Internetwarnungen
Wir warnen vor aktuellen Viren, Trojanern sowie den neusten Betrugsmaschen, Scam-Mails, Verschlüsselungsprogramme und mehr.
Wir warnen vor aktuellen Viren, Trojanern sowie den neusten Betrugsmaschen, Scam-Mails, Verschlüsselungsprogramme und mehr.
Der 30. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cybervorfällen der zweiten Jahreshälfte 2019 in der Schweiz wie auch international. Schwerpunktthema im aktuellen Bericht bildet der Umgang und die Problematik von Personendaten im Netz.
Auf der Webseite von MELANI können Sie den ausführlichen Berichts als PDF herunterladen.
Quelle: Melde- und Analysestelle Informationssicherheit MELANI
Zurzeit wird eine Zunahme von Phishing-Angriffen im Namen von verschiedenen Hosting-Providern gegen Schweizer Webmaster und Domäneninhaber festgestellt. Ignorieren Sie diese E-Mails. Hosting-Provider fordern Sie niemals per E-Mail zur Eingabe Ihrer Zugangsdaten auf.
Bis lang sind 3 Mail-Varianten bekannt. Alle enthalten einen Link der auf eine gefälschte Anmeldeseite führt. Die E-Mails werden von gehackten E-Mailkonten oder von gekapperten Servern aus gesendet.
Absender | Betreff |
---|---|
<Name des Hostingproviders> <xy@domain-des-opfers> | Service-Aufhängung - <Opfer-Domain> |
<Name des Hostingproviders> <support@domain-des-hosting-providers> | ACTION REQUISE |
<Name des Hostingproviders> <support@domain-des-hosting-providers> | Rappel: veuillez renouveler votre commande : 9.43 CHF |
Wie wir in den letzten Wochen berichtet haben, nutzen Kriminelle die momentane Angst und Unsicherheit in der Bevölkerung aus. Derzeit werden vermehrt die folgenden 7 Betrugsvarianten im Internet festgestellt:
Auch zu Corona-Zeiten gelten diese generellen Tipps:
Quelle: Melde- und Analysestelle Informationssicherung MELANI
Aktuell gibt es Meldungen zu gefälschten Telefonanrufen, die vorgeben im Namen des Bundesamts für Gesundheit (BAG) Umfragen durchzuführen und sich nach Gesundheitszustand und weiteren persönlichen Angaben erkundigen.
Ignorieren Sie diese Anrufe. Phishing- und Malware-Angriffe haben seit Beginn der Coronavirus-Epidemie massiv zugenommen. Die Kriminellen spekulieren darauf, dass Mitarbeiter im Moment weniger achtsam sind, besonders wenn Anfragen scheinbar von staatlichen Gesundheitsbehörden kommen.
Quelle: Melde- und Analysestelle Informationssicherung (MELANI)
Seit Freitagmittag (13. März 2020) versuchen Cyberkriminelle die Verunsicherung der Bevölkerung aufgrund der Situation um das Coronavirus auszunutzen. Mittels gefälschten E-Mails und Posts zum Thema Coronavirus versuchen Cyberkriminelle zurzeit, Geräte zu infizieren und die Schadsoftware namens AgentTesla zu verbreiten. Als Absender der verschickten E-Mails wird das Bundesamt für Gesundheit (BAG) angegeben.
Beispiel einer gefälschten E-Mai im Namen des BAG:
Ignorieren Sie solche E-Mails, öffnen Sie keine Anhänge und klicken Sie niemals auf Links.
Beispiel eines geöffneten Anhangs:
Werden dennoch Anhänge geöffnet oder Links angeklickt, wird Malware platziert. Diese ermöglicht den Angreifern den vollen Fernzugriff auf den Computer und Passwörter können ausgelesen werden. Falls Sie versehentlich eine solche E-Mail geöffnet haben sollten, schalten Sie umgehend Ihren Computer aus. Kontaktieren Sie Global System oder ihren eigenen IT-Dienstleister, wenn Sie kein Kunde von uns sind. Wechseln Sie anschliessend umgehend Ihre Passwörter.
