04.06.2024 - Phishing-Webseiten gehören seit langem zu den am häufigsten gemeldeten Cybervorfällen beim Bundesamt für Cybersicherheit (BACS). Um möglichst viele potentielle Opfer zu schützen, versucht das BACS, diese Webauftritte so schnell wie möglich deaktivieren zu lassen. Auf der anderen Seite setzen die Betrüger alles daran, die rasche Deaktivierung der Seite zu verhindern. Dies zeigt ein Beispiel, das letzte Woche dem BACS gemeldet worden ist.
Täglich werden weltweit Tausende von Phishing-Seiten von Betrügern neu erstellt und aktiviert. Darüber hinaus werden Millionen von Phishing-E-Mails verschickt, die die Opfer dazu verleiten sollen, die betrügerische Phishing-Seite zu öffnen und dort ihre Kreditkartendaten oder Passwörter einzugeben. Aber auch Sicherheitsdienstleister, Provider und Registrare haben aufgerüstet. Mittlerweile sind verschiedene Prozesse etabliert, um Phishing-Websites schnellstmöglich zu deaktivieren oder diese in Filterprogramme wie Google Safe Browsing aufzunehmen. Die Geschwindigkeit ist dabei entscheidend. Erfahrungsgemäss werden Phishing-Seiten von den meisten Opfern in den ersten Stunden nach dem Versand der betrügerischen E-Mail angeklickt. Wenige Stunden nach dem Versand flachen die Besucherzahlen ab und die Phishing-Seite ist nutzlos.
Der Trick mit der zweistufigen Vorgehensweise
Die Betrüger suchen deshalb immer nach neuen Täuschungsmanövern, damit die Sicherheitsbehörden möglichst lange nichts von der Phishing-Seite erfahren und diese abschalten können. In diesem Zusammenhang machte in der letzten Woche eine Phishing-E-Mail die Runde, die mit einem Trick arbeitet, der auch bei anderen Betrugsversuchen zum Einsatz kommt. Anstatt direkt eine Phishing-E-Mail mit einem Link zu versenden, der auf eine Phishing-Seite führt, wird das Opfer in der E-Mail aufgefordert, auf die E-Mail zu antworten. Der Phishing-Link wird dann erst in einem zweiten Schritt versendet. Damit soll vor allem verhindert werden, dass die grosse Mehrheit der Empfängerinnen und Empfänger, welche die Phishing-E-Mail sofort erkennen, den Link an Sicherheitsbehörden wie dem BACS weiterleiten. Der betrügerische Link geht auf diese Weise mehrheitlich nur an Opfer, die den Betrugsversuch nicht als solchen erkennen und den Link deshalb nicht weiterleiten. Diese Vorgehensweise erhöht die Wahrscheinlichkeit, dass die Seite länger online bleibt und somit mehr potentielle Opfer zur Eingabe ihrer Daten verleitet werden.
Die Betrüger halten auf diese Weise aber auch Personen fern, die den Phishing-Versuch als solchen erkennen und mit der Eingabe von falschen Benutzernamen und Passwörtern die Betrüger an der Nase herumführen wollen. Dass Betrüger daran interessiert sind, die Qualität der ergaunerten Daten möglichst hoch zu halten, hat das BACS bereits in einem früheren Wochenrückblick beschrieben.
Der Trick mit dem Browser Agent
Auch mit anderen Tricks versuchen die Betrüger, eine Phishing-Seite möglichst lange online zu halten. So wird beispielsweise die Tatsache ausgenutzt, dass gerade im privaten Umfeld heutzutage ein Grossteil der Websites über das Smartphone aufgerufen wird. Die Betrüger präparieren die Phishing-Webseite so, dass sie nur auf dem Smartphone angezeigt wird. Erfolgt der Aufruf von einem PC oder Notebook aus, wird hingegen eine legitime, unverdächtige Seite angezeigt. Der technische Hintergrund dieser Vorgehensweise ist, dass beim Aufruf einer Webseite auch der sogenannte User Agent mit übertragen wird. Im User Agent werden das Betriebssystem und der Browsertyp des Besuchers übermittelt und der Server kann erkennen, ob die Anfrage z. B. von einem Android-Gerät oder einem iPhone kommt, oder ob die Seite von einem Notebook oder einem PC aufgerufen wurde. Während die meisten potenziellen Opfer ein Smartphone verwenden, wird für die Analyse in der Regel ein Desktop-Gerät eingesetzt. Wenn nun ein Provider die Meldung überprüft, um festzustellen, ob es sich tatsächlich um eine betrügerische Seite handelt, kann er dies nicht als solche erkennen und lässt die Seite im schlimmsten Fall weiterlaufen.
Melden Sie Phishing-Seiten und Phishing-E-Mails dem BACS
Das BACS nimmt Meldungen zu Phishing auf verschiedenen Kanälen entgegen: Einerseits über die vom BACS betriebene Plattform antiphishing.ch, bei der Phishing-Websites oder auch E-Mails mit Phishing-Links gemeldet werden können. Meldende, die eine Antwort oder eine Erklärung wünschen, verwenden bitte das Meldeformular des BACS unter https://www.report.ncsc.admin.ch.
Weitere Empfehlungen
- Keine Bank und kein Kreditkarteninstitut wird Sie jemals per E-Mail auffordern, Passwörter zu ändern oder Kreditkartendaten zu verifizieren;
- Geben Sie nie persönliche Daten wie Passwörter oder Kreditkartendaten auf einer Webseite ein, die sie über einen Link in einer E-Mail oder Textnachricht angeklickt haben;
- Bedenken Sie, dass E-Mail-Absender leicht gefälscht werden können;
- Sobald Sie bemerken, dass Sie das Passwort auf einer Phishing-Seite angegeben haben, ändern Sie dieses sofort bei allen Diensten, wo Sie dieses einsetzen;
- Sollten Sie Kreditkartendaten angegeben haben, wenden Sie sich umgehend an Ihren Kreditkartendienstleister, damit dieser die Kreditkarte sperren kann;
- Handelt es sich um ein E-Mail-Passwort, setzen Sie auch alle Passwörter der Web-Dienstleister zurück, die mit diesem Konto in Verbindung stehen.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 04.06.2024
