Vorsicht: E-Mails mit Schadsoftware im Namen von Inkassounternehmen und Krankenkassen

Service navigation

Suche

Navigation

Vorsicht: E-Mails mit Schadsoftware im Namen von Inkassounternehmen und Krankenkassen

02.12.2024 - Das BACS erhält derzeit zahlreiche Meldungen zu E-Mails, welche vorgeben, von einer Inkassofirma oder einer Krankenkasse zu stammen. Es geht dabei um eine vorgebliche Forderung bzw. Mahnung. Klicken Sie nicht auf den Link, es handelt sich um den Versuch, bei Windows-Benutzern eine Schadsoftware zu verteilen.

Melden Sie Schwachstellen

Derzeit werden im Namen des Inkassounternehmens Intrum, aber auch im Namen verschiedener Krankenkassen, angebliche Rechnungen bzw. Mahnungen verschickt. In der E-Mail wird dazu aufgefordert, auf einen Link zu klicken, um die offenen Rechnungen einzusehen oder als PDF-Datei zu speichern. Die Betreffzeilen der E-Mails lauten zum Bespiel wie folgt:

  • «Sie haben neue Dokumente von der KPT. (2. Mahnung)»
  • «Offene Forderung: Intrum AG 28936038»
Betrügerische E-Mails im Namen von Krankenkassen und der Inkassofirma Intrum, welche den Empfänger verleiten auf den Link zu klicken und eine offene Rechnung als PDF-Datei abzuspeichern
Betrügerische E-Mails im Namen von Krankenkassen und der Inkassofirma Intrum, welche den Empfänger verleiten auf den Link zu klicken und eine offene Rechnung als PDF-Datei abzuspeichern.

Ziel der Angreifer ist es dabei, das Opfer zum Download einer Schadsoftware zu verleiten. Bei der Schadsoftware handelt es sich um die bekannte Schadsoftware «Lumma Stealer». Betroffen sind ausschliesslich Windows-Nutzer. Smartphones mit Android oder iOS sowie Computer mit anderen Betriebssystemen sind in diesem Fall nicht betroffen.

Screenshot des angeblichen Erstattungsantrags
Beispiel von Webseiten, welche auffordern, das Dokument anzeigen zu lassen. In Wirklichkeit wird aber eine Schadsoftware heruntergeladen

Beim Link handelt es sich um einen sogenannten WebDAV-Link. Es werden folgende Aktivitäten angestossen (vereinfacht):

  • Im Hintergrund wird eine erste Stufe einer Schadsoftware geladen;
  • Diese lädt weitere Komponenten nach und bringt sie auf dem Gerät zur Ausführung;
  • Im Vordergrund wird ein PDF-Dokument mit einer angeblichen Rechnung angezeigt.

Bei «Lumma» handelt es sich um ein sogenanntes «Malware-as-a-Service (MaaS)»-Geschäftsmodell, bei dem Cyberkriminelle Schadsoftware und die dazugehörige Infrastruktur gegen Bezahlung zur Verfügung stellen und es auch weniger erfahrenen Angreifern ermöglichen, komplexe Cyberangriffe durchzuführen.

Die Schadsoftware «Lumma» ist darauf spezialisiert, sensible Daten wie Passwörter, Browser-Informationen und Details zu Kryptowährungs-Wallets zu stehlen. «Lumma Stealer» ist dem BACS bereits vor einem Monat aufgefallen. Damals nutzten die Angreifer den Verifizierungsprozess von CAPTCHAs, um Opfer zur Installation von Schadsoftware zu verleiten. Das BACS hat dazu einen Wochenrückblick verfasst:
Wochenrückblick 45

Technische Indikatoren zu diesem Vorfall sind über folgenden Link verfügbar:
https://github.com/govcert-ch/CTI/tree/main/20241202_LummaStealer

Empfehlungen:

  • Klicken Sie nicht auf den Link.    
  • Wenn Sie tatsächlich eine Mahnung erwarten, setzen Sie sich mit dem Inkassounternehmen oder der Krankenkasse in Verbindung, um zu klären, ob die Forderung tatsächlich berechtigt ist. Nutzen Sie dazu die Kontaktdaten auf den offiziellen Internetseiten der Unternehmen.    
  • Wenn Sie den Verdacht haben, dass die Schadsoftware installiert wurde, wenden Sie sich an ein Computerfachgeschäft. Am sichersten ist es, den Computer komplett neu zu installieren. Vergessen Sie nicht, vorher alle persönlichen Daten zu sichern.
  • Ändern Sie nach der Neuinstallation bei allen Online-Zugängen (E-Mail, soziale Netzwerke usw.) Ihre Passwörter.

Letzte Änderung 02.12.2024

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2024/2024-inkasso-kk.html