Stellen Sie sich vor, Sie starten am Morgen Ihren Arbeitsrechner und finden im Maileingang eine E-Mail der Swisscom vor. In der E-Mail steht, dass Ihr bestehendes Telefonabonnement demnächst abläuft und dringend erneuert werden muss. Da Sie in Ihrer Praxis auf das Telefon angewiesen sind, möchten Sie das Telefonabonnement selbstverständlich verlängern. Dazu müssen Sie nur eine Telefonnummer anrufen, welche in der E-Mail angegeben ist. Tatsächlich könnte es sich dabei um ein Callback Phishing handeln.

Das Callback Phishing ist eine hybride Form und besteht aus einer E-Mail und einem Anruf. Bei der E-Mail handelt es sich in der Regel um eine gefälschte Rechnung bzw. eine Mitteilung zu einem angeblichen Abonnement. Cyberkriminelle können sich zum Beispiel als Mitarbeitende einer Bank, eines Telekommunikationsanbieters, der Post oder von bekannten IT-Dienstleistern tarnen. Der Text der E-Mail vermittelt, dass eine zeitnahe Handlung erforderlich oder die Sicherheit des Empfängers bzw. des Unternehmens gefährdet ist und das Problem schnellstmöglich behoben werden muss. Die Cyberkriminellen bauen dadurch Handlungsdruck auf. Vielfach wird auch behauptet, dass verantwortliche Personen in der eigenen Praxis Bescheid wüssten und bereits ihr Einverständnis gegeben haben.

Für die Lösung des Problems muss lediglich eine Telefonnummer gewählt werden, welche in der E-Mail erwähnt wird. Der Anruf wird jedoch nicht von einem echten Mitarbeitenden des Kundendienstes entgegengenommen, sondern von einem Cyberkriminellen. Der Anrufer wird motiviert, zur Lösung des Problems bzw. zur Verlängerung des Abonnements, eine Webseite aufzurufen und einen Download auszuführen oder sensible Informationen preiszugeben. Damit wird der Anrufer zum Opfer. Anstatt das Problem zu lösen, wird ein bösartiger Download gestartet und die Cyberkriminellen erhalten Zugang zum eigenen System.[1] Ab diesem Moment können die Cyberkriminellen Verbindungen aus der Ferne herstellen und gezielt auf den Rechner zugreifen oder es können Hintertüren (sognannte Trojaner) installiert werden. Über diese Hintertüren können dann Kreditkarten- oder Bankkontodaten ausspioniert oder Ransomware installiert werden, mit welcher die Daten auf dem Arbeitsrechner verschlüsselt werden. Durch das Abgreifen von Zugangsdaten können E-Mail-Postfächer übernommen werden.

Da die Angriffe gezielt erfolgen und die E-Mails keine bösartigen Anhänge enthalten, werden Callback Phishing-Kampagnen in der Regel nicht durch E-Mail-Filter erkannt.[2]

Eng verwandt mit dem Callback Phishing ist die Schadsoftware via Anruf. Der Unterschied bei dieser Form ist, dass das E-Mail nach einem Anruf versendet wird. Potenzielle Opfer werden in der häufigsten Variante telefonisch durch einen vermeintlichen Kurierdienstleister kontaktiert. Im Verlauf eines vertrauensfördernden Telefongesprächs wird mitgeteilt, dass Versandpapiere zu visieren sind und diese per E-Mail zugestellt werden. Die versendete E-Mail enthält vielfach eine pdf-Datei mit einem Link zu den vermeintlichen Versandpapieren. Hinter dem Link sind jedoch keine Versanddokumente, sondern eine Schadsoftware, welche in den häufigsten Fällen eBanking-Daten oder Kreditkartendaten ausspioniert.[3]

Empfohlene Massnahmen:

