Internetwarnungen
Wir warnen vor aktuellen Viren, Trojanern sowie den neusten Betrugsmaschen, Scam-Mails, Verschlüsselungsprogramme und mehr.
Wir warnen vor aktuellen Viren, Trojanern sowie den neusten Betrugsmaschen, Scam-Mails, Verschlüsselungsprogramme und mehr.
Sicherheitsforscher haben eine neue Ransomware namens «SyncCrypt» entdeckt. Sie verbreitet sich via Spam-Mails, deren Anhang als Gerichtsbeschluss getarnt ist. Hinter Namen wie «CourtOrder_845493809.wsf» verbirgt sich ein Windows Script File (WSF), das, einmal ausgeführt, als Downloader für SyncCrypt dient.
Ungewöhnlich ist die Strategie, die SyncCrypt nutzt, um sich während des Downloads vor Antivirus-Software zu verstecken. Das Skript lädt die Ransomware nicht einfach als .exe-Datei herunter. Stattdessen nimmt es den Umweg über eine .jpg-Datei, in der sich ein Zip-Archiv verbirgt. Aus dieser extrahiert das Skript nach erfolgreichem Download die Ransomware, um sie anschliessend auszuführen.
Die Ransomware verschlüsselt eine Vielzahl von Dateitypen und versieht sie mit der Zusatzendung «.kk». Anschliessend erpresst sie ein Lösegeld in Bitcoin. Kostenlose Entschlüsselungs-Tools gibt es bislang nicht.
Die Übertragungsmethode als .jpg-Datei ist äusserst effektiv. Nur einer der insgesamt 58 Virenscanner auf VirusTotal.com erkannte den Trojaner in der Bilddatei, während immerhin 28 von 63 Scannern bei der .exe-Datei Alarm schlugen.
Die Bilddatei für sich genommen kann keinen Schaden anrichten. Erst in Kombination mit der Windows Skript Datei kommt der enthaltene Schadcode zur Ausführung. Diese Variante zeigt, dass immer neue Wege gefunden werden um ein System zu infizieren und bestehende Abwehrmechanismen auszuhebeln. Ein wachsamer Benutzer ist darum unerlässlich.
Quelle: heise.de
Seit 2016 versuchen Angreifer mit Hilfe von Schadsoftware («Malware») wie beispielsweise «Retefe» mobile Authentifizierungsmethoden auf dem Smartphone mittels Social Engineering zu umgehen. Betroffen von solchen Angriffen sind Benutzerinnen und Benutzer von PhotoTAN, CrontoSign und SecureSign. Dies ist unabhängig von dem verwendeten Smartphone-Betriebssystem (Android, iOS).
Seit rund zwei Wochen beobachtet die Melde- und Analysestelle Informationssicherung (MELANI) nun auch vermehrt Angriffe, bei welchen die Angreifer versuchen, an Briefe von Banken mit Aktivierungsdaten zu gelangen. Dieser Aktivierungsbrief enthält üblicherweise ein Mosaikbild, welches beim erstmaligen Login eines Gerätes ins E-Banking mit einer App wie PhotoTAN, CrontoSign oder SecureSign eingescannt bzw. abfotografiert werden muss. Anschliessend wird das entsprechende Gerät von der Bank für die mobile Authentifizierungsmethode zugelassen. Diese Briefe werden in der Regel von der Bank per Briefpost an die Kundinnen und Kunden versendet. Die Angreifer versuchen nun, mittels Social Engineering an die Aktivierungsdaten zu gelangen und fordern das Opfer dazu auf, diesen Brief einzuscannen oder zu fotografieren und an die Betrüger zu übermitteln.
Durch die Bekanntgabe der Information, welche im Aktivierungsbrief in Form eines Mosaikbildes hinterlegt sind, ist es den Betrügern unter Umständen möglich, sich in das E-Banking des Opfers einzuloggen, indem sie ein weiteres Smartphone für die Zwei-Faktor Authentifierzung (2FA) aktivieren. Ab diesem Zeitpunkt können sich die Angreifer jederzeit in das E-Banking Portal einloggen und ohne das Wissen des Opfers betrügerische Zahlungen von dessen Konto in Auftrag geben.
Im Umgang mit E-Banking empfiehlt MELANI:
Quelle: Melde- und Analysestelle Informationssicherung (MELANI)
Kriminelle benutzen die SambaCry Schwachstelle um einen Hintertür-Trojaner auf Linuxgeräten zu installieren, die eine ältere Version des Samba Filesharing-Servers benutzen.
