Warnung vor betrügerischen Telefonanrufen bei KMUs

Die Melde- und Analysestelle Informationssicherung MELANI sowie die Koordinationsstelle zur Bekämpfung der Internetkriminalität KOBIK  erhalten solche Meldungen besorgter Firmen. Die Schweizer Sicherheitsbehörden erklären das Vorgehen der Betrüger:

Die Masche ist neu: Die Täterschaft ruft KMUs in der Schweiz unter einem Vorwand an, um eine E-Mail Adresse zu erhalten (z.B. die anstehende Übergabe eines Paketes). Wird eine solche bekannt gegeben, versendet die Täterschaft innert kurzer Zeit ein plausibel klingendes, auf das Telefonat bezugnehmendes E-Mail mit einem Link zu einem bekannten Cloud-Anbieter. Hinter dem Link befindet sich ein ZIP-Archiv, welches ein bösartiges Java-Script oder eine ausführbare Datei enthält. Die durch Anklicken dieser Datei durchgeführten Änderungen am Betriebssystem des Opfers (namentlich das ändern der Web-Proxy Einstellungen von Internet Explorer und Firefox, sowie das Hinzufügen einer bösartigen Certificate Authority zum vertrauenswürdigen Zertifikatsspeicher), erlauben es dem Angreifer auf das eBanking des Opfers zuzugreifen, sobald dieses sich das nächste Mal auf seinem eBanking-Konto anmeldet.

Die Täterschaft verwendet für die betrügerischen Anrufe Schweizer Telefonnummern und versendet die E-Mails mit Absenderadressen, welche den Adressen von legitimen Unternehmen täuschend ähnlich sehen. Unter anderem folgende Domain-Namen wurden bei den Absenderadressen beobachtet: 

yurist-plus.com
betost-law.com
cva-swisskurier.com
advokaturburo.com
cva-swisskurier.com
grischamodellbau.com
steuershop.com
swiss-courier.com

Aufgrund der von den Angreifern verwendeten technischen Infrastruktur und dem verwendeten Schadcode gehen MELANI und KOBIK davon aus, dass der Angriff im Zusammenhang mit den durch die Schadsoftware „Retefe“ durchgeführten Angriffen vom letzten Jahr steht.