11.12.20

Achtung KMU - Anruf von Zustellservice mit Ankündigung von Liefer Mail ist ein eBanking Trojaner

Achtung KMU - Anruf von Zustellservice mit Ankündigung von Liefer Mail ist ein eBanking Trojaner

Das Telefon läutet. Eine Dame mit Ostblockakzent erklärt, dass sie eine Lieferung disponiere. Ansprechsperson sei der Geschäftsführer des KMU. Ob jemand anwesend sei. Wegen Corona habe sie den Lieferschein per Mail geschickt. Man müsse diesen nur ausdrucken, unterschreiben und dem Fahrer übergeben.

In der französischen Version ertönt eine automatische Roboterstimme, die auffordert, die Emailadresse zu bestätigen. Anschliessend kommt umgehend das Mail mit dem angeblichen Lieferschein.

Neuerdings ertönt auch in der deutschsprachigen Version eine Stimme vom Band.

Die Betrugsmasche

Klickt man auf den Link im Mail, so wird eine Malware heruntergeladen, die einen eBanking Trojaner ausführt. Einmal installiert, werden die künftigen eBanking Aktivitäten des KMU an die Täter umgeleitet, die die Zahlungen modifizieren und die Überweisung zu ihren Gunsten umleiten. Besonders perfide ist, dass aktuelle Antivirensoftware keine Schadsoftware auf dem infizierten PC findet und die 3D SMS Verfikation ausgehebelt wird.

Seit kurzen werden auch Daten in grossem Stil entwendet. Nach mehreren Wochen werden die Daten verschlüsselt und das KMU erpresst.

Telefonnummern der Betrüger (gefälscht)

  • +41766889809
    076 688 98 09, 0766889809, +41 76 688 98 09, 0041766889809, 0041 76 688 98 09
  • +41764301729
    076 430 17 29, 0764301729, +41 76 430 17 29, 0041764301729, 0041 76 430 17 29
  • +41786770744
    078 677 07 44, 0786770744, +41 78 677 07 44, 0041786770744, 0041 78 677 07 44
  • +41782232242
    078 223 22 42, 0782232242, +41 78 223 22 42, 0041782232242, 0041 78 223 22 42
  • +41789656178
    078 965 61 78, 0789656178, +41 78 965 61 78, 0041789656178, 0041 78 965 61 78
  • +41799020304
    079 902 03 04, 0799020304, +41 79 902 03 04, 0041799020304, 0041 79 902 03 04
  • +41764691701
    076 469 17 01, 0764691701, +41 76 469 17 01, 0041764691701, 0041 76 469 17 01
  • +41789140623
    078 914 06 23, 0789140623, +41 78 914 06 23, 0041789140623, 0041 78 914 06 23
  • +41763865430
    076 386 54 30, 0763865430, +41 76 386 54 30, 0041763865430, 0041 76 386 54 30
  • +41779395291
    077 939 52 91, 0779395291, +41 77 939 52 91, 0041779395291, 0041 77 939 52 91
  • +41774860379
    077 486 03 79, 0774860379, +41 77 486 03 79, 0041774860379, 0041 77 486 03 79
  • +41766691701
    076 669 17 01, 0766691701, +41 76 669 17 01, 0041766691701, 0041 76 669 17 01
  • +41215751092
    021 575 10 92, 0215751092, +41 21 575 10 92, 0041215751092, 0041 21 575 10 92

Stimme anhören - Anruf Kurierdienst

Emailadressen der Betrüger (gefälscht)

h.hauser@swissonline.ch
klocher@teleport.ch 
cherbertburns576@gmail.com
o.zurbriggen@hispeed.ch
erwinsteuble@bluewin.ch
th.klotzsch@hispeed.ch
quimserrano@bluewin.ch
erinvest@bluewin.ch
edegonda@bluewin.ch
joshuabruder@bluewin.ch
adriana.hofer@bluewin.ch
daniela.deininger@bluewin.ch

Screenshot Mail LO

Screenshot Mail

Screenshot Mail

Screenshot Mail Französisch

Screenshot Google Docs Link

Screenshot Docs Französisch

Screenshot Mail Post

Screenshot App-Box Link

Screenshot M & M Livraisons Sarl

Screenshot TD Express Livraison Sàrl

Screenshot KurierZentrale GmbH

Screenshot Download Webseite

Zu spät - Die Schadsoftware ist bereits installiert

Zu spät - Die Schadsoftware ist bereits installiert

Was muss ich tun

Ich habe schon auf den Link geklickt

Erkenntnisse der Polizei

Ablauf einer Infektion

88
Betroffene Personen haben sich bei uns gemeldet
Persönliche Daten
Angaben zum Fall

Zum Schutz vor Missbrauch dieser Funktion werden beim Senden zusätzlich das Datum und Ihre IP-Adresse übermittelt.

Tags

Hinweise für den IT Fachmann

Um festzustellen, ob der Computer infiziert ist, kontrollieren Sie die Proxy Einstellungen im Betriebssystem und im Browser. Die Malware richtet eine lokale Umleitung auf täterische Websites im TOR Netzwerk ein. Dazu installiert sie einen portablen TOR Browser und SOCAT.

Screenshot Proxy Einstellungen

Screenshot installierte Programme SOCAT & TOR

Weiterführende Informationen