Betrug per SMS und Telefon

Wenn nur Phishing nicht genügt, folgt Vishing auf Smishing

Uhr
von Coen Kaat und yzu

Das NCSC warnt vor Betrügern, die nicht locker lassen, wenn ihr SMS-Betrug auffliegt. Die Phisher rufen sogleich an, wenn ihre Betrügereien beim ersten Anlauf nicht fruchten.

(Source: TheVisualsYouNeed / stock.adobe.com)
(Source: TheVisualsYouNeed / stock.adobe.com)

Wenn der erste Betrugsversuch nicht gelingt, müssen Cyberkriminelle kreativ werden. Dies zeigt auch ein Fall, den das Nationale Zentrum für Cybersicherheit (NCSC) im aktuellen Wochenrückblick schildert. 

Der beschriebene Betrugsversuch begann mit einer SMS - dies wird auch als Smishing bezeichnet (eine Kombination aus SMS + Phishing). Die Kurznachricht stammte angeblich von Netflix und versuchte dem Opfer vorzugaukeln, dass die letzte Zahlung fehlgeschlagen sei. Das Konto müsse nun über den in der SMS enthaltenen Link reaktiviert werden.

Das Opfer klickte auf den Link und gelang zu einem Webformular. Dieses bediente am Firmenauftritt des Streamingdienstes und verlange verschiedene persönliche Informationen, darunter auch die Kreditkartennummer, das Ablaufdatum und den dreistelligen CVV-Code an. 

Bis hierhin funktionierte die Masche der Betrüger. Das Opfer gab die Zahlungsinformationen ein. Die Phisher versuchten daraufhin, eine Zahlung auszulösen - dies schlug jedoch fehl. Die aktivierte Sicherheitsmassnahme der Kreditkarte (3-D Secure) verlangte eine Freigabe der Zahlung per SMS-Code und so bemerkte Opfer den Betrug. 

Aus Smishing wird Vishing

Die Betrüger liessen aber nicht locker und griffen sogleich zum Hörer. Sie riefen das Opfer mit einer Schweizer Mobilfunknummer an und gaben sich als Mitarbeitende von Netflix aus. So wurde aus Smishing dann Vishing (Voice + Phishing). Angeblich wollten sie bei der Zahlung helfen und diese gemeinsam mit dem Opfer durchführen. Da diese den Betrugsversuch erkannt hatte, lehnte sie die Hilfe ab und beendete das Gespräch. 

Das NCSC mahnt zur Vorsicht, wenn man SMS oder Anrufe erhält, in denen man Links anklicken oder Informationen preisgeben soll. Falls Zweifel aufkommen, solle man die Kommunikation beenden und die Firma über die gewohnten Kanäle kontaktieren. Zudem solle man, wenn immer möglich, eine Zwei-Faktor-Authentifizierung aktivieren, wie etwa 3-D Secure.

Mehr zum Thema Zwei- oder auch Multi-Faktor-Authentifizierung erfahren Sie hier im Interview mit Jeroen Kemperman von Google zum Thema Account Hijacking. Und wenn Sie wissen wollen, wie Sie Phishing (fast) immer erkennen können, lesen Sie hier mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
jbp4k38o

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter