24.09.20

Ihr Konto Cembra Money Bank wurde begrenzt!

Ihr Konto Cembra Money Bank wurde begrenzt!

Betrüger verschicken massenhaft Mails angeblich im Namen der Cembra Money Bank. Ihr Konto wird begrenzt!
Die Drohung soll mögliche Opfer dazu verleiten, persönliche Daten preiszugeben. Besonders raffiniert: Die Betrüger versuchen auch noch den per SMS übermittelten Sicherheits-Code der Bank zu ergattern (Umgehung der zwei Faktor Authentifizierung).

Die Betrugsmasche

Mit einer täuschend echt gestalteten Email schrecken die Betrüger die potentiellen Opfer auf. "Ihr Konto Cembra Money Bank wurde begrenzt!". 

Ziel der Betrüger ist es, die Login Daten zum Onlineportal der Cembra Money Bank zu ergaunern und anschliessend die Kreditkartendaten des Opferes abzuphishen.

Gelingt dies, wird sofort eine Kreditkartenbelastung ausgelöst. Besonders raffiniert: Die Betrüger versuchen auch noch den per SMS übermittelten Sicherheits-Code der Bank zu ergattern.

Screenshot Email

Auffällig ist die <einfo im Mail: swiss-federeal-railways.com>

Screenshot Fake Cembra Webseite

Screenshot Kreditkartendaten Phishing

Abfrage des SMS Sicherheits-Codes in die Fake Webseite integriert

Da die Betrüger mit den erbeuteten Zugangsdaten sofort eine Belastung durchführen, wird dem Opfer von der Bank ein Sicherheit-Code per SMS übermittelt. Auch diesen Code versuchen sie zu ergaunern. Gibt das Opfer diesen Code in die Fake Webseite ein, ist die zwei Faktor Authentifizierung ausgehebelt und die Transaktion zu Gunsten der Betrüger erfolgreich.

Screenshot SMS Code Eingabe

Täter kaufen sofort online auf Kosten der Opfer ein

Die Täter nutzen die ergaunerten Daten und kaufen bei der niederländischen Firma KORSIT Geschenkgutscheine ein

Screenshot KORSIT

Was muss ich tun

Ich habe bereits meine Angaben eingegeben

1
Betroffene Person hat sich bei uns gemeldet
Persönliche Daten
Angaben zum Fall

Zum Schutz vor Missbrauch dieser Funktion werden beim Senden zusätzlich das Datum und Ihre IP-Adresse übermittelt.

Erkenntnisse der Polizei

Bei den Tätern dürfte es sich mit hoher Wahrscheinlichkeit um die selbe Gruppierung handeln, die bereits eine analoge Masche zu Lasten der SBB durchgeführt hat.

Phishing Kampagne im Namen der SBB

Screenshot Fake Domain

Screenshot Registrar

Der Domain Name wurde erst kürzlich registriert

Screenshot Registrar swiss federal railways

Screenshot Reverse IP

Auf dem gleichen Server wird auch die Webseite von swiss-federal-railways gehostet

Tags