Wie Phisher klassische Sicherheitsmassnahmen umgehen
Cyberkriminelle gestalten ihre Angriffsverfahren immer raffinierter, um auch erfahrene Nutzende zu täuschen. Dabei setzen sie zunehmend auf zweistufige Phishing-Angriffe und umgehen damit die klassischen Sicherheitsmassnahmen.
Dass Angreifer auf Masse setzen ist altbekannt, doch zunehmend schwören sie auch auf gezielte Angriffe. Diese gestalten sich in der Zahl zwar kleiner und bereiten den Phishern mehr Aufwand, kommen jedoch mit höheren Erfolgschancen einher. Das Bundesamt für Cybersicherheit (BACS) beobachtet eine zunehmende Komplexität von Phishing-Attacken mit zweistufigem Angriffsverfahren.
Ein dem BACS gemeldeter Fall verdeutlicht die verstärkte Raffinesse bei Cyberangriffen.
Betrüger sprechen von Betrug
Die spezielle Betrugsmasche beginne mit einer harmlosen E-Mail, welche angeblich von einer Bank stamme. Darin schreiben die Betrüger laut Bundesamt, dass die betreffende Person über einen Link eine Aktualisierung der persönlichen Daten durchführen müsse. Folgt man dem Link, öffne sich eine täuschend echt aussehende Website.
Gefragt würden dabei scheinbar harmlose Angaben wie Vertragsnummern, Namen oder Telefonnummern. Kreditkartendaten oder Passwörter werden nicht verlangt, wie die Behörde schreibt. Nach dem Absenden der Daten würden die Betroffenen auf die echte Website der Bank weitergeleitet - was das Vorgehen besonders unauffällig erscheinen lässt.
Einige Tage später folge der zweite Schritt: Die Angreifer melden sich laut BACS telefonisch und geben sich überzeugend als Bankmitarbeitende aus. Dabei erscheine sogar die echte Rufnummer der Bank auf dem Display. Mithilfe der zuvor abgegriffenen Informationen - wie etwa Name, Adresse oder Details zur Bankkarte - wirken die Anrufer demnach glaubwürdig und bauen gezielt Vertrauen auf. Im weiteren Gespräch behaupten die Cyberkriminellen, es habe eine verdächtige Transaktion gegeben, die blockiert werden müsse. Dazu senden die Phisher ihren potenziellen Opfern einen QR-Code, der über die entsprechende E-Banking-App gescannt werden soll, wie das BACS weiter schreibt. Was den Betroffenen nicht klar ist: Durch das Scannen würden sie den Betrügern unbewusst Zugriff auf ihr Bankkonto gewähren. Somit werde der zweite Faktor der Authentifizierung ausgenutzt.
Betrug vermeiden
Allgemein rät das BACS, auch harmlos wirkenden Anfragen ohne eine Abfrage sensibler Daten zu misstrauen. Bei der Angabe persönlicher Daten könne es sich immer auch um einen ersten Schritt eines gezielten Angriffs handeln. Zudem empfiehlt das Bundesamt, QR-Codes mit der E-Banking-App nur dann zu scannen, wenn man sich absolut sicher ist, dass man sich auf der richtigen Website befindet. Passwörter und TANs sollen niemals weitergegeben werden. Zudem gilt: Kein seriöser Anbieter würde Personen telefonisch oder per E-Mail dazu auffordern, Passwörter oder TANs einzugeben. Generell warnt die Behörde davor, persönliche und sensible Daten telefonisch anzugeben.
Dass Cyberkriminelle sich des Öfteren als Bankangestellte ausgeben, um an die Daten ihrer potenziellen Opfer zu gelangen, zeigt auch eine Meldung der Kantonspolizeien Zürich und Bern. Dabei fordern die Phisher ihre potenziellen Opfer zur vermeintlichen Aktivierung von "3D Secure" auf. Lesen Sie hier mehr darüber.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Abacus investiert in KI-Lösungen aus dem Tessin
Wenn Owl Kitty Madonna praktisch die Show stiehlt
Inventx lanciert KI-Plattform für Finanzdienstleister
Faigle übernimmt Druckzentrum der ehemaligen Credit Suisse
Wie der Datenschutz von morgen aussehen könnte
Julius Bär will über IT Kosten senken
Cookie-Diebstahl nimmt rasant zu - auch in der Schweiz
Vishing-Angriffe zielen auf Salesforce-User
AWS lanciert autonome europäische Cloud
