Internetwarnungen
Wir warnen vor aktuellen Viren, Trojanern sowie den neusten Betrugsmaschen, Scam-Mails, Verschlüsselungsprogramme und mehr.
Wir warnen vor aktuellen Viren, Trojanern sowie den neusten Betrugsmaschen, Scam-Mails, Verschlüsselungsprogramme und mehr.
Wieder ist ein gefälschtes Mail mit dem vermeintlichen Absender Post.ch im Umlauf. Als Virusträger ist diesmal nicht ein Word-Dokument beigelegt, sondern eine Excel-Datei. Deshalb gilt: Nie ein Office Dokument öffnen, dass von einer vermeintlich bekannten Stelle kommt!
Auch nie ein Office-Dokument öffnen, wenn das Mail vermeintlich von einem Vorgesetzten kommt. Selbst dieses kann gefälscht sein, bitte rückfragen!
Im Zweifelsfall den Absender anrufen. Verwenden Sie dafür aber nichtdie Telefonnummer im fraglichen Mail, verifizieren Sie die Nummer über einen Telefoneintrag der Webseite (z.B. post.ch). Am Besten ist, wenn man in der Firma abmacht, keine Office-Dokumente intern per Mail zu versenden, stattdessen kann man sie im Dateisystem eines Servers speichern, wo andere auch Zugang haben.
Es werden vermehrt Meldungen zu betrügerischen E-Mails gemeldet, die angebliche Rechnungen und einen Word-Anhang enthalten.
Gemäss fedpol handelt es sich bei diesen angeblichen Rechnungen um den Versuch, sogenannte Ransomware zu verbreiten. Beim Öffnen der Rechnung wird automatisch eine Schadsoftware heruntergeladen. Der Inhalt der E-Mail ist immer anders, die angeblichen Unternehmen heissen unterschiedlich und der Rechnungsbetrag variiert ebenso. Damit werden sowohl Dateien des lokalen Computers wie auch Dateien, die sich allenfalls im gleichen Netzwerk befinden, verschlüsselt.
Wir empfehlen Internetnutzern dringend, die Nachricht zu löschen und auf gar keinen Fall den Anhang zu öffnen. Wer bereits den Anhang geöffnet und dadurch einen Schaden erlitten hat, kann dies bei der Kantonspolizei zur Anzeige bringen.
Quelle: fedpol
Seit Anfang Februar 2016 erreichen die Melde- und Analysestelle Informationssicherung MELANI sowie die Koordinationsstelle zur Bekämpfung der Internetkriminalität KOBIK vermehrt Meldungen aus der Bevölkerung betreffend betrügerischen Telefonanrufen, welche das Ziel haben, eBanking Betrug zu ermöglichen.
Die Masche ist neu: Die Täterschaft ruft KMUs in der Schweiz unter einem Vorwand an, um eine E-Mail Adresse zu erhalten (z.B. die anstehende Übergabe eines Paketes). Wird eine solche bekannt gegeben, versendet die Täterschaft innert kurzer Zeit ein plausibel klingendes, auf das Telefonat bezugnehmendes E-Mail mit einem Link zu einem bekannten Cloud-Anbieter. Hinter dem Link befindet sich ein ZIP-Archiv, welches ein bösartiges Java-Script oder eine ausführbare Datei enthält. Die durch Anklicken dieser Datei durchgeführten Änderungen am Betriebssystem des Opfers (namentlich das ändern der Web-Proxy Einstellungen von Internet Explorer und Firefox, sowie das Hinzufügen einer bösartigen Certificate Authority zum vertrauenswürdigen Zertifikatsspeicher), erlauben es dem Angreifer auf das eBanking des Opfers zuzugreifen, sobald dieses sich das nächste Mal auf seinem eBanking-Konto anmeldet.
