DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Zehntausende Schweizer haben im Oktober solche Spam-SMS erhalten.
Zehntausende Schweizer haben im Oktober solche Spam-SMS erhalten.bild: ncsc

Vergangene Woche rollte eine massive Malware-Welle über die Schweiz – das steckt dahinter

Kriminelle verschickten in der letzten Woche massenhaft Spam-SMS an Schweizer Handy-User. Sie haben es auf E-Banking-Nutzer abgesehen. Die neue Angriffswelle war rekordverdächtig gross, richtete aber kaum Schaden an.
21.10.2021, 19:5623.10.2021, 15:37

In der vergangenen Woche ist die Anzahl gemeldeter Cybervorfälle in der Schweiz explodiert. Grund dafür ist unter anderem eine massive Spam-SMS-Welle, die am 12. Oktober begann und mehrere Tage anhielt. Kriminelle verschickten massenhaft betrügerische SMS an hiesige Mobilfunknummern. Sie versuchten so Android-Usern den gefährlichen E-Banking-Trojaner FluBot unterzujubeln, iOS-User sollten auf betrügerische Webseiten gelockt werden.

Die relativ neue Schadsoftware FluBot ist potenziell äussert gefährlich, da sie beispielsweise beim E-Banking die von der Bank verschickte SMS mit dem Sicherheits-Code abfangen kann. Der Trojaner hebelt somit den zusätzlichen Schutz der Zwei-Faktor-Authentifizierung aus, sofern sich das Opfer per SMS-Code anmeldet. Mobile-Trojaner wie FluBot werden daher von Kriminellen auch genutzt, um E-Mail-Konten und Bitcoin-Wallets zu knacken oder Eingaben in Kreditkartenformularen abzugreifen.

Die Online-Kriminellen waren letzte Woche besonders aktiv, wie die jüngste Auswertung des National Cybersecurity Centre (NCSC) des Bundes zeigt. Bei der Cybercrime-Organisation des Bundes gingen innerhalb einer Woche 832 Meldungen zu unterschiedlichen Cybervorfällen ein – ein absoluter Höchststand in diesem Jahr.

Entwicklung der Meldungen zu Cybervorfällen der letzten zwölf Monate

Cybervorfälle, welche von der Bevölkerung und von KMU dem Nationalen Zentrum für Cybersicherheit (NCSC) in den letzten 12 Monaten gemeldet wurden.
Cybervorfälle, welche von der Bevölkerung und von KMU dem Nationalen Zentrum für Cybersicherheit (NCSC) in den letzten 12 Monaten gemeldet wurden.grafik: NCSC

Massgeblich für das Rekordhoch verantwortlich zeichnet der Android-Trojaner FluBot, der nach einer ersten Welle im Juni zurück ist. Das Nationale Zentrum für Cybersicherheit (NCSC) erhielt in der letzten Woche über hundert Meldungen zu betrügerischen Kurznachrichten, in denen die Empfängerin oder der Empfänger aufgefordert wird, eine Voicemail – sprich eine abgespeicherte Sprachnachricht – unter dem angegebenen Link abzuhören.

Zahlreiche Meldungen betrafen zudem eine zweite Spamwelle, welche für Bitcoin-Investments wirbt. Im Netz kursieren beispielsweise betrügerische Werbeanzeigen mit dem Konterfei von Bundesrat Ueli Maurer (SVP).

Betrügerische Masche: eine Fake-Werbung mit Bundesrat Ueli Maurer.
Betrügerische Masche: eine Fake-Werbung mit Bundesrat Ueli Maurer.

Ein ähnlich hohes Meldeaufkommen beobachteten die Experten für Cyberkriminalität beim Bund letztmals Anfang Jahr. Dass die aktuelle Betrugs-Welle aussergewöhnlich intensiv war, zeigt auch ein Blick auf cybercrimepolice.ch. Die Webseite zu Cybercrime-Vorfällen der Kantonspolizei Zürich verzeichnet bislang 2016 Meldungen zur aktuellen Spam-SMS-Welle, wobei die gemeldeten Fälle nur einen Bruchteil der effektiven Betrugsversuche ausmachen.

Gemeldete Cybervorfälle nach Kategorien in der letzten Woche

grafik: ncsc

Von den 832 Meldungen der letzten Woche betrafen 315 die Kategorie Schadsoftware, 392 die Kategorie Betrug und 109 Mal wurde ein Phishing-Versuch gemeldet.

