Die Google Threat Intelligence Group warnt aktuell davor, dass Angreifer physisch auf die Systeme ihrer Opfer zugreifen: Sie geben sich vor Ort als IT-Techniker aus und betreten dann die Büros eines betroffenen Unternehmens. Mit einem USB-Stick greifen sie anschließend sensible Daten direkt vom Endgerät ab.

Normalerweise versuchen digitale Angreifer meist aus der Ferne Daten zu stehlen oder Netzwerke zu sabotieren: Das Opfer fällt etwa auf eine Phishing-Mail herein, kontaktiert den Angreifer und der erhält remote Zugriff aufs Firmennetz – dann kopiert er sensible Daten. Kommt der Angreifer so nicht weiter, steht er in manchen Fällen direkt vorm Firmengebäude.

Bei den falschen IT-Supportern geht es laut Google um die Hackergruppe UNC3753, die auch als Luna Moth, Chatty Spider oder Silent Ransom Group bekannt ist. Sie zielen hauptsächlich auf Anwaltskanzleien in den USA ab, aber auch Versicherungs-, Finanz- oder Gesundheitsunternehmen sind betroffen. Bei den Daten geht es dann um rechtliche Vereinbarungen, personenbezogene Daten oder Finanzunterlagen, mit denen sie das Unternehmen später erpressen wollen.

Vorgehen

Die Hackergruppe sucht auf Firmenwebsites nach Kontaktdaten, um ihre Opfer etwa per Telefon oder Mail zu erreichen. Dabei tun sie so, als würden sie zur IT- oder Sicherheitsabteilung des Unternehmens gehören. Sie machen dann das Opfer auf eine vermeintliche Sicherheitslücke aufmerksam oder wollen ihm bei einem erfundenen Projekt helfen, um Daten zu migrieren. So bauen sie Vertrauen auf und versuchen, das Opfer zu einer Fernwartungssitzung zu überzeugen.

Laut Google nutzt UNC3753 ganz normale Screen-Sharing-Software: Zoom, Microsoft Terminal Services, Microsoft Teams oder Quick Assist. In einem Beispiel hat der Angreifer etwa innerhalb von drei Tagen mit dem Opfer fünfmal per Teams gesprochen. Sie versuchen die Opfer aber auch dazu zu bewegen, spezielle Remote-Software zu installieren: wie AnyDesk, Bomgar oder Zoho Assist. In einem Fall sollte der Nutzer einen „SuperOps RMM agent“ per cURL herunterladen.

Daten übertragen

Haben die Angreifer das Vertrauen des Opfers, kopieren sie sensible Daten. Sie melden sich etwa direkt im Browser des Opfers bei Dateifreigabe-Konten und laden Dateien direkt hoch – das taten sie entweder selbst oder haben ihre Opfer dazu angeleitet. Dabei imitierten sie auch das Branding des Zielunternehmens.

Unter anderem kamen dabei die Datenübertragungsprogramme WinSCP oder Rclone zum Einsatz. In einem Fall haben die Angreifer etwa 1,7 GByte an Daten aus einem lokalen OneDrive-Ordner auf ein Google-Drive-Konto übertragen. Zudem haben sie Opfer angewiesen, Dateien aus der Anwaltssoftware iManage direkt per Mail an die Hacker zu senden.

FBI-Warnung

Falls die Remote-Taktiken der Angreifer fehlschlagen, versuchen sie laut Google physisch die Daten zu stehlen. Auch das FBI hat davor bereits Ende Mai gewarnt (PDF). Sie stellen sich wieder als IT-Support vor und täuschen etwa vor, dass sie ein Backup erstellen müssen. Dafür nutzen sie externe Festplatten oder einfache USB-Sticks. Haben die Hacker alle Daten, die sie brauchen, senden sie eine Erpressermail an die Firma und drohen mit der Veröffentlichung.

Das FBI empfiehlt unter anderem, die Berechtigungen aller Personen zu kontrollieren, die Unternehmensräume betreten. Außerdem sollen Unternehmen ihre Mitarbeiter schulen, Backups anlegen und etwa die Möglichkeit, externe Laufwerke anzuschließen, einschränken.

Zudem rät Google dazu, den ausgehenden Datenverkehr und das Netzwerk strikt zu überwachen – der Abfluss von mehreren GByte an Daten sollte nicht unbemerkt bleiben. Unternehmen sollen nicht autorisierte Filesharing-Dienste blockieren, die übertragenen Datenmengen in den Firewall-Protokollen erfassen und den SSH-Verkehr auf Port 22 gezielt auf massenhafte Übertragungen prüfen.