• Präventiv können Sie alle E-Mail-Anhänge blockieren, welche Makros enthalten (z.B. Word-, Excel- oder Power-Point-Anhänge).
• Verlassen Sie sich nicht auf E-Mail-Filter, auch wenn diese gut eingestellt sind.
• Machen Sie sich mit dem typischen Ablauf eines Callback Phishings vertraut, um sensibilisiert zu sein.
• Begegnen Sie E-Mails und Anrufen, welche Sie unaufgefordert erhalten, prinzipiell mit einem gesunden Misstrauen.
• Seriöse Dienstleister bauen keinen Handlungsdruck auf.
• Ist Ihnen ein E-Mail-Absender unbekannt, löschen Sie die E-Mail und informieren Sie Ihren IT-Verantwortlichen bzw. Ihren IT-Dienstleister.
• Brechen Sie das Telefongespräch ab, falls ein unbekannter Anrufer vertrauliche Daten von Ihnen verlangt oder Sie auf eine Webseite leitet.
• Nehmen Sie im Zweifel Abklärungen vor. Nutzen Sie dafür nicht die Telefonnummer, welche in der E-Mail angegeben ist. Rufen Sie über die Telefonnummer an, welche auf der offiziellen Webseite angegeben ist.
• Vergewissern Sie sich, dass die E-Mail wirklich vom Absender stammt. Vielfach sind Schreibfehler beim Absender, Rechtschreibfehler in der E-Mail, allgemeine Anreden oder ein fehlendes Impressum Hinweise auf gefälschte E-Mails. Achten Sie darauf, ob Ihr Name korrekt geschrieben ist und die Absenderadresse mit dem Namen des Absenders übereinstimmt.
• Geben Sie niemals persönliche Daten wie Passwort oder Kreditkartendaten auf einer Webseite an, auf welcher Sie mittels eines Links aus einer E-Mail gelangt sind.
• Sollte Ihnen nach einem Anruf ein E-Mail zugesendet werden, klicken Sie nicht auf den Link im pdf-Dokument.
• Lassen Sie sich nicht unter Druck setzen.
• Melden Sie Phishing-Links direkt an [email protected] oder auf www.antiphishing.ch. Falls Sie unsicher sind, ob es sich um Phishing handelt, können Sie die E-Mail jederzeit über das NCSC-Meldeformular zur Analyse weiterleiten.
• Sollten Sie bereits auf einen Link geklickt haben, kontaktieren Sie Ihren IT-Verantwortlichen bzw. Ihren IT-Dienstleister und verzichten Sie auf die Nutzung des Computers, bis Sie sicher sind, dass Ihr Computer frei von Schadsoftware ist.
• Haben Sie bereits Ihre Kreditkartendaten preisgegeben, informieren Sie sofort das Kreditkartenunternehmen und lassen Sie die Kreditkarte sperren.
• Haben Sie Zugangsdaten preisgegeben, ändern Sie das Passwort bei dem betreffenden Webdienst und bei allen Diensten, welche mit diesen verknüpft sind.
• Sollten Sie unsicher sein, ob Ihr Konto gehackt wurde, finden Sie unter folgender Web-Adresse des Bundes weitere Informationen:  https://www.ncsc.admin.ch/ncsc/de/home/infos-fuer/infos-private/aktuelle-themen/konto-gehackt.html.
• Melden Sie Cybervorfälle unter dem folgenden Meldeformular.

Die Anzahl der Fälle von Callback Phishing stieg von Anfang 2021 bis zum zweiten Quartal 2022 um 625% - 792 von 3171 Phishing-Angriffen, welche dem Nationalen Zentrum für Cybersicherheit (NCSC) in diesem Jahr gemeldet wurden.[4]

[1] https://www.cybertalk.org/2022/08/18/10-key-facts-about-callback-phishing-attacks/

https://www.bleepingcomputer.com/news/security/callback-phishing-attacks-see-massive-625-percent-growth-since-q1-2021/

[2] https://www.cybertalk.org/2022/08/18/10-key-facts-about-callback-phishing-attacks/

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/Passwortdiebstahl-durch-Phishing/Wie-erkenne-ich-Phishing-in-E-Mails-und-auf-Webseiten/wie-erkenne-ich-phishing-in-e-mails-und-auf-webseiten_node.html

[3] https://www.ncsc.admin.ch/ncsc/de/home/cyberbedrohungen/anrufe-schadsoftware.html

https://www.ncsc.admin.ch/ncsc/de/home/aktuell/im-fokus/2022/wochenrueckblick_37.html

[4] https://www.scmagazine.com/brief/email-security/callback-phishing-attacks-spike

https://www.ncsc.admin.ch/ncsc/de/home/aktuell/aktuelle-zahlen.html

Nachdem versehentlich Schadsoftware installiert und die Daten durch Ransomware verschlüsselt wurden, erfolgt typischerweise eine Lösegeldforderung durch die Cyberkriminellen. Mit der Lösegeldzahlung wird die Wiederherstellung der verschlüsselten Daten bzw. die Nichtveröffentlichung der Daten im Darknet versprochen. Tatsächlich gibt es Gründe, die für oder gegen eine Lösegeldzahlung sprechen.

Im ersten Moment wird eine Lösegeldzahlung als die schnellste Variante zur Wiederherstellung der verschlüsselten Daten wahrgenommen [1]. Auch kann es sein, dass die Lösegeldforderung niedriger ist als der Wiederherstellungsaufwand und die Umsatzeinbussen [2]. Da die Zahlungen vielfach in einer Kryptowährung (z.B. Bitcoin) getätigt werden, kann die Erpressung «geheim» gehalten werden [1]. Der Handlungsdruck, welcher durch die Cyberkriminellen ausgeübt wird, kann mit einer Zahlung des Lösegelds schnell und effektiv verringert werden [3].

