21.11.2023 - Auch in der letzten Woche wurden dem NCSC etliche Phishing-Fälle gemeldet. Kunden von Paket-, Telefonie- und Transportdienstleistern sind nach wie vor sehr häufig im Fokus der Betrüger. In diesem Wochenrückblick werden zwei nicht sehr gängige Phishing-Maschen vorgestellt.
Angebliche Steuerrückerstattung
In einer E-Mail-Nachricht wird vorgegeben, dass dem Empfänger eine Gutschrift zusteht (Rückerstattung) und zwar von der Eidgenössischen Steuerverwaltung. Die nachfolgende Abbildung zeigt eine solche Nachricht. Stutzig macht allerdings bereits der Absender, welcher so gar nicht zur Steuerverwaltung passt. Auch wenn man die genaue Domäne der Steuerverwaltung nicht kennt: Dienste und Webseiten der Eidgenossenschaft findet man jeweils unter admin.ch, nicht unter *.com.
Bewegt man die Maus über den Link (ohne zu klicken), wird die URL eingeblendet, auf welche der Link führen würde. Auch hier steht die URL bzw. die Zieldomäne mit der Steuerverwaltung in keinem Zusammenhang. Schon nur eines dieser Merkmale für sich allein (Absender oder URL) verrät also, dass es sich um einen Betrugsversuch handelt.
Schaut man sich die Mail genauer an, fällt auf, dass den Betrügern etliche Fehler unterlaufen sind:
- Die Steuerverwaltung ist keine GmbH oder AG;
- Eine allfällige Rückerstattung von Steuern würde in Schweizer Franken erfolgen, und nicht in Euro;
- Die sprachliche Ausfertigung der Nachricht entspricht nicht derjenigen einer offiziellen Benachrichtigung durch Behörden.
Was passiert nun aber, wenn man sich zum Klick auf den Link verleiten lässt? Es öffnet sich eine Seite, welche den Dienst "eIAM" imitiert. eIAM ist das zentrale Zugriffs- und Berechtigungssystem der Bundesverwaltung für Webapplikationen.
Dies ist aber nur ein Zwischenschritt. Nachdem man eine E-Mail-Adresse angegeben hat, erscheint gleich eine Maske zur Eingabe der Kreditkartendaten. Beim richtigen eIAM wäre die Authentisierung mit zumindest einem Passwort notwendig.
Um im betrügerischen Prozess weiterzukommen, reicht es, wenn die Kreditkartennummer und der CVV-Code eingegeben werden - das zeigt die Absichten der Betrüger auf.
Spätestens hier müssten nun beim potentiellen Opfer weitere Alarmglocken klingeln: für eine reguläre Rückerstattung wird selbstverständlich nie eine Kreditkartennummer verlangt, sondern eine IBAN-Nummer (Kontonummer).
Die Betrüger versuchen in der Folge, noch einen Schritt weiter zu gehen. Um eine Abbuchung vornehmen zu können, brauchen sie noch eine Bestätigung durch den Eigentümer der Karte, welche häufig per SMS auf das Handy des rechtmässigen Inhabers übertragen wird. Dieser Code wird auch gleich abgefragt.
Gibt das Opfer alle diese Daten ein, können die Angreifer die Kontrolle über die Kreditkarte und können sich so Dinge im Namen des Opfers kaufen.
Kryptowallet Phishing
Auch E-Mails im Namen des Finanzdienstleisters Swissquote machten letzte Woche die Runde. Es wurde ein Link mit der Aufforderung verschickt, sein Kryptowallet angeblich aus Sicherheitsgründen mit dem Finanzinstitut zu verbinden.
Der Blick auf die URL verrät auch in diesem Fall: der Link führt nicht zu Swissquote.
Klickt man auf den «Connect» Knopf, öffnet sich ein Menu mit einer Auswahl an Krypto-Dienstleistern.
Das Ziel der Betrüger ist hier, an den Inhalt des Wallets der Benutzer zu gelangen. Zu diesem Zweck wird die sogenannte «Seed Phrase» abgefragt, auch «Wiederherstellungsphrase» genannt. Dabei handelt es sich um eine Folge von 12 oder 24 zufälligen Wörtern, die bei Verlust des privaten Schlüssels des Benutzers den Zugriff auf sein Wallet trotzdem ermöglicht. Diese «Seed Phrase» sollte deshalb sicher verwahrt und niemandem ausgehändigt werden. Mit der «Seed Phrase» eines Benutzers können die Betrüger das Wallet des Opfers und damit seine Kryptowährungen übernehmen.
Tipps für das Erkennen von Phishing-Nachrichten
Generell gilt: geben Sie nie Passwörter, Codes oder Kreditkartendaten auf einer Seite ein, die Sie über einen Link in einer E-Mail oder Textnachricht geöffnet haben.
Zur Erkennung reicht es meist, wenn man sich auf typische Merkmale einer Nachricht konzentriert. Mit etwas Aufmerksamkeit ist eine Phishing-Mail in Sekunden entlarvt:
- Die Absender-Adresse: sie kann leider einfach gefälscht werden. Bei legitimen E-Mails muss die Domäne der E-Mailadresse im Absenderfeld übereinstimmen mit den Kontaktdaten, die meist am Ende der E-Mail angegeben werden.
- Der Phishing-Link: der Anzeigename kann täuschen, wenn Sie mit dem Mauszeiger über dem Link (ohne zu klicken) fahren, sehen Sie wohin der Link tatsächlich führen würde. Handelt es sich um eine Domäne, die offensichtlich nicht mit dem Absender in Verbindung klicken Sie nicht auf den Link.
- Sprachliches und Grafisches: unpassend verwendete oder falsche Logos, seltsame Anreden und Grussformeln, möglicherweise ein Sprachenmix und Stilunsicherheiten – all das lässt auf nicht legitime Absichten des Absenders schliessen.
Weitere Tipps:
- Überprüfen Sie die Nachricht auf die obgenannten drei Punkte hin;
- Geben Sie nie Passwörter, Codes oder Kreditkartendaten auf einer Seite ein, die Sie über einen Link in einer E-Mail oder Textnachricht geöffnet haben;
- Leiten Sie nie Codes weiter, die Sie per SMS erhalten haben;
- Wenn man Ihnen regulär Geld überweisen möchte, werden Sie nach der IBAN gefragt, nicht nach der Kreditkartennummer;
- Im Zweifelsfall fragen Sie direkt beim fraglichen Dienstleister nach, was es mit der Anfrage auf sich habe. Verwenden Sie dafür nicht eine in einer E-Mail oder Textnachricht angegebene Telefonnummer, sondern suchen Sie die korrekte Nummer online;
- Die Phishing-Nachricht kann dem NCSC gemeldet werden (https://www.report.ncsc.admin.ch/);
- Sollten Sie Kreditkartendaten angegeben haben, wenden Sie sich umgehend an Ihren Kreditkartendienstleister, damit dieser die Kreditkarte sperren kann;
- Bei einem finanziellen Schaden erstatten Sie Anzeige bei der Kantonspolizei.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 21.11.2023