Quelle: Melde- und Analysestelle Informationssicherung MELANI
Microsoft hat über eine kritische Sicherheitslücke in Internet Explorer (IE) informiert. Gelingt es einem Angreifer die Sicherheitslücke auszunutzen, erhält er dieselben Rechte wie der gerade aktive Benutzer. Er könnte so also die Kontrolle über den Computer erhalten. Die Sicherheitslücke wird bereits in einzelnen Fällen aktiv ausgenutzt.
Betroffen Sind die IE Versionen 9-11 auf den Windows Versionen 7-10 sowie Windows Server 2008 - 2019. Ein Sicherheitsupdate ist in Arbeit, aber noch nicht erhältlich. Für Windows 7 und Windows Server 2008 wird es voraussichtlich keine Patchs geben, da diese offiziell nicht mehr von Microsoft unterstützt werden.
Wir raten allen Benutzern dringend einen anderen Browser zu verwenden, mindestens bis Microsoft das Sicherheitsupdate veröffentlicht hat. Besser wäre jedoch ganz auf einen neuen Browser zu wechseln, denn Internet Explorer 11 wird schon seit Jahren nicht mehr weiterentwickelt und erhält lediglich noch Sicherheitsupdates.
Wir empfehlen Ihnen Microsoft Edge (seit Windows 10 standardmässig in Windows dabei), Mozilla Firefox oder Google Chrome zu verwenden.
Quelle: Microsoft
Zurzeit werden von Kriminellen vermeintliche Gewinnbenachrichtigungen im Namen von Coop versendet. Diese SMS führen auf ein falsches Gewinnspiel. Klicken Sie auf keinen Fall auf den Link. Falls Sie Kreditkartendaten angegeben haben, nehmen Sie umgehend mit Ihrem Kreditkarteninstitut Kontakt auf.
Quelle: Melde- und Analysestelle Informationssicherung (MELANI)
Der 29. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cybervorfällen der ersten Jahreshälfte 2019 in der Schweiz wie auch international. Im aktuellen Bericht werden als Schwerpunktthema die Cyberangriffe mit Verschlüsselungstrojanern beleuchtet, welche im ersten Halbjahr 2019 weltweit grossen Schaden angerichtet haben.
Verschlüsselungstrojaner, sogenannte Ransomware, gehören aktuell zu den gefährlichsten Cyberbedrohungen für Unternehmen, Organisationen und Verwaltungen. Ein erfolgreicher Angriff erfordert nicht nur den Einsatz von Zeit, Personal sowie Geld für die Bereinigung der Systeme und zur Wiederherstellung verlorener Daten. Er kann auch den Ruf eines Unternehmens schädigen oder einen temporären Produktivitätsverlust bedeuten. Um ein umfassendes Bild eines solchen Verschlüsselungsangriffs zu bieten, schildert die Stadt Bern, wie sie mit einem Ransomware-Vorfall umgegangen ist. Zudem erläutert die Kantonspolizei Zürich die Problematik aus Ermittlersicht. Weiter gibt MELANI Empfehlungen ab, wie man sich vor solchen Angriffen schützen kann.
Im Fokus von Cyberangriffen stehen auch industrielle Kontrollsysteme wie etwa bei der Stromversorgung. Wie es um die Cybersicherheit von kleinen und mittleren Elektrizitätsversorgern (EVU) in der Schweiz steht, hat der Fachverband Electrosuisse in einer im Frühjahr 2019 veröffentlichen Studie aufgezeigt. Gemäss dieser findet die Cybersicherheit bei allen Unternehmen Beachtung. Bei der Gewährleistung der Informationssicherheit sind speziell bei kleineren Unternehmen verstärkte Massnahmen nötig. Um die Informatiksicherheit auszubauen, wurde eine Kooperation für Cybersecurity für die Stadtwerke ins Leben gerufen. Dank diesem Netzwerk können alle Kooperationspartner von den Erfahrungen der anderen profitieren und gemeinsam das Niveau der Informationssicherheit ständig anheben.
