11.12.20

Achtung KMU - Anruf von Zustellservice mit Ankündigung von Liefer Mail ist ein eBanking Trojaner

Achtung KMU - Anruf von Zustellservice mit Ankündigung von Liefer Mail ist ein eBanking Trojaner

Das Telefon läutet. Eine Dame mit Ostblockakzent erklärt, dass sie eine Lieferung disponiere. Ansprechsperson sei der Geschäftsführer des KMU. Ob jemand anwesend sei. Wegen Corona habe sie den Lieferschein per Mail geschickt. Man müsse diesen nur ausdrucken, unterschreiben und dem Fahrer übergeben.

In der französischen Version ertönt eine automatische Roboterstimme, die auffordert, die Emailadresse zu bestätigen. Anschliessend kommt umgehend das Mail mit dem angeblichen Lieferschein.

Die Betrugsmasche

Klickt man auf den Link im Mail, so wird eine Malware heruntergeladen, die einen eBanking Trojaner ausführt. Einmal installiert, werden die künftigen eBanking Aktivitäten des KMU an die Täter umgeleitet, die die Zahlungen modifizieren und die Überweisung zu ihren Gunsten umleiten. Besonders perfide ist, dass aktuelle Antivirensoftware keine Schadsoftware auf dem infizierten PC findet und die 3D SMS Verfikation ausgehebelt wird.

Telefonnummern der Betrüger (gefälscht)

076 688 98 09 bzw 0766889809 bzw +41 76 688 98 09

076 430 17 29 bzw 0764301729 bzw +41 76 430 17 29

078 677 07 44 bzw 0786770744 bzw +41 78 677 07 44 

078 223 22 42 bzw 0782232242 bzw +41 78 223 22 42

078 965 61 78 bzw 0789656178 bzw +41 78 965 61 78

Stimme anhören - Anruf Kurierdienst

Emailadressen der Betrüger (gefälscht)

h.hauser@swissonline.ch

klocher@teleport.ch 

cherbertburns576@gmail.com

o.zurbriggen@hispeed.ch

Screenshot Mail

Screenshot Mail

Screenshot Mail Französisch

Screenshot Google Docs Link

Screenshot Docs Französisch

Screenshot Download Webseite

Zu spät - Die Schadsoftware ist bereits installiert

Zu spät - Die Schadsoftware ist bereits installiert

Was muss ich tun

Ich habe schon auf den Link geklickt

50
Betroffene Personen haben sich bei uns gemeldet
Persönliche Daten
Angaben zum Fall

Zum Schutz vor Missbrauch dieser Funktion werden beim Senden zusätzlich das Datum und Ihre IP-Adresse übermittelt.

Tags

Hinweise für den IT Fachmann

Um festzustellen, ob der Computer infiziert ist, kontrollieren Sie die Proxy Einstellungen im Betriebssystem und im Browser. Die Malware richtet eine lokale Umleitung auf täterische Websites im TOR Netzwerk ein. Dazu installiert sie einen portablen TOR Browser und SOCAT.

Screenshot Proxy Einstellungen

Screenshot installierte Programme SOCAT & TOR

Weiterführende Informationen