Woche 37: Viele Wege führen zu Fake-Support

19.09.2023 - In den letzten Monaten haben sich bei den Cyberkriminellen diverse Varianten von Fake-Support etabliert, die es darauf abgesehen haben, auf dem Computer des Opfers ein Remote-Access-Tool zu installieren und danach Kreditkartenzahlungen oder E-Banking-Transaktionen auszulösen.

Anrufer, die sich als Mitarbeiter einer IT-Firma ausgeben und vorgeben, dass der Computer verseucht sei und repariert werden müsse, gibt es schon lange. Die vermeintlichen Support-Mitarbeitenden rufen wahllos Personen an. Sie haben keinerlei Kenntnisse darüber, wie die Computer der Angerufenen konfiguriert sind. Denn die Angreifer wollen in diesen Fällen vor allem die Opfer dazu bringen, ein Fernzugriff-Programm (Remote-Access-Tool) herunterzuladen, welches ihnen den Zugriff auf den Computer ermöglicht und ihnen die Türe für weitere kriminelle Aktivitäten öffnet. In den letzten Monaten haben sich zwei neue Varianten etabliert, welche schliesslich auch auf einen Fake-Support hinauslaufen. Allenfalls ist die ursprüngliche Variante mit dem IT-Support nicht mehr so lukrativ oder die Opfer sind mittlerweile hier etwas misstrauischer und somit vorsichtiger geworden, so dass die Täterschaft andere Möglichkeiten austestet.

Die gefälschte Rechnung

Bei der ersten Variante täuschen die Betrüger vor, dass das Opfer einen Kauf getätigt habe. Dazu wird dem Opfer eine E-Mail mit einer fiktiven Rechnung zugesendet. In den meisten Fällen geht es beim angeblichen Kauf um ein Abonnement für ein Antivirenprogramm. Die in der E-Mail enthaltene Rechnung sieht so aus, als ob der Betrag vom Opfer bereits bezahlt worden sei. Der Empfänger wird aufgefordert, mit dem Rechnungssteller Kontakt aufzunehmen, falls er nicht einverstanden sei. Als einzige Kontaktmöglichkeit ist eine Telefonnummer aufgeführt. Damit das Opfer möglichst wenig Verdacht schöpft und misstrauisch wird, handelt es sich bei der angegebenen Nummer meist um Schweizer Nummern. Ruft das Opfer diese Nummer an, landet es dann bei einem Callcenter-Mitarbeitenden, der verspricht, das Problem sofort zu lösen. Der Kunde wird aufgefordert, ein Fernzugriffs-Tool auf seinem Computer zu installieren, damit der «Mitarbeiterp» die Zahlung stornieren kann. Ist das Fernzugriffs-Tool installiert, soll der Kunde den Zugang zum E-Banking-Portal gewähren oder die Kreditkartendaten eingeben. Die Betrüger lösen dann im Hintergrund verschiedene Zahlungen aus.

Gefälschte Rechnung angeblich von Norton. Die Transaktion sei schon vom Bankkonto abgebucht worden und erscheine in 48 Stunden im E-Banking Konto
Gefälschte Rechnung angeblich von Norton. Die Transaktion sei schon vom Bankkonto abgebucht worden und erscheine in 48 Stunden im E-Banking Konto

Die gefälschten Polizei-Anrufe

Die zweite Variante wird dem NCSC seit Ende Juni in grosser Anzahl gemeldet. Die Variante startet mit einem Telefonanruf von einer vermeintlichen Polizeibehörde. Eine computergenerierte Stimme informiert die Betroffenen darüber, dass ihre persönlichen Bankkontodaten im Zusammenhang mit einer Straftat aufgetaucht seien. Für weitere Informationen soll die Ziffer 1 gedrückt werden. Nachdem der Modus Operandi anfangs nicht ganz klar war, deuten die Rückmeldungen aus der Bevölkerung darauf hin, dass im Falle eines Rückrufs das Opfer aufgefordert wird, ein Fernzugriffstool herunterzuladen und dem Angreifer Zugriff auf den Computer zu gewähren. Auch hier versuchen die Angreifer, das Opfer zum Zugriff auf das E-Banking-Konto zu überreden. Sobald die Betrüger den Zugang erlangt haben, lösen sie über das Fernzugriffstool im Hintergrund Zahlungen aus.

  • Brechen Sie solche Telefonanrufe sofort ab;
  • Sollten Sie Kreditkartendaten angegeben haben, melden Sie sich unverzüglich bei Ihrer Kreditkartenfirma, um die Karte sperren zu lassen;
  • Sollten Sie eine Zahlung getätigt haben, wenden Sie sich umgehend an die Bank, damit diese die Zahlung unter Umständen noch stoppen kann;
  • Gestatten Sie niemandem einen Fernzugriff auf Ihren Computer. Sollten Sie Fernzugriff gewährt haben, besteht die Möglichkeit, dass Ihr Computer infiziert wurde. Deinstallieren Sie in einem ersten Schritt das Fernzugriffs-Programm. Besteht der Verdacht einer Infektion, lassen Sie den Computer unverzüglich von einer Fachperson untersuchen und gegebenenfalls säubern. Die sicherste Variante ist, den Computer vollständig neu aufzusetzen. Vergessen Sie aber dabei nicht, alle persönlichen Daten vorher zu sichern.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 18.09.2023

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2023/wochenrueckblick_37.html