wie «Bitte überprüfen Sie ihn sofort» wird Zeitdruck erzeugt, der zu unüberlegtem Handeln verleiten soll. Entscheidend ist jedoch eine spezifische Anweisung: «Öffnen Sie ihn am Computer, nur der Computer unterstützt dieses Dokumentenformat! Mit dem Handy wird es nicht funktionieren!». Diese Anweisung ist keine technische Hilfestellung, sondern eine strategische Notwendigkeit für den Angriff, da die Schadsoftware auf Passwörter, Cookies und Finanzdaten abzielt, die in dem Browser-Profil auf einem Computer gespeichert sein können. Auf dem Mobiltelefon funktioniert die Schadsoftware zudem gar nicht, sie wurde für Windows-Umgebungen erstellt. Die Täter leiten ihr Opfer daher gezielt in die für sie vorteilhafte und verwundbare Umgebung.

Der Käufer schickt die Schadsoftware in einer ZIP-Datei und übt Druck auf den Verkäufer aus.
Der Käufer schickt die Schadsoftware in einer ZIP-Datei und übt Druck auf den Verkäufer aus.

Was sind «Info Stealer»?

Bei der in der ZIP-Datei enthaltenen Schadsoftware handelt es sich um einen sogenannten «Info Stealer». Diese Art von Schadsoftware ist darauf spezialisiert, unbemerkt und schnell sensible Informationen vom Computer eines Opfers zu sammeln und an einen von den Angreifern kontrollierten Server zu senden. Im Gegensatz zu klassischem Phishing, das nur die vom Nutzer auf der vorbereiteten Seite eingegebenen Informationen wie eine Kreditkartennummer, einen Benutzernamen und ein Passwort erbeutet, ist der Schaden durch einen «Info Stealer» weitaus grösser, weil er es auf folgende Informationen abgesehen hat:

  • Gespeicherte Anmeldedaten (Benutzernamen und Passwörter) aus allen installierten Webbrowsern.
  • Finanzinformationen und Kreditkartendetails.
  • Session-Cookies, die den Angreifern ermöglichen, sich ohne Passwort in Online-Konten des Opfers einzuloggen.
  • Daten von Kryptowährungs-Wallets.
  • Persönliche Dokumente und Systeminformationen.

Empfehlungen

  • Misstrauen Sie allen unaufgefordert zugeschickten Dateien:
    Behandeln Sie jede Datei, die Ihnen von einem potenziellen Käufer zugesandt wird, als potenziell bösartig. Öffnen Sie niemals Anhänge, um eine Zahlung zu bestätigen.
  • Geben Sie als Verkäufer die Regeln vor:
    Bestehen Sie auf Ihrer bevorzugten und sicheren Zahlungsmethode. Lassen Sie sich nicht auf komplizierte Prozesse ein, die das Anklicken von Links oder das Herunterladen von Dateien erfordern. Um Geld zu erhalten, müssen Sie niemals Ihre Kreditkartendaten eingeben oder einen Code bestätigen.
  • Prüfen Sie den Zahlungseingang direkt in Ihrer App oder im E-Banking:
    Der einzig gültige Nachweis einer Zahlung ist der Geldeingang auf Ihrem offiziellen Bank- oder Twint-Konto. Vertrauen Sie keinen Screenshots, PDFs oder E-Mails als Bestätigung.
  • Halten Sie Ihre Systeme auf dem neuesten Stand:
    Stellen Sie sicher, dass Ihr Betriebssystem, Ihr Webbrowser und Ihre Antiviren-Software immer aktualisiert sind. Aktuelle Sicherheitssoftware kann viele bekannte «Info Stealer» erkennen und blockieren.
  • Was tun bei einer vermuteten Infektion?
    Wenn Sie vermuten, eine schädliche Datei geöffnet zu haben, trennen Sie den Computer sofort vom Internet. Ändern Sie von einem anderen, sicheren Gerät (z. B. Ihrem Smartphone) aus umgehend alle wichtigen Passwörter (E-Mail, E-Banking, soziale Medien). Melden Sie den Vorfall dem BACS und erstatten Sie Anzeige bei Ihrer Polizeibehörde. Auf der Seite von Suisse ePolice können Sie Polizeiposten in Ihrer Nähe suchen.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 07.10.2025

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2025/wochenrueckblick_40.html