Nach Expertenangaben der Firma Trend Micro, haben es die meisten Attacken auf NAS-Geräte abgesehen, einige davon werden mit der Samba Server-Software ausgeliefert die das Austauschen von Dateien zwischen unterschiedlichen Betriebssystemen erlaubt.
Die ersten Angriffe auf Linux-Rechner mittels dieser Hintertür wurden vor ungefähr einem Monat bekannt, als Forscher einen Trojaner entdeckten, der Linux-Server angreift, übernimmt und sie dann zum Schürfen der Kryptowährung Monero missbraucht. Jetzt nutzen die Angreifer offenbar diesen Infektionsweg, um gezielt NAS-Geräte zu kompromittieren.
Was genau die Angreifer mit den erbeuteten NAS-Boxen machen, sagt TrendMicro nicht. Auf Grund des Funktionsumfangs der Schadsoftware und ihrer Zielgeräte, darf man davon ausgehen, dass die Angreifer Daten stehlen wollen. Wahrscheinlich um sie im Untergrund in Hackerforen zu verkaufen oder um die entsprechenden Firmen zu erpressen.
Zwar hat fast jede Linux-Distribution die SambaCry-Lücke mittlerweile geschlossen, da es sich bei den meisten NAS-Geräten allerdings um Embedded-Systeme handelt, sind viele von ihnen noch angreifbar. Leider zeigt sich erneut das Problem mit dem Internet der Dinge (Internet of Things, IoT) und Herstellern, welche die Firmware auf ihren Geräten nur sehr langsam und in den meisten Fällen gar nicht aktualisieren. Wie es aussieht wird die SambaCry-Lücke auf älteren Systemen noch einige Zeit missbraucht werden.
Quelle: heise.de
Seit diesem Nachmittag werden in verschiedenen Ländern Europas und weltweit Firmen mit einer neuen Ransomware angegriffen. Die meisten Angriffe finden in der Ukraine und Russland statt, es sind aber auch Fälle aus Italien, Polen, den Niederlanden, Deutschland und anderen Ländern bekannt. Eine Ausbreitung auf die Schweiz ist möglich.
Die Schadsoftware ist eine Variante des Trojaners Petya, der bereits 2016 aufgetaucht war. Das Programm soll mehrere Angriffsmöglichkeiten besitzen. Ein Angriffsvektor ist die Verwendung der selben Schwachstelle die schon WannaCry im letzten Mai verwendet hat. Systeme die regelmässig die neusten Windows Updates installieren sind geschützt.
Eine andere Art wie Petya auf ein System gelangt, ist über infizierte Word-Anhänge die per E-Mail versendet werden. Sollte die Schadsoftware auf diesem Weg auf ein gepatchtes System gelangen, kann es die Sicherheitsvorkehrkungen umgehen und sich trotzdem im Netzwerk ausbreiten.
Die Schadsoftware wartet nach der Infektion 10 bis 60 Minuten und startet anschliessend den Computer automatisch neu. Nach dem Neustart erscheint nur noch ein Bild mit der Lösegeldforderung. Die Dateien sind dann verschlüsselt, der Computer nicht mehr benutzbar.
Wir empfehlen in den nächsten Tagen Ihre E-Mails besonders genau zu überprüfen und unsere Richtlinien zum Umgang mit E-Mails zu befolgen:
Quelle: Diverese Webseiten, unter anderem heise.de
Bei der Verbreitung von Schadsoftware via E-Mail versuchen Kriminelle vermehrt, ihre Opfer gezielt anzugreifen. Dabei sind nicht mehr nur ausschliesslich Windows Benutzer im Visier. In den vergangenen Wochen, hat die Melde- und Analysestelle Informationssicherung MELANI verschiedene Schadsoftware-Wellen beobachtet, welche sich gezielt gegen Schweizer Nutzende des Betriebssystems MacOS, das von Apple entwickelte Betriebssystem, richteten. Es ist deshalb wichtig in Erinnerung zu rufen, dass unabhängig vom verwendeten Betriebssystem und für alle Nutzenden Vorsicht geboten ist.
