Das Nationale Zentrum für Cybersicherheit (National Cyber Security Centre – NCSC) ist das Schweizer Kompetenzzentrum für Cybersicherheit. Das Centre berichtet in regelmäßiger Folge über die allgemeine It-Sicherheit und warnt vor neuen Bedrohungen. In einer neuen Welle scheint die Schweizerische Bundesbahn (SBB) und deren Kundschaft im Visier von Cyberkriminellen zu sein.
Das NCSC berichtet über 2 neue Phishingwellen die seit der Kalenderwoche 41 beobachtet und analysiert werden. Dabei geben sich Hacker als Mitarbeiter der SBB aus und versprechen u.a. Rückzahlungen, um an Kontendaten der Bahnkunden zu gelangen. Die zweite Welle betrifft Nutzer von Microsoft Office 365. Die Login-Daten für Office 365 sind für Hacker interessant, weil Nutzer häufig damit Zugänge zu weiteren Diensten belegen oder verknüpfen.
Im Fokus der Hacker: Office365 Zugangsdaten
Laut NCSC läuft das Office 365 Phishing in immer gleichen Schritten ab. Die potentiellen Opfer erhalten eine Mail mit einem angehängten HTML Dokument mit der Dateierweiterung .htm. Das Ausführen des HTML Codes erfolgt nahezu automatisch und zeigt die gleiche Maske , wie für den Login in Microsoft Office 365. Geben die Nutzer dort die Login Daten ein, werden Benutzername und Passwort an die Phishing Domain gesendet, die anscheinend nur für diesen Zweck registriert wurde.
In der zweiten Methode, die das NCSC identifizieren konnte, wird die Phishingmail im Namen des „Finanzdienstleistungsunternehmen Wells Fargo“gesendet. Angeblich wurde eine Zahlung ausgelöst. Im Anhang befindet sich ein PDF mit dem Titel: „Wellsfargo_ACHCOPY.pdf“. In diesen PDF wird eine Rechnung mit QR Code gezeigt. Die Rechnung ist verschwommen dargestellt, der Code klar sichtbar. Scannen die Opfer den Code, werden sie auf eine Fake-Version von Microsoft Office 365 geleitet. Erfolgt der Login über diese Site, sind die Daten weg.
Zusätzlich sind die Kunden der Schweizer Bundesbahn ins Visier von Hackern gelangt. Sie bekommen vermehrt Mails, die angeblich von der SBB stammen und in denen eine Rückerstattung angekündigt wird. Das Login-Fenster fordert die Zugangsdaten für den Swiss Pass oder die SwissID. Das NCSC warnt vor diesen Phishing Mails und fordert die SBB Kunden auf, eine Multi-Faktor-Authentisierung zu bevorzugen, wann immer dies möglich ist. Zudem sollten keine Zugangsdaten in Links in E-Mails eingegeben sowie keine Links in Mails mit unbekannter Herkunft angeklickt werden.
Angriffe können dem NCSC direkt auf der Website gemeldet werden.