Internetwarnungen
Wir warnen vor aktuellen Viren, Trojanern sowie den neusten Betrugsmaschen, Scam-Mails, Verschlüsselungsprogramme und mehr.
Wir warnen vor aktuellen Viren, Trojanern sowie den neusten Betrugsmaschen, Scam-Mails, Verschlüsselungsprogramme und mehr.
Wie wir bereits letzte Woche berichtet haben, läuft im Moment eine Phishing-Welle in der Schweiz die es besonders auf Unternehmensnetzwerke abgesehen hat. Nun berichtet auch die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes darüber, hier die detaillierte Meldung:
Aktuell beobachtetet MELANI verschiedene Malspam-Wellen mit infiziertem Word-Dokumenten im Anhang. Dabei handelt es sich um einen bereits länger bekannten Trojaner namens Emotet (auch bekannt als Heodo). Ursprünglich als E-Banking-Trojaner bekannt, wird Emotet heute vor allem für den Versand von Spam sowie das Nachladen von weiterer Schadsoftware (Malware) verwendet. Emotet versucht - mit gefälschten E-Mails im Namen von Kollegen, Geschäftspartnern oder Bekannten - mittels Social-Engineering den Empfänger zum Öffnen des Word-Dokuments sowie zum Ausführen der darin enthaltenen Office-Makros zu verleiten.
Vergangene Woche warnte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) [https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/BSI_warnt_vor_Emotet.html] vor Emotet, welcher unter anderem den eBanking Trojaner «TrickBot» nachlädt sowie sich über die bereits länger bekannte Schwachstelle im SMB Proktoll («EternalBlue») in Unternehmensnetzwerke ausnutzt (Wurm-Komponente).
Gemäss aktuellen Informationen, welche der Melde- und Analysestelle Informationssicherung MELANI vorliegen, wird Emotet momentan auch aktiv dazu verwendet, um gezielt Computer und Server in Unternehmensnetzwerken mit einem Verschlüsselungstrojaner (Ransomware) namens «Ryuk» zu infizieren. Dabei verschlüsselt «Ryuk» auf dem Computer oder Server abgelegte Dateien und fordert nach erfolgter Verschlüsselung vom betroffenen Unternehmen eine erhebliche Summe an Lösegeld (CHF 200 000 und mehr). Betroffen sind ausschliesslich Geräte wie Computer und Server, welche mit einem Windows Betriebssystem laufen. Durch die vorhandene Wurm-Komponente besteht bei einer erfolgreichen Infektion ein hohes Risiko, dass sich der Trojaner im Unternehmensnetzwerk weiterverbreitet und einen erheblichen Schaden anrichtet.
MELANI verweist deshalb erneut auf folgenden Empfehlungen hin:
Aufgrund der aktuellen Gefährdung durch Office-Makros empfiehlt MELANI Unternehmen und Betreibern kritischer Infrastrukturen zudem:
Um eine Infektion durch Emotet zu verhindern sowie das Nachladen von weiterer Schadsoftware (Malware) zu unterbinden empfiehlt MELANI jene Webseiten, welche aktiv für die Verbreitung von Emotet verwendet werden, am Netzwerkperimeter wie beispielsweise Web-Proxy oder DNS zu sperren. Eine Liste von solchen Webseiten wird beispielsweise von abuse.ch zur Verfügung gestellt:
https://urlhaus.abuse.ch/api/
Zudem rät MELANI, die Netzwerk-Kommunikation mit Servern, die zur Steuerung von mit Emotet infizierten Geräten verwendet werden, zu blockieren (Emotet Botnet Command&Control Server – C&C). Eine Liste von IP Adressen, welche Emotet zugeordnet werden können, werden unter anderem von Feodo Tracker publiziert:
https://feodotracker.abuse.ch/blocklist/
Quelle: Melde- und Analysestelle Informationssicherung (MELANI)
Gefälschte E-Mails im Namen von Freunden, Nachbarn oder Kollegen gefährden im Moment ganze Netzwerke. Die Schadsoftware Emotet infiziert seit einigen Tagen Computer und Netzwerke in der Schweiz und Deutschland. Sie verbreitet sich wie andere Schadsoftware auch über eine gefährliche Worddatei im Anhang oder über einen gefährlichen Link in der E-Mail. Auffällig ist wie gut die gefälschten Mails bekannte E-Mailkontakte imitieren.
