Internet­warnungen

Wir warnen vor aktuellen Viren, Trojanern sowie den neusten Betrugsmaschen, Scam-Mails, Verschlüsselungsprogramme und mehr.

  • 29.08.2017

    Ransomware versteckt in JPG-Datei

    Sicherheitsforscher haben eine neue Ransomware namens «SyncCrypt» entdeckt. Sie verbreitet sich via Spam-Mails, deren Anhang als Gerichtsbeschluss getarnt ist. Hinter Namen wie «CourtOrder_845493809.wsf» verbirgt sich ein Windows Script File (WSF), das, einmal ausgeführt, als Downloader für SyncCrypt dient.

     

    Ungewöhnlich ist die Strategie, die SyncCrypt nutzt, um sich während des Downloads vor Antivirus-Software zu verstecken. Das Skript lädt die Ransomware nicht einfach als .exe-Datei herunter. Stattdessen nimmt es den Umweg über eine .jpg-Datei, in der sich ein Zip-Archiv verbirgt. Aus dieser extrahiert das Skript nach erfolgreichem Download die Ransomware, um sie anschliessend auszuführen.

     

    Die Ransomware verschlüsselt eine Vielzahl von Dateitypen und versieht sie mit der Zusatzendung «.kk». Anschliessend erpresst sie ein Lösegeld in Bitcoin. Kostenlose Entschlüsselungs-Tools gibt es bislang nicht.

    Viele Antivirenprogramme erkennen die Ransomware nicht

    Die Übertragungsmethode als .jpg-Datei ist äusserst effektiv. Nur einer der insgesamt 58 Virenscanner auf VirusTotal.com erkannte den Trojaner in der Bilddatei, während immerhin 28 von 63 Scannern bei der .exe-Datei Alarm schlugen.

     

    Die Bilddatei für sich genommen kann keinen Schaden anrichten. Erst in Kombination mit der Windows Skript Datei kommt der enthaltene Schadcode zur Ausführung. Diese Variante zeigt, dass immer neue Wege gefunden werden um ein System zu infizieren und bestehende Abwehrmechanismen auszuhebeln. Ein wachsamer Benutzer ist darum unerlässlich.

     

     

    Quelle: heise.de

  • 18.08.2017

    E-Banking: Angreifer haben es auf Aktivierungsbriefe abgesehen

    Seit 2016 versuchen Angreifer mit Hilfe von Schadsoftware («Malware») wie beispielsweise «Retefe» mobile Authenti­fizierungsmethoden auf dem Smartphone mittels Social Engineering zu umgehen. Betroffen von solchen Angriffen sind Benutzerinnen und Benutzer von PhotoTAN, CrontoSign und SecureSign. Dies ist unabhängig von dem verwendeten Smartphone-Betriebssystem (Android, iOS).

     

    Seit rund zwei Wochen beobachtet die Melde- und Analysestelle Informationssicherung (MELANI) nun auch vermehrt Angriffe, bei welchen die Angreifer versuchen, an Briefe von Banken mit Aktivierungsdaten zu gelangen. Dieser Aktivierungsbrief enthält üblicherweise ein Mosaikbild, welches beim erstmaligen Login eines Gerätes ins E-Banking mit einer App wie PhotoTAN, CrontoSign oder SecureSign eingescannt bzw. abfotografiert werden muss. Anschliessend wird das entsprechende Gerät von der Bank für die mobile Authenti­fizierungsmethode zugelassen.  Diese Briefe werden in der Regel von der Bank per Briefpost an die Kundinnen und Kunden versendet. Die Angreifer versuchen nun, mittels Social Engineering an die Aktivierungsdaten zu gelangen und fordern das Opfer dazu auf, diesen Brief einzuscannen oder zu fotografieren und an die Betrüger zu übermitteln.

    Screenshot: Betrüger fordern das Opfer nach dem Login ins E-Banking auf, den Aktivierungsbrief einzuscannen und den Betrügern zu übermitteln.

    Durch die Bekanntgabe der Information, welche im Aktivierungsbrief in Form eines Mosaikbildes hinterlegt sind, ist es den Betrügern unter Umständen möglich, sich in das E-Banking des Opfers einzuloggen, indem sie ein weiteres Smartphone für die Zwei-Faktor Authentifierzung (2FA) aktivieren. Ab diesem Zeitpunkt können sich die Angreifer jederzeit in das E-Banking Portal einloggen und ohne das Wissen des Opfers betrügerische Zahlungen von dessen Konto in Auftrag geben.

     

     

    Im Umgang mit E-Banking empfiehlt MELANI: 

