Bund warnt vor fieser Masche
Nur ein falscher Klick kostet 20'000 Franken

Ein Fall, der dem Bundesamt für Cybersicherheit kürzlich gemeldet wurde, zeigt, wie wichtig es ist, sein digitales Leben gut zu schützen.
Publiziert: 27.05.2024 um 12:43 Uhr
|
Aktualisiert: 27.05.2024 um 14:02 Uhr
1/6
Das Bundesamt für Cybersicherheit (Bacs) warnt vor einer ausgeklügelten Betrugsmasche.
Foto: Getty Images
nnnnnnn.jpg
Tobias BolzernRedaktor Digital

In der heutigen digitalen Welt gilt die Zwei-Faktor-Authentifizierung (2FA) als gute Sicherheitsmassnahme zum Schutz von Online-Konten. Mobiltelefone und E-Mail-Konten spielen dabei als zweiter Sicherheitsfaktor eine zentrale Rolle. Genau das macht sie aber zur Zielscheibe von Cyberkriminellen, die zunehmend versuchen, an die Zugangsdaten zu gelangen.

Welchen Aufwand manche Cybergangster betreiben, zeigt ein Fall, der jüngst dem Bundesamt für Cybersicherheit, kurz Bacs, gemeldet wurde. Einfallstor war ein gefälschtes Kundenportal eines Mobilfunkanbieters. Dank dieser Phishing-Seite gelang es den Betrügern, das Passwort des Opfers zu ergaunern, schreibt das Bacs in seinem Blog.

Alle SMS abgefangen

Doch das war offenbar nur der erste Schritt eines ausgeklügelten Plans: Mit den Zugangsdaten erstellten sie eine E-SIM-Karte auf den Namen des Opfers. Da sie dafür zusätzlich einen SMS-Code zur Bestätigung benötigten, überlisteten sie das Opfer mit einem gefälschten Gewinnspiel, bei dem es auf einer Website den Code für den vermeintlichen Gewinn eingeben musste. Mit der E-SIM konnten sie fortan alle SMS und Anrufe, die an die Nummer des Opfers gingen, abfangen.

«Auch wenn der mögliche Schaden auf den ersten Blick gering erscheint, kann dieses Vorgehen schwerwiegende Folgen haben», warnt der Bund. Und für die betroffene Person waren die Folgen gravierend. Dank der E-SIM konnten die Betrüger das E-Mail-Konto des Opfers übernehmen. Wie? «Bei E-Mail-Providern wie Yahoo oder Google ist es möglich, das eigene Passwort entweder über eine andere E-Mail-Adresse oder per SMS zurückzusetzen, wenn die Handynummer verknüpft ist», erklärt das Bacs. Das war hier offenbar der Fall.

Apple-ID, dann Kryptowährung

Mit dem Zugriff auf das E-Mail-Konto und die Handynummer konnten die Angreifer auch das Apple-Konto übernehmen – was weiteres Ungemach bedeutete. Denn damit hatten die Gangster Zugriff auf die Daten in der Cloud. Sie überspielten ein iPhone-Backup auf ihr eigenes Gerät und erhielten so einen Überblick über alle installierten Apps, erklärt das Bundesamt.

Besonders brisant: Die Angreifer fanden heraus, dass das Opfer mehrere Apps zur Verwaltung von Kryptowährungen nutzte. Mit diesen Informationen konnten sie gezielt die Passwörter der Konten zurücksetzen und die Authentifizierungscodes abfangen. Dieser Vorfall zeigt eindrücklich, wie wichtig es ist, wachsam zu bleiben und sich vor Phishing-Attacken zu schützen. Im aktuellen Fall ist ein Schaden von über 20'000 Franken entstanden. «Und dies nur, weil die Person zu Beginn auf einer Phishing-Seite ein Passwort für einen scheinbar unkritischen Internetdienst eingegeben hatte», fasst das Bacs zusammen. Ultimativ löste also ein falscher Klick einen grossen finanziellen Verlust aus.

So schützt du dich

Um sich vor solchen und ähnlichen Angriffen zu schützen, empfiehlt das Bundesamt für Cybersicherheit folgende Tipps zu befolgen.

  • Installiere, wenn immer möglich, eine Zwei-Faktor-Authentifizierung. Dies bietet eine zusätzliche Schutzebene, um zu verhindern, dass dein Konto gehackt wird.
  • Gib nie persönliche Daten wie Passwörter oder Kreditkartendaten auf einer Webseite ein, die du über einen Link in einer E-Mail oder SMS angeklickt hast.
  • Bedenke, dass E-Mail-Absender leicht gefälscht werden können.
  • Verwende Passwörter mit mindestens 12 Zeichen, bestehend aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen.
  • Verwende keine Passwörter mehrfach.
  • Nutze nach Möglichkeit mehrere E-Mail-Adressen für verschiedene Einsatzzwecke.
Externe Inhalte
Möchtest du diesen ergänzenden Inhalt (Tweet, Instagram etc.) sehen? Falls du damit einverstanden bist, dass Cookies gesetzt und dadurch Daten an externe Anbieter übermittelt werden, kannst du alle Cookies zulassen und externe Inhalte direkt anzeigen lassen.
Fehler gefunden? Jetzt melden

Was sagst du dazu?