Woche 1: Betrügerische Support-Varianten

09.01.2024 - Bereits in früheren Wochenrückblicken wurde aufgezeigt, mit welchen verschiedenen Varianten die Betrüger versuchen, sich direkten Zugang zu Ihrem Gerät zu verschaffen. Im aktuellen Wochenrückblick des BACS wird ein weiterer, perfider Modus erläutert.

Die Anfänge

Während Jahren gab es zum Phänomen, welches als «Fake-Support» bezeichnet wird, vor allem einen Modus Operandi: Über ausländische Call Center werden ungezielt zufällige Telefon-Nummern angerufen. Auf Englisch (selten auch Deutsch oder Französisch) wird der angerufenen Person mitgeteilt, ihr Computer sei infiziert und müsse einer Bereinigung unterzogen werden. Diese Anrufe sind nicht verschwunden, aber zurückgegangen – der Betrugsversuch ist durchschaubar, und auf der Seite der Betrüger ist der Aufwand gross - jeder Anruf wird von einem Call Center Agenten persönlich ausgelöst und bearbeitet.

Die Entwicklung

Die Betrüger haben - um den eigenen Aufwand zu minimieren - darauf zurückgegriffen, den initialen Anruf automatisiert ausführen zu lassen. Nur die Angerufenen, welche den automatischen Ansagetext befolgen («drücken Sie auf Taste1»), werden in der Folge mit einem betrügerischen Agenten verbunden. Diese Variante war im letzten Jahr für die hohen Meldungseingänge beim NCSC, heute BACS, verantwortlich.

Die Variante in der französischsprachigen Schweiz

Hinter einer weiteren Variante dieses Betrugsschemas steckt sehr wahrscheinlich eine andere Täterschaft - das Ziel ist aber dasselbe: Die Installation einer Fernwartungs-Software auf dem Gerät des Opfers, damit die Kriminellen schliesslich den Zugang zu Zahlungsanwendungen oder -informationen (E-Banking, Kreditkarten) erhalten.

Hier ruft aber nicht der Täter das potenzielle Opfer an, sondern gerade umgekehrt. Über eine Einblendung («Pop-Up») auf dem Bildschirm wird dem Opfer suggeriert, dass sein Gerät infiziert oder blockiert sei und durch Spezialisten bereinigt werden müsse. Dabei wird gleich eine Schweizer Telefonnummer mitgegeben, auf welche umgehend angerufen werden solle.

Beispiel einer Einblendung auf dem Gerät.
Beispiel einer Einblendung auf dem Gerät.

Diese Einblendung wird manchmal sogar akustisch mit einem Alarmton untermalt, oder mit einer Stimmaufzeichnung, die auf die angebliche Gefahr hinweist. Dadurch wird zusätzlich Druck ausgeübt. Der Computer ist aber in diesen Fällen nicht gefährdet und ein einfacher Neustart des Browsers oder des Gerätes löst das Problem.

Ruft man jedoch auf die angegebene Nummer an, meldet sich ein angeblicher Supportmitarbeiter - meistens in französischer Sprache. Dieser steuert über das durch das Opfer selber installierte Fernwartungs-Programm dessen Gerät. Danach wird man z. B. aufgefordert, sich ins E-Banking einzuloggen, um die angebliche Supportleistung zu bezahlen. Die Täter haben dann vollen Zugriff und können Überweisungen auf eigene Konten vornehmen.

Auch die Installation von Schadsoftware ist möglich, zum Beispiel ein sogenannter Keylogger, um weitere Eingaben des Opfers auszuspionieren. Man stelle sich zudem vor, auf dem Desktop des Opfers liege eine Datei mit dem Namen «meine-passwoerter.doc» - ein Leichtes für die Täter, diese gleich auch zu kopieren.

Spannenderweise kamen die Meldungen zu diesen Vorfällen bisher meist aus der französischsprachigen Schweiz. Offenbar werden die Einblendungen gezielt nur dort gestreut, bzw. werden nur aktiv, wenn die Browser-Sprache französisch ist.

Ursache und Prävention

Kann bei einer Schweizer Rufnummer nicht davon ausgegangen werden, dass die Täter in der Schweiz sitzen und ermittelt werden können? Leider ist dem nicht so, meistens werden Skype-Nummern verwendet - die tatsächliche Herkunft wird damit verschleiert. Mit einer Meldung ans BACS (https://www.report.ncsc.admin.ch/de/), mitsamt Screenshot der Einblendung, kann die Rufnummer über die Telekom-Provider aber meistens rasch deaktiviert werden.

Wie kommt es aber überhaupt zu diesen Einblendungen? In der Regel sind es gehackte Webseiten oder betrügerische Werbeeinblendungen, welche über Weiterleitungen zu den betrügerischen Pop-Ups führen. Das Opfer klickt also einzig auf einen unverdächtig erscheinenden Link, z. B. in einer Spam-Mail oder bei einer Google-Suche.

Empfehlungen

  • Lassen Sie sich von Unbekannten nicht drängen, etwas auf Ihrem Gerät zu installieren;
  • Erlauben Sie Unbekannten den Fernzugang auf Ihr Gerät nicht;
  • Sehen Sie eine solche Einblendung, machen Sie ein Bildschirmfoto davon (notfalls auch mit dem Handy) und senden Sie dieses ans BACS;
  • Danach können Sie den Browser schliessen oder einfach das Gerät neu starten;
  • Haben Sie bereits Fernzugriff gewährt, besteht die Möglichkeit, dass Ihr Computer infiziert wurde. Deinstallieren Sie in einem ersten Schritt das Fernzugriffs-Programm;
  • Besteht der Verdacht einer Infektion, lassen Sie den Computer unverzüglich von einer Fachperson untersuchen und gegebenenfalls säubern. Die sicherste Variante ist, den Computer vollständig neu aufzusetzen;
  • Sollten Sie Kreditkartendaten angegeben haben, melden Sie sich unverzüglich bei Ihrer Kreditkartenfirma, um die Karte sperren zu lassen;
  • Tätigen Sie am betroffenen Computer keine Bankgeschäfte und keinerlei Online-Einkäufe mit Ihrer Kreditkarte, bis Sie sicher sind, dass der Computer frei von Schadsoftware ist;
  • Ändern sie alle Passwörter, die der Anrufer durch den Zugriff mit der Fernwartungs-Software erhalten haben könnte.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 09.01.2024

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2024/wochenrueckblick_1.html