Woche 51: Phishing via Kleinanzeigen - neue Variante mit gefälschter Post-Webseite

27.12.2022 - Die Anzahl, der beim NCSC eingegangenen Meldungen, gingen in der letzten Woche zurück. In den Tagen nach Weihnachten werden Geschenke, die nicht gefallen, oftmals auf Kleinanzeigenbörsen zum Verkauf angeboten. Doch auch beim Verkauf eines Artikels muss man sich vor Betrügern und Phishern in Acht nehmen, wie ein Beispiel zeigt, welches dem NCSC gemeldet wurde.

Kleinanzeigen-Phishing mit gefälschter Anleitung der Post

Kleinanzeigen bieten Betrügern eine Vielzahl von Angriffsmöglichkeiten. Zu den klassischen Varianten gehört der Verkauf von nichtexistenten Waren oder das Nichtbezahlen von gekaufter und bereits versandter Waren.

Vermehrt sieht das NCSC eine weitere Variante, die sich gegen Verkäufer richtet. Dabei täuschen die Betrüger Interesse an einem Produkt vor und drängen das Opfer dazu, die Lieferung und den Geldtransfer über einen vom angeblichen Käufer definierten Paketlieferdienst zu tätigen. Ist das Opfer damit einverstanden, werden vom angeblichen Paketlieferdienst fiktive Gebühren verlangt, die das Opfer dann mit der Kreditkarte bezahlen soll. Die Angreifer haben es in diesen Fällen vor allem auf Kreditkartendaten abgesehen.

Im Gegensatz zu den unspezifischen Phishing E-Mails, die in grosser Zahl versendet werden und bei denen die Absender hoffen, dass der generische Text im einen oder anderen Fall passt und bei den Opfern verfängt, betreiben die Phisher in den aktuellen Fällen einen grossen Aufwand und kommunizieren direkt und individuell mit dem Opfer und passen ihr Szenario der jeweiligen Gegebenheit an.

Bei einer neuen Variante, die dem NCSC gemeldet wurde, startete der Phishing-Versuch mit dem Vorschlag des «Käufers», anstelle der vereinbarten Vorkasse, den Paketlieferdienst der Schweizerischen Post zu verwenden. Um das Opfer zu überzeugen und über die Modalitäten der Dienstleistung zu informieren, betrieben die Angreifer einigen Aufwand. So versendeten die Phisher zuerst eine Bildschirmansicht einer vermeintlichen Webseite der Post, auf der die detaillierte Vorgehensweise des angeblichen Geld- und Pakettransfers beschrieben ist.

Links: Gefälschte Bildschirmansicht der Post-Webseite. Im Beschrieb wird angekündigt, dass der Verkäufer einen speziellen Link-Code zugeschickt bekommt, um das Geld zu erhalten. Rechts: Originalseite der Post. Ausser dem Zustellungstermin haben die Angreifer die Seite komplett geändert.
Links: Gefälschte Bildschirmansicht der Post-Webseite. Im Beschrieb wird angekündigt, dass der Verkäufer einen speziellen Link-Code zugeschickt bekommt, um das Geld zu erhalten. Rechts: Originalseite der Post. Ausser dem Zustellungstermin haben die Angreifer die Seite komplett geändert.

Die Phisher kopierten dazu die Informationsseite der Post zu Express- und Kurierdienstleistungen, übernahmen eins zu eins das Erscheinungsbild und änderten bis auf die Zustellungszeit den restlichen Text komplett.
Der Verkäufer wird nun aufgefordert im Verlauf des Zustellungsprozesseses auf einen «Link-Code» zu klicken, um das Geld zu erhalten. In diesem Fall werden also nicht wie in den meisten Fällen fiktive Gebühren verlangt, sondern der Verkäufer wird mit der Ankündigung, den Erhalt des Geldes zu bestätigen, verleitet auf den bösartigen Link zu klicken. Der Link führt dann auf eine Phishing-Seite, auf der das Opfer die Kreditkartendaten angeben muss, um den Vorgang abzuschliessen.

Mit der Nachricht und dem zugestellten Link-Code, über den der angebliche Zahlungserhalt bestätigt werden soll, sowie der täuschend echt aussehenden Post-Webseite wollen die Phisher das Vertrauen des Opfers gewinnen, damit dieses im weiteren Verlauf keinen Verdacht schöpft und den angekündigten Link, ohne zu überlegen, öffnet und die Kreditkartendaten angibt.

  • Seien Sie vorsichtig bei Forderungen von Käufern. Beharren Sie darauf, dass Versand- und Transaktionsgebühren durch den Käufer bezahlt werden. Schreiben Sie dies auch explizit in die Anzeige.
  • Geben Sie niemals ein Passwort oder eine Kreditkartennummer auf einer Seite an, die Sie über einen Link in einer Nachricht erhalten haben, es handelt sich mit grosser Wahrscheinlichkeit um einen Phishing-Versuch.
  • Installieren Sie, wenn immer möglich, eine Zwei-Faktor-Authentifizierung. Dies bietet eine zusätzliche Schutzebene, um zu verhindern, dass Ihr Konto gehackt wird.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 27.12.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2022/wochenrueckblick_51.html