Woche 46: Phishing mit angeblicher Steuerrückerstattung und KryptoWallet-Phishing

21.11.2023 - Auch in der letzten Woche wurden dem NCSC etliche Phishing-Fälle gemeldet. Kunden von Paket-, Telefonie- und Transportdienstleistern sind nach wie vor sehr häufig im Fokus der Betrüger. In diesem Wochenrückblick werden zwei nicht sehr gängige Phishing-Maschen vorgestellt.

Angebliche Steuerrückerstattung

In einer E-Mail-Nachricht wird vorgegeben, dass dem Empfänger eine Gutschrift zusteht (Rückerstattung) und zwar von der Eidgenössischen Steuerverwaltung. Die nachfolgende Abbildung zeigt eine solche Nachricht. Stutzig macht allerdings bereits der Absender, welcher so gar nicht zur Steuerverwaltung passt. Auch wenn man die genaue Domäne der Steuerverwaltung nicht kennt: Dienste und Webseiten der Eidgenossenschaft findet man jeweils unter admin.ch, nicht unter *.com.

Betrügerische E-Mail im Namen der Steuerverwaltung
Betrügerische E-Mail im Namen der Steuerverwaltung

Bewegt man die Maus über den Link (ohne zu klicken), wird die URL eingeblendet, auf welche der Link führen würde. Auch hier steht die URL bzw. die Zieldomäne mit der Steuerverwaltung in keinem Zusammenhang. Schon nur eines dieser Merkmale für sich allein (Absender oder URL) verrät also, dass es sich um einen Betrugsversuch handelt.

Schaut man sich die Mail genauer an, fällt auf, dass den Betrügern etliche Fehler unterlaufen sind:

  • Die Steuerverwaltung ist keine GmbH oder AG;
  • Eine allfällige Rückerstattung von Steuern würde in Schweizer Franken erfolgen, und nicht in Euro;
  • Die sprachliche Ausfertigung der Nachricht entspricht nicht derjenigen einer offiziellen Benachrichtigung durch Behörden.
     

Was passiert nun aber, wenn man sich zum Klick auf den Link verleiten lässt? Es öffnet sich eine Seite, welche den Dienst "eIAM" imitiert. eIAM ist das zentrale Zugriffs- und Berechtigungssystem der Bundesverwaltung für Webapplikationen.

Der Link in der Phishing-E-Mail führt auf ein gefälschtes eIAM-Login-Portal
Der Link in der Phishing-E-Mail führt auf ein gefälschtes eIAM-Login-Portal

Dies ist aber nur ein Zwischenschritt. Nachdem man eine E-Mail-Adresse angegeben hat, erscheint gleich eine Maske zur Eingabe der Kreditkartendaten. Beim richtigen eIAM wäre die Authentisierung mit zumindest einem Passwort notwendig.

Die Betrüger versuchen über die gefälschte eIAM-Login-Maske an die Kreditkartendaten zu gelangen.
Die Betrüger versuchen über die gefälschte eIAM-Login-Maske an die Kreditkartendaten zu gelangen.

Um im betrügerischen Prozess weiterzukommen, reicht es, wenn die Kreditkartennummer und der CVV-Code eingegeben werden - das zeigt die Absichten der Betrüger auf.

Spätestens hier müssten nun beim potentiellen Opfer weitere Alarmglocken klingeln: für eine reguläre Rückerstattung wird selbstverständlich nie eine Kreditkartennummer verlangt, sondern eine IBAN-Nummer (Kontonummer).

Die Betrüger versuchen in der Folge, noch einen Schritt weiter zu gehen. Um eine Abbuchung vornehmen zu können, brauchen sie noch eine Bestätigung durch den Eigentümer der Karte, welche häufig per SMS auf das Handy des rechtmässigen Inhabers übertragen wird. Dieser Code wird auch gleich abgefragt.

Damit die Betrüger auch den zweiten Faktor abphishen können, haben sie hierzu ein zusätzliches Formular gebaut.
Damit die Betrüger auch den zweiten Faktor abphishen können, haben sie hierzu ein zusätzliches Formular gebaut.

Gibt das Opfer alle diese Daten ein, können die Angreifer die Kontrolle über die Kreditkarte und können sich so Dinge im Namen des Opfers kaufen.

