Woche 26: Betrüger missbrauchen den Namen der Bundesverwaltung für verschiedenste Angriffsvarianten

Service navigation

Suche

Navigation

Woche 26: Betrüger missbrauchen den Namen der Bundesverwaltung für verschiedenste Angriffsvarianten

02.07.2024 - Phishing im Namen der Eidgenössischen Steuerverwaltung, Drohmails im Namen des Bundesamtes für Polizei sowie des BACS und auch die letzte Woche versandte E-Mail-Welle mit Schadsoftware im Namen des Behörden-Logins «AGOV»: Mit E-Mails im Namen von Behörden versuchen Betrüger und Angreifer, die Empfänger unter Druck zu setzen oder das Vertrauen der Schweizer Bürgerinnen und Bürger zu erschleichen.

«Ab Juli 2024 werde der AGOV-Zugang für alle öffentlichen Online-Dienste obligatorisch»: So lautete der Betreff einer E-Mail, die in der vergangenen Woche von Angreifern massenhaft an Schweizerinnen und Schweizer versendet wurde. Ziel war es, die Empfängerinnen und Empfänger dazu zu bewegen, eine angebliche Software zu installieren, die für den nahtlosen Zugang zur öffentlichen Verwaltung, wie beispielsweise für die elektronische Abgabe der Steuererklärung, benötigt werde. Hinter dem Link verbarg sich allerdings keine Software der Bundesverwaltung, sondern eine schädliche Datei. Lädt das Opfer die Datei herunter und führt diese aus, wird der Computer mit einer Schadsoftware namens «Poseidon Stealer» infiziert. Sobald diese Schadsoftware auf dem Gerät installiert ist, stiehlt sie verschiedene Informationen vom Computer des Opfers und sendet diese an die Cyberkriminellen.

Screenshot des Malware-E-Mails im Namen von AGOV
Screenshot des Malware-E-Mails im Namen von AGOV

Diese E-Mail reiht sich ein in eine Serie von betrügerischen E-Mails, die im Namen der Bundesverwaltung versendet werden. Die Kriminellen nutzen dabei die Vertrauenswürdigkeit der Verwaltung aus. Gerade in einem Land mit ausgeprägter Bürgerbeteiligung und direkter Demokratie geniessen die Schweizer Institutionen ein hohes Vertrauen, so dass Betrüger darauf spekulieren, dass solche E-Mails weniger hinterfragt werden.

Immer wieder E-Mails mit Steuerrückerstattung

Ein Dauerbrenner in dieser Kategorie sind auch E-Mails, die vorgeben, von der Eidgenössischen Steuerverwaltung zu stammen und versprechen, dass die Empfänger zu einer Rückerstattung berechtigt seien. Um diesen Vorgang abschliessen zu können, sei jedoch eine Überprüfung der Identität notwendig. Meist müssen in diesem Prozess dann Zugangsdaten oder Kreditkartendaten angegeben werden. Es handelt sich um eine klassisches Phishing-E-Mail. Die Qualität solcher E-Mails und Webseiten hat in letzter Zeit zugenommen. So wurde in der letzten Woche eine E-Mail beobachtet, die auf ein Rückerstattungsportal verwies, welches vom Aussehen her kaum von einer offiziellen Seite der Bundesverwaltung zu unterscheiden ist. Einzig die seltsame Internetadresse und die Tatsache, dass die Seite nur in deutscher Sprache verfügbar war, deuteten darauf hin, dass es sich um einen Betrug handelte.

Angebliches Online-Rückerstattungsportal der Bundesverwaltung. Es geht nur darum, den Opfern die Kreditkartendaten zu stehlen
Angebliches Online-Rückerstattungsportal der Bundesverwaltung. Es geht nur darum, den Opfern die Kreditkartendaten zu stehlen

Droh-E-Mails mit allen möglichen Logos von Behörden, die mehr oder weniger sinnvoll sind

Auch die gefälschten Droh-E-Mails, die seit einiger Zeit im Umlauf sind, missbrauchen die Namen nationaler und internationaler Behörden. Bei diesen Droh-E-Mails, so genannten Fake-Extortion-E-Mails, handelt es sich um eine Betrugsmasche, bei der behauptet wird, die angeschriebene Person sei einer schweren Straftat überführt worden und die Anklage könne nur durch eine Geldzahlung fallen gelassen werden. Auch hier überbieten sich die Betrüger mit der Verwendung von Logos und Namen von Organisationen und Behörden. Quantität vor Qualität scheint in diesen Fällen das Motto der Betrüger zu sein. In aktuellen Fällen verwenden die Betrüger Logos und Stempel von nicht weniger als sechs Behörden. Darüber hinaus kommt es zu einer willkürlichen Vermischung von in- und ausländischen Stellen. In diesen Fällen scheint es den Betrügern nicht darum zu gehen, möglichst authentisch zu wirken, sondern das Opfer mit der Auflistung offizieller Stellen möglichst einzuschüchtern.

Gefälschte Drohmail mit insgesamt sechs Logos, unter anderem des britischen Cybersecurity Center, der Schweizerischen Eidgenossenschaft, Cybercrimepolice.ch, Interpol, des Bundesamtes für Cybersicherheit BACS und einem Stempel des EJPD (von links oben nach rechts unten).
Gefälschte Drohmail mit insgesamt sechs Logos, unter anderem des britischen Cybersecurity Center, der Schweizerischen Eidgenossenschaft, Cybercrimepolice.ch, Interpol, des Bundesamtes für Cybersicherheit BACS und einem Stempel des EJPD (von links oben nach rechts unten).

Vorsicht gilt auch bei E-Mails (angeblich) von Behörden

Auch bei E-Mails, die angeblich von Behörden stammen, ist Vorsicht geboten. Auch hier gelten die gleichen Vorsichtsmassnahmen wie bei allen anderen E-Mails:

  • Seien Sie besonders vorsichtig, wenn Sie in einer E-Mail zu einer Aktion aufgefordert werden, sei es zur Eingabe von Passwörtern, Kreditkartendaten oder zur Installation von Software.
  • Auch hier gilt grundsätzlich: Geben Sie keine sensiblen Daten auf Webseiten ein, die Sie über einen Link in einer E-Mail oder SMS geöffnet haben.
  • Installieren Sie Software nur von offiziellen und nicht aus unbekannten Quellen.
  • Achten Sie auf Ungereimtheiten wie fehlende Anrede, inoffizieller Link (admin.ch), fehlende Sprachversionen usw.
  • Fragen Sie im Zweifelsfall bei den zuständigen Behörden nach.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 02.07.2024

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2024/wochenrueckblick_26.html