Die Woche 42 im Rückblick

26.10.2021 - Der Meldeeingang beim NCSC bleibt erhöht. Grund sind immer noch die SMS mit einer angeblichen Voice-Nachricht, welche auf eine Android-Schadsoftware führen. Gemeldet wurden ausserdem bösartige Excel-Dokumente, die scheinbar von einer dem Opfer bekannten Person versendet werden und sich auf eine alte Kommunikation beziehen. Weitere Themen waren eine gezielte Anfrage bei einem Anwaltsbüro, welche in einem Betrugsversuch endet sowie ein Vorschussbetrug kombiniert mit Phishing.

Angreifer versuchen wiederum mit bestehender Kommunikation Opfer zum Öffnen eines Dokumentes zu verleiten

Eine Variante, welche die Wahrscheinlichkeit erhöht, dass ein Opfer einen Anhang einer E-Mail öffnet, ist das Anknüpfen an eine bestehende E-Mail-Kommunikation. Hierzu verschaffen sich die Angreifer im Vorfeld Zugriff auf ein E-Mail-Konto, picken sich eine geeignete Nachricht heraus und senden diese - angereichert mit einem Link zu einer Schadsoftware - noch einmal an dessen Empfänger. Wir haben im Wochenrückblick 20 darüber berichtet.
Diese Woche beobachtete das NCSC wiederum solche Angriffe, welche sich vor allem gegen KMUs aber auch Gemeinden richteten. In der E-Mail wird der Empfänger oder die Empfängerin aufgefordert, Dokumente, welche sich hinter zwei Links befinden, zu überprüfen. Danach folgt wie gewohnt der alte gestohlene Kommunikationsverlauf. Hinter den Links befindet sich eine ZIP-Datei mit einem Excel-Dokument. Zur Installation der Schadsoftware wird die Makro-Funktion von Office (in diesem Fall Excel) ausgenutzt.

  • Bösartige E-Mails können auch von angeblich bekannten Absendern kommen. Seien Sie vorsichtig, wenn beispielsweise plötzlich zusammenhangslos bereits getätigte Kommunikation verwendet wird.
  • Schadsoftware wird vielfach über Office-Dokumente verteilt. In den meisten Fällen wird die Makro-Funktion ausgenutzt. Geben Sie nie die Erlaubnis, die Makro-Funktion zu aktivieren.
E-Mail, welche sich auf eine alte Kommunikation bezieht und zwei Links auf Schadsoftware enthält
E-Mail, welche sich auf eine alte Kommunikation bezieht und zwei Links auf Schadsoftware enthält

Auftrag von Japan - Schadsoftware oder Betrug?

In der vergangenen Woche meldete ein Schweizer Anwaltsbüro dem NCSC eine verdächtige Kontaktaufnahme einer angeblich japanischen Firma. Darin wurde das Anwaltsbüro gebeten, die Prozessführung eines Falles gegen eine Schweizer Firma zu übernehmen. In einer angehängten PDF-Datei befand sich zudem ein achtseitiger Vertrag mit juristischen Klauseln, der die Modalitäten auflistete. Verdächtig an der Kontaktaufnahme war jedoch, dass die Firma über eine Gmail-Adresse kommunizierte. Eine Rückfrage an die japanische Firma – und an die richtige E-Mail-Adresse auf der offiziellen Firmenwebseite - ergab dann auch, dass diese mit dem angeblichen Auftrag nichts zu tun hatte.

Doch was steckte genau dahinter?
Eine Analyse der PDF-Datei ergab keine Unregelmässigkeiten. Einen Angriff mittels Schadsoftware konnte deshalb ausgeschlossen werden. Das NCSC fand auf dem Internet die verwendete Vorlage des Vertrags. Diese Vorlage ist frei erhältlich und enthält ein pfannenfertiges Dokument, in dem die Angreifer einfach die Namen der Vertragspartner einsetzen mussten. Das Dokument diente als Köder, um Fachwissen vorzutäuschen und das Anwaltsbüro zu bewegen, den Auftrag anzunehmen.

