BACS meldet Melderekord

Damit ist der Meldeeingang beim BACS erneut angestiegen und liegt im Vergleich zum Vorjahr rund 13’000 Meldungen höher. Dieser erneute Anstieg ist jedoch fast ausschliesslich auf das Phänomen «Drohanrufe im Namen von Fake Behörden» zurückzuführen. Während im Vorjahr noch 7’193 Meldungen zu diesen Drohanrufen eingingen, waren es in diesem Jahr knapp 22’0000 Meldungen.

Über ein Drittel der Meldungen galt somit Drohanrufen im Namen der Polizei. Laut Bundesamt für Cybersicherheit (BACS) sind die Angreifer:innen dabei auf allen Kanälen aktiv. Neben Telefonanrufen versenden sie E-Mails oder Textnachrichten, schicken Briefe oder überkleben sogar QR-Codes vor Ort.

CEO-Betrug nimmt stark zu

Das Verhältnis der Meldungen aus der Bevölkerung (90 Prozent) zu denjenigen von Unternehmen, Vereinen und Behörden (10 Prozent) bleibt weiterhin stabil. Bei den am häufigsten von Unternehmen gemeldeten Betrugsdelikten ist ein starker Anstieg beim Phänomen CEO-Betrug (2024: 716 / 2023: 487) zu verzeichnen. Leicht zugenommen haben auch die Meldungen zu Angriffen auf die Verfügbarkeit, sogenannte DDoS-Angriffe, (2024: 48 / 2023: 41).

Hingegen blieben Meldungen zum Betrug durch Rechnungsmanipulation (2024: 114 / 2023: 118) nahezu unverändert. Sogar leicht rückläufig sind die Meldungen zu Ransomware-Vorfällen. Wurden im Vorjahr noch 109 Vorfälle gemeldet, waren es im aktuellen Berichtsjahr 92 Meldungen. Die Anzahl der Fälle sagt laut BACS jedoch nichts über die Höhe des Schadens aus. Die Angreifer würden sich zunehmend auf lukrative Ziele konzentrieren, sodass der Schaden pro Fall in Zukunft steigen dürfte. Festzuhalten sei zudem, dass Ransomware-Angriffe mittlerweile fast immer mit einem Datenabfluss einhergehen, was das Schadensausmass zusätzlich erhöht.

Phishing auf allen Kanälen

2024 wurden über das BACS-Meldeformular erneut mehr Phishing-E-Mails gemeldet. Der Meldeeingang stieg noch einmal um über 2’500 Meldungen auf über 12’000 Meldungen an. Der Löwenanteil entfällt dabei immer noch klassisch auf die E-Mail-Kommunikation. Wie bereits 2023 wurden weiterhin viele gefälschte Paketbenachrichtigungen oder Phishing-Varianten im Namen von Swisspass beobachtet. Gerade Paketpost-Phishings werden laut Bundesamt zunehmend auch über Textnachrichten verschickt.

Auffällig sei, dass die Betrugsnachrichten immer häufiger über das sogenannte RCS-System, respektive iMessage und nicht mehr über SMS versendet werden. Seit 2022 haben Swisscom, Salt und Sunrise einen SMS-Filter im Einsatz. Mit der Verwendung von RCS und iMessage können die Betrüger diese Filter umgehen und kommen so ungehindert zu den potenziellen Opfern. Wie an vielen Stellen im Cyberbereich zeige sich auch hier das Katz-und-Maus-Spiel zwischen Betrügern und Sicherheitsdienstleistern, so das BACS weiter.

Gezieltere Angriffe

Während der Versand von E-Mails und SMS ein Massengeschäft ist und die Angreifer davon ausgehen, dass nur ein kleiner Teil dieser Angriffe erfolgreich ist, gab es im vergangenen Jahr auch immer wieder Versuche der Angreifer, gezielter vorzugehen. Dazu zählen beispielsweise Telefonanrufe von angeblichen Bankmitarbeitern, die vorgeben, eine betrügerische Zahlung stoppen zu wollen, oder ganz aktuell das Aufkleben von QR-Codes auf Parkuhren.

Letztere führen auf gut gemachte Phishing-Seiten, die vom Original kaum zu unterscheiden sind. Hier werde ausgenutzt, dass gerade beim Parken viele Menschen unter Zeitdruck stehen und daher weniger aufmerksam sind, urteilt das BACS und weist darauf hin, dass im Gegensatz zu klassischen Phishing-Methoden hier der Betrüger allerdings vor Ort sein müsse.

Malware per QR-Code

Auch Schadsoftware werde mit Hilfe von QR-Codes verbreitet, wie ein weiterer Fall aus der zweiten Jahreshälfte zeige, so die Behörde in ihrem Jahresrückblick weiter. Im zitierten Fall wurden die Empfänger in einem angeblichen Brief von MeteoSchweiz aufgefordert, einen QR-Code einzuscannen, um eine neue «Unwetterwarn-App» herunterzuladen. Stattdessen wurde jedoch Schadsoftware auf das Smartphone geladen.

Die Angreifer hätten in diesem Fall versucht, analoge und digitale Kommunikationskanäle zu verknüpfen. Im Zeitalter von Phishing und Malware misstrauen viele Bürgerinnen und Bürger zunehmend E-Mails, die zum Anklicken eines Links auffordern. Ein Brief mit offiziellem Logo wirke daher viel vertrauenserweckender, so das BACS weiter. Das Problem bei Briefen war bisher jedoch, dass Links mühsam abgeschrieben werden mussten. Der QR-Code schliesst diese Lücke.

Es sei somit nicht erstaunlich, dass sich Betrüger und Hacker zunehmend dieser Methode bedienen. Das BACS erwartet für dieses Jahr eine weitere Zunahme dieser Vorgehensweise. Einzig die Kosten für den Briefversand dürften verhindern, dass sie nicht massenhaft verschickt werden.

Betrügerische Gewinnspiele

Eine starke Zunahme beobachtete das BACS im vergangenen Jahr bei betrügerischen Gewinnspielen. Während 2023 noch 1’025 Meldungen eingingen, hat sich die Zahl nunmehr auf über 3’400 verdreifacht. In vielen Fällen würden die Namen bekannter Lebensmittel- oder Einzelhandelsunternehmen, Elektronikhändler oder Transportunternehmen missbraucht.

Die Vorgehensweise ist den Angaben des BACS zufolge immer identisch. Es werde ein Gewinnspiel vorgegaukelt, bei dem man einige sehr einfache Fragen beantworten soll. Um an den vermeintlichen Gewinn zu kommen, werde man auf eine Seite weitergeleitet, auf der man persönliche Daten wie Kreditkartendaten, Namen, E-Mail-Adresse oder Mobiltelefon-Nummer angeben muss. Versteckt in den AGBs, ganz klein auf der Webseite oder gar ausserhalb des sichtbaren Webseitenbereichs, werde darauf hingewiesen, dass man ein mehrjähriges Abonnement abschliesst. Die Gebühr werde dann unverzüglich der Kreditkarte belastet.