Euro Security logo white
Doppelter Betrug mit psychologischer Eskalation: Wie Angreifer SNCF-Kunden gezielt manipulieren

Mai 18, 2026

Kritische Infrastrukturen

Mehrstufige Social-Engineering-Kampagne zeigt die Professionalisierung digitaler Finanzbetrugsmodelle in Europa

Cyberkriminelle professionalisieren ihre Methoden zunehmend – und verbinden klassische Phishing-Angriffe mit psychologischer Manipulation, Echtzeit-Kommunikation und präziser Datenauswertung aus früheren Leaks. Eine aktuelle Untersuchung von Group-IB zeigt exemplarisch, wie sich digitale Betrugsmodelle in Europa weiterentwickeln. Im Zentrum der Analyse steht eine mehrstufige Fraud-Kampagne gegen Kunden der französischen Staatsbahn SNCF, die täglich von rund fünf Millionen Menschen genutzt wird.
Die Besonderheit des Angriffs liegt weniger in der technischen Raffinesse einzelner Komponenten als vielmehr in der orchestrierten Kombination aus Phishing, legitim wirkender Zahlungsabwicklung und psychologischer Eskalation. Opfer verlieren dabei nicht nur einmal Geld – sie werden unmittelbar nach dem ersten Betrug erneut manipuliert und autorisieren selbst weitere Zahlungen.
Laut Group-IB handelt es sich dabei nicht um eine breit gestreute Massenkampagne, sondern um einen gezielten „Precision Fraud“-Ansatz auf Basis bereits kompromittierter Nutzerdaten.

Gefälschte Rabattangebote als Einstiegspunkt

Im ersten Schritt erhielten SNCF-Kunden täuschend echt gestaltete E-Mails mit vermeintlichen Sonderangeboten oder stark rabattierten Bahn-Abonnements. Die Kampagne war zeitlich an französische Schulferien gekoppelt – also an Reisephasen mit besonders hoher Ticketnachfrage und erhöhter Aufmerksamkeit für Bahnangebote.
Die Angreifer registrierten hierfür zahlreiche Domains, die optisch und sprachlich an offizielle SNCF-Angebote angelehnt waren. Nach Erkenntnissen von Group-IB wurden mindestens zwölf betrügerische Domains identifiziert, die parallel zur französischen Ferienplanung aktiviert wurden.
Besonders kritisch: Die Zahlungsabwicklung erfolgte teilweise über legitime Zahlungsdienstleister wie Stripe. Dadurch entstand bei den Opfern der Eindruck einer authentischen und technisch vertrauenswürdigen Transaktion. Gleichzeitig erschwert die Nutzung etablierter Payment-Infrastrukturen die schnelle Rückverfolgung und Betrugserkennung.
Die Täter zielten dabei offenbar bewusst auf Nutzer ab, deren Daten bereits aus früheren Datenlecks verfügbar waren. Als Quelle nennt Group-IB unter anderem den sogenannten „Addka72424“-Leak, der seit September 2024 in kriminellen Foren kursiert. Dadurch konnten die Angreifer ihre Kampagne präzise auf reale französische Nutzerprofile zuschneiden.

Der zweite Angriff: „Bankberater“ nutzt Panik der Opfer aus

Der eigentliche Kern der Kampagne folgt jedoch erst nach dem initialen Phishing-Erfolg. Kurz nach der ersten Zahlung erhielten die Opfer einen Telefonanruf – angeblich von ihrer Bank.
Die Täter gaben sich als Sicherheitsberater oder Fraud-Analysten der jeweiligen Bank aus und behaupteten, verdächtige Aktivitäten erkannt zu haben. Dabei nutzten sie gezielt die bereits bestehende Verunsicherung der Opfer, die kurz zuvor möglicherweise selbst Zweifel an ihrer Zahlung entwickelt hatten.
Dieses Vorgehen erzeugt eine psychologische Ausnahmesituation: Die Opfer glauben, Opfer eines Betrugs geworden zu sein – sprechen aber tatsächlich mit den eigentlichen Tätern.
Unter Zeitdruck und mit hoher emotionaler Belastung wurden Betroffene dazu gebracht, Einmalpasswörter (OTP), IBAN-Daten oder Autorisierungscodes weiterzugeben. In vielen Fällen autorisierten die Opfer dadurch selbst zusätzliche Transaktionen oder ermöglichten weitere Abbuchungen.