Die Täterschaft verwendet für die betrügerischen Anrufe Schweizer Telefonnummern und versendet die E-Mails mit Absenderadressen, welche den Adressen von legitimen Unternehmen täuschend ähnlich sehen. Unter anderem folgende Domain-Namen wurden bei den Absenderadressen beobachtet:
Beispiel einer solchen E-Mail
Aufgrund der von den Angreifern verwendeten technischen Infrastruktur und dem verwendeten Schadcode gehen MELANI und KOBIK davon aus, dass der Angriff im Zusammenhang mit den durch die Schadsoftware „Retefe“ durchgeführten Angriffen vom letzten Jahr steht.
MELANI und KOBIK empfehlen:
Für die IT-Sicherheit in KMUs hat MELANI sowie das KMU Portal des Bundes je ein Merkblatt veröffentlicht:
Weitere Informationen zu Retefe finden Sie hier:
Quelle: MELANI
FEDPOL warnt vor einer Ransomware im Namen von fedpol/KOBIK.
Die Schadsoftware, die in ähnlichen Varianten bereits in den letzten Jahren kursierte, zeigt nach Befall des Computers ein behördenähnliches Logo. Dem Benutzer wird vorgeworfen, sich illegaler Aktivitäten auf dem Internet schuldig gemacht zu haben, was zu einer Sperrung des Browsers geführt habe. Mit einer Geldbusse in der Höhe von CHF 150 (der Betrag kann variieren), zahlbar mit PaySafeCard, könne der Browser wieder entsperrt und eine Strafverfolgung umgangen werden.
Je nach Betriebssystem und Browser lässt sich das gesperrte Browser-Fenster wieder schliessen und es kann verhindert werden, dass die zuletzt besuchten Seiten automatisch wieder geöffnet werden (damit sich der Vorgang nicht wiederholt). Bitte konsultieren Sie hierzu die Anleitung der betroffenen Software. Bei Windows beispielsweise erfolgt die Schliessung über den Task-Manager (Ctrl-Alt-Del).
Quelle: KOBIK
Diverse Meldungen über die Schadsoftware TeslaCrypt an die Melde- und Analysestelle Informationssicherung MELANI zeugen von einer steigenden Verbreitung dieser neuen Variante von erpresserischer Schadsoftware (Ransomware). Nach den seit längerem aktiven Kampagnen von Cryptolocker, Synolocker, Cryptowall etc. scheint sich die neue Variante fast ausschliesslich über infizierte E-Mail Anhänge (Ein Anhang des Typs „.zip“, der eine Datei des Typs „.js“ beinhaltet) zu verbreiten. Einmal installiert, verschlüsselt TeslaCrypt die Dateien, welche sich auf dem Computer befinden (beispielsweise Fotos, Excel- oder Word-Dateien). Dem Opfer wird anschliessend eine Meldung präsentiert, in der die Kriminellen eine Geldforderung stellen. Im Gegenzug soll das Opfer den Schlüssel erhalten mit dem die Dateien wiederhergestellt werden können (Erpressung).$
Beispiel eines Erpresserschreibens:
Verschiedene Antiviren Produkte können die Schadsoftware finden und zerstören. Dann ist es aber meistens zu spät, weil die auf dem Computer vorhandenen Dateien bereits verschlüsselt wurden. In diesem Fall ist deshalb nicht die Entfernung der Schadsoftware das Problem, sondern die Wiederherstellung der ursprünglichen Daten. Im Moment scheint es keine Methode zu geben, die Daten ohne den Schlüssel, der nur den Erpressern bekannt ist, zu entschlüsseln. MELANI rät hier trotzdem davon ab, auf die Forderungen der Erpresser einzugehen und eine Zahlung zu leisten. Es gibt keine Garantie, dass die Kriminellen auch wirklich Wort halten und den für das Entschlüsseln der Dateien benötigten Schlüssel dem Opfer tatsächlich zu-senden. Sie finanzieren gleichzeitig die Weiterentwicklung der Angreifer, welche einen nächsten noch wirksameren Angriff ermöglicht.