    • Den Aktivierungsbrief, welchen Sie von der Bank erhalten haben, ist persönlich. Teilen Sie diesen mit niemanden, auch nicht mit der Bank, selbst wenn Sie dazu aufgefordert werden. Im Zweifelsfall kontaktieren Sie telefonisch Ihre Bank oder Ihren Kundenberater.
    • Stellen Sie sicher, dass Sie beim Login-Vorgang ins E-Banking auf dem mobilen Gerät (beispielsweise Smartphone oder dediziertes PhotoTAN-Gerät) wirklich das Login bestätigen und dass es sich nicht bereits um die Visierung einer Zahlung handelt.
    • Falls Sie eine Zahlung visieren, lesen Sie immer den ganzen Text auf dem mobilen Gerät und überprüfen Sie Betrag und Empfänger (Name, IBAN) der Zahlung, bevor Sie diese freigeben.
    • Installieren Sie Smartphone-Apps nur aus dem offiziellen App-Store (Google Play bzw. Apple App Store). Installieren Sie niemals Apps aus unbekannten Quellen, auch nicht wenn Sie dazu aufgefordert werden. Modifizieren Sie Ihr Gerät nicht so, dass wesentliche Sicherheitsmechanismen ausgehebelt werden (z.B. „rooten“, „jailbreaken“).
    • Spielen Sie Sicherheitsupdates sowohl für den Computer wie auch für das Mobiltelefon ein, sobald eine solche Aktualisierung vorhanden ist.
    • Sollten Sie beim Login in das E-Banking Unregelmässigkeiten feststellen, kontaktieren Sie unverzüglich Ihre Bank. Solche Unregelmässigkeiten sind beispielsweise:
      • Sicherheitsmeldung vor dem Login ins E-Banking. Zum Beispiel «In Zusammenhang mit der Modernisierung des Sicherheitssystems kann von Ihnen beim Einloggen ins Benutzerkonto eine zusätzliche Identifizierung angefordert werden. […]»
      • Fehlermeldung nach dem Login ins E-Banking. Zum Beispiel «Fehler! Wegen eines technischen Problems sind wir unfähig, die Seite zu finden, nach der Sie suchen. Versuchen Sie bitte in 2 Minuten noch einmal.»
      • Sicherheitsmeldung nach dem Login ins E-Banking (z.B. «Sicherheitsmassnahme»), bei welcher Sie dazu aufgefordert werden, Festnetz- oder Handy-Nummer einzugeben
      • Aufforderung zur Installation einer Mobile-App nach dem Login ins E-Banking
      • Nach dem Login ins E-Banking erfolgt eine Weiterleitung auf eine Website, die nicht in Zusammenhang mit der Bank steht (z.B. auf google.ch).
      • Timer nach dem Login ins E-Banking. Zum Beispiel: «Bitte warten… (Bitte warten Sie eine Minute, die Seite nicht neu laden)»

     

    Quelle: Melde- und Analysestelle Informationssicherung (MELANI)

  • 20.07.2017

    SambaCry: Angriffe auf Linux-NAS-Boxen

    Kriminelle benutzen die SambaCry Schwachstelle um einen Hintertür-Trojaner auf Linuxgeräten zu installieren, die eine ältere Version des Samba Filesharing-Servers benutzen.

     

    Nach Expertenangaben der Firma Trend Micro, haben es die meisten Attacken auf NAS-Geräte abgesehen, einige davon werden mit der Samba Server-Software ausgeliefert die das Austauschen von Dateien zwischen unterschiedlichen Betriebssystemen erlaubt.

     

    Die ersten Angriffe auf Linux-Rechner mittels dieser Hintertür wurden vor ungefähr einem Monat bekannt, als Forscher einen Trojaner entdeckten, der Linux-Server angreift, übernimmt und sie dann zum Schürfen der Kryptowährung Monero missbraucht. Jetzt nutzen die Angreifer offenbar diesen Infektionsweg, um gezielt NAS-Geräte zu kompromittieren.

     

    Was genau die Angreifer mit den erbeuteten NAS-Boxen machen, sagt TrendMicro nicht. Auf Grund des Funktionsumfangs der Schadsoftware und ihrer Zielgeräte, darf man davon ausgehen, dass die Angreifer Daten stehlen wollen. Wahrscheinlich um sie im Untergrund in Hackerforen zu verkaufen oder um die entsprechenden Firmen zu erpressen.

     

    Zwar hat fast jede Linux-Distribution die SambaCry-Lücke mittlerweile geschlossen, da es sich bei den meisten NAS-Geräten allerdings um Embedded-Systeme handelt, sind viele von ihnen noch angreifbar. Leider zeigt sich erneut das Problem mit dem Internet der Dinge (Internet of Things, IoT) und Herstellern, welche die Firmware auf ihren Geräten nur sehr langsam und in den meisten Fällen gar nicht aktualisieren. Wie es aussieht wird die SambaCry-Lücke auf älteren Systemen noch einige Zeit missbraucht werden.

     

     

    Quelle: heise.de

  • 27.06.2017

    Petya – Neue Ransomwarewelle

    Seit diesem Nachmittag werden in verschiedenen Ländern Europas und weltweit Firmen mit einer neuen Ransomware angegriffen. Die meisten Angriffe finden in der Ukraine und Russland statt, es sind aber auch Fälle aus Italien, Polen, den Niederlanden, Deutschland und anderen Ländern bekannt. Eine Ausbreitung auf die Schweiz ist möglich.

     

    Die Schadsoftware ist eine Variante des Trojaners Petya, der bereits 2016 aufgetaucht war. Das Programm soll mehrere Angriffsmöglichkeiten besitzen. Ein Angriffsvektor ist die Verwendung der selben Schwachstelle die schon WannaCry im letzten Mai verwendet hat. Systeme die regelmässig die neusten Windows Updates installieren sind geschützt.

     

    Eine andere Art wie Petya auf ein System gelangt, ist über infizierte Word-Anhänge die per E-Mail versendet werden. Sollte die Schadsoftware auf diesem Weg auf ein gepatchtes System gelangen, kann es die Sicherheitsvorkehrkungen umgehen und sich trotzdem im Netzwerk ausbreiten.

     

    Die Schadsoftware wartet nach der Infektion 10 bis 60 Minuten und startet anschliessend den Computer automatisch neu. Nach dem Neustart erscheint nur noch ein Bild mit der Lösegeldforderung. Die Dateien sind dann verschlüsselt, der Computer nicht mehr benutzbar.

