Phishing zielt auf Android-User mit gefälschten SBB-Mails ab

Eine neue Welle von Phishing-Angriffen, die sich als E-Mails der Schweizerischen Bundesbahnen (SBB) tarnen, ist derzeit in Umlauf. Seit vergangener Woche erhält das Bundesamt für Cybersicherheit (BACS) vermehrt Meldungen über gut gemachte Fälschungen, die darauf abzielen, Schadsoftware für Android-Geräte zu verbreiten. 

Die betrügerischen E-Mails, die in französischer Sprache verfasst sind, informieren die Empfängerinnen und Empfänger über einen angeblich verdächtigen Billettkauf in Höhe von 224 Franken. In der Nachricht wird behauptet, der Kauf sei von einem unbekannten Gerät getätigt worden. Die Betroffenen sollen dann einen Button mit der Aufschrift "Ce n'était pas moi" ("Ich war das nicht") anklicken. 

Betrügerische Mail im Anstrich der SBB. (Source: zVg)

Aber Vorsicht: Wer auf diesen Button klickt, wird laut BACS auf eine gefälschte Webseite weitergeleitet, die einen vermeintlichen Billettkauf für eine Verbindung von Paris nach Strasbourg anzeigt. Um Authentizität vorzutäuschen, enthält die Seite ein funktionsloses QR-Code-Imitat sowie eine Reservierungsnummer. Neben Namen und Adresse wird ausserdem nach Bankverbindungen gefragt - ein Warnzeichen, da solche Informationen für eine Stornierung nicht notwendig wären.

Angeblicher Billettkauf inklusive QR-Code. (Source: zVg)

Schadsoftware im Gepäck

Nun nimmt der Betrugsversuch eine ungewohnte Wendung. Setzt man den Prozess fort, wird eine APK-Datei (ein Android-Installationspaket) heruntergeladen, wie das BACS schreibt. Diese Datei enthalte Schadsoftware, die darauf ausgelegt ist, sensible Daten zu stehlen. 

Installationsanleitung für die Schadsoftware. (Source: zVg)

Das blosse Herunterladen ist noch nicht gefährlich, da die Software manuell installiert werden muss. Aus diesem Grund liefern die Betrüger gleich detaillierte Anleitungen mit, wie die Sicherheitsmechanismen des Smartphones umgangen werden könnten, um die Installation aus "unbekannten Quellen" zu ermöglichen.

Nach der Installation werde sogar "Hilfe" bei Problemen angeboten - vermutlich um telefonischen Kontakt herzustellen und weitere Informationen zu erlangen. Die zuvor abgefragten Kontaktdaten wie Telefonnummer und Bankverbindung erhöhen das Risiko für weitere gezielte Angriffe.

Das BACS empfiehlt

Das Bundesamt für Cybersicherheit empfiehlt folgende Sicherheitsmassnahmen:

• Niemals Programme von Websites installieren, die über Links in E-Mails oder SMS geöffnet wurden.
• Ausschliesslich notwendige Programme und Apps von Herstellerseiten oder offiziellen App-Stores herunterladen.
• Alternative App-Stores nur nutzen, wenn man sich der Sicherheitsrisiken bewusst ist und den Quellen uneingeschränkt vertraut.
• Bei bereits erfolgter Installation einer solchen Schadsoftware das Gerät von einer Fachperson überprüfen lassen.
• Während der Überprüfung keine Bankgeschäfte oder Onlineeinkäufe tätigen und keine Passwörter eingeben.
• In den meisten Fällen ist das Zurücksetzen des Geräts auf Werkseinstellungen die einzige effektive Methode zur Entfernung solcher Schadsoftware.

Lesen Sie auch: Das BACS macht sich auf einen Cyberangriff auf den diesjährigen Eurovision Song Contest in Basel gefasst.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.