26.05.2021 - In der letzten Woche verzeichnete das NCSC einen durchschnittlichen Meldeeingang. Nennenswert sind Meldungen zu CEO-Betrug, zu einer neuen Vorgehensweise bei einem Kleinanzeigenbetrug und einer altbekannten Methode zur Verbreitung von Schadsoftware.
Aktuelle Statistiken
Anzahl Meldungen pro Woche während der letzten 12 Monate
Anzahl Meldungen der letzten Woche nach Kategorien
CEO-Betrug – Wie bestimmte Webseiten den Angreifern helfen
«Können wir heute noch eine Zahlung ausführen?» oder «Was haben wir für eine Limite bei dringenden Zahlungen?», dies sind häufige Fragen, die bei einem CEO-Betrug per E-Mail im Namen des vermeintlichen Chefs an die Finanzabteilung einer Firma gestellt werden. Durch eine glaubwürdige Geschichte soll die angeschriebene Person dazu bewegt werden, eine angeblich dringende Zahlung auszulösen. Die Angreifer beschaffen sich dazu im Vorfeld Informationen über die Firmenstruktur sowie Namen und Funktionen der Mitarbeitenden. Besonders hilfreich für die Betrüger dazu sind Informationen auf Firmen-Webauftritten, auf denen das Team vorgestellt wird und diese Informationen inklusive der E-Mail-Adresse aufgeführt sind.
Auf manchen Firmen-Webseiten sind aber noch weitere Informationen aufgeführt, welche für Betrüger interessant sind. In zwei Fällen, die dem NCSC letzte Woche gemeldet wurden, nutzten Betrüger beispielsweise aus, dass Firmen eine Liste der weltweiten Vertriebspartner auf ihrer Webseite publiziert haben - auch hier mit entsprechender Kontakt-E-Mail-Adresse. Unter dem Vorwand, dass das Importkontingent aus China bereits aufgebraucht sei wurden die Firmen gebeten, eine Verpackungsmaschine in ihrem Namen zu bestellen und auch zu bezahlen. Es versteht sich von selbst, dass die angebliche chinesische Firma nicht existiert, und das Geld so direkt auf das Konto der Betrüger fliessen würde.
Seien Sie zurückhaltend mit der Publikation von Daten über Team-Mitglieder und Partner. Publizieren Sie insbesondere keine Kontaktdaten wie E-Mail-Adressen.
Sollten Sie solche Daten auf der Webseite publizieren, sensibilisieren Sie Ihre Mitarbeitenden über solche Betrugsversuche.
Wenn man als Verkäufer bezahlen soll
In Woche 17 hat das NCSC Betrugsversuche auf Kleinanzeigen-Plattformen thematisiert bei denen aufgrund irgendwelcher Vorwände der Verkäufer Geld an den Käufer, respektive an angebliche Drittfirmen überweisen soll, noch bevor dieser die Ware bezahlt. Dabei handelt es sich meist um angebliche Transportgebühren, die von dem Verkäufer vorfinanziert werden sollen. In einer neuen Variante sollen diese Gebühren mittels Telefonanruf beglichen werden. Das Opfer soll dazu 20 Minuten lang auf eine gebührenpflichtige Nummer anrufen. Bei einem Minutentarif von 4.90 CHF, berappt das Opfer so schlussendlich 98 CHF.
Seien Sie vorsichtig bei Forderungen von Käufern. Beharren Sie darauf, dass Versand- und Transaktionsgebühren durch den Käufer bezahlt werden. Schreiben Sie das auch explizit in Ihre Anzeige.
Verbreitung von Schadsoftware – Der Trick per alter E-Mail-Kommunikation
Bereits bei der Malware «Emotet» wurde das Opfer zum Öffnen eines Dokumentes verleitet, indem das Dokument resp. der Link dazu in eine Mail gepackt wurde, welche Texte aus einer dem Opfer bereits bekannten E-Mail-Kommunikation enthielt. Das Emotet-Netzwerk wurde Anfang dieses Jahres durch die Strafverfolgungsbehörden deaktiviert. Damit ist diese Vorgehensweise allerdings keinesfalls vorbei, sondern wird auch für die Verbreitung anderer Schadsoftware-Familien genutzt. So gingen beim NCSC letzte Woche mehrere Meldungen zur Malware «QakBot» ein, welche ebenfalls alte und dem Empfänger bekannte E-Mail-Kommunikation verwendet und diese dann angereichert mit einem Link zu einem bösartigen Office-Dokument, noch einmal an den Empfänger sendet. Da diesem die E-Mail bekannt vorkommt, ist die Wahrscheinlichkeit erhöht, dass das Opfer auf den Link klickt. Qakbot hat ein sogenanntes «email collector module», das mit gestohlenen Zugangsdaten E-Mails aus dem Microsoft Outlook-Client der Opfer extrahiert, auf einen Remote-Server hochlädt und diese dann für weitere Angriffe verwendet.
Typisch an Qakbot ist, dass in dem geöffneten bösartigen Dokument eine Anleitung eingeblendet wird, wie man die Makro-Funktion einschalten soll. Diese wird von der Malware verwendet, um sich auf dem Computer zu installieren. Deshalb sollte diese Funktion immer deaktiviert sein.
Bösartige E-Mails können auch von bekannten Absendern kommen. Seien Sie beispielsweise vorsichtig, wenn plötzlich zusammenhangslos bereits getätigte Kommunikation verwendet wird. Schadsoftware wird vielfach über Office-Dokumente verteilt. In den meisten Fällen wird die Makro-Funktion ausgenutzt. Geben Sie nie die Erlaubnis, die Makro-Funktion zu aktivieren.
Letzte Änderung 25.05.2021