Die Tendenz spezifische Systeme anzugreifen, um eine darauf zugeschnittene Schadsoftware zu platzieren ist nicht neu. So wurde beispielsweise bei den Angriffen gegen Bezahlsysteme vor einigen Monaten beobachtet, dass Schadsoftware den Computer auf das Vorhandensein bestimmter Offline Zahlungssysteme untersuchte. War das entsprechende Programm auf dem Computer vorhanden, wurde anschliessend ein darauf zugeschnittener Schadcode gesendet.
Die Tendenz gezielter Schadsoftware hat sich in den letzten Wochen bestätigt mit einem grösser werdenden Interesse der Cyber-Kriminellen an Benutzern des Betriebssystems MacOS. So wurden in den letzten Wochen verschiedene E-Mail Wellen beobachtet, mit welchen versucht wurde Schadsoftware im Anhang spezifisch für das vom Opfer verwendete Betriebssystem zu verbreiten. Solche E-Mails geben normalerweise vor, von bekannten Firmen zu stammen, was mittlerweile ein bekannter Modus Operandi ist (Siehe Meldung: Zunehmender Missbrauch der Namen von Bundesstellen und Firmen). Die letzten beobachteten Versionen enthielten einen Anhang in Form einer ZIP-Datei, welcher eine detaillierte Rechnung einer angeblichen Bestellung hätte enthalten sollen. Einmal geöffnet, versuchte das Schadprogramm aber den Bankentrojaner Retefe zu installieren. Retefe ist ein in der Schweiz gut bekanntes Schadprogramm, das aber bislang von den Angreifern nur gegen das Windows Betriebssystem eingesetzt wurde.
Um nun die E-Mails gezielt zu versenden und das Betriebssystem eines bestimmten Opfers zu eruieren, versuchen die Kriminellen in einem ersten Schritt ein unverdächtiges E-Mail zu senden. Auch dieser Typ E-Mail kommt angeblich von einer bekannten Firma und gibt vor, unter verschiedenen Vorwänden eine Kontaktaufnahme machen zu wollen. Das E-Mail enthält einen kurzen Text oder in anderen Fällen nur die Kontaktdaten der vorgegaukelten Firma.
Die E-Mail enthält in Wirklichkeit aber ein kleines für den Mail-Empfänger fast unsichtbares Bild (1x1 Pixel). Wenn dieses Bild heruntergeladen wird (was abhängig von der E-Mail Konfiguration auch automatisch geschehen kann), wird eine Verbindung mit dem Server des Angreifers aufgebaut, auf welchem das Bild abgespeichert ist, und automatisch verschiedenste Informationen der Computerkonfiguration, unter anderem auch Informationen zum verwendeten Betriebssystem (generell der User Agent), übermittelt. Die Kriminellen erhalten so die Möglichkeit, die E-Mail-Adresse mit der Computerkonfiguration in Verbindung zu bringen. In einem zweiten Schritt senden sie ein E-Mail , welches auf das entsprechende Betriebssystem zugeschnitten ist.
Wir erinnern deshalb daran, dass sich folgende Sicherheitsmassnahmen an alle Computernutzenden richten – unabhängig davon, welches Betriebssystems diese benutzen:
(*) MELANI empfiehlt für E-Mails stets digitale Signaturen zu nutzen (S/MIME oder PGP).
Um eine Infektion mit Schadsoftware zu verhindern, empfehlen wir zudem folgende Massnahmen:
.js (JavaScript)
.jar (Java)
.bat (Batch file)
.exe (Windows executable)
.cpl (Control Panel)
.scr (Screensaver)
.com (COM file)
.pif (Program Information File)
.vbs (Visual Basic Script)
.ps1 (Windows PowerShell)
.wsf (Windows Script File)
.docm (Microsoft Word mit Makros)
.xlsm (Microsoft Excel mit Makros)
.pptm (Microsoft PowerPoint mit Makros)
Für das MaxOS System:
.app (Application macOS)
.pkg (Package Files)
.dmg (Disk Images)
.sh (Shell Scripts)
.py (Python Scripts)
.pl (Perl Scripts)
Diese Dateitypen können auch andere Datei-Endungen haben. Es ist deshalb wichtig, dass die Filterprogramme, nicht nur auf Basis der Endung des Dateinamens, sondern auch aufgrund des Inhaltes der Dateien filtern.
