Personalisiertes Phishing - Mögliche erste Angriffe nach Swisscom-Datendiebstahl

Personalisiertes Phishing

Mögliche erste Angriffe nach Swisscom-Datendiebstahl

Marc Ruef
by Marc Ruef
on February 09, 2018
time to read: 4 minutes

Keypoints

  • Swisscom wurde im Herbst 2017 Opfer eines Datendiebstahls
  • Rund 800'000 Benutzerdaten wurden bei diesem Angriff gestohlen
  • Darin enthalten sind Personendaten wie Name, Adresse und Telefonnummer
  • Ersten Berichten zur Folge werden diese Daten nun in personalisierten Phishing-Attacken eingesetzt
  • Das Swisscom CSIRT kann gegenwärtig keinen Zusammenhang feststellen
  • Auf Phishing-Emails sollte nicht reagiert und stattdessen die zuständigen Stellen informiert werden

Der Schweizer Telekommunikationskonzern Swisscom musste an der Pressekonferenz am 07. Februar 2018 zugeben, dass im Herbst zuvor rund 800’000 Personendaten entwendet wurden. Die betroffenen Datensätze umfassen Name, Adresse, Telefonnummer und Geburtsdatum. Im Rahmen der umstrittenen Krisenkommunikation wurde mehrfach betont, dass durch die Swisscom noch kein Missbrauch der Daten festgestellt werden konnte.

Wir wurden von verschiedenen Quellen darauf aufmerksam gemacht, dass ein vermeintliches Email der Eidgenössischen Steuerverwaltung (ESTV) im Umlauf ist, das mit einem Anhang daherkommt. Besonders auffällig ist, dass die Anrede personalisiert ist und in der Betreffzeile die Swisscom-Handynummer der Zielperson enthalten ist. Diese Korrelation deutet darauf hin, dass hiermit potentiell der Missbrauch aus dem Datenleck eingeläutet wird. Aus Vor- und Nachname können mit wenig Aufwand Mailadressen generiert und auf gut Glück an potentielle Opfer geschickt werden (z.B. vorname.nachname@gmail.com oder vorname_nachname@gmx.ch). Nach Rücksprache mit dem Swisscom CSIRT scheinen jedoch nur ein geringer Teil der bisher geprüften Phishing-Samples aus dem Diebstahl stammen zu können.

Personalisiertes Phishing-Mail

Ein solches Phishing ist nur eine der wenigen Möglichkeiten, wie Daten missbraucht und schlussendlich zu Geld gemacht werden können. Im Darknet finden sich verschiedene Märkte, in denen mit gestohlenen Daten gehandelt werden. Diese werden dann zum Beispiel für Identitätsdiebstahl gebraucht, um Kreditbetrug oder Geldwäsche zu begehen.

Wir empfehlen solche Emails nicht zu öffnen. Besonders vom Herunterladen und Öffnen der Anhänge ist abzusehen. Auf die Nachricht sollte nicht reagiert werden. Stattdessen sollte in Unternehmen die für IT-Security zuständige Stelle über die Emails informiert werden.

Betroffene Persönen können ein SMS mit dem Text info an die Handynummer 444 schicken. Swisscom informiert dann darüber, ob die eigenen Daten ebenfalls gestohlen wurden. Diese Information ist aber nicht immer akkurat. Bei Zweifeln sollte man sich direkt mit Swisscom in Verbindung setzen, um Details sowie das weitere Vorgehen zu erfragen.

About the Author

Marc Ruef

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several universities, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

Is your data also traded on the dark net?

We are going to monitor the digital underground for you!

×
Password Leak Analysis

Password Leak Analysis

Marc Ruef

MITRE ATT&CK

MITRE ATT&CK

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

You want more?

Further articles available here

You need support in such a project?

Our experts will get in contact with you!

You want more?

Further articles available here