(str)

Der Verkauf gebrauchter Fahrzeuge über Online-Plattformen wie Kleinanzeigen und Mobile ist nichts für schwache Nerven: Neben nächtlichen Nachrichten oder Anrufen der Gattung „was ist dein letzter Preis?“ gibt es reichlich Gauner, die Unbedarften allerlei Fallen stellen. Eine dieser Maschen taucht unter wechselnden Namen immer wieder auf: angebliche „Kfz-Berichte“. Was es damit auf sich hat, haben wir untersucht.

Der Ablauf eines Gebrauchtwagenverkaufs über das Internet ist meist etwa so: Der Verkäufer macht einige Fotos, sammelt notwendige Informationen des Autos zusammen und stellt Verkaufsanzeigen auf Plattformen wie Kleinanzeigen online. Interessenten melden sich, stellen Rückfragen, machen Preisangebote und bitten zur einfacheren Abwicklung um die Telefonnummer. Die herauszugeben, ist mehrheitlich keine gute Idee, scheint einem schnellen Verkauf aber oft zuträglich.

In einem uns vorliegenden Fall (gefunden auf Reddit) bat der potenzielle Käufer per WhatsApp in tadellosem Deutsch um mehr Informationen zum Auto und einen Besichtigungstermin. Nachdem der Verkäufer ihm Vorschläge für die persönliche Begutachtung unterbreitet hatte, schwenkte der angebliche Interessent um: Er müsse lange fahren und zöge daher einen kompletten Fahrzeugbericht vor. Den könne der Verkäufer mittels Eingabe von Kennzeichen oder Fahrgestellnummer auf der Webseite „kfzabfrage.de“ herunterladen.

Fantasievolle Fahrzeugabfrage

So weit, so gut – doch was ist das für eine Webseite? Beim Aufruf von „kfzabfrage.de“ erwartet den Kaufinteressenten zunächst eine nichtssagende Webseite aus dem Baukasten, womöglich KI-generiert. Die Abfrage ist per Autokennzeichen oder Fahrzeugidentifikationsnummer (VIN) möglich, doch warum im entsprechenden Eingabefeld neben einem LKW und PKW auch ein Fahrradfahrer-Piktogramm erscheint, wissen wohl nur die unbekannten Autoren.

Immerhin: Über 500.000 Nutzer weltweit sowie die bekannten Marken „Auto Bild“ und „TopGear“ vertrauen angeblich der Kfz-Abfrage (die laut Logo unter dem Markennamen „VinCheck“ auftritt). Auch ein Beispielbericht lässt sich abrufen: Er enthält einige Fotos des Autos sowie den Kilometerstand, Leistung (verräterisch: die Verwendung der englischen Abkürzung „hp“ für Pferdestärken) und eine „Überprüfung auf gestohlenes Fahrzeug“. Und der Laie fragt sich: Wie soll ein Webportal an all diese Informationen kommen? Fotos von Unfallschäden tauchen in keiner öffentlichen Datenbank auf, genauso wenig wie Positionsdaten oder Tachostände.

Gibt man ein Autokennzeichen wie „CT-DE 1234“ oder eine zufällig ausgewürfelte, aber syntaktisch korrekte VIN in das Eingabefeld ein, leuchtet die frohe Botschaft auf: „Erfolg! Wir haben das Fahrzeug und seine bisherigen Daten gefunden.“ Spätestens jetzt ist klar: Es kann sich nur um Betrug handeln, denn das Ortskennzeichen „CT“ existiert in Deutschland schlicht nicht. Dennoch wollen wir wissen, was die halbseidene Fahrzeugdatenbank über unser Auto weiß.

Doch das mag sie uns ohne Gegenleistung nicht verraten – und die besteht natürlich in der Angabe unserer Kreditkartendaten für den 19,99 € teuren Report. Nun denn, ermutigt durch die vielen Kreditkarten- und das Paypal-Logo begeben wir uns zur Kasse. Dort empfängt uns eine weitere Überraschung: Von Paypal-Zahlung ist plötzlich keine Rede mehr. Stattdessen nimmt der Seitenbetreiber Google Pay an, das haben wir jedoch nicht „auf Tasch“ – also muss es die Kreditkartenzahlung sein.

