Woche 5: Aufwändiges Phishing per Telefon

07.02.2023 - Der Meldeeingang des NCSC ist in der fünften Woche 2023 mit 726 Meldungen leicht gestiegen. Bei einem in der letzten Woche gemeldeten Phishing-Vorfall wird die Aufschaltung eines schnellen 6G-Netzes versprochen. Der Angriffsversuch ist sehr aufwändig gemacht und entwickelt sich über mehrere Stufen. Dabei werden auch persönliche Daten aus dem Kundenportal der angegriffenen Person entwendet und eingesetzt.

Telefon-Phishing: Drama in vier Akten

Um Opfer dazu zu bringen, den Zugriff auf die Pay-Funktion ihres Telefons und ihre Kreditkartendaten zu geben, lassen sich die Phisher allerlei neue Tricks einfallen. Eine neue und sehr aufwändig ausgestaltete Vorgehensweise wurde dem NCSC letzte Woche gemeldet.

Erster Akt: Vertrauensaufbau und Informationsgewinnung

Der Betrug beginnt mit einem Anruf auf WhatsApp von einer Person, die sich als Angestellter eines Telekomproviders ausgibt. Als Begründung, wieso der Anruf über WhatsApp erfolgt, wird angegeben, dass die Telefonnummer momentan wegen der Aufschaltung des 6G-Netzes blockiert sei und der Mitarbeitende des Telekomproviders den Angerufenen durch den Deblockier-Prozess begleiten werde. Wegen der angeblichen Blockade wird dem Angerufenen eine Aufwandentschädigung von 400 Franken versprochen. Während dem Telefonat gibt der Angreifer die Telefonnummer des Opfers in das offizielle Portal des Telekomproviders ein und löst so einen Einmal-Code aus. Der Angerufene wird nun vom vermeintlichen Angestellten aufgefordert, den inzwischen per SMS empfangenen Code vorzulesen. Der Code ermöglicht es den Angreifern, sich über das Portal des Telekomproviders ohne weitere Angaben einzuloggen und die Kundendokumente einzusehen, darunter auch den Vertrag.

Die Angreifer nutzen dabei aus, dass neben der Möglichkeit, sich mit Username und Passwort einzuloggen auch die Möglichkeit besteht, sich lediglich mit einem an das eigene Telefon gesendeten Einmal-Code anzumelden. Username und Passwort sind so nicht notwendig.

Beim Login werden Username und Passwort verlangt (linkes Bild). Eine Authentisierung mit lediglich einem an die angegebene Telefonnummer übermittelten Code ist aber auch möglich (rechtes Bild). Sobald das Einmalpasswort dem Angreifer bekannt ist, kann er sich ohne weitere Angaben einloggen.

Zweiter Akt: Nutzung des Pay-Service

Mit dem Zugriff auf das Benutzerkonto können die Angreifer nun die Pay-Funktion des Telefons aktivieren. Mit dieser Funktion können Einkäufe bei Partnerfirmen direkt auf die Telefonrechnung gebucht werden. Diese Funktion muss aber wiederum mit Einmal-Codes freigeschaltet werden. Die Limite für derartige Einkäufe liegt bei 400 CHF. Um diese nicht zu überschreiten kaufen die Angreifer nun viermal bei einem der registrierten Geschäfte für jeweils 100 Euro (CHF 98.56, siehe Darstellung) ein – vermutlich Einkaufsgutscheine – da diese praktisch nicht rückverfolgbar sind.

Auch hier schaffen es die Angreifer, sich die Codes vorlesen zu lassen. Sie behaupten dabei, die jeweils angezeigten Beträge würden dem Angerufenen gutgeschrieben.

Der erste PIN-Code ermöglicht den Zugriff auf das Kundenportal, die anderen PIN-Codes werden vermutlich für den Kauf von Geschenkgutscheinen benutzt. Der abgebuchte Betrag entspricht jeweils 100 Euro. Dem Opfer wird am Telefon vorgegaukelt, dass die Beträge seinem Konto gutgeschrieben würden.

Dritter Akt: Kreditkarten-Phishing

Doch mit den Geschenkgutscheinen geben sich die Angreifer noch nicht zufrieden und versuchen als nächstes, die Kreditkartendaten abzugreifen. Hierzu meldet sich eine andere Person über WhatsApp, die sich ebenfalls als Kundenberater ausgibt. Um seine Authentizität zu beweisen, sendet der Angreifer den im ersten Akt erbeuteten Kundenvertrag.

Der Berater mit dem Namen «Setephen» meldet sich mit einer pakistanischen Telefonnummer. Der angezeigte Original-Vertrag stammt aus dem Kundenportal. Unten der Link zur Phishing-Seite.

Der Angeschriebene soll nun, wegen eines angeblich neuen Abrechnungsverfahrens, seine Kreditkartendaten auf einer Webseite eingeben, welche sich als Seite des Telekomproviders ausgibt. Dabei handelt es sich aber um eine Phishing-Seite.

Links die Webseite mit der angeblichen Aufschaltung von 6G (einem Standard, der erst noch entwickelt werden muss). Im rechten Bild die Felder für die Eingabe der Kreditkartendaten. Im roten Rahmen ist vergrössert der Text ersichtlich, wieso für die Kommunikation WhatsApp verwendet werde.

Vierter Akt: Happy End

Dies erscheint dem Angeschriebenen nun aber zu suspekt. Er meldet sich in einem der Shops des Telekomproviders, wo der Angriff rasch erkannt und gestoppt wird.

Nach Aufdeckung des Vorfalls zeigte sich der Telekomprovider kulant und verrechnete den Betrag aus der Pay-Funktion nicht. Auch die Phishing-Seite wurde nach der Meldung des Falles schnell gesperrt.

Ein Wermutstropfen bleibt dennoch: Die im Vertrag genannten privaten Daten sind zu den Angreifern abgeflossen und könnten für weitere Angriffe missbraucht werden.

Empfehlungen:

Geben Sie niemals Codes oder Passwörter am Telefon an Anrufer weiter;
Setzen Sie die Kostenlimite für Bezahlfunktionen möglichst tief oder deaktivieren Sie diese. Die Telekomprovider können diese Dienste auch permanent sperren;
Falls Sie unsicher sind, unterbrechen Sie den Anruf und rufen Sie über die offizielle Nummer des Unternehmens zurück. Die Rufnummer finden Sie jeweils auf der offiziellen Webseite des Unternehmens;
Lassen Sie sich am Telefon nie unter Druck setzen;
Absender von SMS oder die angezeigten Telefonnummern können leicht gefälscht werden können.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen