24.09.20
Ihr Konto Cembra Money Bank wurde begrenzt!

Betrüger verschicken massenhaft Mails angeblich im Namen der Cembra Money Bank. Ihr Konto wird begrenzt!
Die Drohung soll mögliche Opfer dazu verleiten, persönliche Daten preiszugeben. Besonders raffiniert: Die Betrüger versuchen auch noch den per SMS übermittelten Sicherheits-Code der Bank zu ergattern (Umgehung der zwei Faktor Authentifizierung).
Die Betrugsmasche
Mit einer täuschend echt gestalteten Email schrecken die Betrüger die potentiellen Opfer auf. "Ihr Konto Cembra Money Bank wurde begrenzt!".
Ziel der Betrüger ist es, die Login Daten zum Onlineportal der Cembra Money Bank zu ergaunern und anschliessend die Kreditkartendaten des Opferes abzuphishen.
Gelingt dies, wird sofort eine Kreditkartenbelastung ausgelöst. Besonders raffiniert: Die Betrüger versuchen auch noch den per SMS übermittelten Sicherheits-Code der Bank zu ergattern.

Screenshot Email
Auffällig ist die <einfo im Mail: swiss-federeal-railways.com>

Screenshot Fake Cembra Webseite

Screenshot Kreditkartendaten Phishing
Abfrage des SMS Sicherheits-Codes in die Fake Webseite integriert
Da die Betrüger mit den erbeuteten Zugangsdaten sofort eine Belastung durchführen, wird dem Opfer von der Bank ein Sicherheit-Code per SMS übermittelt. Auch diesen Code versuchen sie zu ergaunern. Gibt das Opfer diesen Code in die Fake Webseite ein, ist die zwei Faktor Authentifizierung ausgehebelt und die Transaktion zu Gunsten der Betrüger erfolgreich.

Screenshot SMS Code Eingabe
Täter kaufen sofort online auf Kosten der Opfer ein
Die Täter nutzen die ergaunerten Daten und kaufen bei der niederländischen Firma KORSIT Geschenkgutscheine ein

Screenshot KORSIT
Was muss ich tun
- Ignorieren Sie das Email
- Geben Sie nie persönliche Daten von sich preis
Ich habe bereits meine Angaben eingegeben
- Nehmen Sie mit Ihrem Finanz-/Kreditkarteninstitut Kontakt auf und sperren Sie schnellstmöglich die involvierte Kreditkarte.
- Begeben Sie sich nach telefonischer Voranmeldung zu Ihrer örtlichen Polizeistelle und erstatten Sie Anzeige.
Erkenntnisse der Polizei
Bei den Tätern dürfte es sich mit hoher Wahrscheinlichkeit um die selbe Gruppierung handeln, die bereits eine analoge Masche zu Lasten der SBB durchgeführt hat.
Phishing Kampagne im Namen der SBB

Screenshot Fake Domain

Screenshot Registrar
Der Domain Name wurde erst kürzlich registriert

Screenshot Registrar swiss federal railways

Screenshot Reverse IP
Auf dem gleichen Server wird auch die Webseite von swiss-federal-railways gehostet