Betrugsversuche auf Kleinanzeigenplattformen bleiben eine anhaltende Bedrohung. Aktuelle Vorfälle zeigten jedoch eine "besorgniserregende Eskalation" dieser Methode, wie das Bundesamt für Cybersicherheit (BACS) in der Schweiz am Dienstag in einer Mitteilung schreibt. "Wenn die Opfer nicht auf das Phishing reagieren, versuchen die Angreifer in einem weiteren Schritt, sie zur Ausführung von Schadsoftware zu verleiten."
Diese taktische Anpassung sei eine Reaktion auf die gestiegene Sensibilisierung der Bevölkerung gegenüber Phishing-Links. Da Nutzerinnen und Nutzer zunehmend lernen, verdächtige Webadressen zu erkennen, verlagern Kriminelle ihren Fokus auf neue Angriffsvektoren, in diesem Fall auf das Öffnen eines angeblichen Dokuments.
Ein dem BACS gemeldeter Fall illustriert die neue Vorgehensweise detailliert.
Phase 1: Kontaktaufnahme und Vertrauensaufbau
Kurz nach dem Inserieren eines Artikels meldet sich ein Interessent und bittet darum, die Konversation auf WhatsApp fortzusetzen. Um Vertrauen zu erwecken, wird eine Mobilfunknummer aus dem Land des Opfers verwendet, was dem Verkäufer lokale Präsenz und Legitimität suggeriert.
Phase 2: Der erste Köder – die gefälschte Zahlungsbestätigung
Zunächst setzen die Täter auf die bekannte Masche: Sie senden eine PDF-Datei, die als offizielle Rechnung von PostFinance getarnt ist und einen QR-Code enthält.
Phase 3: Die Eskalation zur Schadsoftware
Nachdem der Verkäufer auf den ersten Versuch nicht wie gewünscht reagiert, folgt der eigentliche Angriff. Die Täter senden eine ZIP-Datei mit dem Namen "Twint-Rechnung.zip". Der Dateiname nutzt erneut den vertrauenswürdigen Namen eines bekannten Dienstleisters, um das Opfer in Sicherheit zu wiegen.
Phase 4: Psychologische Manipulation (Social Engineering)
Der Versand der Datei wird von massivem psychologischem Druck begleitet. Mit Nachrichten wie "Bitte überprüfen Sie ihn sofort" wird Zeitdruck erzeugt, der zu unüberlegtem Handeln verleiten soll. Entscheidend ist jedoch eine spezifische Anweisung: "Öffnen Sie ihn am Computer – nur der Computer unterstützt dieses Dokumentenformat! Mit dem Handy wird es nicht funktionieren!".
"Info Stealer"
Bei der in der ZIP-Datei enthaltenen Schadsoftware handelt es sich um einen sogenannten "Info Stealer". Diese Art von Schadsoftware ist darauf spezialisiert, unbemerkt und schnell sensible Informationen vom Computer eines Opfers zu sammeln und an einen von den Angreifern kontrollierten Server zu senden. Im Gegensatz zu klassischem Phishing, das nur die vom Nutzer auf der vorbereiteten Seite eingegebenen Informationen wie eine Kreditkartennummer, einen Benutzernamen und ein Passwort erbeutet, ist der Schaden durch einen "Info Stealer" weitaus größer, weil er es auf folgende Informationen abgesehen hat: Gespeicherte Anmeldedaten (Benutzernamen und Passwörter) aus allen installierten Webbrowsern Finanzinformationen und Kreditkartendetails Session-Cookies, die den Angreifern ermöglichen, sich ohne Passwort in Online-Konten des Opfers einzuloggen Daten von Kryptowährungs-Wallets Persönliche Dokumente und Systeminformationen
"Diese Anweisung ist keine technische Hilfestellung, sondern eine strategische Notwendigkeit für den Angriff, da die Schadsoftware auf Passwörter, Cookies und Finanzdaten abzielt, die in dem Browser-Profil auf einem Computer gespeichert sein können", schreibt das BACS. Auf dem Mobiltelefon funktioniert die Schadsoftware zudem gar nicht, sie wurde für Windows-Umgebungen erstellt. Die Täter leiten ihr Opfer daher gezielt in die für sie vorteilhafte und verwundbare Umgebung.
