Die Woche 41 im Rückblick

19.10.2021 - In der vergangenen Woche war das Meldeaufkommen sehr hoch. Grund dafür war unter anderem eine Spamwelle, welche für Bitcoin-Investments Werbung machte. Zudem gingen über hundert Meldungen zu SMS mit einer angeblichen «Voice Nachricht» ein, welche zu einer Android-Malware führte. Auch Online-Bewertungssysteme mit einer neuen Betrugsmasche waren in dieser Woche im NCSC ein Thema. 

SMS mit angeblicher «Voice Nachricht» führt zu Schadsoftware

In der letzten Woche erhielt das NCSC über hundert Meldungen zu einer SMS, in welcher die Empfängerin oder der Empfänger  aufgefordert wurde, eine Voicemail – eine abgespeicherte Sprachnachricht – unter dem angegebenen Link abzuhören. Die Webseite, die sich nach dem Anklicken öffnete, wirkte auf den ersten Blick wie eine Seite des entsprechenden Mobilfunkanbieters (im aktuellen Fall von Swisscom oder Sunrise) auf der die Daten der Sprachnachricht ersichtlich waren und auf der man die Sprachnachricht herunterladen kann.

SMS mit dem Link auf den Banking-Trojaner
SMS mit dem Link auf den Banking-Trojaner

Auf den zweiten Blick wird aber ersichtlich, dass offenbar zuerst eine Android-App heruntergeladen werden muss, um die Sprachnachricht abhören zu können. Wie nicht anders zu erwarten, handelte es sich dabei um eine Schadsoftware, welche sich anschliessend auf dem Mobiltelefon einnistet. Die Malware mit dem Namen «FluBot» hat sich unter anderem auf den Diebstahl von SMS auf Mobiltelefonen mit dem Betriebssystem Android spezialisiert. Ziel dabei ist, in den gestohlenen SMS so genannte Einmal-Passwörter von Bankanwendungen zu finden. Die so abgeflossenen Daten ermöglichen es den Angreifern, auch Anwendungen, die durch einen zweiten Faktor geschützt sind, missbrauchen zu können, sofern der zweite Faktor per SMS versandt wird. Die Angreifer können sich mit den zumeist schon zuvor gestohlenen Benutzernamen und Passwörtern bei der Bank anmelden und bekommen dann durch die Schadsoftware auch den Verifizierungscode der SMS mit.

Downloadseite für den als Voicemail-App getarnten Trojaner
Downloadseite für den als Voicemail-App getarnten Trojaner

Die Schadsoftware «FluBot» kann aber nicht nur Daten stehlen, sie unterdrückt auch die Benachrichtigungsfunktion des infizierten Smartphones. Der Benutzer bemerkt also gar nicht erst, dass die Bank ihm eine Authentisierungs-SMS zugesendet hat.

Erstmals in der Schweiz in Erscheinung getreten ist diese Schadsoftware im Juni 2021 – das NCSC hatte bereits damals mehrere Meldungen dazu erhalten. Die Schadsoftware selbst versteckt sich tief im befallenen Betriebssystem und kann fast nicht vollständig deinstalliert werden. Das Zurücksetzten des Betriebssystems auf die Werkseinstellungen ist die einzig sichere Methode, um die Schadsoftware loszuwerden.

Auch wenn diese Schadsoftware lediglich Android-Geräte angreift, müssen sich auch Nutzende von Geräten mit dem iOS-Betriebssystem in Acht nehmen und sollten keine Links in SMS anklicken.

  • Installieren Sie keine Software, die ausserhalb der offiziellen Stores der Betriebssysteme angeboten wird
  • Insbesondere sollten Sie keine Software installieren, welche Sie über einen Link in einer SMS oder über einen anderen Messenger-Dienst (WhatsApp, Telegram usw.) erhalten haben.
  • Falls Sie dennoch eine solche Software installiert haben, sollten Sie das Gerät von einer Fachperson überprüfen lassen und während dieser Zeit weder Bankgeschäft noch Online-Einkäufe tätigen. Geben Sie auch keine Passwörter ein.
  • Das Zurücksetzten des befallenen Geräts auf die Werkseinstellungen ist nahezu die einzige Möglichkeit, diese Schadsoftware vom Gerät zu entfernen.

Onlinebewertungen sind auch für Erpresser interessant

Diese Woche waren in verschiedenen Medien Online-Kundenbewertungen ein Thema. Solche Bewertungen sind für Kundinnen und Kunden sehr hilfreich, wenn man sich im Vorfeld über einen Online-Shop, einen Laden oder ein Restaurant informieren will. Da solche Bewertungen aber auch das Kundenverhalten beeinflussen, ist es klar, dass es auch einzelne Bewerber gibt, welche versuchen, solche Bewertungen zu ihren Gunsten respektive zu Ungunsten des Mitbewerbers zu manipulieren. Es gibt auch Firmen, welche sich darauf spezialisiert haben, solche Bewertungen zu «optimieren».

Dass aber noch dreister geht, zeigt ein Fall, der dem NCSC letzte Woche gemeldet wurde. Auf einem Bewertungsportal wurde für eine Firma eine (ungerechtfertigte) schlechte Bewertung aufgeschaltet. Die Bewertung ist dabei so detailliert geschrieben, dass diese durch die Leserinnen und Leser als authentisch wahrgenommen wurde. Kurz nach Veröffentlichung dieser Bewertung meldete sich jemand bei der Firma und bot einen Service an, mit welchem die schlechte Bewertung wiederum entfernt werden könne.
Die zeitliche Abfolge lässt den Schluss zu, dass die beiden Ereignisse zusammenhängen und es sich dabei um eine erpresserische Betrugsmasche handelt. Auch wenn dem nicht so sein sollte, sind solche Service-Angebote zumeist betrügerischer Art und versprechen mehr als sie halten.

  • Seien Sie skeptisch, wenn Ihnen jemand telefonisch oder per E-Mail von sich aus einen unverlangten Service anbietet.
  • Notieren Sie sich in einem solchen Fall unbedingt alle verfügbaren Informationen wie beispielsweise den genauen Zeitpunkt, die anrufende Nummer und weitere Details der Kontaktaufnahme. Diese Informationen können Ihnen dabei helfen, sich gegen ungerechtfertigte Bewertungen zu wehren.
  • Sobald Sie eine falsche Bewertung bemerken, informieren Sie die Betreiber des Bewertungsportals.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 19.10.2021

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/wochenrueckblick_41.html