Das Bundesamt für Cybersicherheit (BACS)
warnt vor einer neuen Methode namens Chain Phishing, die Cyberkriminille anwenden, um an möglichst viele Social-Media-Login-Daten von potenziellen Opfern zu gelangen. Per Mail werden Personen im Namen von bereits gehackten Profilen kontaktiert mit der Bitte, bei einem Wettbewerb zu voten. Da man den Absender vermeintlich kennt, besteht eine reelle Chance, dass man dies auch tut. Wer auf den Link klickt, landet auf einer fingierten Website, die den besagten Wettbewerb vortäuscht. Um zu voten, muss man sich allerdings entweder mit einem Social-Media-Konto oder per E-Mail einloggen.
An diesem Punkt beginnt das eigentliche Chain Phishing: Egal, welche Login-Methode man wählt, es wird stets die Meldung erscheinen, dass das Passwort falsch eingegeben wurde oder ein technisches Problem vorliegt. Damit möchten die Betrüger die Opfer dazu animieren, eine alternative Login-Methode anzuwenden. Natürlich sind weder die eingegebenen Passwörter falsch, noch liegen sonstige Probleme vor: Die Website verfolgt einzig den Zweck, so viele Credentials wie möglich abzugreifen. Da man im Falle eines Erfolgs für die Betrüger gleich mehrere Konten kompromittiert, ist der Schaden ungleich grösser als bei der klassischen Phishing-Methode.
Das BACS mahnt zur Vorsicht und erinnert daran, dass derzeit zwar die Wettbewerbs-Masche im Umkreis ist, der Vorwand, um an Daten zu gelangen, sich aber jederzeit ändern kann. Es gelten die üblichen Verhaltensregeln, um sich vor Phishing zu schützen: Niemals sensible Daten auf einer Website eingeben, auf die man per E-Mail-Link gelangt ist. Im Zweifelsfall soll man sich beim vermeintlichen Absender nach der Authentizität der Nachricht erkundigen.
(dok)