Im ersten Halbjahr 2019 gab es vermehrt Fake-Sextortion-E-Mails, in welchen die Angreifer die Opfer erpressen und behaupten, den Computer des Empfängers gehackt zu haben und über Bildmaterial zu verfügen, das sie beim Konsum pornografischer Inhalte im Internet zeige. Leider bezahlen immer noch viele Personen das verlangte Lösegeld. Deshalb hat MELANI in Zusammenarbeit mit verschiedenen Partnern im Frühjahr 2019 die Website www.stop-sextortion.ch ins Leben gerufen, um die Bevölkerung für dieses Thema zu sensibilisieren. Auf dieser Seite finden betroffene Personen Ratschläge, wie vorgegangen werden soll, sollten die Erpresser tatsächlich kompromittierendes Material besitzen.
Auf der Webseite von MELANI können Sie den ausführlichen Berichts als PDF herunterladen.
Quelle: Melde- und Analysestelle Informationssicherheit MELANI
Seit Anfang Juli wurden der Melde- Analysestelle Informationssicherung (MELANI) des Bundes vermehrt Cyber-Angriffe vermeldet, bei denen die Angreifer eine neue Vorgehensweise gewählt haben. Dabei werden Schweizer Unternehmen gezielt mittels schädlichen E-Mails angegriffen (sogenanntes Spear-Phishing).
Bislang sind folgende Angriffsszenarien bekannt:
Bei allen genannten Vorgehensweisen verwenden die Angreifer weitere Angriffswerkzeuge, um an die nötigen Zugriffsrechte des Unternehmens zu kommen. Ist dies erfolgreich, wird eine Ransomware auf den Systemen platziert welche die Daten vollständig verschlüsselt.
Aufgrund der aktuellen Gefahrenlage sowie der neuen Vorgehensweise warnt MELANI Schweizer Unternehmen erneut eindringlich vor Ransomware und empfiehlt dringend, folgende Massnahmen, falls nicht bereits geschehen, schnellstmöglich umzusetzen:
Global System Kunden mit einem Server- und Network-SLA, haben alle genannten und weitere Schutzmassnahmen standardmässig umgesetzt. Mitarbeiter die nicht auf einem Terminal Server sondern lokal arbeiten, sind für die Software-Updates Ihrer Geräte und den darauf verwendeten Programmen selber zuständig. Kontrollieren Sie in einem solchen Fall dass:
Quelle: Melde- und Analysestelle Informationssicherung MELANI
Derzeit sollen im Finanzbereich Phishing-Mails unterwegs sein, die erfolgreich Spam-Filter umgehen. Betrüger betten URLs in Form von QR-Codes in die Mail ein. Die QR-Codes werden von Mail-Scannern offensichtlich nicht als gefährliche URLs erkannt und landen im Postfach des Opfers. Die Betrüger sind auf der Jagd nach Log-in-Daten von beispielsweise AOL und Microsoft.
Die Phishing-Mails behaupten ein wichtiges SharePoint-Dokument bereitzuhalten. Um dieses zu bekommen, muss das Opfer den QR-Code mit seinem Smartphone scannen. Ist das Opfer mit seinem Gerät im mobilen Internet angemeldet (und nicht im Firmen-WLAN), verlässt es so die abgesicherte Infrastruktur des Unternehmens. In diesem Fall greifen die Sicherheitslösungen und anderweitige Filter des Firmennetzwerkes nicht.
Nach dem Scannen des QR-Codes. landet das Opfer auf der Phishing-Site. Um das Dokument anschauen zu können, müsse man sich noch anmelden. Gibt man seine Login-Daten ein, werden diese direkt an die Betrüger gesendet.
QR-Codes sind in Europa kaum verbreitet, besonders im Geschäftsbereich trifft man sie wenig an. Darum kann man davon ausgehen, dass diese Methode sich nicht etablieren wird. Gefährlich ist sie dennoch, denn in der Regel erkennen mittlerweile viele Standardkameras auf Smartphones die Codes und leiten Nutzer auf Websites weiter.
Quelle: heise.de
Zurzeit erhalten zahlreiche Bluewin-Kunden Sextortion-Spam-E-Mails mit dem Betreff: «48 Stunden zu zahlen».