Der Grund: Nach der Infizierung liest Emotet die Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern infizierter Systeme aus. Diese Informationen nutzen die Täter zur weiteren Verbreitung des Schadprogramms. Das funktioniert so: Empfänger erhalten E-Mails mit authentisch aussehenden, jedoch erfundenen Inhalten von Absendern, mit denen sie erst kürzlich in Kontakt standen. Aufgrund der korrekten Angabe der Namen und Mailadressen von Absender und Empfänger in Betreff, Anrede und Signatur wirken diese Nachrichten auf viele authentisch. Deswegen verleiten sie zum unbedachten Öffnen des schädlichen Dateianhangs oder der in der Nachricht enthaltenen URL.
Ist der Computer erst infiziert, lädt Emotet weitere Schadsoftware nach, wie zum Beispiel den Banking-Trojaner Trickbot. Diese Schadprogramme führen zu Datenabfluss oder ermöglichen den Kriminellen die vollständige Kontrolle über das System.
Trickbot versucht ausserdem eine alte Schwachstelle im SMB-Protokoll auszunutzen um sich im Netzwerk auszubreiten. Diese Schwachstelle ist allerdings seit über einem Jahr von Microsoft gepatcht und bedroht nur Netzwerke die automatische Windows Updates deaktiviert und dieses Update nicht installiert haben.
Quelle: BSI Deutschland (Bundesamt für Sicherheit in der Informationstechnik)
Lücken in Hardware-Komponenten stellen eine besondere Bedrohungsart dar. Diese Lücken lassen sich nicht mit einem einfachen Update beheben, wie dies bei Software-Lücken möglich ist. Ausserdem würde ein kompletter Austausch von Hardware-Komponenten die Hersteller vor grosse logistische Probleme stellen. Das Schwerpunktthema dieses Halbjahresberichts befasst sich mit den besonderen Herausforderungen bei Hardware-Lücken.
Nach wie vor verwenden viele Benutzerinnen und Benutzer das gleiche Passwort für mehrere Online-Dienste wie beispielsweise Webmail, E-Banking, Onlineshops. Dies ist eine willkommene Vereinfachung für Kriminelle und ermöglicht ihnen, die gesammelten Login-Daten aus den diversen Datenabflüssen bei verschiedensten Internetdienstleistern systematisch einzusetzen. In einem Fall versuchten sich Angreifer mit knapp einer Million solch gestohlener und aus verschiedenen Quellen zusammengestellten Login-Kombinationen in die Benutzerkonten eines Online-Portals einzuloggen.
Im Sommer 2018 wurde der Name des Labors Spiez für die Planung eines Spionageangriffs gegen Dritte missbraucht. Dabei verwendeten die Angreifer ein im Internet publiziertes Dokument, mit dem das Labor Spiez zu einer internationalen Konferenz eingeladen hatte. Dieses wurde kopiert, mit einer Schadsoftware versehen und an die Opfer gesendet. Das Labor Spiez selbst wurde dabei nicht angegriffen.
Immer häufiger kommt es zu ungewollten Datenabflüssen. Davor bleibt auch die Schweiz nicht verschont. Cyber-Kriminelle sind bezüglich Verwendung solcher Daten sehr vielfältig und innovativ. Eine unmittelbare Vorgehensweise, um aus Datenabflüssen Geld zu machen, ist die direkte Erpressung der Firma, bei der die Daten abgeflossen sind. Mit entwendeten Daten lassen sich ausserdem personalisierte E-Mails generieren, welche die Erfolgsrate bei Phishing-Mails im Vergleich zu Massen-Mails erheblich erhöhen. Es ist deshalb zu erwarten, dass Kriminelle künftig vermehrt diese Vorgehensweise wählen werden.
Der 27. Halbjahresbericht MELANI ist publiziert unter:
Wer eine E-Mail mit dem Betreff «Bewerbung auf die Angebotene Stelle bei der Agentur für Arbeit von Peter Reif» erhält, sollte die Mail umgehend löschen und den Dateianhang unter keinen Umständen öffnen. Berichten zufolge variiert der Name in den Mails und es gibt auch Versionen mit beispielsweise «Peter Schnell», «Caroline Schneider» und «Viktoria Henschel».