Die Täter kombinieren damit zwei klassische Angriffsmodelle:

  • technisches Phishing,
  • sowie Voice-based Social Engineering („Vishing“).
    Entscheidend ist die zeitliche Verzahnung beider Phasen. Die Angreifer greifen exakt in dem Moment an, in dem maximale Unsicherheit herrscht.
    Social Engineering entwickelt sich zum industriellen Geschäftsmodell
    Die Untersuchung verdeutlicht einen strukturellen Wandel moderner Cyberbetrugsmodelle. Während frühere Phishing-Kampagnen häufig auf breite Streuung und geringe Erfolgsquoten setzten, arbeiten aktuelle Fraud-Ökosysteme zunehmend datenbasiert, modular und hochgradig arbeitsteilig.
  • Mehrere Entwicklungen werden dabei sichtbar:
  • Datenlecks werden zur Grundlage präziser Betrugsoperationen: Frühere Datenpannen verlieren nicht an Relevanz, sondern entwickeln langfristig kriminischen Mehrwert. Bereits kompromittierte Kundendaten ermöglichen hochgradig personalisierte Angriffe mit höherer Glaubwürdigkeit.
  • Legitime Plattformen werden missbraucht: Die Nutzung etablierter Dienste wie Stripe senkt die Hemmschwelle für Opfer erheblich. Gleichzeitig erschwert dies klassischen Fraud-Detection-Systemen die Unterscheidung zwischen legitimen und betrügerischen Vorgängen.
  • Psychologische Manipulation ersetzt technische Komplexität: Die Kampagne zeigt erneut, dass erfolgreiche Angriffe heute häufig weniger auf Malware oder Exploits basieren, sondern auf emotionaler Steuerung, Zeitdruck und Vertrauensmissbrauch.
  • Nationale Marken werden gezielt instrumentalisiert: Große Verkehrs-, Energie- oder Finanzunternehmen besitzen hohe Alltagsrelevanz und genießen breites Vertrauen. Genau diese Markenwirkung wird von Angreifern systematisch ausgenutzt.
    Europäische KRITIS- und Mobilitätsplattformen geraten stärker in den Fokus
    Der Fall besitzt über Frankreich hinaus erhebliche Relevanz. Mobilitätsplattformen, Bahnunternehmen und digitale Ticketing-Systeme entwickeln sich zunehmend zu attraktiven Angriffszielen, weil sie:
  • hohe Nutzerzahlen,
  • regelmäßige Zahlungsprozesse,
  • saisonale Nutzungsmuster,
  • sowie starke Markenbindung
    miteinander kombinieren.

Gleichzeitig zeigt der Angriff, wie eng Cybersecurity, Identitätsmanagement und Finanzbetrug inzwischen miteinander verflochten sind. Kritische Infrastrukturen werden damit nicht nur Ziel technischer Angriffe, sondern auch Plattformen für großskalige Vertrauensmanipulation.
Vor dem Hintergrund von NIS2, dem Cyber Resilience Act und verschärften Anforderungen an digitale Resilienz dürfte insbesondere der Schutz kundenbezogener Kommunikationsprozesse stärker in den Fokus rücken.

Voice-Fraud und hybride Angriffsketten nehmen zu

Die Kombination aus Phishing und anschließender Telefonmanipulation gilt unter Sicherheitsexperten zunehmend als besonders gefährlich, weil klassische technische Schutzmaßnahmen nur begrenzt greifen.
Selbst sensibilisierte Nutzer können in Stresssituationen Fehlentscheidungen treffen – besonders wenn Angreifer glaubwürdig auftreten und reale Kundendaten verwenden.
Für Unternehmen bedeutet dies, dass Fraud-Prevention nicht mehr isoliert als IT-Thema betrachtet werden kann. Erforderlich werden integrierte Sicherheitsansätze, die technische Schutzmechanismen mit Awareness, Verhaltensanalyse und Echtzeit-Erkennung kombinieren.
Die vollständige technische Analyse von Group-IB enthält zudem konkrete Indicators of Compromise (IOCs), darunter Domains, Telefonnummern und E-Mail-Adressen der Kampagne.

Related Articles

Forscher lassen vermehrt KI für sich schreiben

Mai 13, 2026

Studie der University of Pennsylvania sieht sinkende Qualität wissenschaftlicher Einreichungen Künstliche Intelligenz verändert zunehmend auch die wissenschaftliche Arbeitspraxis. Immer mehr Forschende greifen beim Verfassen von Abstracts, Fachartikeln oder...

Share This