    Bildschirm mit Lösegeldforderung nach der Infizierung

    Wir empfehlen in den nächsten Tagen Ihre E-Mails besonders genau zu überprüfen und unsere Richtlinien zum Umgang mit E-Mails zu befolgen:

    • Misstrauen Sie E-Mails, die Sie unaufgefordert erhalten: Nicht nur bei E-Mails von unbekannten Personen sollte man kritisch sein, sondern auch bei bekannten Absendern Vorsicht walten lassen. Besonders vertrauenswürdige Firmen werden gerne als gefälschte Absenderadressen missbraucht.
    • Lassen Sie sich nicht unter Druck setzen. Nehmen Sie sich bei unerwarteten E-Mails genügend Zeit für Abklärungen und fragen Sie im Zweifelsfall bei der Firma oder dem Absender nach. Benutzen Sie dabei nicht die allenfalls in der E-Mail angegebene Telefonnummer, sondern suchen Sie die Telefonnummer beispielsweise auf der bekannten Firmenwebseite oder dem Onlinetelefonbuch heraus.
    • Öffnen Sie keine Anhänge, wenn Sie nicht absolut sicher sind was es ist.
    • Sollten Sie beim Öffnen eines vermeintlich vertrauenswürdigen Anhangs Sicherheitswarnungen erhalten (z.B. bei Word- oder PDF-Anhängen), die Sie zum Aktivieren einer Funktion auffordern, stellen Sie sicher, dass es eine legitime Anfrage ist. Wenn Sie das nicht beurteilen können, wenden Sie sich an einen Experten, bevor Sie etwas anklicken.

     

    Quelle: Diverese Webseiten, unter anderem heise.de

  • 16.06.2017

    Schadsoftware: Vorsicht ist geboten - unabhängig vom Betriebssystem

    Bei der Verbreitung von Schadsoftware via E-Mail versuchen Kriminelle vermehrt, ihre Opfer gezielt anzugreifen. Dabei sind nicht mehr nur ausschliesslich Windows Benutzer im Visier. In den vergangenen Wochen, hat die Melde- und Analysestelle Informationssicherung MELANI verschiedene Schadsoftware-Wellen beobachtet, welche sich gezielt gegen Schweizer Nutzende des Betriebssystems MacOS, das von Apple entwickelte Betriebssystem, richteten. Es ist deshalb wichtig in Erinnerung zu rufen, dass unabhängig vom verwendeten Betriebssystem und für alle Nutzenden Vorsicht geboten ist.

    Täter sammlen zuerst Informationen über das Betriebssystem des Benutzers

    Die Tendenz spezifische Systeme anzugreifen, um eine darauf zugeschnittene Schadsoftware zu platzieren ist nicht neu. So wurde beispielsweise bei den Angriffen gegen Bezahlsysteme vor einigen Monaten beobachtet, dass Schadsoftware den Computer auf das Vorhandensein  bestimmter Offline Zahlungssysteme untersuchte. War das entsprechende Programm auf dem Computer vorhanden, wurde anschliessend ein darauf zugeschnittener Schadcode gesendet.

     

    Die Tendenz gezielter Schadsoftware hat sich in den letzten Wochen bestätigt mit einem grösser werdenden Interesse der Cyber-Kriminellen an Benutzern des Betriebssystems MacOS. So wurden in den letzten Wochen verschiedene E-Mail Wellen beobachtet, mit welchen versucht wurde Schadsoftware im Anhang spezifisch für das vom Opfer verwendete Betriebssystem zu verbreiten. Solche E-Mails geben normalerweise vor, von bekannten Firmen zu stammen, was mittlerweile ein bekannter Modus Operandi ist (Siehe Meldung: Zunehmender Missbrauch der Namen von Bundesstellen und Firmen). Die letzten beobachteten Versionen enthielten einen Anhang in Form einer ZIP-Datei, welcher eine detaillierte Rechnung einer angeblichen Bestellung hätte enthalten sollen. Einmal geöffnet, versuchte das Schadprogramm aber den Bankentrojaner Retefe zu installieren. Retefe ist ein in der Schweiz gut bekanntes Schadprogramm, das aber bislang von den Angreifern nur gegen das Windows Betriebssystem eingesetzt wurde.

     

    Um nun die E-Mails gezielt zu versenden und das Betriebssystem eines bestimmten Opfers zu eruieren, versuchen die Kriminellen in einem ersten Schritt ein unverdächtiges E-Mail zu senden. Auch dieser Typ E-Mail kommt angeblich von einer bekannten Firma und gibt vor, unter verschiedenen Vorwänden eine Kontaktaufnahme machen zu wollen. Das E-Mail enthält einen kurzen Text oder in anderen Fällen nur die Kontaktdaten der vorgegaukelten Firma.  

     

    Vorgehensweise um ein Betriebsystem gezielt anzugreifen

    Die E-Mail enthält in Wirklichkeit aber ein kleines für den Mail-Empfänger fast unsichtbares Bild (1x1 Pixel). Wenn dieses Bild heruntergeladen wird (was abhängig von der E-Mail Konfiguration auch automatisch geschehen kann), wird eine Verbindung mit dem Server des Angreifers aufgebaut, auf welchem das Bild abgespeichert ist, und automatisch verschiedenste Informationen der Computerkonfiguration, unter anderem auch Informationen zum verwendeten Betriebssystem (generell der User Agent),  übermittelt. Die Kriminellen erhalten so die Möglichkeit, die E-Mail-Adresse mit der Computerkonfiguration in Verbindung zu bringen. In einem zweiten Schritt senden sie ein E-Mail , welches auf das entsprechende Betriebssystem zugeschnitten ist.