Dieser schnellen Lösungsvariante stehen jedoch gravierende Nachteile gegenüber.

Eine Zahlung bietet keine Garantie für die Wiederherstellung verschlüsselter Daten. Schliesslich können gegen Cyberkriminelle keine Rechtsansprüche durchgesetzt werden [4]. Auch wenn die Wiederherstellungsschlüssel vorhanden sind, bleibt die Rekonstruktion der Daten aufwändig [5]. Der Aufwand und der Zeitbedarf für die Wiederherstellung sinken bei einer Lösegeldzahlung nicht [6].

Erfahrungen zeigen, dass Daten auch bei einer Lösegeldzahlung in circa der Hälfte der Fälle beschädigt wurden und nicht vollständig wiederhergestellt werden konnten. Auch schützt die Zahlung des Lösegelds nicht vor weiteren Angriffen [7].

Jede Zahlung unterstützt das Ransomware-Geschäftsmodell und motiviert Cyberkriminelle zum Weitermachen. Sollte eine Lösegeldzahlung bekannt werden, kann sich dies negativ auf das Unternehmensimage auswirken. Kryptowährungen (z.B. Bitcoins), welche häufig zur Lösegeldzahlung eingesetzt werden, müssen beschafft werden, wodurch weitere Risiken resultieren [1]. Abhängig vom geografischen Standort der Cyberkriminellen, wird mit der Lösegeldzahlung der Straftatbestand der Geldwäsche oder der Terrorismusfinanzierung erfüllt [8]. Ausserdem gesteht eine Arztpraxis damit ein, dass der Angriff erfolgreich war [9].

Die Gegenüberstellung zeigt, dass es gute Gründe gibt, auf eine Lösegeldzahlung nicht einzugehen. Denn eine Garantie für eine vollständige Wiederherstellung gibt es bei einer Zahlung nicht. Die Entscheidung, ob ein Lösegeld gezahlt werden soll, ist gründlich zu überlegen und muss durch die Geschäftsleitung getroffen werden.

Das Nationale Zentrum für Cybersicherheit (NCSC) und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) raten deutlich von einer Zahlung des Lösegelds ab. Auch die FMH empfiehlt der Lösegeldforderung nicht nachzukommen und sich schnellstmöglich an die zuständige Kantonspolizei zu wenden.

Sollte dennoch beabsichtigt werden, das Lösegeld zu zahlen, sind weitere Schritte mit der Kantonspolizei zu koordinieren [10].

[1] https://www.voelker-gruppe.com/stuttgart/ransomware_zahlung_rechtswidrig/

[2] https://www.coveware.com/blog/2019/4/15/ransom-amounts-rise-90-in-q1-as-ryuk-ransomware-increases

[3] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Managementabstract-Angriffe.pdf?__blob=publicationFile&v=2

[4] https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Schadprogramme/Ransomware/ransomware_node.html

[5] https://www.sophos.com/de-de/press-office/press-releases/2020/05/paying-the-ransom-doubles-cost-of-recovering-from-a-ransomware-attack-according-to-sophos

[6] https://www.cybereason.com/press/cybereason-ransomware-true-cost-to-business-study-reveals-organizations-pay-multiple-ransom-demands#:~:text=The%20study%20once%20again%20finds,demanded%20a%20higher%20ransom%20amount

[7] https://www.ncsc.admin.ch/ncsc/de/home/infos-fuer/infos-unternehmen/vorfall-was-nun/ransomware.html

[8] https://home.treasury.gov/system/files/126/ofac_ransomware_advisory_10012020_1.pdf

[9] https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/Ransomware/Ransomware.pdf?__blob=publicationFile&v=5

[10] https://www.ncsc.admin.ch/ncsc/de/home/infos-fuer/infos-unternehmen/vorfall-was-nun/ransomware.html

Eine weitere und nicht auf dem ersten Blick erkennbare Art des Phishings ist das sogenannte Mail-Spoofing. Im Unterschied zum herkömmlichen Phishing enthält das Spoofing gezielte Komponenten, die den Anschein einer vertrauenswürdigen Kommunikation erwecken und  eine Handlung verlangen. Dabei wird mit viel Aufwand und Akribie die Identität von alltäglichen Kontakten oder das Design von bekannten Marken nachgeahmt.

Um das Vertrauen noch weiter zu erhöhen, werden die gefälschten E-Mails im Namen von Vorgesetzten, Partnerunternehmen bzw. -praxen oder Spitälern verfasst.[1]

Cyberkriminelle sammeln frei im Internet verfügbare Informationen, um gezielte Angriffe auszuführen. Es können jedoch auch Informationen aus bereits gehackten E-Mail-Accounts genutzt werden.