Der Empfang der Mail und das Entpacken des Archivs löst nach jetzigem Kenntnisstand noch keine Infektion aus. Erst wer das Archiv entpackt und die darin enthaltene Datei öffnet, holt sich einen Windows-Erpressungstrojaner auf den Computer, der Dateien verschlüsselt und erst nach einer Lösegeld-Zahlung wieder freigeben will. Es handelt sich bei der Schadsoftware anscheinend um die Ransomware GandCrab 5.0.4.
Die Mail ist in sauberem Deutsch formuliert und im Anhang der Mail befindet sich ein passwortgschütztes RAR-Archiv, in dem sich die Datei «Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf.exe» befindet. Das Kennwort für das Archiv findet sich in der Nachricht.
In der Mail steht, dass das Archiv aus Gründen der Privatsphäre mit einem Kennwort geschützt ist– das ist aber Blödsinn. Die Drahtzieher der Kampagne haben ein Passwort vergeben, damit Virenscanner das Archiv nicht scannen können. Nur wenn ein Scanner das Passwort kennt, kann er es auch überprüfen.
Da Windows in der Standardeinstellung bekannte Dateiendungen (.exe) ausblendet, sieht es so aus, als handelt es sich um ein PDF-Dokument. Es ist aber immer noch eine ausführbare Datei. Wer doppelt auf «Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf» klickt löst die Infektion aus.
Die Firma Bitdefender hat ein kostenloses Entschlüsselungstool für einige Versionen von GandCrab. Bitdefender zufolge kursieren derzeit zwei Subvarianten von GandCrab 5.0.4, der aktuellen Version. Mit einer davon soll das Tool kompatibel sein. Opfer sollten es in jedem Fall ausprobieren.
Quelle: heise.de
Phisher bedrohen Internetnutzer derzeit durch gehackte Mail-Konten, worüber sie in laufende Konversationen mit Bekannten eindringen.
Die kürzlich entdeckte Kampagne kapert E-Mail-Benutzerkonten, um Malware an eine unschuldig aussehende Antwortmail zu hängen, die der Empfänger sogar von seinem Bekannten erwartet. Die Antwort enthält eine infizierte Word-Datei. Ist die Datei einmal geöffnet, installiert sich die Schadsoftware «Ursnif» und sammelt unterschiedlichste Zugangs- und Bankdaten der Betroffenen. Die Opfer erkennen den Befall auf ihrem Rechner in diesen Fällen oft erst, wenn es bereits zu spät ist..
Wer genau nachschaut, soll die gefälschten Mails allerdings erkennen können. Oft ist die Mail zum Beispiel plötzlich auf Englisch verfasst, und auch die Signaturen können von den gewohnten Signaturen der Konversationspartner abweichen.
Auch die Header enthüllen verdächtige Anzeichen. Wer mehr wissen möchte, kann auf dem Trend Micro Blog (englisch) mehr Details zum Aufspüren der Auffälligkeiten erfahren.
Sollten Sie so eine Antwort-Mail von einem Bekannten, Freund oder Geschäftspartner erhalten haben, informieren Sie diese auch umgehend darüber das ihr E-Mailkonto gehackt wurde und sie entsprechende Massnahmen ergreifen müssen.
Für den Zugang zu E-Mailkonten oder anderen Onlinekonten, empfehlen wir Benutzern die Verwendung einer 2-Faktor-Authentifizierung (2FA) wie zum Beispiel Duo Mobile. Damit werden 2 verschiedene Authentifizierungen benötigt, bevor man Zugang zu einem Konto erhält. Ein gehacktes Passwort allein würde nicht mehr reichen.
Quelle: itmagazine.ch
Viele Firmen erlauben ihren Angestellten, Dokumente online zu teilen und sogar auf ganze Bürosysteme online zuzugreifen. Manchmal reicht nur ein Passwort, um Zugriff auf ein E-Mail-Konto, aber auch auf diverse andere Dokumente zu erhalten. Es ist deshalb nicht verwunderlich, dass diese Zugangsdaten von grossem Interesse für Phishing-Angriffe sind. Das Kompromittieren eines ersten Kontos wird daher oft als weiterführender Angriffsvektor gegen die anderen Mitarbeitenden verwendet.