Kryptowallet Phishing

Auch E-Mails im Namen des Finanzdienstleisters Swissquote machten letzte Woche die Runde. Es wurde ein Link mit der Aufforderung verschickt, sein Kryptowallet angeblich aus Sicherheitsgründen mit dem Finanzinstitut zu verbinden.

Der Blick auf die URL verrät auch in diesem Fall: der Link führt nicht zu Swissquote.
Klickt man auf den «Connect» Knopf, öffnet sich ein Menu mit einer Auswahl an Krypto-Dienstleistern.

Linkes Bild: Gefälschte Swissquote-Seite, rechtes Bild: die Betrüger versuchen sich mit dem Wallet des Opfers zu verbinden.
Linkes Bild: Gefälschte Swissquote-Seite, rechtes Bild: die Betrüger versuchen sich mit dem Wallet des Opfers zu verbinden.

Das Ziel der Betrüger ist hier, an den Inhalt des Wallets der Benutzer zu gelangen. Zu diesem Zweck wird die sogenannte «Seed Phrase» abgefragt, auch «Wiederherstellungsphrase» genannt. Dabei handelt es sich um eine Folge von 12 oder 24 zufälligen Wörtern, die bei Verlust des privaten Schlüssels des Benutzers den Zugriff auf sein Wallet trotzdem ermöglicht. Diese «Seed Phrase» sollte deshalb sicher verwahrt und niemandem ausgehändigt werden. Mit der «Seed Phrase» eines Benutzers können die Betrüger das Wallet des Opfers und damit seine Kryptowährungen übernehmen.

Kein Finanzinstitut wird Sie je nach dieser Seed Phrase fragen.
Kein Finanzinstitut wird Sie je nach dieser Seed Phrase fragen.

Tipps für das Erkennen von Phishing-Nachrichten

Generell gilt: geben Sie nie Passwörter, Codes oder Kreditkartendaten auf einer Seite ein, die Sie über einen Link in einer E-Mail oder Textnachricht geöffnet haben.

Zur Erkennung reicht es meist, wenn man sich auf typische Merkmale einer Nachricht konzentriert. Mit etwas Aufmerksamkeit ist eine Phishing-Mail in Sekunden entlarvt:

  1. Die Absender-Adresse: sie kann leider einfach gefälscht werden. Bei legitimen E-Mails muss die Domäne der E-Mailadresse im Absenderfeld übereinstimmen mit den Kontaktdaten, die meist am Ende der E-Mail angegeben werden.
  2. Der Phishing-Link: der Anzeigename kann täuschen, wenn Sie mit dem Mauszeiger über dem Link (ohne zu klicken) fahren, sehen Sie wohin der Link tatsächlich führen würde. Handelt es sich um eine Domäne, die offensichtlich nicht mit dem Absender in Verbindung klicken Sie nicht auf den Link.
  3. Sprachliches und Grafisches: unpassend verwendete oder falsche Logos, seltsame Anreden und Grussformeln, möglicherweise ein Sprachenmix und Stilunsicherheiten – all das lässt auf nicht legitime Absichten des Absenders schliessen.

Weitere Tipps:

  • Überprüfen Sie die Nachricht auf die obgenannten drei Punkte hin;
  • Geben Sie nie Passwörter, Codes oder Kreditkartendaten auf einer Seite ein, die Sie über einen Link in einer E-Mail oder Textnachricht geöffnet haben;
  • Leiten Sie nie Codes weiter, die Sie per SMS erhalten haben;
  • Wenn man Ihnen regulär Geld überweisen möchte, werden Sie nach der IBAN gefragt, nicht nach der Kreditkartennummer;
  • Im Zweifelsfall fragen Sie direkt beim fraglichen Dienstleister nach, was es mit der Anfrage auf sich habe. Verwenden Sie dafür nicht eine in einer E-Mail oder Textnachricht angegebene Telefonnummer, sondern suchen Sie die korrekte Nummer online;
  • Die Phishing-Nachricht kann dem NCSC gemeldet werden (https://www.report.ncsc.admin.ch/);
  • Sollten Sie Kreditkartendaten angegeben haben, wenden Sie sich umgehend an Ihren Kreditkartendienstleister, damit dieser die Kreditkarte sperren kann;
  • Bei einem finanziellen Schaden erstatten Sie Anzeige bei der Kantonspolizei.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 21.11.2023

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2023/wochenrueckblick_46.html