Warum Kleinanzeigen-Phishing zunehmend zur Schadsoftware-Falle wird

Phishing über Kleinanzeigenplattformen ist nach wie vor weit verbreitet. Die Angreifer folgen dabei bekannten Mustern: Sie nehmen Kontakt auf, verlagern die Kommunikation auf Whatsapp, senden dem Verkäufer einen Link oder QR-Code zu einer gefälschten Website - und versuchen, die potenziellen Opfer dort zur Bestätigung einer angeblichen Zahlung zu bewegen.

Nun berichtet das Bundesamt für Cybersicherheit (BACS) von einer gefährlichen Weiterentwicklung der Betrugsmasche. Wenn potenzielle Opfer nicht mehr auf das klassische Phishing reagieren, würden die Angreifer versuchen, sie über das Öffnen eines manipulierten Dokuments zur Installation von Schadsoftware zu verleiten. Diese Taktik stellt laut BACS eine Reaktion auf die gestiegene Sensibilisierung der Bevölkerung gegenüber Phishing-Links dar. Die von den Phishern verbreitete Malware - sogenannte Infostealer - sammle unbemerkt sensible Informationen vom Computer der Opfer.

Gemäss einem dem Bundesamt gemeldeten Fall könne man die Vorgehensweise der Phisher - von der klassischen Phishing-Masche bis zum Einschleusen der Schadsoftware - in vier Phasen unterteilen:

1. Die Phisher melden sich kurz nach Aufschalten eines Inserats bei dem Verkäufer und verlagern die Konversation auf Whatsapp. Dabei nutzen sie eine Schweizer Mobilfunknummer, um Vertrauen zu erzeugen und lokale Legitimität vorzutäuschen.
2. Zunächst setzen die Angreifer auf die bekannte Masche: Sie senden eine PDF-Datei, die als offizielle Rechnung getarnt ist und einen QR-Code enthält, der angeblich eine Zahlung bestätigen soll.
3. Reagiert der Verkäufer nicht, senden die Täter eine Zip-Datei mit dem Namen "Twint-Rechnung.zip". Der vertrauenswürdige Name eines bekannten Zahlungsdienstleisters soll Sicherheit vorgaukeln, während die Datei jedoch tatsächlich Schadsoftware enthält.
4. Mit Nachrichten wie "Bitte überprüfen Sie ihn sofort" erzeugen die Cyberkriminellen gezielt Zeitdruck, um unüberlegtes Handeln zu provozieren. Gleichzeitig weisen sie darauf hin, dass die Datei nur am Computer geöffnet werden könne - ein Hinweis auf die Windows-spezifische Schadsoftware, die gezielt Browserdaten, Passwörter und Finanzinformationen auslesen soll.

Worauf es Betrüger abgesehen haben

Der Schaden durch einen Infostealer sei im Gegensatz zum klassischen Phishing meist grösser. Die Cyberkriminellen haben es gemäss Behörde bei dieser Taktik auf folgende Informationen abgesehen:

• Gespeicherte Anmeldedaten (Benutzernamen und Passwörter) aus allen installierten Webbrowsern
• Finanzinformationen und Kreditkartendetails
• Session-Cookies, die den Angreifern ermöglichen, sich ohne Passwort in Online-Konten des Opfers einzuloggen
• Daten von Kryptowährungs-Wallets
• Persönliche Dokumente und Systeminformationen

Wie man sich schützt

Das BACS empfiehlt, allen unaufgefordert zugesendeten Dateien zu misstrauen und Anhänge potenzieller Käufer nicht zu öffnen. Verkäuferinnen und Verkäufer sollten auf einer sicheren Zahlungsmethode bestehen und keine Links anklicken oder Dateien herunterladen. Der einzige gültige Zahlungsnachweis ist laut Bundesamt der tatsächliche Geldeingang auf dem Bank- oder Twint-Konto - keine Screenshots, PDFs oder E-Mails. Betriebssystem, Webbrowser und Antivirensoftware sollten stets aktuell gehalten werden, um Schadsoftware zu erkennen und zu blockieren. Bei Verdacht auf eine Infektion rät die Behörde, den Computer umgehend vom Internet zu trennen. Passwörter sollten über ein anderes, sicheres Gerät geändert werden, und der Vorfall dem BACS sowie der Polizei gemeldet werden. Weitere Tipps dazu, wie man sich vor Kleinanzeigen-Phishing schützen kann, hat das BACS Anfang Jahr geliefert. 

Phishing auf Kleinanzeigenplattformen nimmt stetig zu. Die Swiss Marketplace Group hat mit der Schweizerischen Kriminalprävention über die neuen Betrugsmaschen informiert. Lesen Sie hier mehr. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.