Woche 5: Wenn der erste Google-Treffer nicht der richtige ist und eine Gratisnummer in einen Betrug mündet

08.02.2022 - Der Meldeeingang beim NCSC war letzte Woche hoch. Immer noch dominieren Meldungen von gefälschten Erpressungsschreiben, die angeblich im Namen von Strafverfolgungsbehörden versendet werden. Zwei Meldungen zeigen beispielhaft, dass immer ganz genau geschaut werden sollte, ob man sich auf der richtigen Webseite befindet. Fake Support-Betrüger versuchten sich zudem, mit einer Gratisnummer einen seriösen Anstrich zu verleihen.

Der erste Google-Treffer ist nicht immer der richtige

Es ist sicherlich schon allen einmal passiert, dass bei zu schneller Eingabe der Internetadresse im Browser ein Buchstabendreher eingegeben worden ist. Erstaunlicherweise öffnet sich dann in vielen Fällen trotzdem eine Webseite. Inhaberinnen und Inhaber spekulieren auf solche Vertipper und verdienen mit der auf diesen Webseiten eingeblendeten Werbung ihr Geld. In einigen Fällen befindet sich aber auch Bösartiges, wie beispielsweise Phishing-Seiten, dahinter.

«Vertipper-Domänen» im Zusammenhang mit einer Online-Handelsplattform.
«Vertipper-Domänen» im Zusammenhang mit einer Online-Handelsplattform.

Die meisten Webseiten werden heutzutage allerdings nicht direkt über die Adresszeile aufgerufen, sondern über eine Suchmaschine geöffnet. Dabei vertrauen die Benutzerinnen und Benutzer darauf, dass der erste Treffer auf der angezeigten Liste auch der richtige ist. Dies haben auch die Betrüger bemerkt und zahlreiche Domänen registriert, welche jeweils der richtigen Webseite gleichen. Danach versuchen sie mit diversen Tricks – mit so genannter «Search Engine Optimization» (SEO) – ihre Webseiten bei Suchmaschinen möglichst weit nach vorne zu bringen. Dass durch diese fiese Masche bei einem zu flüchtigen Blick auch ein grosser Schaden entstehen kann, zeigt ein Vorfall, der dem NCSC gemeldet worden ist. Der Meldende hat den Namen der Online-Handelsplattform, auf der er mit Kryptowährung Handel betreibt, ins Suchfeld eingegeben. Er wollte auf seinem Konto schnell etwas überprüfen und hatte nicht bemerkt, dass an erster Stelle nicht die Original-Webseite, sondern eine gleich aussehende Fälschung mit ähnlichem Domain-Namen eingeblendet wurde. Auf dieser Seite gab er dann sowohl Login und Passwort als auch den zweiten Faktor an. Die Betrüger haben sich mit diesen Daten gleichzeitig in sein Konto auf der richtigen Webseite eingeloggt und konnten so das Konto leerräumen.

  • Überprüfen Sie immer die Adresszeile des Browsers, ob Sie sich auf der richtigen Seite befinden. Insbesondere, wenn Sie Login und Passwort angeben müssen.
  • Geben Sie Ihre Login-Daten nie in einer Stresssituation ein;
  • Bei einer Suche auf Suchmaschinen werden in vielen Fällen vor den eigentlichen Treffern zuerst Anzeigen eingeblendet. Diese Treffer sind entsprechend als «Anzeigen» markiert und werden bezahlt, damit sie als erste Treffer aufgelistet werden. Wie im oben beschriebenen Fall können auch Google-Anzeigen für Phishing missbraucht werden.

