20.04.2021 - In der letzten Woche verzeichnete das NCSC weniger Meldungen als sonst. Gemeldet wurden vor allem Kleinanzeigen- und Investitionsbetrug. Aufgefallen ist eine neue Vorgehensweise, bei welcher Firmen auf angebliche «triviale» Sicherheitslücken oder fehlende Sicherheitseinstellungen aufmerksam gemacht werden. Die Verfasser spekulierten darauf, die Empfänger zu verunsichern und so zur Zahlung eines Geldbetrags zu bewegen. Erwähnenswert sind auch Betrugsversuche rund um Mobile Pay, bei welchen ergaunerte Beträge direkt auf die Mobile-Rechnung gebucht werden.
Aktuelle Statistiken
Ein verhängnisvoller Wettbewerb
«Sie haben gewonnen und müssen zur Verifikation einen Code übermitteln». Was auf den ersten Blick verlockend tönt, hatte in diesem Falle einen kriminellen Hintergrund. Angefangen hat der Betrug mit der Übernahme des Facebook-Kontos eines kleinen Lebensmittelgeschäfts, bei welchem anschliessend ein angeblicher Wettbewerb aufgeschaltet wurde. Wenn man bei diesem mitmachte und dabei die geforderte Telefonnummer eingab, kam umgehend die Bestätigung, dass man gewonnen habe. Man müsse dazu nur noch einen SMS-Code übermitteln.
In der Zwischenzeit tätigten die Betrüger einen Kauf im Internet und gaben hierzu die Handynummer des Opfers an. Was viele nicht wissen: Das sogenannte «Direct Carrier Billing» erlaubt es, Online-Käufe in App Stores direkt über die eigene Mobile-Rechnung abzuwickeln. Nach der Eingabe der Telefonnummer müssen solche Käufe aber jeweils noch mit einem SMS-Code bestätigt werden. Dieser wird an die eingegebene Telefonnummer, also an das Opfer gesendet. Damit der Betrüger den Kauf auslösen und bestätigen kann, benötigt er also diesen SMS-Code. Unter irgendeinem Vorwand - im aktuellen Fall war es der Wettbewerb - versucht er deshalb das Opfer dazu zu bringen, ihm diesen Code weiterzuleiten. Gibt das Opfer den Code weiter, kann der Angreifer die Zahlung bestätigen und der Betrag ist weg, resp. auf der Mobile-Rechnung verbucht.
Meldungen zu nicht erklärbaren Abbuchungen auf der Mobile-Telefonrechnung haben in den letzten Wochen zugenommen. Hintergrund war in praktisch allen Fällen ein Missbrauch von «Direct Carrier Billing». Leiten Sie Codes, die Sie via SMS erhalten, auf keinen Fall weiter!
Sie haben eine Sicherheitslücke
Es gibt mittlerweile zahlreiche so genannte «Bug Bounty»-Programme, bei denen Forscher, die auf ethische Art und Weise Sicherheitslücken aufdecken, angemessen belohnt werden. Dabei werden Regeln festgesetzt, an die sich sowohl Forscher als auch Betroffene bei der Entdeckung und der Meldung einer Sicherheitslücke halten müssen. In der letzten Woche erreichte uns ein Schreiben, bei dem eine Firma darauf aufmerksam gemacht wurde, dass sie eine Sicherheitslücke habe. Konkret wurde auf das Fehlen von DMARC (Domain-based Message Authentication, Reporting and Conformance) hingewiesen.
DMARC ist eine Spezifikation, die entwickelt wurde, um den Missbrauch von E-Mails zu reduzieren. Im erwähnten Schreiben wurde zwar kein Geld gefordert aber darauf hingewiesen, dass sich der Forscher noch ein paar Mal melden würde, wenn die Sicherheitslücke nicht geschlossen werde.
Um ein Fehlen von DMARC zu erkennen, muss man allerdings kein Spezialist sein. Dies kann mit einfachsten Mitteln herausgefunden werden. Auch kann das Fehlen von DMARC nicht als Lücke bezeichnet werden, sondern einfach als das Fehlen eines zusätzlichen Sicherheitselements. Die Verfasser dieser Schreiben spekulieren darauf, den Empfänger zu verunsichern und diesen dann zu einer Zahlung zu bewegen. Auch ist anzunehmen, dass wenn einmal geantwortet wird, auch noch andere «triviale Lücken» gemeldet werden und versucht wird, dem Opfer dann tatsächlich Geld zu entlocken.
Sollten Sie Hinweise auf Sicherheitslücken erhalten, prüfen Sie diese gewissenhaft und handeln Sie überlegt. Lassen Sie sich aber niemals unter Druck setzen.
Letzte Änderung 20.04.2021