In der vergangenen Woche ist die Anzahl gemeldeter Cybervorfälle in der Schweiz explodiert. Grund dafür ist unter anderem eine massive Spam-SMS-Welle, die am 12. Oktober begann und mehrere Tage anhielt. Kriminelle verschickten massenhaft betrügerische SMS an hiesige Mobilfunknummern. Sie versuchten so Android-Usern den gefährlichen E-Banking-Trojaner FluBot unterzujubeln, iOS-User sollten auf betrügerische Webseiten gelockt werden.
Die relativ neue Schadsoftware FluBot ist potenziell äussert gefährlich, da sie beispielsweise beim E-Banking die von der Bank verschickte SMS mit dem Sicherheits-Code abfangen kann. Der Trojaner hebelt somit den zusätzlichen Schutz der Zwei-Faktor-Authentifizierung aus, sofern sich das Opfer per SMS-Code anmeldet. Mobile-Trojaner wie FluBot werden daher von Kriminellen auch genutzt, um E-Mail-Konten und Bitcoin-Wallets zu knacken oder Eingaben in Kreditkartenformularen abzugreifen.
Die Online-Kriminellen waren letzte Woche besonders aktiv, wie die jüngste Auswertung des National Cybersecurity Centre (NCSC) des Bundes zeigt. Bei der Cybercrime-Organisation des Bundes gingen innerhalb einer Woche 832 Meldungen zu unterschiedlichen Cybervorfällen ein – ein absoluter Höchststand in diesem Jahr.
Massgeblich für das Rekordhoch verantwortlich zeichnet der Android-Trojaner FluBot, der nach einer ersten Welle im Juni zurück ist. Das Nationale Zentrum für Cybersicherheit (NCSC) erhielt in der letzten Woche über hundert Meldungen zu betrügerischen Kurznachrichten, in denen die Empfängerin oder der Empfänger aufgefordert wird, eine Voicemail – sprich eine abgespeicherte Sprachnachricht – unter dem angegebenen Link abzuhören.
Zahlreiche Meldungen betrafen zudem eine zweite Spamwelle, welche für Bitcoin-Investments wirbt. Im Netz kursieren beispielsweise betrügerische Werbeanzeigen mit dem Konterfei von Bundesrat Ueli Maurer (SVP).
Ein ähnlich hohes Meldeaufkommen beobachteten die Experten für Cyberkriminalität beim Bund letztmals Anfang Jahr. Dass die aktuelle Betrugs-Welle aussergewöhnlich intensiv war, zeigt auch ein Blick auf cybercrimepolice.ch. Die Webseite zu Cybercrime-Vorfällen der Kantonspolizei Zürich verzeichnet bislang 2016 Meldungen zur aktuellen Spam-SMS-Welle, wobei die gemeldeten Fälle nur einen Bruchteil der effektiven Betrugsversuche ausmachen.
Von den 832 Meldungen der letzten Woche betrafen 315 die Kategorie Schadsoftware, 392 die Kategorie Betrug und 109 Mal wurde ein Phishing-Versuch gemeldet.
315 Meldungen allein zu Schadsoftware innert einer Woche sind aussergewöhnlich. In normalen Wochen sind es unter zehn. Zum Vergleich: Als bei einer anderen grösseren Malware-Welle im April der Erpressungs-Trojaner Qlocker vor allem Private angriff und versuchte Netzwerkspeicher zu verschlüsseln, erhielt das NCSC 39 Meldungen.
Zu beachten ist: «Es handelt sich dabei nicht nur um Schadensmeldungen, sondern vor allem auch um Meldungen zu Cybervorfällen, welche durch den Meldenden frühzeitig erkannt wurden und somit keinen Schaden anrichteten», erklärt das NCSC.
Auch im aktuellen Fall des Android-Trojaners FluBot war die Angriffswelle zwar massiv, richtete aber laut den Cybercrime-Experten kaum Schaden an. Fast niemand habe die bösartige Software tatsächlich heruntergeladen.
Dass die unbekannten Kriminellen seit Ende 2020 in zahlreichen Ländern wiederholt Spam-SMS mit Links zum E-Banking-Trojaner FluBot versenden, lässt jedoch darauf schliessen, dass sich die Betrugsmasche lohnt, auch wenn insgesamt nur ein sehr geringer Teil der Empfänger auf den Betrug hereinfällt.