In den letzten Monaten hat MELANI Meldungen zu zahlreichen Phishing-Attacken erhalten, welche solche Plattformen imitieren und versuchen, an Zugangsdaten zu gelangen. Zum Beispiel werden die Webseiten von Microsoft Office 365 oder OneDrive nachgebaut. Die Qualität und die Art der E-Mails unterscheiden sich stark. Bei gewissen E-Mails wird der Empfänger gebeten sich zu identifizieren, um ein Problem mit seinem Konto zu lösen, oder aber aufgefordert, ein mit ihm geteiltes Dokument anzuschauen. In allen Fällen wird der Empfänger auf eine Phishing-Seite weitergeleitet, welche die Seite des Anbieters imitiert; dort sollen der Benutzername und das Passwort angegeben werden.
Sobald die Kriminellen Zugang zum Konto haben, können sie prinzipiell dieselben Einstellungen vornehmen wie der Konto-Inhaber:
Für die Kriminellen sind diese Zugangsdaten oft eine Goldmine, welche ihnen erlauben, relevante Informationen, wie beispielsweise Geschäftsbeziehungen, zu bearbeitende Fälle, Struktur und Organigramme des Unternehmens, für einen massgeschneiderten Betrugsversuch zu sammeln. Ebenfalls kann nicht ausgeschlossen werden, dass solche Informationen zur Wirtschaftsspionage benutzt oder weiterverkauft werden.
Sobald ein Konto kompromittiert ist, können alle Kontakte der geschädigten Person betroffen sein. Oft riskieren sie, dass ein E-Mail mit Malware oder Phishing an sie verschickt wird, welches scheinbar vom Konto des Kollegen oder Geschäftspartners kommt. Mit dieser Methode können die Angreifer weitere Zugänge im Firmennetzwerk gewinnen.
Quelle: Melde- und Analysestelle Informationssicherung MELANI
Aktuell sind Erpresser-Mails im Umlauf. Die Empfänger sollen Lösegeld zahlen, weil sie angeblich beim Besuch einer Porno-Seite gefilmt wurden.
So die Masche: Empfänger der betrügerischen Mail wird weisgemacht, dass sie gefilmt worden sind, während Sie sich beim Schauen eines «dreckigen» Filmchens auf einer Porno-Seite im Internet selbstbefriedigt hätten. Die eigene Webcam – die von den Tätern selbst über Fernsteuerung aktiviert wurde – habe alles aufgenommen.
Screenshot einer Erpressermail:
Wenn die Opfer nicht Lösegeld für die Aufnahme zahlen, werde das pikante Video per Mail und Social Media an Bekannte weiterverschickt. Die Kontakte wurden nämlich über eine Schadenssoftware runtergesaugt, wie es in den Erpresser-Mails heisst.
Das Lösegeld soll in Form von Bitcoins innerhalb von 48 Stunden bezahlt werden, so die Betrüger.
Die Erpressung funktioniert ganz ohne technische Hilfsmittel oder Hacks, ganz allein über Social-Engineering. Der Benutzer wurde nicht gehackt, es gibt auch kein Video. Es wird nur versucht das Opfer zu verängstigen und einzuschüchtern. Die Angst vor der sozialen Scham würde ein solches Video veröffentlicht, soll Opfer zum Zahlen verleiten.
Die Polizei rät, sich von den Erpressern nicht einschüchtern zu lassen und auf keinen Fall auf den Deal einzugehen, sondern die Mail sofort zu löschen.
Eine aktuelle Spam-Kampagne setzt auf starke Personalisierung: Sie täuscht als Absender reale E-Mail-Adressen von Mitarbeitern desselben Unternehmens vor. Neben E-Mails mit eher nichtssagendem Betreff wie «Scan 28923323236» beinhalten einige Betreffzeilen zusätzlich den Namen des Empfängers – etwa in der Form «WG: gescanntes Dokument 14517127599 [Empfänger]».
Der E-Mail-Text enthält einen Link, hinter dem sich je nach Wortlaut ein vermeintlicher Überweisungsbeleg oder ein Dokument mit angeblich angeforderten Informationen verbirgt. Angesichts der bekannten Absender-Adresse besteht erhöhte Gefahr, dass sich auch sicherheitsbewusste Anwender zum «reflexhaften». Anklicken verleiten lassen.
Auf der Zielseite wartet ein Word-Dokument mit der Bezeichnung Rechnungs-Details-68436558143.doc auf Download und Ausführung (die Namensgebung kann durchaus variieren).
