11.12.20
Achtung KMU - Anruf von Zustellservice mit Ankündigung von Liefer Mail ist ein eBanking Trojaner
Das Telefon läutet. Eine Dame mit Ostblockakzent erklärt, dass sie eine Lieferung disponiere. Ansprechsperson sei der Geschäftsführer des KMU. Ob jemand anwesend sei. Wegen Corona habe sie den Lieferschein per Mail geschickt. Man müsse diesen nur ausdrucken, unterschreiben und dem Fahrer übergeben.
In der französischen Version ertönt eine automatische Roboterstimme, die auffordert, die Emailadresse zu bestätigen. Anschliessend kommt umgehend das Mail mit dem angeblichen Lieferschein.
Neuerdings ertönt auch in der deutschsprachigen Version eine Stimme vom Band.
Aktualisiert
11.02.22, 10.15 Uhr
Die Betrugsmasche
Klickt man auf den Link im Mail, so wird eine Malware heruntergeladen, die einen eBanking Trojaner ausführt. Einmal installiert, werden die künftigen eBanking Aktivitäten des KMU an die Täter umgeleitet, die die Zahlungen modifizieren und die Überweisung zu ihren Gunsten umleiten. Besonders perfide ist, dass aktuelle Antivirensoftware keine Schadsoftware auf dem infizierten PC findet und die 3D SMS Verfikation ausgehebelt wird.
Seit kurzen werden auch Daten in grossem Stil entwendet. Nach mehreren Wochen werden die Daten verschlüsselt und das KMU erpresst.
Telefonnummern der Betrüger (gefälscht)
- +41766889809
076 688 98 09, 0766889809, +41 76 688 98 09, 0041766889809, 0041 76 688 98 09 - +41764301729
076 430 17 29, 0764301729, +41 76 430 17 29, 0041764301729, 0041 76 430 17 29 - +41786770744
078 677 07 44, 0786770744, +41 78 677 07 44, 0041786770744, 0041 78 677 07 44 - +41782232242
078 223 22 42, 0782232242, +41 78 223 22 42, 0041782232242, 0041 78 223 22 42 - +41789656178
078 965 61 78, 0789656178, +41 78 965 61 78, 0041789656178, 0041 78 965 61 78 - +41799020304
079 902 03 04, 0799020304, +41 79 902 03 04, 0041799020304, 0041 79 902 03 04 - +41764691701
076 469 17 01, 0764691701, +41 76 469 17 01, 0041764691701, 0041 76 469 17 01 - +41789140623
078 914 06 23, 0789140623, +41 78 914 06 23, 0041789140623, 0041 78 914 06 23 - +41763865430
076 386 54 30, 0763865430, +41 76 386 54 30, 0041763865430, 0041 76 386 54 30 - +41779395291
077 939 52 91, 0779395291, +41 77 939 52 91, 0041779395291, 0041 77 939 52 91 - +41774860379
077 486 03 79, 0774860379, +41 77 486 03 79, 0041774860379, 0041 77 486 03 79 - +41766691701
076 669 17 01, 0766691701, +41 76 669 17 01, 0041766691701, 0041 76 669 17 01 - +41215751092
021 575 10 92, 0215751092, +41 21 575 10 92, 0041215751092, 0041 21 575 10 92
Emailadressen der Betrüger (gefälscht)
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
Was muss ich tun
- Klicken Sie auf KEINEN Fall auf den Link
- Schreiben Sie die Telefonnummer der Betrüger auf und melden sie uns
- Speichern Sie das Mail und schicken Sie es uns als Anhang
- Falls Sie eBanking verwenden, melden Sie sich umgehend bei Ihrer Bank und erwähnen Sie die mögliche Infektion mit dem eBanking Trojaner RETEFE
Ich habe schon auf den Link geklickt
- Benutzen Sie den Computer nicht mehr weiter, ihre Zugangsdaten zu Online Diensten können sonst von den Betrügern missbraucht werden
- Erstatten Sie Strafanzeige beim örtlichen Polizeiposten
- Lassen Sie Ihren Computer komplett neu aufsetzen
Erkenntnisse der Polizei
Ablauf einer Infektion
- eBanking Trojaner RETEFE
- Quasar RAT (Remote Admin Tool)
- Cobalt Strike (Test Software um Schwachstellen zu finden)
- Installieren von Ransomware (Verschiedene Familien)
Tags
Hinweise für den IT Fachmann
Um festzustellen, ob der Computer infiziert ist, kontrollieren Sie die Proxy Einstellungen im Betriebssystem und im Browser. Die Malware richtet eine lokale Umleitung auf täterische Websites im TOR Netzwerk ein. Dazu installiert sie einen portablen TOR Browser und SOCAT.
Weiterführende Informationen
- SRF Kassensturz - Bericht
- Virustotal
- Bericht von Infoguard CSIRT
- Bereits auf Cybercrimepolice berichtet