     

    Wir erinnern deshalb daran, dass sich folgende Sicherheitsmassnahmen an alle Computernutzenden richten – unabhängig davon, welches Betriebssystems diese benutzen: 

    • Stellen Sie sicher, dass Ihr E-Mail-Programm oder -Dienst das automatische Herunterladen von Bildern oder anderen Dateien, welche in einer E-Mail vorhanden sind, blockt. Oft ist dieser Schutz schon voreingestellt.
    • Laden Sie keine Bilder in einer E-Mail Nachricht herunter, wenn Sie nicht vollständig sicher sind, woher das Bild stammt.
    • Misstrauen Sie E-Mails, die Sie unaufgefordert erhalten: Nicht nur bei E-Mails von unbekannten Personen sollte man kritisch sein, sondern auch bei bekannten Absendern Vorsicht walten lassen. Besonders vertrauenswürdige Firmen werden gerne als gefälschte Absenderadressen missbraucht.
    • Lassen Sie sich nicht unter Druck setzen. Nehmen Sie sich genügend Zeit für Abklärungen und fragen Sie im Zweifelsfall bei der Firma nach. Benutzen Sie dabei nicht die allenfalls in der E-Mail angegebene Telefonnummer, sondern suchen Sie die Telefonnummer beispielsweise auf der bekannten Firmenwebseite oder dem Onlinetelefonbuch heraus.
    • In seltenen Fällen kann es vorkommen, dass das Opfer zufälligerweise tatsächlich eine E-Mail von der Firma erwartet. Aber auch in diesen Fällen gibt es  zahlreiche Hinweise, mit welchen man eine betrügerische E-Mail von einer echten E-Mail unterscheiden kann (*). Auch hier gilt: Nehmen Sie sich Zeit, die Plausibilität zu überprüfen. 

    (*) MELANI empfiehlt für E-Mails stets digitale Signaturen zu nutzen (S/MIME oder PGP).

    Um eine Infektion mit Schadsoftware zu verhindern, empfehlen wir zudem folgende Massnahmen:

    • Stellen Sie sicher, dass potenziell schädliche E-Mail Anhänge bereits auf Ihrem E-Mail-Gateway bzw. Spam-Filter blockiert bzw. gefiltert werden. Gefährliche E-Mail Anhänge verwenden unter anderem folgende Datei-Endungen:

    .js (JavaScript)
    .jar (Java)
    .bat (Batch file)
    .exe (Windows executable)
    .cpl (Control Panel)
    .scr (Screensaver)
    .com (COM file)
    .pif (Program Information File)
    .vbs (Visual Basic Script)
    .ps1 (Windows PowerShell)
    .wsf (Windows Script File)
    .docm (Microsoft Word mit Makros)
    .xlsm (Microsoft Excel mit Makros)
    .pptm (Microsoft PowerPoint mit Makros)

     

    Für das MaxOS System:

     

    .app (Application macOS)
    .pkg (Package Files)
    .dmg (Disk Images)
    .sh (Shell Scripts)
    .py (Python Scripts)
    .pl (Perl Scripts)

     

    Diese Dateitypen können auch andere Datei-Endungen haben. Es ist deshalb wichtig, dass die Filterprogramme, nicht nur auf Basis der Endung des Dateinamens, sondern auch aufgrund des Inhaltes der Dateien filtern.

    • Versichern Sie sich, dass solche gefährlichen E-Mail-Anhänge auch dann blockiert werden, wenn diese in Archiv-Dateien wie beispielsweise ZIP, RAR oder aber auch in geschützten Archiv-Dateien (z.B. in einem passwortgeschützten ZIP) an Empfänger in Ihrem Unternehmen versendet werden.
    • Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten (z.B. Word, Excel oder PowerPoint Anhänge mit Makros).

     

    Quelle: Melde- und Analysestelle Infirmationssicherung MELANI

  • 13.05.2017

    Weltweite Angriffswelle des Erpressungstrojaners WannaCry

    Ein neuer Erpressungstrojaner ist im Umlauf. Der WannaCry genannte Trojaner hat weltweit Server befallen und tausende von Systemen gesperrt.

    Auch in der Schweiz sind Firmen Opfer des Trojaners geworden. Wichtig:

    • Öffnen Sie keine E-Mailanhänge, wenn Sie keine E-Mail mit Anhang erwarten und wissen was im Anhang drin ist
    • Aktivieren Sie die automatischen Windows Updates
    • Verwenden Sie eine sauber konfigurierte Firewall
    • Erstelle Sie regelmässig Backups Ihrer Daten und bewaren Sie sie getrennt von Ihrem Computer auf

    Die Verbreitung des Trojaners konnte inzwischen durch Sicherheitsfirmen verhindert werden. Es ist aber nur eine Frage der Zeit bis neue Varianten auftauchen deren Verbreitung noch nicht gestoppt werden kann.

  • 08.05.2017

    Zunehmender Missbrauch der Namen von Bundesstellen und Firmen

    In den letzten Monaten hat der Missbrauch der Namen von Bundestellen und bekannten Firmen als Absenderadresse zugenommen.

    In den letzten Wochen haben Betrüger vermehrt E-Mails versandt, die angeblich von der Eidgenössischen Steuerverwaltung (ESTV) stammen. Dabei wird auf eine fiktive Steuerrückerstattung Bezug genommen, welche man durch Ausfüllen eines angehängten Dokumentes erhalten soll. In anderen Fällen versuchen die Betrüger, mit der gefälschten Absenderadresse der ESTV, den Steuerpflichtigen eine Dienstleistungen anzubieten. Beim Öffnen des Dokuments wird dann allerdings eine Schadsoftware installiert. Solche Betrugsmails werden zu hunderttausenden in Umlauf gesetzt und werden über kompromittierte Server in der ganzen Welt versendet. In diesem Falle speziell war zudem, dass neben Schadsoftwarevarianten für das Betriebssystem Windows auch solche für  MacOSX versendet wurden.