Das Word Dokument enthält Anweisungen was der Benutzer angeblich machen muss, damit er den Inhalt ansehen kann. Auf Englisch wird der Empfänger aufgefordert, mittels zwei Klicks auf gelbe Schaltflächen sowohl die Bearbeitung des Dokuments als auch die Ausführung eingebetteter Inhalte zu erlauben ( «Enable Editing»/«Enable Content»).
Eine kurze Analyse fördert Makrocode zutage, der mittels einer autoopen()-Funktion automatisch startet. Der später im Code auftauchende Begriff «Shell» legt ausserdem nahe, dass weiterer Schadcode nachgeladen und ausgeführt wird. Um mit dem Office-Dokument einen Rechner zu infizieren, bedarf es also mehrerer Nutzer-Interaktionen. Gefährlich wird es allerdings , wenn die – mittlerweile standardmässige – Deaktivierung von Makros im Vorfeld vom Nutzer aufgehoben wurde.
Quelle: heise.de
Der Erpressungstrojaner Gandcrab hat es derzeit auf Windows-Computer in Firmen abgesehen und versucht diese über den Anhang einer Bewerbungsmail zu infizieren. Vor allem Mitarbeiter im Personalwesen sollten aufpassen und angehängte Dateien von Bewerbungen genau Prüfung bevor sie sie öffnen.
Das E-Mail ist als Bewerbung getarnt und in fehlerfreiem Deutsch verfasst. Die Anlagen bestehen aus einer ZIP-Datei mit einem Namen in der Form von «Viktoria Hagen - Bewerbungsunterlagen.zip» und einer jpg-Bilddatei mit einem Portraitfoto. Der verwendete Name kann variieren.
Die ZIP-Dateien enthalten eine oder zwei EXE-Dateien mit der Schadsoftware. Obwohl es sich um EXE-Dateien handelt wird im Explorer ein PDF-Icon angezeigt!
Seien Sie besonders vorsichtig bei E-Mails die sie nicht erwarten, wie in diesem Fall Blindbewerbungen oder auch wenn Sie den Absender nicht kennen. Wenn Sie eine solche E-Mal erhalten, löschen Sie sie und öffnen Sie auf keinen Fall die Anhänge.
Erstellen Sie regelmässig Backup Ihrer Daten und bewahren Sie sie an einem separaten, von Ihrem Arbeitsgerät getrennten Ort auf.
Die momentane Welle hat grosse Ähnlichkeit mit einer E-Mailwelle aus dem Jahr 2017, als Bewerbungsmail mit Schadsoftware im Anhang versendet wurden. Damals allerdings mit der Schadsoftware «Ordinypt».
Quelle: heise.de
In den letzten Tagen mehren sich wiederum Anrufe bei potenziellen Opferfirmen, in denen sich Angreifer als Bankmitarbeiter ausgeben. Die Anrufer bitten um die Ausführung von Zahlungen oder geben vor, ein Update beim E-Banking durchführen zu müssen, das anschliessend getestet werden soll.
Die Angreifer versuchen typischerweise die Mitarbeitenden der Firma zu überzeugen, eine Fernzugriffssoftware (zum Beispiel NTR-Cloud, Teamviewer) zu installieren, verbinden sich dann mit dem Computer des Opfers und täuschen vor, ein E-Banking-Update durchzuführen. Anschliessend geben die Täter vor, dass das Update getestet werden müsse und versuchen das Opfer zu überzeugen, seine Zugangsdaten für das E-Banking der Firma einzugeben. Anhand einer Testzahlung wollen die Angreifer die Funktionsweise des Systems überprüfen. Ist die Zahlung durch eine Kollektivunterschrift geschützt, versuchen die Betrüger das Opfer zu überzeugen, alle Unterschriftsberechtigten zu organisieren, um die Zahlung freizugeben.
In einer anderen Variante werden die Opfer angewiesen, aufgrund von dringenden E-Banking Updates für einige Tage auf das E-Banking zu verzichten. Im Falle von dringenden Transaktionen soll das Opfer eine durch die Betrüger angegebene Rufnummer kontaktieren. Ruft das Opfer den falschen Bankmitarbeiter an, um eine E-Banking Transaktion durchzuführen, werden sowohl Benutzername und Passwort als auch das Einmalpasswort nachgefragt. Der Angreifer bekommt so Zugang zum E-Banking der Firma. Dieses Vorgehen kann so lange wiederholt werden, bis das Opfer misstrauisch wird.
