31.10.2023 - Drohanrufe angeblich von Behörden gehören seit Juli 2023 zu den meist gemeldeten Phänomenen an das NCSC. Dieses Phänomen ist hauptsächlich für den rasanten Anstieg des NCSC-Meldeeingangs verantwortlich. Da die Anrufe während der Bürozeiten stattfinden muss davon ausgegangen werden, dass sich die Betrüger wie ein Unternehmen organisieren.
Seit Sommer wurden dem NCSC vermehrt Drohanrufe angeblich von Behörden über das Meldeformular gemeldet. Der Betrug startet mit einem Telefonanruf von einer vermeintlichen Polizei- oder Zollbehörde, die vorgibt, helfen zu wollen (Fake Support). Es gibt dabei diverse Varianten. Allen gemeinsam ist jedoch, dass eine computergenerierte Stimme in tadellosem Englisch spricht und den Angerufenen auffordert, die Taste 1 zu drücken, um weitere Informationen zu erhalten. Danach wird man mit einem vermeintlichen Polizisten verbunden. In einer häufigen Variante wird dann behauptet, dass ein Haftbefehl gegen das Opfer vorläge. Die Polizei gehe aber davon aus, dass die Identität des Angerufenen missbraucht werde und dieser eigentlich unschuldig sei. Der Polizist behauptet, dem Opfer helfen zu wollen. Um Beweise für die Unschuld zu sammeln, verlangen die Anrufer vom Opfer, ein Fernzugriffstool zu installieren, um so Zugang zum Computer zu erlangen. Neben dem Fernzugriffstool auf dem Computer drängt der Anrufer auch auf die Installation eines solchen auf dem Mobiltelefon und Tablet. Der Angreifer hat so Vollzugriff auf sämtliche Geräte und kann in der Folge auch weitere Sicherheitselemente wie eine Zwei-Faktor-Authentifizierung umgehen.
Anschliessend geben die Betrüger vor, dass Bankkonten in Kürze gesperrt würden und sie dabei helfen wollen, das Geld vorher zu sichern. Dazu soll das Opfer sein Geld auf Krypto-Konten überweisen. Die Angreifer haben natürlich auch Zugriff auf diese Konten und heben das Geld ab, sobald es vom Opfer überwiesen worden ist. Manchmal wird das Opfer auch aufgefordert, den Computer über Nacht laufen zu lassen. In dieser Zeit haben die Angreifer leichtes Spiel und können unbemerkt weitere Transaktionen ausführen, ohne dass das Opfer Verdacht schöpft.
Wenn ein Opfer misstrauisch wird, wird ihm eine Webseite angegeben, auf der die offizielle Telefonnummer von Interpol aufgeführt ist. Danach erhält das Opfer einen Anruf von dieser Nummer, welche natürlich gefälscht ist (Spoofing). Für das Opfer scheint dies jedoch ein weiterer Beweis, dass es sich um einen echten Fall handeln muss.
Inaktive Tage und Bürozeiten
Da es sich um Telefonanrufe handelt, geht das NCSC davon aus, dass Meldungen zu diesem Phänomen an das NCSC zeitnah erfolgen und der Zeitpunkt des Meldeeingangs praktisch mit dem Zeitpunkt des getätigten Telefonanrufs gleichgesetzt werden kann. Im Gegensatz zu E-Mails, die in der Regel zeitverzögert gemeldet werden, können bei diesem Phänomen daher realistische Aussagen über die Aktivitätszeiten der Betrüger gemacht werden.
Bei der Analyse fällt auf, dass der Meldeverlauf den normalen Bürozeiten folgt und am Montagmorgen startet und am Freitagnachmittag auch wieder aufhört. Am Samstag und am Sonntag gibt es keine Meldungen. Der Schluss liegt also nahe, dass die Angreifer in firmenähnlichen Strukturen organisiert sind, die auch Angestellte nach den gängigen Arbeitsvorgaben beschäftigen.
Darüber hinaus sind in der Statistik auch andere Muster erkennbar. Es finden sich Tage oder ganze Wochen an denen praktisch keine Aktivität stattfinden. Ein Beispiel ist der 14. und 15. August 2023. An diesen beiden Tagen sind beim NCSC zu diesem Phänomen keine Meldungen eingegangen. Auch in der Woche vom 4. September 2023 fiel die Aktivität praktisch auf null und startete in den nächsten Wochen auf kleinem Niveau bis dann im Oktober wieder in grosser Zahl Anrufe stattgefunden haben.
Zu dieser Beobachtung gibt es mehrere Erklärungen. Entweder ist an den Angriffen nur eine betrügerische Firma beteiligt und an den besagten Tagen gab es beispielsweise IT- oder andere betriebsbedingte Probleme, oder aber mehrere Gruppen operieren aus der gleichen Region und bei den inaktiven Tagen handelt es sich um Feiertage oder um allgemeine Ferienzeit. Für weitere Analysen müssten allerdings die Zahlen eines grösseren Zeitraums zur Verfügung stehen.
- Brechen Sie solche Telefonanrufe sofort ab. Weder die Polizei noch andere Behörden tätigen Anrufe, um Zugriff auf Ihre Geräte zu erlangen;
- Gestatten Sie niemandem einen Fernzugriff auf Ihre Geräte. Sollten Sie Fernzugriff gewährt haben, besteht die Möglichkeit, dass Ihr Computer infiziert wurde;
- Deinstallieren Sie in einem ersten Schritt das Fernzugriffs-Programm;
- Besteht der Verdacht einer Infektion, lassen Sie den Computer unverzüglich von einer Fachperson untersuchen und gegebenenfalls säubern. Die sicherste Variante ist, den Computer vollständig neu aufzusetzen. Vergessen Sie aber dabei nicht, alle persönlichen Daten vorher zu sichern;
- Haben Sie einen finanziellen Schaden erlitten, melden Sie den Fall Ihrer Bank und erstatten Sie Anzeige.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 31.10.2023