    Beispiel einer betrügerischen E-Mail

    Die Angreifer verwenden als Absender vermehrt auch bekannte Firmennamen, um dem E-Mail ein seriöses Aussehen zu geben. Beliebt bei Angreifern sind ebenfalls angebliche Paketzustellversuche beispielsweise von DHL, Post oder Zahlungsanweisungen. Ein bekanntes Beispiel sind gefälschte Swisscom Rechnungen, mit denen Angreifer im Februar 2017 versucht haben, die Schadsoftware Dridex zu verbreiten.

    Gefälschte Swisscom Rechnungen, mit denen Angreifer im Februar 2017 versucht haben, die Schadsoftware Dridex zu verbreiten

    Auch gefälschte Einladungen zu Gerichtsverhandlungen oder E-Mails, die angeblich von der Kantonspolizei stammen, benutzen die Angreifer, um den Empfänger zu verunsichern und diesen zu verleiten auf einen Link zu klicken.

    Ziel der Angreifer ist es, den Benutzer zu überrumpeln, seine Neugier zu wecken oder ihm Angst zu machen, um ihn dann zu einer unbedachten Aktion zu verleiten. In den meisten Fällen wird schnell klar, dass es sich um eine Fälschung handelt. So kommuniziert beispielsweise die ESTV nur auf dem Postweg und nie via E-Mail.

    Bei den missbrauchten Organisationen sorgen betrügerische E-Mails für ein grosses Meldeaufkommen. Zusätzlich können sich solche E-Mails auch auf die Reputation eines Unternehmens auswirken.

     

    Beachten Sie die nachfolgenden Empfehlungen:

    Für E-Mail Empfänger: 

    • Misstrauen Sie E-Mails, die Sie unaufgefordert erhalten: Es gilt nicht mehr nur bei E-Mails von unbekannten Personen kritisch zu sein, sondern auch bei bekannten Absendern Vorsicht walten zu lassen. Besonders vertrauenswürdige Firmen werden gerne als gefälschte Absenderadressen missbraucht.
    • Lassen Sie sich nicht unter Druck setzen. Nehmen Sie sich genügend Zeit für Abklärungen und fragen Sie im Zweifelsfall bei der Firma nach.
    • In seltenen Fällen kann es vorkommen, dass das Opfer zufälligerweise tatsächlich ein E-Mail von der Firma erwartet. Aber auch in diesen Fällen gibt es  zahlreiche Hinweise, mit welchen man ein betrügerisches E-Mail von einem echten E-Mail unterscheiden kann. Auch hier gilt: Nehmen Sie sich Zeit die Plausibilität zu überprüfen. Achten Sie zum Beispiel auf die Verwendung von Vor- und Nachnamen: In legitimen E-Rechnungen wird der Empfänger mit Vor- und Nachnamen angesprochen. Diese Anrede ist bei betrügerischen Mails immer noch die Ausnahme. Im Zweifelsfall erkundigen Sie sich bei der Firma, ob eine Rechnung ausgelöst wurde oder bitten Sie diese, die Rechnung erneut zuzustellen. 

    Für Firmen, deren Namen als Absender missbraucht wurde: 

    • Sollte Ihr Firmenname für Betrugs-E-Mails missbraucht werden, weisen Sie auf der Startseite gut sichtbar darauf hin, dass ihre Firma als Absender für Schadsoftware-E-Mails missbraucht wird. Geben Sie den Kunden Ihre Empfehlung ab, wie sie sich verhalten sollen.
    • Weisen Sie Ihre Kunden mittels einem regelmässig erscheinenden Newsletter oder direkt auf die Betrugsversuche hin.
    • Halten Sie bei der Kundenkommunikation via E-Mail folgende Grundregeln ein und teilen Sie diese den Kunden mit:
      • Mit Links in E-Mails sparsam umgehen und nur auf die eigene Domäne verlinken. Wenn möglich Links auf durch Verschlüsselung gesicherte Seiten (https) verwenden und dies dem Empfänger mitteilen.
      • Keine versteckten Links benutzen, sondern immer die Links für den Benutzer sichtbar machen.
      • Nicht auf Webseiten verlinken, die Benutzername und Passwort oder andere Eingaben verlangen.
      • Kunden mit Vor- und Nachnamen anschreiben, sofern diese Information vorhanden ist.
      • Wichtige Informationen zu Konten schriftlich per Brief versenden - gerade im Finanzsektor.

     

    Quelle: Melde- und Analysestelle Infirmationssicherung MELANI

  • 26.04.2017

    Warnung vor betrügerischer Masche in sozialen Netzwerken

    Seit anfangs Jahr gingen bei der Kriminalpolizei der Staatsanwaltschaft Basel-Stadt rund 40 Anzeigen wegen einer speziellen Betrugsmasche ein. Ziel der Täter ist, an persönliche Daten der Nutzer (social network users) zu gelangen und sich unrechtmässig zu bereichern.

     

    Die Geschädigten erhielten auf ihrem Account eine Freundschaftsanfrage. Im Glauben, es handelt sich um eine Bekannte oder einen Freund, nahmen sie die Freundschaftsanfrage an und gaben ihre Telefonnummer preis. Kurz darauf erhielten sie eine SMS mit der Aufforderung, diese zu bestätigen.

    Gelingt es den falschen Freunden, ihre Opfer dazu zu bringen, eine SMS-Bestätigung zu senden oder ihnen einen Code mitzuteilen, wird unmittelbar danach ihre Telefonrechnung mit bis zu 100 Franken belastet.