Meldungen zu Vorfällen mit Schadsoftware

Statt rund zehn Meldungen zu Schadsoftware gab es letzte Woche plötzlich über 300 Meldungen innerhalb einer Woche beim NCSC.
Statt rund zehn Meldungen zu Schadsoftware gab es letzte Woche plötzlich über 300 Meldungen innerhalb einer Woche beim NCSC.grafik: ncsc

315 Meldungen allein zu Schadsoftware innert einer Woche sind aussergewöhnlich. In normalen Wochen sind es unter zehn. Zum Vergleich: Als bei einer anderen grösseren Malware-Welle im April der Erpressungs-Trojaner Qlocker vor allem Private angriff und versuchte Netzwerkspeicher zu verschlüsseln, erhielt das NCSC 39 Meldungen.

Zu beachten ist: «Es handelt sich dabei nicht nur um Schadensmeldungen, sondern vor allem auch um Meldungen zu Cybervorfällen, welche durch den Meldenden frühzeitig erkannt wurden und somit keinen Schaden anrichteten», erklärt das NCSC.

Fast niemand fiel auf Betrug rein, aber ...

Auch im aktuellen Fall des Android-Trojaners FluBot war die Angriffswelle zwar massiv, richtete aber laut den Cybercrime-Experten kaum Schaden an. Fast niemand habe die bösartige Software tatsächlich heruntergeladen.

Dass die unbekannten Kriminellen seit Ende 2020 in zahlreichen Ländern wiederholt Spam-SMS mit Links zum E-Banking-Trojaner FluBot versenden, lässt jedoch darauf schliessen, dass sich die Betrugsmasche lohnt, auch wenn insgesamt nur ein sehr geringer Teil der Empfänger auf den Betrug hereinfällt.

Was kann ich gegen solche Spam-SMS tun?

Als Smartphone-User kannst du wenig gegen den Spam unternehmen. Das Blockieren der Nummern bringt nichts, da sie laufend ändern.

Hast du diese Sprachnachrichten-Spam-SMS auch erhalten?

Was unternehmen die Mobilfunkprovider?

Werden Spam-Wellen entdeckt, können die Webseiten, die für die Verbreitung von Malware oder Phishing-Angriffen genutzt werden, von den Providern relativ schnell gesperrt werden (DNS-Sperre). Nutzerinnen und Nutzer erhalten zwar weiter Spam-SMS, aber die Links sind nicht mehr gefährlich. Das Problem: In der Regel sind die Kriminellen nach kurzer Zeit mit neuen Angriffswellen zurück. Provider und Betrüger liefern sich also ein ewiges Katz- und Maus-Spiel.

Darüber hinaus werden potenziell gefährliche SMS mit einem Warnhinweis versehen, sobald sie genügend oft als Spam gemeldet wurden.

Werden Spam-Nummern genug oft gemeldet, werden die Nachrichten mit einer Warnung versehen.
Werden Spam-Nummern genug oft gemeldet, werden die Nachrichten mit einer Warnung versehen.bild: watson-user maljian

Warum ist der E-Banking-Trojaner FluBot gefährlich?

Das Nationale Zentrum für Cybersicherheit (NCSC) schreibt:

«Die Malware mit dem Namen FluBot hat sich unter anderem auf den Diebstahl von SMS auf Mobiltelefonen mit dem Betriebssystem Android spezialisiert. Ziel dabei ist, in den gestohlenen SMS sogenannte Einmal-Passwörter von Bankanwendungen zu finden. Die so abgeflossenen Daten ermöglichen es den Angreifern, auch Anwendungen, die durch einen zweiten Faktor geschützt sind, missbrauchen zu können, sofern der zweite Faktor per SMS versandt wird. Die Angreifer können sich mit den zumeist schon zuvor gestohlenen Benutzernamen und Passwörtern bei der Bank anmelden und bekommen dann durch die Schadsoftware auch den Verifizierungscode der SMS mit.»
«Die Schadsoftware FluBot kann aber nicht nur Daten stehlen, sie unterdrückt auch die Benachrichtigungsfunktion des infizierten Smartphones. Der Benutzer bemerkt also gar nicht erst, dass die Bank ihm eine Authentisierungs-SMS zugesendet hat.»

Der Trojaner klaut also den SMS-Verifizierungscode und das Opfer bekommt vom Betrug nichts mit, weil die Schadsoftware die verräterische SMS der Bank beim Anmelden im E-Banking-Konto unsichtbar macht.

Wie gelangt der Trojaner FluBot auf das Handy?

Die Empfängerin, bzw. der Empfänger wird in der Kurznachricht (SMS, WhatsApp, etc.) aufgefordert eine angeblich unter dem angegebenen Link gespeicherte Sprachnachricht abzuhören. Wer auf den Link tippt, gelangt auf eine Webseite mit dem Logo des eigenen Mobilfunkproviders. Dort wird eine Sprachnachricht angezeigt, allerdings wird man aufgefordert, eine neue Voicemail-App des Providers herunterzuladen, um sie abhören zu können. Hierzu müsse man in den Einstellungen des Betriebssystems die Installation von unbekannten Apps aktivieren (Android blockiert ansonsten die Installation von Apps aus unbekannten Quellen).