Inhalt der E-Mail:
Guten Tag, Masturbieren ist natürlich normal, aber wenn deine Familie und Freunde davon zeugen, ist es natürlich eine große Schande. Ich habe dich eine Weile beobachtet, weil ich dich in einer Werbung auf einer Porno-Website durch einen Virus gehackt habe. […]
Es handelt sich um Spam-E-Mails, die ungezielt versendet werden! Wir empfehlen, diese E-Mails zu ignorieren und zu löschen. Weitere Informationen finden Sie hier: https://www.stop-sextortion.ch/ und in unserem Ratgeberartikel Fake Sextortion – Wie die Pornomail-Falle funktioniert.
Quelle: Melde- und Analysestelle Informationssicherung MELANI
Eine Sicherheitslücke in RDP mit dem Namen BlueKeep macht es möglich Geräte mit älteren Windows-Versionen über das Internet zu kapern. RDP wird verwendet um Fernverbindungen auf Windowsgeräte herzustellen (Remote Desktop).
Der mögliche Schaden dieser Sicherheitslücke ist ähnlich gross wie der der Schadsoftware WannaCry. Sie hat vor 2 Jahren weltweit hunderttausende Geräte infiziert und Millionenschäden verursacht.
Die RDP-Sicherheitslücke erlaubt es Code aus der Ferne auszuführen, damit können Verschlüsselungstrojaner oder andere Schadsoftware auf dem Zielgerät und unter Umständen auch auf anderen Geräten des Netzwerks ausgeführt werden. Besonders Geräte die direkt ans Internet angeschlossen sind, müssen dringend gepatchet werden.
Microsoft hat Patches für alle betroffenen Windows-Versionen veröffentlicht. Betroffen sind Windows 7 und ältere Versionen:
Wenn Sie Windows 7 verwenden und Automatische Updates aktiviert haben, wird der Patch automatisch installiert. Bei anderen Betriebssystemen müssen Sie ihn manuell installieren. Die Sicherheitslücke ist so gefährlich, dass auch Patches für Vista und XP bereitstehen, für die eigentlich keine Patches mehr veröffentlicht werden.
Global System Kunden mit einem SLA inklusive Server Updates und Workstations können sich zurücklehnen, wir kümmern uns um alles.
IoT-Geräte können in grossem Masse für Cyber-Angriffe missbraucht werden, Erfolgreiche Erpressungsversuche (z.B. «Fake Sextortion») sowie Überweisungsbetrug mit «Office 365»-Zugangsdaten und das Schwergewichtsthema «Umgang mit eingekauften Risiken bei Hard- und Software»: Der am 30. April 2019 veröffentlichte 28. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cyber-Vorfällen der zweiten Jahreshälfte 2018 im In- und Ausland.
Die rasch voranschreitende Digitalisierung ist nur mit entsprechender Hard- und Software zu bewältigen. Der Markt wird klar von US-Unternehmen dominiert, mit China auf der Überholspur sowie vereinzelten globalen Mitspielern im Bereich Hard- und Software, beispielsweise aus Korea, Russland oder Deutschland.
Der potenzielle Zugriff auf IKT-Hersteller durch die jeweiligen Sitzstaaten führt zu Fragen über den richtigen Umgang mit diesen Risiken. Der 28. Halbjahresbericht MELANI widmet sich dieser Problematik im Schwerpunktthema und behandelt weitere aktuelle Themen wie die nachfolgend beschriebenen.
Mit dem Internet der Dinge (IoT) werden allerlei Geräte wie Heizungen und Klimaanlagen für deren Fernsteuerung ans Internet angeschlossen. Dies ist praktisch, birgt aber auch gewisse Risiken. Einer im Jahr 2018 publizierten Studie der Princeton Universität zufolge wäre es durchaus möglich, dass böswillige Akteure ungenügend geschützte IoT-Geräte hacken, zu einem Botnetz zusammenfügen und für Cyber-Angriffe, wie einen Stromausfall, missbrauchen könnten. Der Halbjahresbericht beleuchtet die Problematik und enthält Empfehlungen.