    Die Staatsanwaltschaft rät zur Vorsicht bei so genannten Freundschaftsanfragen in sozialen Netzwerken und empfiehlt, weder Daten noch andere persönliche Informationen Unbekannten preis zu geben. Die Gefahr, Opfer von Cyberkriminellen zu werden, kann dadurch verringert werden. Im Weiteren wird empfohlen:

    • Seien Sie vorsichtig bei Freundschaftsanfragen
    • Prüfen Sie, ob die Person nicht schon in Ihrer Freundesliste ist
    • Wenn Sie "zweifelhafte" Anfragen von Bekannten erhalten, erkundigen Sie sich ausserhalb sozialer Netzwerke nach der Vertrauenswürdigkeit dieser Nachricht
    • Gehen Sie nicht auf eine falsche Freundschaftsanfrage ein bzw. lehnen Sie diese ab
    • Falls Sie eine solche Anfrage doch angenommen haben, sollte der "Freund" aus der Freundschaftsliste sofort gelöscht werden
    • Teilen Sie den richtigen Freunden mit, dass man eine falsche Freundschaftsanfrage erhalten hat und möglicherweise das Profil kopiert wurde
    • Melden Sie Missbräuche dem Betreiber des sozialen Netzwerks.

    Quelle: http://www.polizeiticker.ch/

  • 24.04.2017

    Internet der Dinge: Schwerpunktthema im Halbjahresbericht MELANI

    Der am 20. April veröffentlichte 24. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cyber-Vorfällen der zweiten Jahreshälfte 2016 im In- und Ausland. Im Schwerpunktthema widmet sich der Bericht dem immer bedeutender werdenden Internet der Dinge.

    Schätzungen zufolge waren 2016 bereits über 6 Milliarden Geräte ans Internet angeschlossen, die dem Internet der Dinge zuzuordnen sind. Bis ins Jahr 2020 sollen es rund 20 Milliarden sein. Von sogenannten «Wearables», am Körper getragene oder in Kleider eingenähte Anwendungen wie beispielsweise Smartwatches oder Fitnesstracker, über selbstfahrende Autos bis hin zu Steuerungsanlagen grosser Gebäudekomplexe wird alles ans Internet angeschlossen. Oftmals kümmern sich jedoch die Hersteller und auch die Benutzenden zu wenig um die Sicherheitsaspekte. Der Halbjahresbericht zeigt die Problematik auf und gibt Empfehlungen für den sicheren Umgang mit dem Internet der Dinge ab.

    Die Schweiz als indirektes Ziel von Cyber-Spionage

    Im zweiten Halbjahr 2016 wurden Cyber-Spionagekampagnen publik, die zwar einen Bezug zur Schweiz haben, bei denen unser Land aber nicht das eigentliche Ziel dieser Operationen war. So standen unter anderem die Welt-Anti-Doping-Agentur und der internationale Sportsgerichtshof im Zentrum der Aufmerksamkeit und damit indirekt auch die Schweiz, da letzterer den Sitz in Lausanne hat. Im Falle der Welt-Anti-Doping-Agentur war das offensichtliche Ziel die Antidoping-Daten bestimmter Sportler weltweit. Bei einem weiteren Angriff, der bereits länger zurückliegt, aber erst jetzt durch die Publikation der Gruppe «Shadow Brokers» bekannt wurde, waren unter anderem drei Server der Universität Genf betroffen. Der Halbjahresbericht beleuchtet diese Angriffe und nennt die Gründe, warum die Schweiz auch zum indirekten Ziel von Cyber-Spionage werden kann.

    Weiterhin Betrugsversuche und Angriffe mit erpresserischen Forderungen

    Auch im zweiten Halbjahr 2016 beobachtete MELANI zahlreiche Fälle von Cyber-Betrugsversuchen, bei welchen vor allem Unternehmen sehr viel Geld verlieren können. Auch DDoS-Angriffe und Verschlüsselungstrojaner sind bei den Angreifern immer noch von grosser Beliebtheit, um die Opfer zu erpressen. Der vorliegende Bericht befasst sich mit dieser Thematik, beschreibt einige Vorfälle und enthält Empfehlungen zum Schutz vor derartigen Angriffen.

    Der 24. Halbjahresbericht MELANI ist publiziert unter:

  • 07.12.2016

    Neuer Verschlüsselungstrojaner «Goldeneye»

    Ein bisher unbekannter Verschlüsselungstrojaner tarnt sich als Bewerbungs-E-Mail und versucht Systeme zu verschlüsseln. Zur Zeit verbreitet er sich rasant in ganz Deutschland, es kann gut sein, dass auch bald Schweizer Firmen Ziele werden. Viele Virenscannern erkennen den Trojaner im Moment noch nicht.

    Screenshot: Excel-Datei mit Sicherheitswarnung
    Screenshot der Excel-Datei mit Sicherheitswarnung oben

    Öffnet der Nutzer die angehängte Excel-Datei, wird er im Dokument darum gebeten, die "Bearbeitungsfunktion" des eingesetzten Tabellenkalkulationsprogramms zu aktivieren. Tut man dies und erlaubt dem Programm so, Makros auszuführen, ist es zu spät. Der Trojaner erzeugt dann zwei EXE-Dateien, führt sie aus und verschlüsselt Daten auf dem System, um anschließend Lösegeld zu fordern.

     

    Auf der Festplatte hinterlegt der Trojaner eine Textdatei die ankündigt, Daten seien von der "GOLDENEYE RANSOMWARE" verschlüsselt. Diese Warnung wird auch auf Netzlaufwerken abgelegt. Bisher gibt es allerdings keine Anzeichen, dass auch hier Daten verschlüsselt werden.Bis jetzt enttarnen nur wenige Scanner den Schädling.