Das Betriebssystem warnt vor der Installation der unbekannten App.
Das Betriebssystem warnt vor der Installation der unbekannten App.bild: NCSC

Gelingt es FluBot, sich auf Smartphones zu installieren, verbreitet er sich wurmartig weiter, indem er weitere betrügerische Spam-SMS an die Kontakte im Adressbuch sendet.

Was sollte man tun, wenn man solche Spam-SMS erhält?

  • SMS löschen oder ignorieren
  • Allenfalls dem Nationalen Zentrum für Cybersicherheit melden. Das Meldeformular ist auf der Webseite des NCSC zu finden.

«Dank Ihrer Meldung über unser Webformular erkennen wir mögliche Trends zu Gefahren im Internet und können gezielt dagegen vorgehen», heisst es auf der Webseite des NCSC.

Was können Opfer tun?

Das Nationale Zentrum für Cybersicherheit (NCSC) rät:

  • «Installieren Sie keine Software, die ausserhalb der offiziellen Stores der Betriebssysteme angeboten wird
  • Insbesondere sollten Sie keine Software installieren, welche Sie über einen Link in einer SMS oder über einen anderen Messenger-Dienst (WhatsApp, Telegram usw.) erhalten haben.
  • Falls Sie dennoch eine solche Software installiert haben, sollten Sie das Gerät von einer Fachperson überprüfen lassen und während dieser Zeit weder Bankgeschäft noch Online-Einkäufe tätigen. Geben Sie auch keine Passwörter ein.
  • Das Zurücksetzten des befallenen Geräts auf die Werkseinstellungen ist nahezu die einzige Möglichkeit, diese Schadsoftware vom Gerät zu entfernen.»

Wie kann der Trojaner FluBot entfernt werden?

«Die Schadsoftware selbst versteckt sich tief im befallenen Betriebssystem und kann fast nicht vollständig deinstalliert werden. Das Zurücksetzten des Betriebssystems auf die Werkseinstellungen ist die einzig sichere Methode, um die Schadsoftware loszuwerden», schreiben die Cybercrime-Experten des Bundes.

Wichtig: Das Zurücksetzen ist nur notwendig, wenn man den Trojaner tatsächlich über den per SMS (WhatsApp, Telegram etc.) erhaltenen Link installiert und der App die geforderten Berechtigungen erteilt hat. Das Installieren von Apps aus unbekannter Quelle, sprich ausserhalb des Play Stores, ist bei Android nur möglich, wenn sämtliche Warnungen des Betriebssystems ignoriert und der Schutzmechanismus manuell deaktiviert wird. Die Kriminellen versuchen daher ihre Opfer mit immer neuen Tricks dazu zu verleiten, den Schutzmechanismus selbst ausser Kraft zu setzen.

Sind iPhone-User auch durch FluBot gefährdet?

FluBot kann nur Android-Geräte infizieren.

Das NCSC schreibt: «Auch wenn diese Schadsoftware lediglich Android-Geräte angreift, müssen sich auch Nutzende von Geräten mit dem iOS-Betriebssystem in Acht nehmen und sollten keine Links in SMS anklicken.» Der Grund: Da die Malware auf iOS-Geräten nicht installiert werden kann, leitet die URL iPhone-User beim Aufrufen auf betrügerische Webseiten weiter. Auf solchen Seiten lauern Phishing-Angriffe (persönliche Daten wie Passwörter abgreifen), Abofallen, Angebote für dubiose Geldanlagen oder falsche Gewinnspiele, die Kontaktdaten abgreifen.

Schlussendlich wollen die Kriminellen immer ans Geld ihrer Opfer.

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Die bösartigsten Computer-Attacken aller Zeiten

1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Wenn unser Leben mit Corona eine TV-Serie wäre...

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Daniele Ganser bietet Verschwörungstheorien im Jahresabo – und wirbt für Ungeimpfte
Der Verschwörungsideologe wirbt für Ungeimpfte und baut ein neues Geschäftsfeld auf. Dazu doziert er von Plakatwänden. Wer sich hinter der Aktion verbirgt, will er allerdings nicht offenlegen.

Die Plakate sind nicht zahlreich. Doch an prominenten Stellen in den Bahnhöfen von Basel, Bern und Zürich blickt Daniele Ganser auf die Passanten. In Rednerpose gibt sich der prominente Vertreter der Verschwörungs- und Querdenker-Gemeinde versöhnlich:

Zur Story