Quelle: Melde- und Analysestelle Infirmationssicherung MELANI
Ein neuer Erpressungstrojaner ist im Umlauf. Der WannaCry genannte Trojaner hat weltweit Server befallen und tausende von Systemen gesperrt.
Auch in der Schweiz sind Firmen Opfer des Trojaners geworden. Wichtig:
Die Verbreitung des Trojaners konnte inzwischen durch Sicherheitsfirmen verhindert werden. Es ist aber nur eine Frage der Zeit bis neue Varianten auftauchen deren Verbreitung noch nicht gestoppt werden kann.
In den letzten Monaten hat der Missbrauch der Namen von Bundestellen und bekannten Firmen als Absenderadresse zugenommen.
In den letzten Wochen haben Betrüger vermehrt E-Mails versandt, die angeblich von der Eidgenössischen Steuerverwaltung (ESTV) stammen. Dabei wird auf eine fiktive Steuerrückerstattung Bezug genommen, welche man durch Ausfüllen eines angehängten Dokumentes erhalten soll. In anderen Fällen versuchen die Betrüger, mit der gefälschten Absenderadresse der ESTV, den Steuerpflichtigen eine Dienstleistungen anzubieten. Beim Öffnen des Dokuments wird dann allerdings eine Schadsoftware installiert. Solche Betrugsmails werden zu hunderttausenden in Umlauf gesetzt und werden über kompromittierte Server in der ganzen Welt versendet. In diesem Falle speziell war zudem, dass neben Schadsoftwarevarianten für das Betriebssystem Windows auch solche für MacOSX versendet wurden.
Die Angreifer verwenden als Absender vermehrt auch bekannte Firmennamen, um dem E-Mail ein seriöses Aussehen zu geben. Beliebt bei Angreifern sind ebenfalls angebliche Paketzustellversuche beispielsweise von DHL, Post oder Zahlungsanweisungen. Ein bekanntes Beispiel sind gefälschte Swisscom Rechnungen, mit denen Angreifer im Februar 2017 versucht haben, die Schadsoftware Dridex zu verbreiten.
Auch gefälschte Einladungen zu Gerichtsverhandlungen oder E-Mails, die angeblich von der Kantonspolizei stammen, benutzen die Angreifer, um den Empfänger zu verunsichern und diesen zu verleiten auf einen Link zu klicken.
Ziel der Angreifer ist es, den Benutzer zu überrumpeln, seine Neugier zu wecken oder ihm Angst zu machen, um ihn dann zu einer unbedachten Aktion zu verleiten. In den meisten Fällen wird schnell klar, dass es sich um eine Fälschung handelt. So kommuniziert beispielsweise die ESTV nur auf dem Postweg und nie via E-Mail.
Bei den missbrauchten Organisationen sorgen betrügerische E-Mails für ein grosses Meldeaufkommen. Zusätzlich können sich solche E-Mails auch auf die Reputation eines Unternehmens auswirken.
Für E-Mail Empfänger:
Für Firmen, deren Namen als Absender missbraucht wurde:
Quelle: Melde- und Analysestelle Infirmationssicherung MELANI
Seit anfangs Jahr gingen bei der Kriminalpolizei der Staatsanwaltschaft Basel-Stadt rund 40 Anzeigen wegen einer speziellen Betrugsmasche ein. Ziel der Täter ist, an persönliche Daten der Nutzer (social network users) zu gelangen und sich unrechtmässig zu bereichern.
Die Geschädigten erhielten auf ihrem Account eine Freundschaftsanfrage. Im Glauben, es handelt sich um eine Bekannte oder einen Freund, nahmen sie die Freundschaftsanfrage an und gaben ihre Telefonnummer preis. Kurz darauf erhielten sie eine SMS mit der Aufforderung, diese zu bestätigen.
Gelingt es den falschen Freunden, ihre Opfer dazu zu bringen, eine SMS-Bestätigung zu senden oder ihnen einen Code mitzuteilen, wird unmittelbar danach ihre Telefonrechnung mit bis zu 100 Franken belastet.
Die Staatsanwaltschaft rät zur Vorsicht bei so genannten Freundschaftsanfragen in sozialen Netzwerken und empfiehlt, weder Daten noch andere persönliche Informationen Unbekannten preis zu geben. Die Gefahr, Opfer von Cyberkriminellen zu werden, kann dadurch verringert werden. Im Weiteren wird empfohlen:
Quelle: http://www.polizeiticker.ch/
Der am 20. April veröffentlichte 24. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cyber-Vorfällen der zweiten Jahreshälfte 2016 im In- und Ausland. Im Schwerpunktthema widmet sich der Bericht dem immer bedeutender werdenden Internet der Dinge.