Also generieren wir uns schnell beim Zahlungsdienstleister unserer Wahl eine Einmal-Kreditkarte – und laufen vor die Wand. Denn die wird von „kfzabfrage“ schnurstracks abgelehnt. Womöglich möchten die unbekannten Betreiber sich die Option auf (unerlaubte) Folgezahlungen offenhalten. Mit einer anderen virtuellen Kreditkarte der Online-Bank Revolut klappt die Zahlung. Zumindest beinahe, denn die Revolut-App schlägt innerhalb von Sekunden Alarm.

Die Zahlung über 19,99 € an einen Händler namens „Autostoria24“ führte die Bank nicht aus, sondern sperrte direkt die Karte. Offenbar haben automatische Systeme zur Betrugserkennung bei Revolut zugeschlagen. Derlei vehemente Warnungen schlagen wir nicht in den Wind und brechen den Kauf ab. Stattdessen schauen wir, was wir über die Hintergründe der Masche erfahren können.

Wer steckt dahinter?

Die Recherche beginnt bei der Domain und ihren Inhabern. „kfzabfrage.de“ wurde am 29. Mai 2026, also eine Woche vor Erscheinen dieses Artikels registriert. Laut DENIC-Inhaberinformationen auf ein Unternehmen namens AUTO INFORM in der Ballifeary Road im britischen Bamburgh. Das malerische Küstendörfchen im Nordosten Englands ist berühmt für seine mittelalterliche Burg. Die diente unter ihrem altenglischen Namen Bebbanburg dem Romanhelden Uthred aus Bernard Cromwells gleichnamiger Romanreihe als Sehnsuchts- und Herkunftsort, ist eine beliebte Filmkulisse und Touristenattraktion. Doch Bamburgh hat keine Ballifeary Road, die gibt es lediglich im fünf Autostunden entfernten Inverness.

Bei der Suche nach dieser Straße fiel uns auf, dass unter derselben fiktiven Adresse wie das Kfz-Abfrageportal gleich zwei verschiedene Logistikdienstleister mit nichtssagenden Namen und verdächtiger Webseite residieren. Viel Gewerbe für ein Dorf mit 400 Einwohnern – der Verdacht liegt nahe, dass die Webseiten ebenfalls zu betrügerischen Zwecken aufgebaut wurden und die northumbrische Fantasieadresse regelmäßig recycled wird.

Auch die angeblichen E-Mail-Adressen des Domaininhabers führen ins Leere: Die Domain „autexa24.com“ existiert zwar und ist beim US-Anbieter Cloudflare gehostet, doch ist die Webseite nicht erreichbar und auch in der Wayback Machine nicht zu finden. Immerhin die zweite E-Mail-Adresse existiert, sie gehört zu einem Domain-Treuhanddienst des saarländischen Unternehmens Key Systems. Und die Kontakt-Telefonnummer? Die gehört zu einem Dienst für den kostenlosen SMS-Empfang und ist somit eine Wegwerfnummer.

Weitere Indizien für die Hintermänner sind spärlich gesät: Die AGB verweisen auf ein britisches Unternehmen namens „Datachecker Limited“, das jedoch bereits im Juli 2025 von Amts wegen liquidiert wurde. Das Hosting stellt GoDaddy in Straßburg bereit, die Domain ist über Key Systems registriert. Das stärkste Indiz könnte die Händlerkennung „autostoria24“ bei der Kreditkartenzahlung sein – dieser Name führt zu einem übel beleumundeten Händler für Fahrzeugteile, der offenbar auch seit 2025 nicht mehr im Geschäft ist.

Augen auf beim Fahrzeugverkauf

Ermittler warnen immer wieder vor der Betrugsmasche. Die Betrüger greifen nicht nur knapp 20 Euro von ihren Opfern ab, sondern auch deren persönliche Daten und die VIN oder das Autokennzeichen. Diese können sie später nutzen, um weiteren Betrügereien Glaubwürdigkeit zu verleihen, etwa indem sie selbst als Verkäufer auftreten und Interessenten die ergatterte VIN als Legitimation mitteilen.

Einen „Fahrzeugbericht“, wie ihn der betrügerische Interessent vom Verkäufer anfordert, gibt es zudem in dieser Form nicht. Werden Sie als Verkäufer also danach gefragt, sollten Sie den Kontakt sofort abbrechen – es handelt sich um Bauernfängerei. Wenn Sie bereits gezahlt haben, reklamieren Sie die Zahlung bei Ihrem Kreditkartenunternehmen und lassen sie zurückbuchen. Da nicht auszuschließen ist, dass die Betrüger weitere Abbuchungsversuche unternehmen, behalten Sie die nächsten Kreditkartenabrechnungen genau im Auge oder lassen die Karte gar sperren.