Die Beispiele zeigen, wie aktuell Social Engineering Methoden weiterhin sind. Die Sensibilisierung innerhalb der einzelnen Firmen ist der Schlüssel, solchen Betrugsversuchen wirksam vorzubeugen.
Empfehlungen:
Quelle: Melde- und Analysestelle Informationssicherung MELANI
Im Oktober 2017 musste der Internet-Konzern «Yahoo!» eingestehen, dass bei einem Hacker-Angriff im Jahr 2013 die Daten aller Nutzenden dieses Dienstes betroffen gewesen waren. Es dürften somit über 3 Milliarden Datensätze abgeflossen sein. Der Vorfall gilt als bisher grösster Datenabfluss weltweit. In der Schweiz gaben im zweiten Halbjahr 2017 vor allem die Datenabflüsse bei der Swisscom mit 800'000 Datensätzen sowie jener bei «dvd-shop.ch» mit 70'000 Datensätzen zu reden. Im Schwerpunktthema des aktuellen Halbjahresberichts beleuchtet MELANI unter anderem die Auswirkungen solcher Datenlecks, datenschutzrechtliche Aspekte sowie die Frage, wie Betroffene informiert werden sollen.
Auch im zweiten Halbjahr 2017 war der Einsatz von Crimeware, insbesondere Verschlüsselungs- und E-Banking-Trojaner, weit verbreitetet. Die Daten von MELANI/GovCERT zeigen, dass «Downadup», auch bekannt unter «Conficker», immer noch zu der in der Schweiz am stärksten verbreiteten Schadsoftware gehört, obwohl für die dabei ausgenutzte Sicherheitslücke seit mehr als zehn Jahren ein Patch zur Verfügung steht.
Industrielle Kontrollsysteme sind nicht nur das Herz zahlreicher kritischer Infrastrukturen wie etwa der Energieversorgung, sondern auch zahlreicher medizintechnischer Geräte wie beispielsweise der MRI-Scanner oder Herzschrittmacher. Der Ausfall solcher Geräte kann für den Patienten im Extremfall lebensbedrohliche Ausmasse annehmen. Der vorliegende Halbjahresbericht behandelt die Herausforderungen rund um Sicherheitsupdates bei medizintechnischen Geräten und befasst sich mit möglichen Sicherheitslücken bei Herzschrittmachern.
Der 26. Halbjahresbericht MELANI ist publiziert unter:
Es ist eine Pishing-Welle im Gange, dabei werden gefälschte E-Mails im Namen der Schweizerischen Post verschickt. Die Melde- und Analysestelle Informationssicherung des Bundes (MELANI) bestätigt die Angriffsversuche.
Im Anhang der E-Mail ist eine Word-Datei die einen E-Banking-Trojaner beinhaltet. Infizierte Systeme werden dabei so manipuliert, dass auf dem PC des Opfers der Eintrag des DNS-Servers auf einen bösartigen DNS-Server geändert wird und gefälschte Root-Zertifikate installiert werden. Nach der Infektion löscht der Trojaner alle Spuren, was es für Antiviren-Programme besonders schwierig macht, eine Infektion festzustellen. Bei erfolgreicher Infektion, erhalten die Betrüger die vollständige Kontrolle über den E-Banking-Account des Opfers.
Der verwendete Trojaner trägt den Namen Refete und wurde bereits 2013, 2016 und das letzte mal 2017 in der Schweiz und Österreich für Phishing-Angriffe verwendet.
Im Herbst letzten Jahres sind Kontaktdaten von ungefähr 800'000 Kundinnen und Kunden der Swisscom gestohlen wurden. Betroffen sind mehrheitlich Mobilfunkkunden. Dies gab Swisscom heute Mittwochmorgen in einer Medienmitteilung bekannt.
Bei den entwendeten Daten handelt es sich um Name, Adresse, Geburtsdatum und Telefonnummer. Diese gelten laut dem Datenschutzgesetz als «nicht besonders schützenswerte Personendaten», die Swisscom von Gesetzes wegen erhebe und für den Abschluss eines Abos benötige. Vertriebspartnern sei es gestattet auf diese zuzugreifen um Kunden zu identifizieren, zu beraten, Verträge abzuschliessen oder anzupassen. Nicht betroffen sind Passwörter, Gesprächs- und Zahlungsdaten.