Wer schöpft schon Verdacht, wenn eine Arztpraxis oder ein Spital eine E-Mail mit einem Anhang zu einem gemeinsamen Patienten versendet? Diese Art der Kommunikation ist alltäglich. Es werden jedoch auch E-Mails durch die Cyberkriminellen versendet, welche die Identität von Banken, Kreditkarteninstituten oder Telekommunikationsanbieter vorgeben.

Durch die gezielte Platzierung von Schadsoftware in Anhängen können Zugangsdaten, Kreditkartendaten und Bankdaten abgefangen werden.

Weitere mögliche Szenarien sind die Weiterleitung auf eine gefälschte Webseite unter Aufforderung zum Wechsel des Login-Passwortes, des PIN-Codes der Kreditkarte oder zur Verlängerung des Internetabonnements.[2]

Es gibt auch noch andere Gefahren. Würden Sie beim Thema Phishing Ihren Multifunktionsdrucker verdächtigen? Anfang September wurden dem Nationalen Zentrum für Cybersicherheit (NCSC) zwei Fälle gemeldet, die aufzeigen, welche Risiken aus der Scan-to-E-Mail-Funktion von Multifunktionsdruckern ausgehen. Die Scan-to-E-Mail-Funktion ermöglicht es, Dokumente zu scannen und automatisch auf ein vorher definiertes E-Mail-Postfach zu senden. Im Arbeitsalltag ist diese Funktion sehr hilfreich.

Allerdings können Sie auch eine E-Mail von Ihrem Multifunktionsdrucker erhalten, obwohl Sie vorher kein Dokument eingescannt haben.

Cyberkriminelle versenden E-Mails, welche vortäuschen, dass ein Scan von einem Multifunktionsdrucker gesendet wurde und unter einem Link heruntergeladen werden kann bzw. als Anhang verfügbar ist. Beim Öffnen der angehängten Dateiwird der Download einer Schadsoftware gestartet oder Sie werden zu einer Webseite weitergeleitet, auf welcher vertrauliche Daten eingegeben werden sollen. Häufig sollen die Zugangsdaten des E-Mail-Postfachs eingegeben werden. Danach können Cyberkriminelle z.B. E-Mails mitlesen oder E-Mail-Weiterleitungsregeln einrichten. Eingehende E-Mails werden ab diesen Moment an die Cyberkriminellen weitergeleitet.

Da die Anzahl der Hersteller für Multifunktionsdrucker überschaubar ist, ist diese Art von Angriff relativ einfach umzusetzen. Die Wahrscheinlichkeit ist hoch, die richtige Bezeichnung des Druckers zu erraten.

Empfohlene Massnahmen:

• Blockieren Sie präventiv die automatische Ausführung von Dateien aus Anhängen.
• Auch wenn E-Mails angeblich von internen Multifunktionsdruckern stammen, ist Vorsicht geboten.
• Ignorieren und löschen Sie E-Mails, welche ein gescanntes Dokument in Aussicht stellen, deren Scan Sie nicht durchgeführt haben.
• Seien Sie misstrauisch, wenn Sie eine Datei öffnen oder herunterladen sollen.
• Halten Sie Rücksprache mit anderen Mitarbeitenden, falls mehrere Personen Dokumente einscannen können.
• Wenn Mitarbeitende Ihre Zugangsdaten für das E-Mail-Postfach über einen Phishing-Angriff weitergegeben haben, ändern Sie das Kennwort unverzüglich und überprüfen Sie gleichzeitig die E-Mail-Filter und die Weiterleitungsregeln. Ändern Sie auch die Kennwörter der Webdienste, welche mit dem E-Mail-Postfach verknüpft sind.
• Informieren Sie Ihren IT-Verantwortlichen bzw. IT-Dienstleister.[3]
• Melden Sie den Vorfall an das NCSC, indem Sie das Meldeformular ausfüllen.

Die wöchentliche Anzahl der Fälle von Spoofing bewegte sich bis Mitte 2022 im niedrigen einstelligen Bereich. Ab der Woche 22 schnellte die Anzahl nach oben, sodass sich die Anzahl der Fälle von Spoofing in der Woche 36 bei 68 Fällen und in der Woche 37 bei 104 Fällen bewegte.

[1] https://www.kaspersky.de/resource-center/definitions/ip-and-email-spoofing

 https://www.avg.com/de/signal/what-is-spoofing#topic-3

[2] https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/Gefaelschte-Absenderadressen/gefaelschte-absenderadressen_node.html

[3] https://www.ncsc.admin.ch/ncsc/de/home/aktuell/im-fokus/2022/wochenrueckblick_35.html