Keepass oder nicht Keepass – das ist hier die Frage

Um die Sicherheit eines Logins zu erhöhen, sollte bei jedem Internetdienst ein anderes Passwort verwendet werden. Fliesst das Passwort bei einem Dienst unter irgendwelchen Gründen ab, sind so die anderen Zugänge immer noch geschützt. Um bei der Flut an Passwörtern den Überblick zu behalten, sind sogenannte Passwort-Manager sehr hilfreich. Der Datenschutzbeauftragte hat hierzu ein Dokument verfasst:
https://docs.datenschutz.ch/u/d/publikationen/formulare-merkblaetter/merkblatt_passwortmanager.pdf

Da in diesen Programmen sämtliche Passwörter gespeichert werden, kommt deren Sicherheit und Seriosität eine grosse Bedeutung zu. Wie wichtig es ist, beim Download eines solchen Passwort-Managers aufzupassen und sicherzustellen, dass das Programm von der offiziellen Seite heruntergeladen wird, zeigte eine Meldung von letzter Woche. Die offizielle Seite des Passwort-Managers «Keepass» lautet «keepass.info». Nun wurde das NCSC darauf hingewiesen, dass auf der deutschen .de-Domäne ebenfalls Keepass angeboten wird. Allerdings zeigte eine Überprüfung der angebotenen Datei, dass die grösste Mehrheit der Antiviren-Programme diese Software als bösartig einstufen.

46 Antiviren-Programme stufen die Datei als schädlich ein (Quelle virustotal.com)
46 Antiviren-Programme stufen die Datei als schädlich ein (Quelle virustotal.com)

Das angebotene Programm scheint eine Adware zu sein, also eine Datei, die das Nutzerverhalten analysiert und dann entsprechend Werbung einblendet. Dies ist nicht gerade das gewünschte Verhalten eines sicheren Passwort-Managers.

  • Bevor Sie ein Programm installieren, informieren Sie sich über die Seriosität eines Anbieters. Nutzen Sie hierzu Rezensionen und Fachzeitschriften;
  • Laden Sie Software nur von der offiziellen Website herunter.

Computer-Support auf Gratisnummer, aber mit saftiger Rechnung

Sogenannte Fake Support-Anrufe werden schon seit Jahren gemeldet. Dabei geben sich Anrufer als Microsoft Support aus und versuchen dem Angerufenen vorzutäuschen, dass dieser eine Schadsoftware auf dem Computer habe. Er soll daher ein Fernzugriffs-Programm herunterladen und dem anrufenden «Dienstleister» Zugriff auf den Computer geben. Zum Schluss wird dann eine Rechnung präsentiert und es sollen beispielsweise Kreditkartendaten angegeben werden. Was die Angreifer sonst noch auf dem Rechner machen, ist in vielen Fällen unbekannt.

Bei einer Variante dieses Betrugstyps wird jedoch nicht angerufen, sondern es werden beim Surfen plötzlich Fenster eingeblendet, die eine Infektion und eine Sperre des Computers vorgeben und die Nutzerin oder den Nutzer dazu drängen, auf eine Telefonnummer anzurufen. Meistens wird dabei eine Schweizer Telefonnummer eingeblendet. In einem aktuellen Fall verwendeten die Angreifer allerdings eine 0800er-Gratisnummer. Dies wurde bislang nicht beobachtet. Der Beweggrund der Angreifer dürfte klar sein: 0800er-Nummern strahlen eine gewisse Seriosität aus. Eine Firma, welche die Telefonkosten übernimmt, kann ja nicht betrügerisch sein. Die Nummer wurde inzwischen gesperrt.

Gefälschter Sperrbildschirm mit der Aufforderung, auf eine 0800er-Nummer anzurufen
Gefälschter Sperrbildschirm mit der Aufforderung, auf eine 0800er-Nummer anzurufen
  • Brechen Sie solche Telefonanrufe sofort ab. Weder Microsoft noch andere Software-Firmen tätigen unangemeldet oder unaufgefordert Support-Anrufe, um Computerprobleme zu beheben;
  • Gestatten Sie niemandem einen Fernzugriff auf Ihren Computer;
  • Sollten Sie Fernzugriff gewährt haben, besteht die Möglichkeit, dass Ihr Computer infiziert wurde. Deinstallieren Sie in einem ersten Schritt das Fernzugriffs-Programm.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 08.02.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2022/wochenrueckblick_5.html