Schätzungen zufolge waren 2016 bereits über 6 Milliarden Geräte ans Internet angeschlossen, die dem Internet der Dinge zuzuordnen sind. Bis ins Jahr 2020 sollen es rund 20 Milliarden sein. Von sogenannten «Wearables», am Körper getragene oder in Kleider eingenähte Anwendungen wie beispielsweise Smartwatches oder Fitnesstracker, über selbstfahrende Autos bis hin zu Steuerungsanlagen grosser Gebäudekomplexe wird alles ans Internet angeschlossen. Oftmals kümmern sich jedoch die Hersteller und auch die Benutzenden zu wenig um die Sicherheitsaspekte. Der Halbjahresbericht zeigt die Problematik auf und gibt Empfehlungen für den sicheren Umgang mit dem Internet der Dinge ab.
Im zweiten Halbjahr 2016 wurden Cyber-Spionagekampagnen publik, die zwar einen Bezug zur Schweiz haben, bei denen unser Land aber nicht das eigentliche Ziel dieser Operationen war. So standen unter anderem die Welt-Anti-Doping-Agentur und der internationale Sportsgerichtshof im Zentrum der Aufmerksamkeit und damit indirekt auch die Schweiz, da letzterer den Sitz in Lausanne hat. Im Falle der Welt-Anti-Doping-Agentur war das offensichtliche Ziel die Antidoping-Daten bestimmter Sportler weltweit. Bei einem weiteren Angriff, der bereits länger zurückliegt, aber erst jetzt durch die Publikation der Gruppe «Shadow Brokers» bekannt wurde, waren unter anderem drei Server der Universität Genf betroffen. Der Halbjahresbericht beleuchtet diese Angriffe und nennt die Gründe, warum die Schweiz auch zum indirekten Ziel von Cyber-Spionage werden kann.
Auch im zweiten Halbjahr 2016 beobachtete MELANI zahlreiche Fälle von Cyber-Betrugsversuchen, bei welchen vor allem Unternehmen sehr viel Geld verlieren können. Auch DDoS-Angriffe und Verschlüsselungstrojaner sind bei den Angreifern immer noch von grosser Beliebtheit, um die Opfer zu erpressen. Der vorliegende Bericht befasst sich mit dieser Thematik, beschreibt einige Vorfälle und enthält Empfehlungen zum Schutz vor derartigen Angriffen.
Der 24. Halbjahresbericht MELANI ist publiziert unter:
Ein bisher unbekannter Verschlüsselungstrojaner tarnt sich als Bewerbungs-E-Mail und versucht Systeme zu verschlüsseln. Zur Zeit verbreitet er sich rasant in ganz Deutschland, es kann gut sein, dass auch bald Schweizer Firmen Ziele werden. Viele Virenscannern erkennen den Trojaner im Moment noch nicht.
Öffnet der Nutzer die angehängte Excel-Datei, wird er im Dokument darum gebeten, die "Bearbeitungsfunktion" des eingesetzten Tabellenkalkulationsprogramms zu aktivieren. Tut man dies und erlaubt dem Programm so, Makros auszuführen, ist es zu spät. Der Trojaner erzeugt dann zwei EXE-Dateien, führt sie aus und verschlüsselt Daten auf dem System, um anschließend Lösegeld zu fordern.
Auf der Festplatte hinterlegt der Trojaner eine Textdatei die ankündigt, Daten seien von der "GOLDENEYE RANSOMWARE" verschlüsselt. Diese Warnung wird auch auf Netzlaufwerken abgelegt. Bisher gibt es allerdings keine Anzeichen, dass auch hier Daten verschlüsselt werden.Bis jetzt enttarnen nur wenige Scanner den Schädling.
Momentan werden die bösartigen EXE-Dateien nach Erkenntnissen von AV-Test von nur sehr wenigen Virenscannern entdeckt. Ergebnisse beim Online-AV-Aggregator VirusTotal bestätigen dies. Bei den Excel-Dateien sieht es mit den Entdeckungsraten schon besser aus, weswegen die Drahtzieher des Trojaners diese wohl ständig ändern.
Quelle: heise.de
Der kürzlich veröffentlichte 23. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) zeigt die wichtigsten Cyber-Vorfälle der ersten Jahreshälfte 2016 national und international auf. Der Bericht widmet sich im Schwerpunktthema den vermehrten Angriffen durch Cyber-Erpressung. Ausserdem stehen verschiedene Datenabflüsse im Fokus.
Seit Januar 2016 stellt MELANI eine markante Zunahme von Cyber-Angriffen fest, die von erpresserischen Forderungen begleitet sind. Ziel dieser Angriffe ist, die Daten für die Opfer unbrauchbar zu machen. Dies geschieht meist durch das Verschlüsseln der Daten mittels Trojaner oder durch Überlastung des Servers durch mutwillige Angriffe, sogenannte DDoS-Angriffe. Anschliessend wird vom Opfer die Bezahlung eines Lösegeldes gefordert. Im Visier der Angreifer stehen diejenigen Daten oder Systeme, die für eine Privatperson oder ein Unternehmen einen Wert haben und wichtig genug sind, dass die Opfer bereit sind zu bezahlen. Im Halbjahresbericht wird die Strategie aufgezeigt, die hinter diesen Angriffen steht, wie man sich verhalten soll, wenn man betroffen ist, und wie man vorbeugen kann. Im ersten Halbjahr 2016 wurden MELANI 6000 gehackte E-Mail- und Passwortkombinationen zugespielt. Diese Konten hätten für illegale Zwecke wie beispielsweise Betrügereien oder Erpressung missbraucht werden können, sofern das Passwort vom Inhaber nicht umgehend geändert wurde. Um allfällige Opfer zu unterstützen, publizierte MELANI ein Online-Tool, mit dem sich überprüfen liess, ob die eigene E-Mail-Adresse betroffen war.
Der 23. Halbjahresbericht MELANI ist publiziert unter: Halbjahresbericht 2016/1
In letzter Zeit häufen sich weltweit, auch in der Schweiz, Anrufe von Betrügern, welche sich als Mitarbeitende von Microsoft oder anderen IKT-Support-Firmen ausgeben. Die Anrufer sprechen meist englisch und stammen nach eigenen Angaben aus den USA, England oder Australien. In vielen Fällen weisen die Anrufer auf Fehlermeldungen hin, die angeblich von den Computern des angegangenen Unternehmens oder der Privatperson übermittelt worden sind. Die Angerufenen werden dann zum Beispiel angeleitet, auf ihrem Computer den Event-Viewer aufzurufen, mit welchem jegliche Ereignisse und Aktivitäten des Computers aufgezeigt werden können. Dazu muss man wissen, dass auch ein einwandfrei funktionierendes System gelegentlich Fehlermeldungen produziert. Je nach Alter und Konfiguration des Computers kann die Liste der Fehlermeldungen im Event-Viewer sogar sehr lang sein, ohne dass das System ein grundsätzliches Problem hat. Das Aufrufen-Lassen dieses Programms wird von den «Support»-Anrufern typischerweise benutzt, um den Opfern eine glaubwürdige Kulisse zu präsentieren, respektive Angst zu machen. Ziel der Betrüger ist es, die angerufene Person dadurch zu überzeugen, ihnen durch das Herunterladen eines Programms einen Fern-Zugriff auf den Computer zu erlauben. Wird dieser gewährt, hat der Anrufer dieselben Möglichkeiten, den Computer zu manipulieren, wie wenn er selbst direkt davor sitzen würde (Kopieren/Verändern/Löschen von Daten, Installation von Programmen, Einrichten einer «Hintertür» um später wieder auf das System Zugreifen zu können, usw.).
Manchmal bieten die Anrufer auch den Abschluss eines Support-Abonnements respektive einer Garantie an und verlangen dafür die Angabe von Kreditkartendaten oder eine andere Form von Bezahlung.
Die Opfer suchen sich die Anrufer offensichtlich über öffentlich zugängliche Verzeichnisse aus, wie beispielsweise das Schweizerische Handelsregister oder öffentliche Telefonbücher.
Quelle: Melde- und Analysestelle Informationssicherung (MELANI)
fedpol erreichen zurzeit Meldungen von Nutzern, die im Namen von Apple betrügerische E-Mails erhalten haben. Dahinter verbirgt sich eine angebliche Bestellung, die man via Link stornieren kann. Dieser Link führt zu einer Phishing Seite, die auf persönliche Daten, Kreditkarte und in einem zweiten Schritt auf die Apple-ID zugreift.