Detaillierte Empfehlungen finden Sie auf der MELANI Webseite unter der Rubrik «Wie schütze ich mich?».
Im Falle einer Infektion empfehlen wir den Computer sofort von allen Netzwerken zu trennen. Eine Säuberung des Computers ist natürlich notwendig. Grundsätzlich ist eine Neuinstallation des Systems und das Ändern aller Passwörter ratsam. Wir empfehlen, diese Massnahme zusammen mit einem Computerspezialisten durchzuführen. Nachdem diese Massnahmen erledigt wurden, können dann, sofern vorhanden, die Backup-Daten wieder zurückgespielt werden. Wenn kein Backup der Daten vorliegt, ist es empfehlenswert, die verschlüsselten Daten zu behalten und zu sichern, damit Sie sie allenfalls später noch entschlüsseln können, sollte hierzu eine Lösung gefunden werden.
Quelle: MELANI
In den letzten Tagen wurden mehrere unserer Kunden Opfer von Kryptolocker-Schadsoftware. Kryptolocker sind Programme die wichtige Systemdateien oder persönliche Daten auf einem Computer verschlüsseln, so dass sie nicht mehr verwenderbar sind. Meist wird danach ein Lösegeld für die Entschlüsselung gefordert (die nach der Zahlung natürlich nicht durchgeführt wird).
Die Tricks der Betrüger werden immer ausgereifter und können selbst erfahrende Nutzer täuschen. Wir haben darum in unserer Wissensdatenbank einen Artikel geschrieben mit den wichtigsten Verhaltensregeln. Einen 100% Schutz hat man allerdings nie, darum ist es unerlässlich regelmässig Sicherheitskopien aller wichtigen Daten zu erstellen.
Im Moment kommt es wieder häufig vor, dass der Verschlüsselungs-Virus versendet wird.
Das Mail suggeriert, dass Ihnen ein Packet nicht zugestellt werden kann. Um weitere Informationen zu erhalten soll man auf einen Link klicken, siehe Bild:
Der Virus wird von den Antiviren-Softwares meist nicht erkannt!
Ein Klick auf den Link verschlüsselt alle Daten, ini-Dateien und Systemeinstellungen.
Klicken Sie auf keinen Fall auf einen solchen Link und löschen Sie die E-Mail. Informieren Sie ausserdem Ihre Mitarbeiter.
Es sind Phishing-Emails im Umlauf die Benutzer von iTunes im Visier haben. Ähnlich wie die E-Mails aus dem Jahre 2013 versuchen auch diese E-Mails die Benutzer dazu zu bringen Ihre Anmeldedaten auf einer falschen Apple-ähnlichen Seite einzugeben. Unten sehen Sie eine solche E-Mail:
Dem Empfänger wir gesagt, dass er auf Grund eines Problems bei Apple seine Rechungsdaten innert 48 Stunden neu eingeben muss. Dazu soll er auf den Link klicken und auf der neuen Seite seine Kontoinformationen eingeben.
Klicken Sie auf keine Links und löschen Sie die E-Mail.
Nach wie vor versuchen Betrüger an sensible Daten wie Passwörter, Kreditkartendaten usw. zu gelangen. Zu diesem Zweck werden meist Webseiten kreiert, welche derjenigen einer Firma täuschend ähnlich sehen (beispielsweise werden gerne Internetauftritte von Banken oder Kreditkarteninstituten missbraucht). MELANI interveniert täglich, um solche betrügerische Webseiten vom Netz zu nehmen und so die Internetnutzer zu schützen.
Schon seit einiger Zeit missbrauchen die Betrüger allerdings nicht mehr ausschliesslich nur die Namen von grossen und bekannten Unternehmen, sondern verüben auch sehr gezielte Phishingangriffe mit dem Namen kleinerer Firmen. Diese Tendenz scheint sich zu akzentuieren: verschiedene Fälle, welche MELANI kürzlich zur Kenntnis gebracht wurden, zeugen von einer zunehmenden Professionalität dieser Angriffe. Betroffen sind KMUs in den verschiedensten Tätigkeitsbereichen, welche eine Website betreiben, die in irgendeiner Weise Kunden-E-Mail-Adressen verwenden respektive gespeichert haben, beispielsweise für den Versand eines Newsletters.