Seit März 2018 kursieren unzählige «Fake Sextortion»-Mails. In einer E-Mail behaupten die Angreifer, sie würden über kompromittierendes Bildmaterial verfügen, das die Empfänger beim Konsum pornografischer Websites zeigt. Als «Beweis» für die Echtheit der Behauptung werden in der E-Mail oft Passwörter oder Mobiltelefonnummern genannt, die aus früheren Datenlecks stammen. Der Halbjahresbericht befasst sich mit dieser Problematik und zeigt die Entwicklung der verschiedenen «Fake-Sextortion»-Wellen.
Mit über 100 Millionen monatlichen Nutzern sind Office 365-Konten zu einem populären Ziel für Angreifer geworden. Im zweiten Halbjahr 2018 kam es mit auf diese Weise ergatterten Office-365-Zugangsdaten vermehrt zu sogenanntem Überweisungsbetrug. Davon spricht man, wenn Betrüger in kompromittierten Konten nach bestehenden elektronischen Rechnungen suchen, diese dann kopieren, mit einer anderen IBAN versehen und erneut zustellen.
Der 28. Halbjahresbericht MELANI ist publiziert unter:
Zurzeit läuft in der Schweiz eine Phishing-Welle mit gefälschten Rechnungen/Bestellungen. Auffällig an dieser Welle ist, dass der angebliche Absender ein bekannter Name ist. Meistens wird der Name von Mitarbeitern der eigenen Firma verwendet. Das ist besonders gefährlich, wenn es sich um Buchhalter handelt oder um jemanden, von dem Sie tatsächlich gerade eine Mail erwarten.
Man kann solche Mails trotzdem leicht erkennen, wenn man aufmerksam ist: Obwohl der Absendername stimmen könnte, ist die verwendete E-Mailadresse völlig falsch. Der Absender in unserem Beispiel heisst zwar Herr Koch, unser Supportleiter, jedoch stimmt die E-Mailadresse nicht mit dem Namen überein. Eine klare Phishing-E-Mail.
Im Text der E-Mail wird behauptet, die Rechnung im Anhang sei noch nicht bezahlt worden. Bei der Rechnung handelt es sich um ein Word-Dokument, das Schadsoftware enthält.
Wenn Sie so eine E-Mail erhalten, löschen Sie sie umgehend.
Öffnen Sie auf keinen Fall den Anhang.
In der neusten Phishing-Welle werden erneut falsche Bewerbungsmails versendet. Eine ähnliche Welle gab es bereits im November 2018. Auch damals enthielten die E-Mails einen Word-Anhang mit einem Verschlüsselungstrojaner.
Der Trojaner verbreitet sich über E-Mails, die vorgeben die Bewerbung einer Person namens Saskia Heyne zu sein – Vorsicht: dieser Name kann sich im Laufe der Infektionswelle durchaus ändern. Im Anhang befindet sich ein Word-Dokument, das beim Öffnen versucht, den Anwender zur Aktivierung von Makros zu überreden. Ohne diesen Schritt kann der Trojaner seinen Schadcode nicht ausführen.
Das Dokument gibt vor «mit einer älteren Version von Microsoft Word erstellt» worden zu sein und versucht das Opfer dazu zu verleiten, per Kompatibilitätsmodus aktive Inhalte des Dokumentes zu aktivieren. Kommen Sie dieser Anweisung auf keinen Fall nach! Die Aktivierung der Makros erlaubt es dem Trojaner, auf das System zuzugreifen und wichtige Daten zu verschlüsseln.
Es könnten sich bereits abgewandelte Formen des Trojaners im Umlauf befinden. Der beste Schutz vor dieser Art Angriffe ist immer noch, derartige E-Mails äusserst skeptisch zu behandeln und auf keinen Fall Office-Makros für Dateien zu aktivieren, die nicht aus absolut vertrauenswürdigen Quellen kommen – schon gar nicht bei Dokumenten, die man per Mail von Unbekannten erhalten hat.
Technisch gesehen ist GandCrab ein alter Hut, allerdings scheinen immer noch genügend Nutzer auf solche Tricks reinzufallen, dass sich das Versenden der Phishing-Mails lohnt.
Quelle: heise.de