Personalisiertes Phishing - Mögliche erste Angriffe nach Swisscom-Datendiebstahl

Personalisiertes Phishing

Mögliche erste Angriffe nach Swisscom-Datendiebstahl

Marc Ruef
von Marc Ruef
Lesezeit: 4 Minuten

Keypoints

  • Swisscom wurde im Herbst 2017 Opfer eines Datendiebstahls
  • Rund 800'000 Benutzerdaten wurden bei diesem Angriff gestohlen
  • Darin enthalten sind Personendaten wie Name, Adresse und Telefonnummer
  • Ersten Berichten zur Folge werden diese Daten nun in personalisierten Phishing-Attacken eingesetzt
  • Das Swisscom CSIRT kann gegenwärtig keinen Zusammenhang feststellen
  • Auf Phishing-Emails sollte nicht reagiert und stattdessen die zuständigen Stellen informiert werden

Der Schweizer Telekommunikationskonzern Swisscom musste an der Pressekonferenz am 07. Februar 2018 zugeben, dass im Herbst zuvor rund 800’000 Personendaten entwendet wurden. Die betroffenen Datensätze umfassen Name, Adresse, Telefonnummer und Geburtsdatum. Im Rahmen der umstrittenen Krisenkommunikation wurde mehrfach betont, dass durch die Swisscom noch kein Missbrauch der Daten festgestellt werden konnte.

Wir wurden von verschiedenen Quellen darauf aufmerksam gemacht, dass ein vermeintliches Email der Eidgenössischen Steuerverwaltung (ESTV) im Umlauf ist, das mit einem Anhang daherkommt. Besonders auffällig ist, dass die Anrede personalisiert ist und in der Betreffzeile die Swisscom-Handynummer der Zielperson enthalten ist. Diese Korrelation deutet darauf hin, dass hiermit potentiell der Missbrauch aus dem Datenleck eingeläutet wird. Aus Vor- und Nachname können mit wenig Aufwand Mailadressen generiert und auf gut Glück an potentielle Opfer geschickt werden (z.B. vorname.nachname@gmail.com oder vorname_nachname@gmx.ch). Nach Rücksprache mit dem Swisscom CSIRT scheinen jedoch nur ein geringer Teil der bisher geprüften Phishing-Samples aus dem Diebstahl stammen zu können.

Personalisiertes Phishing-Mail

Ein solches Phishing ist nur eine der wenigen Möglichkeiten, wie Daten missbraucht und schlussendlich zu Geld gemacht werden können. Im Darknet finden sich verschiedene Märkte, in denen mit gestohlenen Daten gehandelt werden. Diese werden dann zum Beispiel für Identitätsdiebstahl gebraucht, um Kreditbetrug oder Geldwäsche zu begehen.

Wir empfehlen solche Emails nicht zu öffnen. Besonders vom Herunterladen und Öffnen der Anhänge ist abzusehen. Auf die Nachricht sollte nicht reagiert werden. Stattdessen sollte in Unternehmen die für IT-Security zuständige Stelle über die Emails informiert werden.

Betroffene Persönen können ein SMS mit dem Text info an die Handynummer 444 schicken. Swisscom informiert dann darüber, ob die eigenen Daten ebenfalls gestohlen wurden. Diese Information ist aber nicht immer akkurat. Bei Zweifeln sollte man sich direkt mit Swisscom in Verbindung setzen, um Details sowie das weitere Vorgehen zu erfragen.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

Werden auch Ihre Daten im Darknet gehandelt?

Wir führen gerne für Sie ein Monitoring des Digitalen Untergrunds durch!

×
Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentisierung

Voice Authentisierung

Marc Ruef

Bug-Bounty

Bug-Bounty

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv