Wie Cybergauner falsche Support-Nummern auf seriöse Websites schmuggeln

Nicht immer läuft alles rund in den Ferien. Cyberkriminelle wissen dies und versuchen daraus Profit zu schlagen. In seinem Wochenrückblick erklärt das Nationale Zentrum für Cybersicherheit (NCSC) eine ihrer aktuellen Tricks.

Irreführende Werbeanzeigen als Köder

Zunächst sorgen die Kriminellen dafür, auf Google-Suchseiten prominent zu erscheinen. Sie tun dies mittels bezahlter Werbeanzeigen. Sucht jemand etwa nach der Support-Nummer eines Reiseveranstalters, wird auch die Anzeige der Betrüger eingeblendet – und zwar noch vor den eigentlichen Suchresultaten, wie das NCSC anmerkt. Zwar, merkt die Behörde an, würden solche Anzeigen mit dem Vermerk "gesponsert" ausgespielt. Sei man aber in Eile, könne man diesen Zusatz leicht übersehen. In anderen Fällen nutzen die Kriminellen Werbeanzeigen übrigens auch, um ein Computerproblem vorzutäuschen. Mehr dazu lesen Sie hier.

Manipulation mittels Content Injection

Häufig erkennt man eine betrügerische Website an deren Domain. Ein Blick in die Adresszeile des Web-Browsers lohnt sich somit. Doch im vom NCSC geschilderten Fall ist das anders, denn hier lockten die Betrüger ihr Opfer tatsächlich auf die echte Website eines seriösen Reiseveranstalters.

Darauf jedoch wurde nicht die echte Support-Nummer des Unternehmens, sondern eine von den Cyberkriminellen auf die Website geschmuggelte Telefonnummer angezeigt. Wer dort anrief, wurde entsprechend mit den Gaunern verbunden.

Doch wie gelingt es, fremde Inhalte auf seriöse Websites zu schmuggeln? Das Verfahren nennt sich Content Injection, wie das NCSC erklärt. "In diesem Fall schaffen es Betrüger mit einem präparierten Link beliebigen Inhalt auf einer legitimen Webseite zu platzieren", schreibt die Behörde weiter. Möglich sei dies zum Beispiel, wenn über die Internetadresse Parameterwerte mitgegeben werden können, die beim Seitenbetreiber nicht überprüft werden. Dies möge auf den ersten Blick harmlos erscheinen, könne aber kombiniert mit Social Engineering auch für Betrügereien missbraucht werden.

Massnahmen für Nutzer und Websitebetreiber

Ist das Opfer erst mit den Cyberkriminellen verbunden, versuchen diese, an sein Geld zu kommen. Man werde "typischerweise gebeten, eine App zu installieren und die Kreditkartennummer anzugeben. Kurz darauf folgt eine entsprechende Abbuchung", beschreibt die Behörde das Vorgehen.

Um nicht in solche Fallen zu tappen, hält die Behörde diese Tipps bereit:

• Seien Sie vorsichtig bei der Verwendung von Suchmaschinen. Verwechseln Sie nicht die gesponserten Suchresultate mit den eigentlichen Suchresultaten.

• Öffnen Sie die Seite des Reiseveranstalters direkt und suchen auf dessen Seite nach Support-Nummern

• Geben Sie niemals Kreditkartendaten am Telefon weiter.

• Sollten Sie Kreditkartendaten angegeben haben, melden Sie sich umgehend bei Ihrem Kreditkartendienstleister.

• Schreiben Sie sich wichtige Hotline-Nummern im Vorfeld in Ruhe auf. Zum Beispiel auch die Nummer des Kreditkartendienstleisters, damit Sie im Notfall die Karte sperren können.

Die Betreiber von Websites wiederum sollten Content Injection verhindern. Sie sollten sicherstellen, dass die bei Seitenaufrufen übergebenen Parameter den erwarteten Daten entsprechen - also valide sind. "Es ist wichtig, dass innerhalb des Codes einer HTML-Seite niemals nicht vertrauenswürdige oder ungefilterte Daten verwendet werden", schreibt etwa der Cybersecurity-Anbieter Tenable dazu.

Ende Juni vermeldete das NCSC eine neue Rekordzahl eingegangener Meldungen zu Cybervorfällen. Die Behörde beobachtet zudem, dass Phishing-Mails immer ausgeklügelter werden, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.