Woche 10: Betrüger, die Fehler machen aber Ausdauer haben und Drohmails, die an Arztpraxen gehen

15.03.2022 - Der Meldeeingang beim NCSC war in der letzten Woche wieder erhöht. Gefälschte Erpresserschreiben, angeblich im Namen der Polizei, wurden diese Woche vor allem von Hausarzt- und Kinderarztpraxen gemeldet. Zudem wurde wieder ein «Request for Quotation»-Versuch beobachtet. Dieser hatte zum Ziel, die Zugangsdaten für das E-Mail-Konto zu erlangen.

«Request for Quotation» endet in einem Phishing

Genau vor einem Jahr wurde der erste Wochenrückblick des NCSC publiziert. Seither berichtet das NCSC wöchentlich über die interessantesten oder häufigsten Meldungen der vergangenen Woche. Der Rückblick der Woche 44 hat dabei wohl einen der aufwändigsten Betrugsversuche des letzten Jahres beschrieben. Dabei ging es um eine Offerten-Anfrage für einen «Unterwasser-Schraubenspanner» bei dem das Opfer schlussendlich auf eine dubiose Webseite gelockt wurde. Ein ähnlicher Betrugsversuch wurde letzte Woche wieder gemeldet. Diesmal allerdings ohne grossen Aufwand seitens Angreifer, dafür mit umso grösserer Ausdauer.

Im aktuellen Fall startete die Offerten-Anfrage (Request for Quotation) mit einer einfachen E-Mail eines ausländischen Generalunternehmers, der sich für die Produkte der angeschriebenen Firma interessierte. Ein kurzer Check zeigte, dass die ausländische Firma existiert und dass es sich beim Absender tatsächlich um einen Mitarbeiter dieser Firma zu handeln scheint.

Der angegebene Link auf eine Website, auf der sich weitere Informationen zur Anfrage befinden sollten, funktionierte allerdings nicht, so dass die E-Mail ignoriert wurde. Nachforschungen durch das NCSC haben ergeben, dass die betrügerische Website erst drei Tage nach dem Versand registriert worden war. Anscheinend hatten die Betrüger die Registrierung der Website vergessen oder haben den Link vor dem Versand der E-Mail nicht kontrolliert.

Die Betrüger gaben aber nicht auf und versuchten ihr Glück einige Wochen später noch einmal. Diesmal ohne Link, dafür mit der erneuten Anfrage, ob Interesse an einer Zusammenarbeit bestehe. Nach der Antwort der Firma, benötigten die Betrüger wiederum fast zwei Monate, um die E-Mail zu beantworten. Diese Antwort beinhaltete dann erneut einen Hinweis auf Dokumente, die heruntergeladen werden sollten, diesmal mit funktionierendem Link. Ab diesem Zeitpunkt wurde die angeschriebene Firma misstrauisch und meldete sich beim NCSC.

Betrügerische Webseite: Im Hintergrund wird vorgetäuscht, dass Dokumente vorhanden sind. Im Vordergrund soll das E-Mail Passwort angegeben werden.
Betrügerische Webseite: Im Hintergrund wird vorgetäuscht, dass Dokumente vorhanden sind. Im Vordergrund soll das E-Mail Passwort angegeben werden.

Eine genauere Analyse zeigte, dass in der E-Mail-Signatur sowohl die E-Mail-Adresse als auch der Skype-Kontakt durch die Betrüger geändert und durch eine Hotmail-Adresse ersetzt worden war.

Beim Anklicken des Links wurden im Hintergrund diverse Dokumente angezeigt und im Vordergrund ein Popup-Fenster eingeblendet, auf dem das E-Mail-Passwort eingegeben werden sollte. Dem Nutzer sollte so vorgetäuscht werden, dass sich die Dokumente auf dem E-Mail-Server befinden und das E-Mail-Passwort für den Download eingegeben werden muss. Mit diesem Passwort haben die Angreifer dann volle Kontrolle auf das entsprechende E-Mail-Konto und können die Kundenkommunikation mitlesen oder Rechnungen, die an Kunden gesendet werden, zu ihren Gunsten manipulieren.

Erstaunlich in diesem Fall ist die Ausdauer der Betrüger. Der beschriebene Betrugsversuch zog sich über mehrere Monate hinweg. Möglicherweise versuchten die Angreifer mit dieser langwierigen aber kontinuierlichen Kommunikation, das Vertrauen der Firma zu erlangen.

  • Installieren Sie, wenn immer möglich eine Zwei-Faktor-Authentifizierung. Dies bietet eine zusätzliche Schutzebene, um zu verhindern, dass Ihr Konto gehackt wird. Insbesondere auch, wenn die Angreifer Zugriff auf Ihr E-Mail-Konto haben.
  • Prüfen Sie vor einem Kauf im Internet die entsprechende Firma auf ihre Seriosität, achten Sie vor allem auf die angegebenen E-Mail-Adressen.
  • Bei Firmen E-Mail-Adressen von Gratis-Providern wie Google, GMX oder Hotmail ist besondere Vorsicht angebracht.
  • Neben Informationen im Internet, kann die Überprüfung der Handelsregisternummer oder der Adresse ebenfalls Hinweise auf die Seriosität eines Unternehmens geben.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 15.03.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2022/wochenrueckblick_10.html