Mobilfunkkunden können eine SMS mit dem Stichwort «Info» an die Nummer 444 senden und damit feststellen, ob Ihre Daten betroffen sind. Festnetz- und Firmenkunden seien per Mail und Brief informiert worden. Bis heute habe noch kein Anstieg bei Werbeanrufen oder anderen Aktivitäten festgestellt werden können.
Quelle: swisscom.ch
Die Schadsoftware «Ordinypt» befällt derzeit Benutzer aus Deutschland, wahrscheinlich sind auch Schweizer Firmen Ziele. Ordinypt wird als Anhang in E-Mails versendet. Es werden meist Personalabteilungen angeschrieben.
Das E-Mail ist als Bewerbung getarnt und in fehlerfreiem Deutsch verfasst. Die Anlagen bestehen aus einer ZIP-Datei mit dem Namen «Viktoria Henschel - Bewerbungsunterlagen.zip» und einer jpg-Bilddatei mit einem Portraitfoto. Die ZIP-Dateien enthalten zwei EXE-Dateien mit der Schadsoftware, beide mit dem Namen «Viktoria Henschel - Bewerbungsunterlagen - November.pdf.exe». Obwohl es sich um EXE-Dateien handelt wird im Explorer ein PDF-Icon angezeigt.
Besonders gefährlich: Im Explorer werden die Dateiendungen bei bekannten Dateitypen standardmässig ausgeblendet. Die Endung .exe wird dann nicht angezeigt.
Sollte eine der beiden Dateien gestartet werden, beginnt das Programm Dateien zu zerstören. Die Schadsoftware tarnt sich als Ransomware: Sie ersetzt die zerstörten Dateien mit viel kleineren, zufällig generierten Dateien, so dass der Eindruck entsteht sie wären verschlüsselt. Das Wiederherstellen der originalen Dateien ist aber unmöglich. Löschen Sie diese E-Mail, sollten Sie sie erhalten.
Quelle: gdata.de
Der am 2. November 2017 veröffentlichte 25. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cyber-Vorfällen der ersten Jahreshälfte 2017 im In- und Ausland. Im Schwerpunktthema widmet sich der Bericht den Verschlüsselungstrojanern «Wanna Cry» und «NotPetya», die im Frühjahr 2017 weltweit für Schlagzeilen gesorgt haben.
Von den Verschlüsselungstrojanern «Wanna Cry» und «NotPetya» sollen gemäss Europol über 230'000 Opfer in 150 Staaten betroffen gewesen sein. Darunter waren Unternehmen wie z. B. die Deutsche Bahn, die spanische Telekommunikationsfirma Telefonica und zahlreiche Spitäler in Grossbritannien. In der Schweiz war lediglich eine kleine Anzahl von Privatpersonen und KMU betroffen. Das Schwerpunkthema befasst sich u. a. mit den Herausforderungen, die sich beim Aktualisieren von Systemen stellen, und zeigt auf, was bei der Datensicherung zu beachten ist.
Im ersten Halbjahr 2017 gab es eine deutliche Zunahme von E-Mails zur Verteilung schadhafter Software, die angeblich von Bundesstellen oder von namhaften Unternehmen verschickt wurden. So stellte eine scheinbar von der Eidgenössischen Steuerverwaltung (ESTV) stammende Mail Steuerrückerstattungen in Aussicht. In einem anderen Fall wurden Vorladungen zu Gerichtsverhandlungen versendet, die vermeintlich von einer Kantonspolizei stammten. Unternehmen wie DHL, die Post oder Swisscom werden regelmässig missbraucht, um eine hohe Seriosität der Mails vorzutäuschen.
Immer häufiger entladen sich politische Spannungen digital. Wo früher Häuserwände mit Graffitis besprüht wurden, verunstalten heute Hacktivisten Webseiten. So führten die Diskussionen in der Schweiz um den türkischen Präsidenten Erdogan zur Verunstaltung («Defacement») zahlreicher Schweizer Websites. Wie die Angreifer dabei vorgehen, lesen Sie im 25. Halbjahresbericht.
Der 25. Halbjahresbericht ist publiziert unter:
Halbjahresbericht 2017/1