Kriminelle kontern Sicherheitsmassnahmen mit zweistufigem Betrug
Cyberkriminelle entwickeln die Betrugsmasche mit erfundenen Paket-Benachrichtungen weiter. im "Double Phishing" ergaunern sie im ersten Schritt die Kreditkartendaten ihres Opfers. Wenig später melden sie sich auch noch telefonisch, um den Sicherheitscode zur Auslösung von Kreditkartenzahlungen abzugreifen.
Die Betrugsmasche des Paket-Phishing ist schon älter und recht bekannt. Es beginnt typischerweise mit einer harmlos aussehenden SMS oder E-Mail, wie das Bundesamt für Cybersicherheit (BACS) mitteilt. Ein Paket könne aufgrund ausstehender Zoll- oder Portogebühren nicht wie geplant zugestellt werden. Für die Freigabe müsse eine kleine Gebühr entrichtet werden. In der Regel beträgt diese nur wenige Franken, wie das Bundesamt schreibt.
Wer jedoch den mitgeschickten Link anklickt, wird nicht zu einem legitimen Angebot, sondern auf eine gefälschte Website weitergeleitet, warnt das BACS. Zahlt man hier die vermeintlich kleine Gebühr, übermittelt man den Betrügern hinter der Fake-Benachrichtigung die Kreditkarteninformationen.
Beispiele von angeblichen Paketbenachrichtigungen per E-Mail oder als Textnachricht. (Source: BACS)
Beispiele von angeblichen Paketbenachrichtigungen per E-Mail oder als Textnachricht. (Source: BACS)
"Double Phishing" baut auf Paketbetrug auf
Weil Kreditkartendaten allein heutzutage meist nicht mehr ausreichen, um Zahlungen per Karte zu tätigen, doppeln Betrüger laut BACS neu per Telefon nach. Diese als "Double Phishing" geläufige Methode ziele darauf ab, auch an Daten von zusätzlichen Sicherheitsmassnahmen wie 3-D Secure oder SMS-Codes zu kommen oder In-App-Bestätigungen auszulösen.
Sind sie im Besitz der Kreditkarteninformationen, verlieren die Cyberkriminellen laut dem Bundesamt wenig Zeit, ihre Opfer per Telefon zu kontaktieren. Dabei würden redegewandte Personen als Angestellte von Banken oder Kreditkarteninstituten auftreten. Durch "Spoofing" könne auf dem Telefondisplay dabei auch die echte Nummer des Kartenherausgebers erscheinen. Am Telefon informieren Betrüger ihr Opfer, man habe eine verdächtige Abbuchung festgestellt. Um die Transaktion zu stoppen, werde ein Sicherheitscode benötigt, der in Kürze per SMS oder Banking-App eintreffe.
Im Moment, in dem das Opfer einen solchen Code bekanntgibt oder in einer Banking-App bestätigt, wird von den Betrügern eine entsprechende Zahlung mit den gestohlenen Kartendaten ausgelöst. Die vermeintliche Transaktion wird damit nicht gestoppt, sondern eine echte Transaktion ausgelöst, wie die Behörde schreibt.
Empfehlungen des BACS
- Man sollte keine Links in Nachrichten anklicken.
- Sollte man Kreditkartendaten angegeben haben, soll man sich umgehend an den Kreditkartendienstleister wenden, damit dieser die Kreditkarte sperren kann.
- Falls man sein Passwort angegeben hat, sollte dieses sofort bei allen Diensten geändert werden. Für jeden Online-Dienst sollte ein separates, starkes Passwort verwendet werden.
- Handelt es sich um ein E-Mail-Passwort, sollten auch alle Passwörter der Web-Dienstleister zurückgesetzt werden, die mit diesem Konto in Verbindung stehen.
- Falls man einen finanziellen Schaden erlitten hat, empfiehlt das BACS, eine Strafanzeige bei der örtlichen Polizei zu erstatten. Auf der Seite von Suisse ePolice kann man Polizeiposten in der Nähe suchen.
- Paketankündigungen, die zur Zahlung einer Gebühr drängen, sollte man ignorieren.
- Wenn man ein Paket erwartet, sollte man im Zweifelsfall den Telefonsupport des entsprechenden Paketdienstleisters anrufen (nicht den Link anklicken).
- Bei Diensten, die eine Zwei-Faktor-Authentifizierung ermöglichen, sollte man diese unbedingt aktivieren. Dies erhöht die Sicherheit der Daten um ein Vielfaches.
- Keine Bank und kein Kreditkartendienstleister wird Kunden jemals per E-Mail auffordern, Passwörter bekannt zu geben oder Kreditkartendaten zu verifizieren.
- Man soll niemals persönliche Daten wie Passwörter oder Kreditkartendaten auf einer Webseite eingeben, die man über einen Link in einer E-Mail oder Textnachricht angeklickt hat.
- Absender von E-Mails oder Textnachrichten können leicht gefälscht werden.
- Man sollte skeptisch sein bei E-Mails oder Textnachrichten, in denen mit Konsequenzen gedroht wird (Geldverlust, Strafanzeige, Konto-/Kartensperrung usw.).
Wie der Betrug mit fehlenden Unterlagen zur Freigabe zurückgehaltener Pakete im Detail ablaufen kann, können Sie hier nachlesen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Schlieren - eine aussergewöhnlich attraktive Feriendestination
Paketbetrug bleibt eine erfolgreiche Phishing-Methode
Wo die Prioritäten in der Cybersecurity liegen
Wie weit man in der Milchstrasse mit Lichtgeschwindigkeit kommt
Innosuisse und Armasuisse starten Projektwettbewerb im Bereich Dual-Use-Technologie
KI beschleunigt Entwicklung und Durchführung von Cyberattacken
Unlock the power of Fortinet – BOLL lädt zum Partner Day ein
Kriminelle kontern Sicherheitsmassnahmen mit zweistufigem Betrug
Kritische Lücke in cPanel dient als Einfallstor für Ransomware
