Wie Datendiebe auf Beutejagd gehen
Cyberkriminelle sammeln persönliche Informationen ihrer Opfer entweder passiv via Datenlecks oder aktiv über Täuschungsmanöver wie dem altbekannten Phishing. Laut dem BACS nutzen sie diese Daten, um detaillierte Profile ihrer potenziellen Opfer anzulegen und dadurch gezielte Betrugsversuche vorzubereiten.
Das Bundesamt für Cybersicherheit (BACS) erhält immer wieder Fragen von Bürgerinnen und Bürgern dazu, wie denn Cyberkriminelle überhaupt an ihre Daten gelangen. Die Behörde gibt nun in ihrem Wochenrückblick Antworten darauf.
Grundsätzlich gebe es nämlich zwei Hauptstrategien, die die Bösewichte anwenden. Dabei würden sie wie Analysten vorgehen: Scheinbar nicht zusammenhängende Daten aus verschiedenen Quellen sammeln und diese zu einem detaillierten Profil ihrer potenziellen Opfer zusammensetzen.
Start der Angriffskette via Datenlecks
Eine der Strategien sei die passive Beschaffung massenhafter Datensätze, welche das Fundament künftiger Angriffe darstellen. Ein Datenleck - auch Datenpanne genannt - ist ein Sicherheitsvorfall, bei dem sensible Daten unbeabsichtigt aus Organisationen an die Öffentlichkeit dringen. Dies geschieht laut BACS in der Regel aufgrund interner Schwachstellen, menschlichem Versagen oder technischen Fehlkonfigurationen.
Dabei würden typischerweise Namen, E-Mail-Adressen, Telefonnummern, Wohnadressen, Geburtsdaten oder Passwörter (meist jedoch in verschlüsselter Form) offengelegt. Im schlimmsten Fall geraten auch Finanzinformationen möglicher Opfer in die kriminellen Hände. Die Betrüger nutzen diese Informationen anschliessend als Handelsware innerhalb krimineller Netzwerke.
Solche Datenlecks gelten demnach nicht als Ende, sondern eher als Anfang einer Angriffskette und resultieren in unerwünschten Spam- und Phishing-E-Mails. Denn anstatt zufällige Nachrichten an potenzielle Opfer zu versenden, können Cyberkriminelle mit der Liste qualifizierter Daten gezielte Phishing-Kampagnen starten, die sich direkt an Kundinnen und Kunden des betroffenen Händlers richten, dessen Daten geleakt wurden.
Mit Psychospielen Daten abgreifen
Die andere Variante, die Betrüger gerne anwenden, ist die aktive Beschaffung von Daten - das sogenannte Informations-Phishing. Mittels gezielten Täuschungsmanövern bringen sie laut Bundesamt Personen dazu, ihre Daten freiwillig preiszugeben. Dabei gehe es nicht darum, Konten der Opfer direkt zu übernehmen, sondern - wie auch bei der passiven Beschaffung - Puzzleteile zu sammeln, um ein vollständiges Datenprofil der Zielpersonen anzulegen.
Wie das BACS schreibt, ist es derzeit bei Cyberkriminellen insbesondere im Trend, täuschend echte Websites von vertrauenswürdigen Organisationen wie Versicherungen, Zahlungsdienstleistern oder Krankenkassen nachzuahmen. So warnt beispielsweise Visana derzeit davor, dass Cyberkriminelle im Namen der Krankenkasse mit angeblichen Prämienrückerstattungen locken, wie Sie hier lesen können. Dabei sei der Vorwand meist derselbe: Die Betrüger fordern die Nutzer auf, ihre Daten zu aktualisieren oder zu verifizieren, und spielen dabei mit dem Bedürfnis der Betroffenen, ihre Konten sicher zu halten.
In der Regel würden die Kriminellen dabei Zeitdruck aufbauen, indem sie mit der Sperrung des jeweiligen Kontos oder anderen Konsequenzen drohen. Sind die Betrüger erst einmal im Besitz der gewünschten persönlichen Informationen, setzen sie diese gezielt für spätere Betrugsversuche ein.
Cyberbetrug gekonnt vermeiden
Um nicht in das Netz von Betrügern zu geraten, rät das Bundesamt zu einer gesunden Portion Misstrauen gegenüber unaufgeforderten Nachrichten, in denen persönliche Informationen abgefragt werden. Zudem sei dazu angehalten, für jedes Konto ein individuelles und starkes Passwort einzusetzen und eine Zwei- oder Mehr-Faktoren-Authentisierung einzurichten.
Das BACS empfiehlt ausserdem, niemals auf Links zu klicken oder Telefonnummern anzurufen, die in verdächtigen Nachrichten angegeben sind. Auf Online-Formularen soll man zudem nur zwingend notwendige Informationen preisgegeben.
Ist man trotzdem Opfer eines Betrugs geworden, empfiehlt die Bundesstelle, umgehend die entsprechende Bank oder den Kreditkartenanbieter zu kontaktieren und betroffene Karten sperren zu lassen. Im Falle eines finanziellen Schadens sei dazu geraten, eine Anzeige bei der Polizei zu erstatten. Phishing-Versuche könne man zudem über das offizielle Meldeformular des BACS oder auf dem von der Behörde betriebenen Website "antiphishing.ch" melden.
Dass Betrüger nicht immer einen so hohen Aufwand betrieben müssen, um ihren Opfern Geld aus der Tasche zu ziehen, zeigt ein anderer dem BACS gemeldeter Fall. Dabei versuchen Kriminelle, Twint-User im schlaftrunkenen Zustand zu erwischen, wie Sie hier lesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Falsche Kinder bitten um Geld
Unterwegs im Auto mit Mutti
Wie Datendiebe auf Beutejagd gehen
Cyberkriminelle geben sich als Visana aus
Wo die Stärken, Chancen und Risiken im Schweizer Cybersecurity-Ökosystem sind
BACS präsentiert Konzept für koordinierte Bewältigung von Cyberangriffen
VFX-Künstler zeigt eindrücklich, wie gross Dinos wirklich waren
Update: Luzerner Parlament lässt M365-Einführung weiterlaufen
Wenn Satelliten schweigen: Die wachsende Cybergefahr im All
