Die Melde- und Analysestelle Informationssicherung MELANI und die Koordinationsstelle zur Bekämpfung der Internetkriminalität KOBIK warnen vor betrügerischen Telefonanrufen gegen Schweizer KMU unter Einsatz des eBanking Trojaners „Retefe“, der die eBanking Accounts Schweizer Unternehmen torpediert.
Attacke via Telefon und eMail
Am 16. 2. 2016 kommunizierte die Melde- und Analysestelle Informationssicherung MELANI in einem Newsletter, dass Schweizer KMU Opfer betrügerischer Telefonanrufe wurden mit dem Ziel, Zugriff auf die eBanking Accounts der Unternehmen zu erlangen. Dabei gehen die Internet-Gauner wie folgt vor: Die angegriffenen Unternehmen erhalten zuerst einen Anruf, indem eine direkte eMail Adresse unter einem plausiblen Vorwand abgefragt wird. Als nächstes erhalten die Opfer eine eMail in Deutscher Sprache, in der sie unter Bezug auf das vorangegangene Telefonat aufgefordert werden einen Link zu einem bekannten Cloud Anbieter zu folgen. Klickt das Opfer der Attacke auf den besagten Link, wird ein ZIP-Archiv heruntergeladen, welches eine schädliche Java-Script Datei, oder ein ausführbares File enthält. Wird eine solche Datei angeklickt, werden automatisch Änderungen an Betriebssystem und/oder Browser vorgenommen, welche es den Angreifern ermöglicht, die nächste eBanking Anmeldung des Opfers mitzuschneiden und somit Zugang zu den online Banking Accounts des Unternehmens zu erlangen. Technisch wird der Angriff durch Änderungen am Betriebsystem und den Web-Proxy Einstellungen des Browsers ermöglicht. Die Täter verwenden zur Anbahnung des Betrugs Schweizer Telefonnummern und eMail Adressen, welche jenen etablierter Unternehmen nachempfunden sind. Die Schadsoftware, welche über die vorweg geschilderte Methode verbreitet wird, ist indes nicht neu, sondern den Ämtern MELANI und KOBIK bereits seit 2015 unter dem Namen „Retefe“ bekannt.
Angriff erkennen
MELANI und KOBIK kommunizieren im Pressetext folgende Domains, von denen die schädlichen Mails verschickt werden:
- yurist-plus.com
- betost-law.ch
- cva-swisskurier.com
- advokaturburo.com
- grischamodellbau.com
- steuershop.com
- swiss-courier.com
Sollten Sie also von einer der besagten Domains eine Mail erhalten, wird dringend davon abgeraten, diese zu öffnen, oder gar angefügte Links zu klicken. Wird ein Angriff erkannt, sollte umgehend das Meldeformular von KOBIK und MELANI genutzt werden, um die Attacke den zuständigen Ämtern zu kommunizieren.
Ablaufschema des Hackerangriffs
(Schema: LawMedia AG; Quelle vgl. Newsletter MELANI „Betrügerische Telefonanrufe gegen KMUs im Zusammenhang mit dem eBanking Trojaner „Retefe““ vom 16.2.16)
MELANI und KOBIK empfehlen
Die Ämter MELANI und KOBIK haben anlässlich der diskutierten Angriffe folgenden Katalog an Verhaltensempfehlungen ausgearbeitet:
- Seien Sie misstrauisch gegenüber Anrufen von unbekannten
- Seien Sie vorsichtig bei Emails mit Links, welche nicht sofort ersichtlich bzw. ausgeschrieben sind (z.B. „Klicken Sie hier“), auch wenn diese von vermeintlich vertrauenswürdigen Absendern stammen
- Wenn Sie beim Login ins e-Banking nach Eingabe der Anmeldeinformationen (Passwort, mTAN/Token) einen Sperrbildschirm erhalten. „Das e-Banking steht derzeit nicht zur Verfügung“, kontaktieren Sie umgehend Ihre Bank
- Falls beim Login-Prozess andere aussergewöhnliche Vorkommnisse auftreten (z.B. Anzeige von Minuten-Timer, usw.), sollte ebenfalls die Bank kontaktiert werden
- Falls Sie Opfer von Betrug geworden sind, melden Sie dies der KOBIK via dem KOBIK Meldeformular (Meldeformular | cybercrime.admin.ch) und erstatten Sie Anzeige bei Ihrer kantonalen Polizeidienststelle.
(vgl. Newsletter MELANI „Betrügerische Telefonanrufe gegen KMUs im Zusammenhang mit dem eBanking Trojaner „Retefe““ vom 16.2.16)
Weiterführende Informationen
- eBanking Trojaner Retefe | melani.admin.ch
- Behördern warnen vor Internet-Betrug | bluewin.ch
- Behörden warnen vor Internet-Betrug | luzernerzeitung.ch
- Neue Betrugsmasche trifft KMU | fm1today.ch
- eBanking Torjaner pfuscht im Browser herum | it-markt.ch
- Retefe Hackerangriff auf Schweizer Bankkunden | netzwoche.ch