Die Betrüger wechseln die Domains im Wochen- oder Monatstakt und treten sicherlich mit einer Vielzahl von Designvorlagen aus. Allen gemein ist jedoch: Sie sind Teil einer Betrugsmasche.

(cku)

Die Web-Version des Editors VS Code auf GitHub.dev hatte eine Sicherheitslücke, die es Angreifern erlaubt hat, sämtliche Repos eines Opfers zu übernehmen – auch private. Sie hätten hier Lieferkettenangriffe mit weiterem Schadcode initiieren oder einen Maintainer gezielt attackieren können.

Jeder GitHub-Anwender hätte über einen bösartigen Link schnell Opfer werden können. Durch eine Kombination aus eingebetteten Vorschaufenstern mit von JavaScript erzeugten Tastenschlägen hätten Angreifer unbemerkt eine Extension installieren können, die das Zugangs-Token für sämtliche Repos klaut, auf die das Opfer Zugriff hat. Auch die Desktop-Version war prinzipiell betroffen, jedoch mit höheren Hürden. Microsoft hat inzwischen Gegenmaßnahmen ergriffen und verhindert nun, dass Angreifer die Warnung vor einer nicht vertrauenswürdigen Umgebung ausschalten können.

Iframe-Sandbox aufgebrochen

Der Sicherheitsforscher Ammar Askar hat den Angriff in seinem Blog im Detail beschrieben: GitHub bietet eine Version von VS Code im Web unter github.dev. (Genauer genommen ist VS Code ursprünglich eine Webanwendung, die via Electron im Desktop läuft.) Jeder GitHub-Anwender kann seine Repos mit github.dev/user/repo statt github.com/user/repo unmittelbar in einer VS-Code-Umgebung im Browser öffnen, bearbeiten und verwalten.

Dadurch, dass die Web-App „fast die gesamte Ladung der Millionen Zeilen der TypeScript-Codebasis ausführt, eignet sie sich hervorragend als Ziel für jeden, der Bugs in VS Code sucht“, hebt Askar hervor. Im Prinzip schützt der Editor die Anwenderinnen und Anwender durch verschiedene Sandbox-Mechanismen jedoch vor der Übermacht der JavaScript-Funktionen.

Der Angriff nutzt die Funktion Webview, die externe Inhalte in einer Sandbox in einem Iframe ausführt, zum Beispiel um Markdown zu rendern oder Jupyter-Notebooks zu bearbeiten. Intern haben Webviews eine andere Code-Quelle: vscode-webview://... statt vscode-file://... und damit keinen Zugriff auf die Node.js-APIs, auf denen VS Code basiert. Aber es gibt einen Informationsaustausch über Messages mit der übergeordneten Hauptseite. So nimmt Webview Tasten-Events (keydown) für das Hauptfenster entgegen, beispielsweise Strg-Shift-P, um die Befehlspalette von VS Code zu öffnen. Über diese wiederum lassen sich Extensions installieren. Um dann die Installation der Extension zu bestätigen, dient Strg-Shift-A, was immer den Default-Button einer Meldung wählt, hier „Install“ für Erweiterungen.

Ein Angreifer kann nun Tastatureingaben einfach mit JavaScript-Code emulieren, um die Installation einer Extension anzustoßen. Askar zeigt, wie sich weitere Sicherheitsmechanismen einfach aushebeln ließen, darunter die Warnung an das Opfer, dass ein neuer Extension-Herausgeber etwas installieren will. Diese Überprüfung konnte Askar über das Vorspielen einer vertrauenswürdigen Local Workspace Extension umgehen – eine Schwachstelle, die Microsoft laut Askar inzwischen bereinigt hat.

Der Forscher demonstriert den Angriff mit einem Jupyter-Notebook, das über einen github.dev-Link wie oder über eine Umleitung darauf lädt. Die bösartige Extension tritt dann unbemerkt in Aktion und klaut das Token, mit dem sie Zugriff auf alle Repos bekommt, auf die auch das Opfer Zugriff hat – GitHub vergibt nur ein Token für alle Verzeichnisse.

Nur Anwender, die github.dev noch nicht oder länger nicht mehr benutzt haben, bekommen einmal die Warnung „The extension ‚GitHub Repository‘ wants to sign in using GitHub“. Im Blog von Askar findet sich ein Demo-Link, den die heise-developer-Redaktion jedoch nicht auf Sicherheit überprüft hat.

(who)