Betrügerische Telefonanrufe gegen KMUs im Zusammenhang mit dem eBanking Trojaner „Retefe“

16.02.2016 - Seit Anfang Februar 2016 erreichen die Melde- und Analysestelle Informationssicherung MELANI sowie die Koordinationsstelle zur Bekämpfung der Internetkriminalität KOBIK vermehrt Meldungen aus der Bevölkerung betreffend betrügerischen Telefonanrufen, welche das Ziel haben, eBanking Betrug zu ermöglichen.

Die Masche ist neu: Die Täterschaft ruft KMUs in der Schweiz unter einem Vorwand an, um eine E-Mail Adresse zu erhalten (z.B. die anstehende Übergabe eines Paketes). Wird eine solche bekannt gegeben, versendet die Täterschaft innert kurzer Zeit ein plausibel klingendes, auf das Telefonat bezugnehmendes E-Mail mit einem Link zu einem bekannten Cloud-Anbieter. Hinter dem Link befindet sich ein ZIP-Archiv, welches ein bösartiges Java-Script oder eine ausführbare Datei enthält. Die durch Anklicken dieser Datei durchgeführten Änderungen am Betriebssystem des Opfers (namentlich das ändern der Web-Proxy Einstellungen von Internet Explorer und Firefox, sowie das Hinzufügen einer bösartigen Certificate Authority zum vertrauenswürdigen Zertifikatsspeicher), erlauben es dem Angreifer auf das eBanking des Opfers zuzugreifen, sobald dieses sich das nächste Mal auf seinem eBanking-Konto anmeldet.

Modus Operandi
Modus Operandi

Die Täterschaft verwendet für die betrügerischen Anrufe Schweizer Telefonnummern und versendet die E-Mails mit Absenderadressen, welche den Adressen von legitimen Unternehmen täuschend ähnlich sehen. Unter anderem folgende Domain-Namen wurden bei den Absenderadressen beobachtet:  

yurist-plus.com
betost-law.com
cva-swisskurier.com
advokaturburo.com
cva-swisskurier.com
grischamodellbau.com
steuershop.com
swiss-courier.com

 

Beispiel einer solchen E-Mail
Beispiel einer solchen E-Mail


Aufgrund der von den Angreifern verwendeten technischen Infrastruktur und dem verwendeten Schadcode gehen MELANI und KOBIK davon aus, dass der Angriff im Zusammenhang mit den durch die Schadsoftware „Retefe“ durchgeführten Angriffen vom letzten Jahr steht.

MELANI und KOBIK empfehlen:

  • Seien Sie misstrauisch gegenüber Anrufen von Unbekannten
  • Seien Sie vorsichtig bei Emails mit Links, welche nicht sofort ersichtlich bzw. ausgeschrieben sind (z.B. „Klicken Sie hier“), auch wenn diese von vermeintlich vertrauenswürdigen Absendern stammen
  • Wenn Sie beim Login ins e-Banking nach Eingabe der Anmeldeinformationen (Passwort, mTAN/Token) einen Sperrbildschirm erhalten, z.B. „Das e-Banking steht derzeit nicht zur Verfügung", kontaktieren Sie umgehend Ihre Bank
  • Falls beim Login-Prozess andere aussergewöhnliche Vorkommnisse auftreten (z.B. Anzeige von Minuten-Timer, usw.), sollte ebenfalls die Bank kontaktiert werden
  • Falls Sie Opfer von Betrug geworden sind, melden Sie dies der KOBIK via dem KOBIK Meldeformular (https://www.cybercrime.admin.ch/kobik/de/home/meldeformular/meldeformular.html) und erstatten Sie Anzeige bei Ihrer kantonalen Polizeidienststelle.

Für die IT-Sicherheit in KMUs hat MELANI sowie das KMU Portal des Bundes je ein Merkblatt veröffentlicht: 

Weitere Informationen zu Retefe finden Sie hier:

Fachkontakt
Letzte Änderung 16.02.2016

Zum Seitenanfang

https://www.melani.admin.ch/content/melani/de/home/dokumentation/newsletter/eBanking_Trojaner_Retefe.html