Doch was war die Motivation hinter dieser Anfrage?
Ziel des Angreifers ist es, die Firma dazu zu bringen, den Auftrag anzunehmen und für den Aufwand eine entsprechende Rechnung zu stellen. Der Angreifer gibt dann vor, diese Rechnung mittels Scheck oder Überweisung zu bezahlen. Danach folgen Kopien von angeblichen Schecks oder Schreiben von fiktiven Banken, damit das Opfer überzeugt wird, dass der Betrag auch tatsächlich bezahlt wurde. Der Trick besteht nun darin, dass die überwiesene Summe in diesen Fällen höher ist, als ursprünglich abgemacht. Das Opfer wird im Anschluss gedrängt, die Differenz entweder auf ein anderes Konto zurückzuzahlen oder unter irgendwelchen Vorwänden an fiktive Dienstleister zu überweisen und das noch bevor das Opfer verifizieren kann, ob das Geld auch tatsächlich auf seinem Konto eingegangen ist. Am Schluss ist der Scheck natürlich nicht gedeckt, respektive die angekündigte Überweisung nur vorgetäuscht. Es handelt sich in diesen Fällen um einen klassischen Überzahlbetrug. Das Anwaltsbüro hat den Betrug frühzeitig erkannt und das NCSC informiert.

  • Seien Sie skeptisch, wenn die Firmenkommunikation über grosse E-Mail-Dienstleister wie Gmail, Hotmail, Bluewin erfolgt.
  • Informieren Sie sich über die Seriosität der Firma, welche Sie kontaktiert hat Verifizieren Sie die Richtigkeit eines Auftrages über eine Kontaktadresse auf der offiziellen Firmenwebseite.

Vorschussbetrug mit unerwartetem Ausgang

E-Mails, welche vorgeben, dass der Empfänger irgendeine grosse Summe erhalten soll, werden zu tausenden versendet. Meist handelt es sich um angebliche Erbschaften von einem Prinzen, verschollenen Vermögen, welche auf einen Besitzer warten oder einen Lotteriegewinn. Die in solchen Nachrichten gemachten Angebote und Versprechungen sind jeweils frei erfunden und sollen lediglich eine glaubhafte Kulisse bilden, vor welcher der Betrug abgewickelt werden kann. Wird beispielsweise auf eine Nachricht geantwortet, wird unter irgendwelchen Vorgaben eine Vorauszahlung verlangt. Deshalb spricht man von «Vorschussbetrug». Versprochene Leistungen existieren jedoch nicht.

Auch im aktuellen Fall begann es mit einem Gewinn von 10 Millionen Dollar. Angeblich wurde die E-Mail-Adresse in einer amerikanischen Lotterie gezogen und hatte sogar den Hauptpreis gewonnen. Um den Empfänger von der Richtigkeit und der Existenz des Geldes zu überzeugen, wurde auch gleich ein Link zu einer Seite mitgesendet, auf der sich der vermeintliche Gewinner von der Richtigkeit, respektive von der Existenz des Gewinnes überzeugen konnte. Allerdings musste er sich dort zuerst authentifizieren - und zwar mit dem Passwort des E-Mail-Kontos, welches gewonnen hat. Ein Test durch das NCSC hat ergeben, dass man auf der Seite eine beliebige E-Mail-Adresse und ein beliebiges Passwort eingeben konnte, ein Gewinn wurde aber nie angezeigt, sondern man landete immer auf der Seite des entsprechenden E-Mail Providers. Durch Angabe des Passwortes erlangten die Angreifer allerdings Zugriff auf das E-Mail-Konto des Opfers – ein klassischer Phishing-Versuch. Solch neuen Kombinationen zweier bekannten Phänomene, wie in diesem Fall Vorschussbetrug mit Phishing, werden in letzter Zeit häufiger beobachtet.

  • Seien Sie skeptisch, wenn Sie E-Mails erhalten, die eine Aktion von Ihnen verlangen und ansonsten mit Konsequenzen drohen (Geldverlust, Strafanzeige oder Gerichtsverfahren, Konto- oder Kartensperrung, Verpasste Chance, Unglück).
  • Klicken Sie in verdächtigen E-Mails auf keine Anhänge und folgen Sie keinen Links.
Gefälschte Webseite, welche nach dem Einloggen, den Gewinn zeigen soll.
Gefälschte Webseite, welche nach dem Einloggen, den Gewinn zeigen soll.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 26.10.2021

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/wochenrueckblick_42.html