Als Smartphone-User kannst du wenig gegen den Spam unternehmen. Das Blockieren der Nummern bringt nichts, da sie laufend ändern.
Werden Spam-Wellen entdeckt, können die Webseiten, die für die Verbreitung von Malware oder Phishing-Angriffen genutzt werden, von den Providern relativ schnell gesperrt werden (DNS-Sperre). Nutzerinnen und Nutzer erhalten zwar weiter Spam-SMS, aber die Links sind nicht mehr gefährlich. Das Problem: In der Regel sind die Kriminellen nach kurzer Zeit mit neuen Angriffswellen zurück. Provider und Betrüger liefern sich also ein ewiges Katz- und Maus-Spiel.
Darüber hinaus werden potenziell gefährliche SMS mit einem Warnhinweis versehen, sobald sie genügend oft als Spam gemeldet wurden.
Das Nationale Zentrum für Cybersicherheit (NCSC) schreibt:
Der Trojaner klaut also den SMS-Verifizierungscode und das Opfer bekommt vom Betrug nichts mit, weil die Schadsoftware die verräterische SMS der Bank beim Anmelden im E-Banking-Konto unsichtbar macht.
Die Empfängerin, bzw. der Empfänger wird in der Kurznachricht (SMS, WhatsApp, etc.) aufgefordert eine angeblich unter dem angegebenen Link gespeicherte Sprachnachricht abzuhören. Wer auf den Link tippt, gelangt auf eine Webseite mit dem Logo des eigenen Mobilfunkproviders. Dort wird eine Sprachnachricht angezeigt, allerdings wird man aufgefordert, eine neue Voicemail-App des Providers herunterzuladen, um sie abhören zu können. Hierzu müsse man in den Einstellungen des Betriebssystems die Installation von unbekannten Apps aktivieren (Android blockiert ansonsten die Installation von Apps aus unbekannten Quellen).
Gelingt es FluBot, sich auf Smartphones zu installieren, verbreitet er sich wurmartig weiter, indem er weitere betrügerische Spam-SMS an die Kontakte im Adressbuch sendet.
«Dank Ihrer Meldung über unser Webformular erkennen wir mögliche Trends zu Gefahren im Internet und können gezielt dagegen vorgehen», heisst es auf der Webseite des NCSC.
Das Nationale Zentrum für Cybersicherheit (NCSC) rät:
«Die Schadsoftware selbst versteckt sich tief im befallenen Betriebssystem und kann fast nicht vollständig deinstalliert werden. Das Zurücksetzten des Betriebssystems auf die Werkseinstellungen ist die einzig sichere Methode, um die Schadsoftware loszuwerden», schreiben die Cybercrime-Experten des Bundes.
Wichtig: Das Zurücksetzen ist nur notwendig, wenn man den Trojaner tatsächlich über den per SMS (WhatsApp, Telegram etc.) erhaltenen Link installiert und der App die geforderten Berechtigungen erteilt hat. Das Installieren von Apps aus unbekannter Quelle, sprich ausserhalb des Play Stores, ist bei Android nur möglich, wenn sämtliche Warnungen des Betriebssystems ignoriert und der Schutzmechanismus manuell deaktiviert wird. Die Kriminellen versuchen daher ihre Opfer mit immer neuen Tricks dazu zu verleiten, den Schutzmechanismus selbst ausser Kraft zu setzen.
FluBot kann nur Android-Geräte infizieren.
Das NCSC schreibt: «Auch wenn diese Schadsoftware lediglich Android-Geräte angreift, müssen sich auch Nutzende von Geräten mit dem iOS-Betriebssystem in Acht nehmen und sollten keine Links in SMS anklicken.» Der Grund: Da die Malware auf iOS-Geräten nicht installiert werden kann, leitet die URL iPhone-User beim Aufrufen auf betrügerische Webseiten weiter. Auf solchen Seiten lauern Phishing-Angriffe (persönliche Daten wie Passwörter abgreifen), Abofallen, Angebote für dubiose Geldanlagen oder falsche Gewinnspiele, die Kontaktdaten abgreifen.
Schlussendlich wollen die Kriminellen immer ans Geld ihrer Opfer.
Dabei habe ich noch nie ein Bitcoin gesehen. 😬😬😬😅😅😅