In einer ersten Phase des Angriffs versuchen die Kriminellen, über die Firmenwebsite an eine Datenbank mit Kunden-E-Mail-Adressen zu gelangen. Meist wird dabei eine Schwachstelle auf der Website ausgenutzt (beispielsweise Angriffe mit SQL-Injections). Danach werden im Namen dieser Firma gefälschte Mail-Nachrichten an die entwendeten Adressen gesendet. Absender und Inhalt werden perfekt imitiert, so dass es aussieht, als stammten diese Mails tatsächlich von der Firma. In den aktuellen Fällen geben die E-Mails vor, dass das Opfer eine Kostenrückerstattung beantragen kann. Zu diesem Zweck soll ein Link angeklickt werden (siehe untenstehendes Beispiel).
Hinter diesem angegebenen Link versteckt sich eine gefälschte Website, die identisch zur entsprechenden Firmenwebsite ist und ebenfalls eine URL verwendet, die einen zum Verwechseln ähnlichen Namen verwendet. Das Opfer wird darauf gebeten, Details seiner Kreditkarte anzugeben (Nummer, Ablaufdatum, Sicherheitscode), so wie es auch bei klassischen Phishingseiten üblich ist.
Da die gestohlenen E-Mail-Adressen im Zusammenhang mit der Firma stehen, erhöhen die Betrüger die Chancen, dass ein Opfer auf den Betrug hereinfällt.
Eine Anleitung zum Schutz von Content Management Systemen (CMS) finden Sie auf der MELANI Webseite: http://www.melani.admin.ch/dienstleistungen/00132/01556/index.html?lang=de
Präventionsmassnahmen für Benutzer
Löschen Sie E-Mails dieses Typs! Keine seriöse Firma wird sie per E-Mail auffordern, Kreditkartendaten anzugeben.
Besonders vertrauenswürdige Firmen werden gerne missbraucht, um Empfänger zu täuschen. Die Betrüger fälschen auch Absender-E-Mail Adressen und Webseiten von Firmen, mit denen Sie tatsächlich in Kontakt stehen.
Seien Sie vorsichtig, wenn Sie E-Mails erhalten, die eine Aktion von Ihnen verlangen und ansonsten mit Konsequenzen drohen (Geldverlust, Strafanzeige, Konto- oder Kartensperrung, Verpasste Chance, Unglück).
Überprüfen Sie immer die Internetadresse (URL), auf welche man Sie via Link weiterleitet. Dazu führen Sie die Maus über den Link, ohne zu klicken. In einem über dem Mauszeiger erscheinenden Fenster sehen Sie, ob der Link wirklich auf die gewünschte Seite führt. Achtung: Schauen Sie genau hin, denn die gefälschte URL unterscheidet sich oft nur minimal von der seriösen URL, die Sie kennen.
Befolgen Sie jeweils bei unerwarteten verdächtigen Mail-Nachrichten oder Nachrichten von unbekannten Absendern keinesfalls die Anweisung im Text. Öffnen Sie keine Attachments und folgen Sie keinen Links, sondern löschen Sie die Nachricht.
Wenn Sie bei einer E-Mail nicht sicher sind, ob sie echt oder gefälscht ist, löschen Sie die Mail. War es eine seriöse Nachricht, wird der Absender bei Ihnen nachfragen, wenn er innerhalb einer angemessenen Frist keine Antwort von Ihnen erhält.