     

    Momentan werden die bösartigen EXE-Dateien nach Erkenntnissen von AV-Test von nur sehr wenigen Virenscannern entdeckt. Ergebnisse beim Online-AV-Aggregator VirusTotal bestätigen dies. Bei den Excel-Dateien sieht es mit den Entdeckungsraten schon besser aus, weswegen die Drahtzieher des Trojaners diese wohl ständig ändern.

     

     

    Quelle: heise.de

  • 31.10.2016

    Cyber-Erpressung: Schwerpunktthema im Halbjahresbericht MELANI

    Der kürzlich veröffentlichte 23. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) zeigt die wichtigsten Cyber-Vorfälle der ersten Jahreshälfte 2016 national und international auf. Der Bericht widmet sich im Schwerpunktthema den vermehrten Angriffen durch Cyber-Erpressung. Ausserdem stehen verschiedene Daten­ab­flüsse im Fokus.

     

    Seit Januar 2016 stellt MELANI eine markante Zunahme von Cyber-Angriffen fest, die von erpresserischen Forderungen begleitet sind. Ziel dieser Angriffe ist, die Daten für die Opfer unbrauchbar zu machen. Dies geschieht meist durch das Verschlüsseln der Daten mittels Trojaner oder durch Überlastung des Servers durch mutwillige Angriffe, sogenannte DDoS-Angriffe. Anschliessend wird vom Opfer die Bezahlung eines Lösegeldes gefordert. Im Visier der Angreifer stehen diejenigen Daten oder Systeme, die für eine Privatperson oder ein Unternehmen einen Wert haben und wichtig genug sind, dass die Opfer bereit sind zu bezahlen. Im Halbjahresbericht wird die Strategie aufgezeigt, die hinter diesen Angriffen steht, wie man sich verhalten soll, wenn man betroffen ist, und wie man vorbeugen kann. Im ersten Halbjahr 2016 wurden MELANI 6000 gehackte E-Mail- und Passwortkombinationen zugespielt. Diese Konten hätten für illegale Zwecke wie beispielsweise Betrügereien oder Erpressung missbraucht werden können, sofern das Passwort vom Inhaber nicht umgehend geändert wurde. Um allfällige Opfer zu unterstützen, publizierte MELANI ein Online-Tool, mit dem sich überprüfen liess, ob die eigene E-Mail-Adresse betroffen war.

     

    Der 23. Halbjahresbericht MELANI ist publiziert unter: Halbjahresbericht 2016/1

     

  • 29.08.2016

    Gefälschte Supportanrufe

    In letzter Zeit häufen sich weltweit, auch in der Schweiz, Anrufe von Betrügern, welche sich als Mitarbeitende von Microsoft oder anderen IKT-Support-Firmen ausgeben. Die Anrufer sprechen meist englisch und stammen nach eigenen Angaben aus den USA, England oder Australien. In vielen Fällen weisen die Anrufer auf Fehlermeldungen hin, die angeblich von den Computern des angegangenen Unternehmens oder der Privatperson übermittelt worden sind. Die Angerufenen werden dann zum Beispiel angeleitet, auf ihrem Computer den Event-Viewer aufzurufen, mit welchem jegliche Ereignisse und Aktivitäten des Computers aufgezeigt werden können. Dazu muss man wissen, dass auch ein einwandfrei funktionierendes System gelegentlich Fehlermeldungen produziert. Je nach Alter und Konfiguration des Computers kann die Liste der Fehlermeldungen im Event-Viewer sogar sehr lang sein, ohne dass das System ein grundsätzliches Problem hat. Das Aufrufen-Lassen dieses Programms wird von den «Support»-Anrufern typischerweise benutzt, um den Opfern eine glaubwürdige Kulisse zu präsentieren, respektive Angst zu machen. Ziel der Betrüger ist es, die angerufene Person dadurch zu überzeugen, ihnen durch das Herunterladen eines Programms einen Fern-Zugriff auf den Computer zu erlauben. Wird dieser gewährt, hat der Anrufer dieselben Möglichkeiten, den Computer zu manipulieren, wie wenn er selbst direkt davor sitzen würde (Kopieren/Verändern/Löschen von Daten, Installation von Programmen, Einrichten einer «Hintertür» um später wieder auf das System Zugreifen zu können, usw.).

    Manchmal bieten die Anrufer auch den Abschluss eines Support-Abonnements respektive einer Garantie an und verlangen dafür die Angabe von Kreditkartendaten oder eine andere Form von Bezahlung.

    Die Opfer suchen sich die Anrufer offensichtlich über öffentlich zugängliche Verzeichnisse aus, wie beispielsweise das Schweizerische Handelsregister oder öffentliche Telefonbücher.  

    Auswirkungen und Risiken

    • Angreifer haben Vollzugriff auf den Computer
    • Angreifer können auch zu einem späteren Zeitpunkt auf den Computer zugreifen
    • Es wird eine Beratungsgebühr verlangt, dazu muss die Kreditkartennummer angegeben werden.  

    Massnahmen

    • Grundsätzlich ist festzuhalten, dass Microsoft und andere Softwarefirmen nie unangemeldete oder unaufgefordert Support-Anrufe tätigt um Computerprobleme zu beheben. Entsprechende Anrufe sollten Sie unverzüglich beenden.

     

    Quelle: Melde- und Analysestelle Informationssicherung (MELANI)

  • 25.08.2016

    Betrügerische E-Mails im Namen von Apple

    fedpol erreichen zurzeit Meldungen von Nutzern, die im Namen von Apple betrügerische E-Mails erhalten haben. Dahinter verbirgt sich eine angebliche Bestellung, die man via Link stornieren kann. Dieser Link führt zu einer Phishing Seite, die auf persönliche Daten, Kreditkarte und in einem zweiten Schritt auf die Apple-ID zugreift.

