Darum gehts
- Neue Betrugsmasche: Cyberkriminelle sammeln Daten für getarnte Telefonanrufe
- Betrüger nutzen harmlose E-Mails und gefälschte Bankanrufe für Kontozugriff
- Bundesamt für Cybersicherheit warnt vor Trend zu gezielten Angriffen
Das Bundesamt für Cybersicherheit (Bacs) schlägt Alarm. Grund ist eine neuartige Betrugsmasche, die zurzeit in der Schweiz im Umlauf ist. Ein Fall wurde dem Bund vergangene Woche gemeldet.
Das Perfide daran: Cyberkriminelle sammeln mit harmlosen Mails erst persönliche Daten und nutzen diese dann für perfekt getarnte Telefonanrufe. Ein raffiniertes und perfekt orchestriertes Vorgehen.
So funktioniert der Trick
Der erste Schritt erscheint völlig harmlos: Eine E-Mail, angeblich von der Bank, fordert zur «Compliance-Aktualisierung» auf. Die verlinkte Website wirkt echt, verlangt aber nur scheinbar ungefährliche Daten: Name, Telefonnummer, Vertragsnummer. Keine Passwörter, keine Kreditkartendaten. Nach der Eingabe wird man sogar auf die offizielle Website der Bank weitergeleitet – und wiegt sich in falscher Sicherheit.
Genau hier liegt die Falle: Es handelt sich nicht um einen klassischen Phishing-Angriff, schreibt das Bacs. Sogar die Behörde warnt auf ihrer Website lediglich davor, sensible Daten wie Kreditkartendaten oder Passwörter preiszugeben. «Das macht dieses Vorgehen so gefährlich, wie der weitere Verlauf des Angriffs zeigt», erklärt das Bacs in seinem Blog.
Denn erst Tage später schlagen die Betrüger zu: Die Kriminellen rufen an und zünden die zweite Stufe ihrer Masche. Die angezeigte Telefonnummer ist tatsächlich die der Bank. Sie kennen das Opfer beim Namen, wissen auch Details über die Bankverbindung, denn diese hat man ja preisgegeben. Minutenlang bauen sie systematisch Vertrauen auf.
Dann folgt der finale Schlag: Eine verdächtige Überweisung müsse blockiert werden, behaupten sie. Ein QR-Code, gescannt mit der E-Banking-App, soll das Konto «absichern». In Wahrheit ist das Gegenteil der Fall: Die Kriminellen missbrauchen hier die Zwei-Faktor-Authentifizierung und verschaffen sich unerlaubt Zugriff auf das Bankkonto.
Neue Qualität der Kriminalität
Diese Masche zeigt einen beunruhigenden Trend: Das Bacs beobachtet eine Entwicklung weg von Massen-Phishing hin zu gezielten Angriffen. Aufwändiger, aber erfolgreicher. Auch bei Kleinanzeigen-Betrügereien setzen Kriminelle auf dasselbe bewährte Prinzip: Erst vertraute Situationen schaffen, dann zuschlagen.
Das psychologische Kalkül dahinter: «Die gesunde Portion Skepsis sinkt deutlich, wenn sich die Opfer in einer vertrauten Umgebung befinden oder das Gegenüber viele Informationen über das Opfer hat», warnt das Bacs – und erklärt damit, warum selbst Vorsichtige in diese Falle tappen.