Beachten Sie auch im Allgemeinen die MELANI-Verhaltensregeln: http://www.melani.admin.ch/themen/00166/00172/index.html?lang=de
Quelle: Newsletter MELANI
Auch das zweite Halbjahr 2013 war durch die Berichterstattung über die Machenschaften der NSA und anderer Nachrichtendienste geprägt. Der vorliegende Halbjahresbericht fasst die Erkenntnisse zusammen, mit denen sich das Bild einer flächendeckenden und vollumfassenden Datensammlung durch diese ausländischen Nachrichtendienste weiter konkretisiert hat.
Ransomware weit verbreitet
Erpresserische Schadsoftware, so genannte Ransomware, ist seit geraumer Zeit in Umlauf. Bei der in den letzten Jahren verbreitetsten Ransomware werden am Bildschirm Mitteilungen unter anderem von fingierten Polizeibehörden eingeblendet, die suggerieren, dass sich auf dem Computer illegale Dateien befinden. Der Benutzer soll dadurch verleitet werden, ein drohendes Strafverfahren mittels einer Zahlung abzuwenden. Noch weitaus schlimmer sind die Auswirkungen des im letzten Halbjahr neu aufgetretenen Schädlings «Cryptolocker»: Dieser verschlüsselt alle auf der Festplatte und auf angeschlossenen externen Datenträgern befindlichen Dateien und macht diese für den Benutzer unzugänglich.
Millionen von gestohlenen Kreditkarten- und Kundendaten
Gestohlene Kreditkarten- und Kundendaten können durch die Angreifer weiter verkauft und zu Geld gemacht werden. Im zweiten Halbjahr 2013 wurde unter anderem ein grosser Angriff auf die US-Firma Adobe bekannt. Gemäss Informationen von Adobe wurden 38 Millionen Kundendaten, Passwörter und Kreditkartendaten entwendet. Die Ladenkette Target gab ihrerseits bekannt, dass im Weihnachtsgeschäft 2013 insgesamt rund 70 Millionen Kundendaten gestohlen wurden.
Bitcoin: Der Preis des Erfolgs
Digitale Währungen wie beispielsweise Bitcoin sind auf dem Vormarsch. Der zweite Halbjahresbericht 2013 beleuchtet nicht nur die Funktionsweise von Bitcoin, sondern gibt auch Antworten zu Themen wie Sicherheit, Rechtsstatus und Regulierung.
Vernetzte Industrieanlagen und ferngesteuerte Hausanlagen
Der technische Fortschritt erlaubt es, Anlagen für Industrie- oder Privatgebäude, so genannte Industrielle Kontrollsysteme, über Fernzugriff zu steuern. Nachdem MELANI bereits mit dem letzten Halbjahresbericht eine Checkliste veröffentlicht hat, enthält der vorliegende Jahresbericht ein Update zu diesem Thema. So werden beispielsweise die «Good Practices» der OSZE zur Reduzierung von Cyber-Risiken im Energiesektor näher umschrieben.
Halbjahresbericht 2013/2
Quelle: Halbjahresbericht 2013/2
Das erste Halbjahr 2013 war vor allem durch die Berichterstattung über die Internetüberwachung einzelner Nachrichtendienste geprägt, die durch den Informanten Edward Snowden bekannt gemacht wurden. Doch auch andere Ereignisse rund ums Internet, welche MELANI in ihrem heutigen Halbjahresbericht aufführt, waren in den letzten Monaten von Bedeutung.
Massive DDoS-Angriffe auch in der Schweiz
Bereits in den letzten Jahren wurde eine stetige Zunahme an DDoS-Angriffen (Distributed Denial of Service) beobachtet. Bei DDoS-Attacken werden von einer Vielzahl von Rechnern Anfragen auf eine Website mit dem Ziel versendet, diese lahmzulegen. Im Vergleich zu den Vorjahren hat die Intensität dieser Angriffe jedoch deutlich zugenommen. So erlitt die in der Schweiz ansässige Non-Profit-Organisation Spamhaus einen der grössten DDoS-Angriffe in der Geschichte des Internets. Bei einem weiteren Angriff auf Dritte wurden die DNS-Server (Domain Name System) der Stiftung SWITCH missbräuchlich für DDoS-Attacken eingesetzt. Im aktuellen Halbjahresbericht werden Massnahmen zum Schutz der eigenen DNS-Infrastruktur vor Missbrauch aufgezeigt.