    Das Opfer erhält eine E-Mail mit einer täuschend echt gemachten Rechnung von iTunes. In einem vorliegenden Fall handelt es sich um einen angeblichen Einkauf von PokéPièces im Wert von CHF 39.00. Dem Kunden wird die Möglichkeit geboten, den Artikel via Link zu stornieren. Klickt er auf diesen Link, kommt er auf die Phishing Seite. Dort wird er aufgefordert, seine persönlichen Daten einzugeben und auf den Knopf „Artikel stornieren“ zu drücken. Damit wird er weitergeleitet und aufgefordert, seine Apple-ID anzugeben.

    Nebst den sensiblen Daten wie den Angaben zur Kreditkarte haben die Täter die Möglichkeit, mit der Apple-ID auf Clouddaten (Dateien, Bilder etc.) sowie auf Sicherheitsfunktionen zuzugreifen (z.B. Lokalisierung, Sperrung etc.).

    Screenshot der gefälschten Apple-Seite
    Screenshot der gefälschten Apple-Seite
     
    Screenshot der gefälschten Rechnung

    Beispiel einer gefälschten Rechnung

    fedpol empfiehlt:

    1. Nicht auf empfohlene Links klicken.
    2. Keine persönlichen Daten eingeben.
    3. Weiterleiten der E-Mail an www.cybercrime.ch zu Analysezwecken.
    4. Sollten bereits Daten preisgegeben worden sein, Apple-Support kontaktieren, um die Zugangsdaten zu ändern.
    5. Die Echtheit der Mail kann ggf. auf den echten Apple-Webseiten überprüft werden.

     

    Quelle: Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK)

  • 21.06.2016

    Erpressungs-Trojaner RAA mit Passwort-Dieb

    Der Computer-Schädling RAA soll nicht nur Daten als Geisel nehmen und ein Lösegeld verlangen, sondern auch einen Trojaner mitbringen, der Passwörter abgreift.

     

    Die Sicherheitsforscher mit den Pseudonymen JAMESWT_MHT und benkow_ haben den Verschlüsselungs-Trojaner RAA entdeckt und herausgefunden, dass der Schädling zusätzlich einen Trojaner zum Stehlen von Passwörtern auf infizierte Rechner installiert. Davor warnen die Ransomware-Experten von Bleepingcomputer.com.

     

    RAA soll zudem der erste Erpressungs-Trojaner sein, der komplett auf JavaScript basiert. Dabei tarnt sich der Schädling als Word-Datei, die die unbekannten Angreifer per Mail-Anhang verbreiten, berichten die Kryptologen. Öffnet man die Datei, taucht auf den ersten Blick nur ein Word-Dokument auf dem Bildschirm auf, welches beschädigt aussieht. Doch im Hintergrund beginnt bereits das Zerstörungswerk und RAA verschlüsselt Daten mithilfe der CryptoJS-Bibliothek. Chiffrierte Dateien weisen die Namenserweiterung .locked auf.

     

    Zusätzlich löscht der Schädling noch die Schattenkopien von Windows. Anschließend haben Opfer keine Möglichkeit mehr, unverschlüsselte Versionen von Dateien wiederherzustellen. Damit Opfer wieder Zugriff auf ihre Daten erhalten, fordern die Kriminellen ein Lösegeld von 0.39 Bitcoin (rund 260 Euro) ein.

    Passwort-Dieb mit an Bord

    Nutzerdaten als Geisel zu nehmen reicht den Kriminellen aber nicht aus: Der Erpressungs-Trojaner bringt den Sicherheitsforschern zufolge noch die Malware Pony mit, die Passwörter abgreifen kann. Der zweite Schädling soll sich als Base64-String in der JavaScript-Datei verstecken. Wird diese ausgeführt, findet eine Konvertierung in eine ausführbare Datei statt, die sich anschließend im Auto-Start von Windows einnistet, erläutern die Kryptologen.

     

    Wir raten darum wieder: Öffnen Sie NIE Dateianhänge von denen Sie nicht 100% wissen, dass sie direkt für Sie sind. Im Zweifelsfall immer nachfragen.

     

     

    Quelle: heise.de

     

  • 18.06.2016

    Erpressungsversuche im Namen der Polizei

    Viele Internutzer erschrecken, wenn sie ihre Mails derzeit öffnen: Der Computer ist angeblich von einer Polizeibehörde gescannt worden. Man habe sich des Konsums verbotener Pornographie schuldig gemacht und müsse nun eine Busse zahlen. Das Geld sei über MoneyGram oder Western Union zu überweisen, sonst werde das Arbeitsumfeld und weitere offizielle Behörden über das Delikt ins Bild gesetzt und das verwerfliche Material der Presse übermittelt. Um glaubwürdig zu wirken, werden (falsche) Gesetzesartikel angegeben und eine Absenderadresse gewählt, die auf den ersten Blick wie diejenige einer Polizeibehörde aussieht.

    Screenshot: Französiosches Erpressungsmail von angeblicher Polizeibehörde
    Beispiel einer französioschen Erpressungsmail von einer angeblichen Polizeibehörde

    Die E-Mails sind ein Schwindel. Wir raten dringend davon ab, auf die Erpressung einzugehen.

     

    Wir empfehlen:

    1. Schicken Sie die verdächtige Korrespondenz via Meldeformular an fedpol zur Analyse.
    2. Reagieren Sie nicht auf die E-Mail.
    3. Leisten Sie keine Zahlungen.
    4. Sie haben die Möglichkeit, bei Ihrer nächsten Polizeidienststelle Anzeige wegen versuchter Erpressung zu erstatten.

     

    Quelle: Bundesamt für Polizei (fedpol)

Nach oben