Kleinanzeigen-Phishing innerhalb eines Jahres verfünffacht

Zu den klassischen Varianten gehört der Verkauf nicht vorhandener Waren oder das Nichtbezahlen von gekaufter und bereits versandter Waren. Beim so genannten Kleinanzeigen-Phishing haben es die Betrüger auf Kreditkartendaten, die Übernahme von Twint oder gar des E-Banking-Kontos abgesehen.

Das BACS warnt regelmässig vor Kleinanzeigenbetrug, da diese Plattformen eine Vielzahl von Angriffsmöglichkeiten bieten. In den letzten Wochen war ein besorgniserregender Anstieg von Meldungen zum Thema Kleinanzeigen-Phishing zu verzeichnen. Während vor einem Jahr die gemeldeten Fälle noch unter 50 lagen, stiegen die Meldungen im Februar 2025 auf über 250 an. In seinem Wochenrückblick erläutert das Bundesamt die derzeit beliebtesten Vorgehensweisen der Angreifer:

Der Betrugsversuch beginnt mit einem Verkauf auf einer Kleinanzeigenplattform. Typisch ist, dass sich bereits kurz nach Veröffentlichung der Anzeige ein Interessent meldet. Man wird sich schnell einig und es folgt ein Austausch über WhatsApp, in dem es um die Zahlungsmodalitäten geht. Der Käufer schlägt eine Zahlungsmethode eines bekannten Unternehmens, meist der Schweizerischen Post, vor und sendet einen Link, den das Opfer anklicken soll, um das Geld, das der Käufer angeblich bereits überwiesen hat, abzuholen.

Die sich öffnenden Seiten wirken täuschend echt und erwecken Vertrauen, sind jedoch darauf ausgelegt, sensible Daten wie Bank- oder Kontoinformationen abzugreifen. Auch der Link ist so gewählt, dass er zwar den Namen des bekannten Unternehmens enthält, in Wirklichkeit aber auf die Webseite des Betrügers führt.

Um die Webseite glaubwürdig zu gestalten, wird sie auf den Verkäufer zugeschnitten. Zum Beispiel wird der Preis an das Angebot angepasst und manchmal sogar ein Foto des verkauften Gegenstandes eingefügt.

Twint als Angriffsvektor

Im nächsten Schritt kann man wählen, ob das Geld auf die Kreditkarte oder auf Twint überwiesen werden soll. Bei der Auswahl Kreditkarte müssen die Kreditkartendaten eingegeben werden – ein einfaches Kreditkarten-Phishing. Wählt man hingegen Twint, wird man auf eine Seite mit den Twint-Logos verschiedener Banken weitergeleitet, wie dies auch bei vielen Online-Shops der Fall ist.

Ein Klick auf das entsprechende Symbol öffnet eine exakte Kopie der Login-Seite der jeweiligen Bank. Gibt man dann die Vertragsnummer, Login und Passwort ein, erscheint ein Fenster mit dem Hinweis, man solle warten und das Fenster nicht schliessen, da der Vorgang sonst abgebrochen werde. Dies ist ein Indiz dafür, dass die Betrüger nun im Hintergrund versuchen, sich ins E-Banking einzuloggen. Alle E-Banking-Konten sind mit einem zweiten Faktor geschützt. Login und Passwort reichen nicht aus, sondern es wird noch der zweite Faktor benötigt. Dieser wird aber erst abgefragt, nachdem der Login-Prozess gestartet worden ist. Die Betrüger loggen sich also im Hintergrund ein und halten das Opfer solange hin.

Tatsächlich erscheint nach einer Weile ein Support-Fenster, in dem man z. B. gefragt wird, ob man im Besitz eines Kartenlesegerätes sei. Die Betrüger teilen dem Opfer nun mit, welchen Code es in das Kartenlesegerät eingeben soll. Diesen Code haben die Betrüger zuvor nach Eingabe von Login und Passwort erhalten. Gibt das Opfer den Code an die Täter zurück, haben diese Zugang zum E-Banking-Portal. Ob sie diesen Zugang letztlich für eine Direktabbuchung nutzen oder ob die Betrüger mit diesen Zugangsdaten versuchen, das mit dem Bankkonto gekoppelte Twint-Konto auf eine andere Nummer zu überschreiben, ist dem BACS nicht bekannt.