Das Opfer erhält eine E-Mail mit einer täuschend echt gemachten Rechnung von iTunes. In einem vorliegenden Fall handelt es sich um einen angeblichen Einkauf von PokéPièces im Wert von CHF 39.00. Dem Kunden wird die Möglichkeit geboten, den Artikel via Link zu stornieren. Klickt er auf diesen Link, kommt er auf die Phishing Seite. Dort wird er aufgefordert, seine persönlichen Daten einzugeben und auf den Knopf „Artikel stornieren“ zu drücken. Damit wird er weitergeleitet und aufgefordert, seine Apple-ID anzugeben.
Nebst den sensiblen Daten wie den Angaben zur Kreditkarte haben die Täter die Möglichkeit, mit der Apple-ID auf Clouddaten (Dateien, Bilder etc.) sowie auf Sicherheitsfunktionen zuzugreifen (z.B. Lokalisierung, Sperrung etc.).
fedpol empfiehlt:
Quelle: Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK)
Der Computer-Schädling RAA soll nicht nur Daten als Geisel nehmen und ein Lösegeld verlangen, sondern auch einen Trojaner mitbringen, der Passwörter abgreift.
Die Sicherheitsforscher mit den Pseudonymen JAMESWT_MHT und benkow_ haben den Verschlüsselungs-Trojaner RAA entdeckt und herausgefunden, dass der Schädling zusätzlich einen Trojaner zum Stehlen von Passwörtern auf infizierte Rechner installiert. Davor warnen die Ransomware-Experten von Bleepingcomputer.com.
RAA soll zudem der erste Erpressungs-Trojaner sein, der komplett auf JavaScript basiert. Dabei tarnt sich der Schädling als Word-Datei, die die unbekannten Angreifer per Mail-Anhang verbreiten, berichten die Kryptologen. Öffnet man die Datei, taucht auf den ersten Blick nur ein Word-Dokument auf dem Bildschirm auf, welches beschädigt aussieht. Doch im Hintergrund beginnt bereits das Zerstörungswerk und RAA verschlüsselt Daten mithilfe der CryptoJS-Bibliothek. Chiffrierte Dateien weisen die Namenserweiterung .locked auf.
Zusätzlich löscht der Schädling noch die Schattenkopien von Windows. Anschließend haben Opfer keine Möglichkeit mehr, unverschlüsselte Versionen von Dateien wiederherzustellen. Damit Opfer wieder Zugriff auf ihre Daten erhalten, fordern die Kriminellen ein Lösegeld von 0.39 Bitcoin (rund 260 Euro) ein.
Nutzerdaten als Geisel zu nehmen reicht den Kriminellen aber nicht aus: Der Erpressungs-Trojaner bringt den Sicherheitsforschern zufolge noch die Malware Pony mit, die Passwörter abgreifen kann. Der zweite Schädling soll sich als Base64-String in der JavaScript-Datei verstecken. Wird diese ausgeführt, findet eine Konvertierung in eine ausführbare Datei statt, die sich anschließend im Auto-Start von Windows einnistet, erläutern die Kryptologen.
Wir raten darum wieder: Öffnen Sie NIE Dateianhänge von denen Sie nicht 100% wissen, dass sie direkt für Sie sind. Im Zweifelsfall immer nachfragen.
Quelle: heise.de
Viele Internutzer erschrecken, wenn sie ihre Mails derzeit öffnen: Der Computer ist angeblich von einer Polizeibehörde gescannt worden. Man habe sich des Konsums verbotener Pornographie schuldig gemacht und müsse nun eine Busse zahlen. Das Geld sei über MoneyGram oder Western Union zu überweisen, sonst werde das Arbeitsumfeld und weitere offizielle Behörden über das Delikt ins Bild gesetzt und das verwerfliche Material der Presse übermittelt. Um glaubwürdig zu wirken, werden (falsche) Gesetzesartikel angegeben und eine Absenderadresse gewählt, die auf den ersten Blick wie diejenige einer Polizeibehörde aussieht.
Die E-Mails sind ein Schwindel. Wir raten dringend davon ab, auf die Erpressung einzugehen.
Wir empfehlen:
Quelle: Bundesamt für Polizei (fedpol)