Smartphone-Trojaner auf dem Vormarsch
Mit der stetigen Zunahme von Smartphones setzt sich auch der Trend zur Verbreitung von Schadsoftware auf diesen Geräten fort. Im Fokus der Angreifer steht dabei vor allem das Betriebssystem Android. Bei den Ermittlungen wurde auch ein Smartphone-Trojaner gegen Schweizer E-Banking-Kunden entdeckt. Der Bericht analysiert diesen Trojaner und gibt einfache Tipps, wie sich Smartphones davor schützen lassen.
Gezielte Spionageangriffe – zahlreiche Fälle veröffentlicht
Im ersten Halbjahr 2013 jagte eine Meldung über professionelle gezielte Spionageangriffe die andere. Da meist staatliche Akteure hinter den Angriffen vermutet wurden, hatten diese Attacken auch zahlreiche politische Stellungnahmen zur Folge. Bei diesen Spionageangriffen handelt es sich längst nicht mehr um Einzelereignisse. Das Interesse an fremden Daten besteht permanent, und demzufolge steigt auch der Druck, sensible Daten ständig zu schützen.
Sicherheitsempfehlungen zu industriellen Kontrollsystemen
Industrielle Kontroll- und Steuerungssysteme finden seit einiger Zeit vermehrt auch ausserhalb der Industrie Anwendung, zum Beispiel bei der Hausautomation. Untersuchungen weisen darauf hin, dass diese Systeme oftmals schlecht geschützt sind und man relativ ungehindert in der einen oder anderen Form via Internet darauf zugreifen kann. Um Unterstützung zu bieten, publiziert MELANI heute elf Sicherheitsempfehlungen, wie diese Kontrollsysteme besser geschützt werden können.
Problemzone Content Management System
Dank einfachen Hilfsmitteln lässt sich heutzutage auch ohne grosses technisches Wissen eine eigene Website erstellen. Dazu werden oft so genannte Content Management Systeme (CMS) verwendet. Der verbreitete Einsatz solcher Systeme macht diese auch für Cyberkriminelle interessant. Schwachstellen werden gesucht und leider auch gefunden. Im Halbjahresbericht werden die wichtigsten Massnahmen aufgeführt, die ein Webseitenadministrator befolgen kann, um ein CMS möglichst sicher zu betreiben.
Halbjahresbericht 2013/1
Quelle: Halbjahresbericht 2013/1
Wer Daten in einer Datenwolke speichert, muss damit rechnen, dass diese an ausländische Behörden gelangen. Das hält der Bundesrat fest. Die Datenbeschaffung ohne das Wissen der betroffenen Personen gehöre zum üblichen Vorgehen von Nachrichtendiensten.
In der sogenannten «Cloud» gespeicherte Daten sind nicht sicher. Das hält der Bundesrat in seiner Antwort auf einen parlamentarischen Vorstoss fest.
Nationalrat Jean Christophe Schwaab (SP/VD) erkundigte sich über das US-Gesetz Fisa (Foreign Intelligence and Surveillance Act). Dieses erlaubt US-Behörden, von Unternehmen wie Google, Facebook oder Twitter die Herausgabe von Personendaten aus der Datenwolke von Bürgern anderer Staaten zu verlangen.
Verantwortung liegt beim User
Der Bundesrat erinnert daran, dass eine Datenbeschaffung ohne das Wissen der betroffenen Personen zum Modus Operandi von Nachrichtendiensten gehöre. Es treffe aber zu, dass sich durch neue Technologien Überwachungsmöglichkeiten «in grossem Ausmass» ergäben, namentlich durch das dezentrale, ortsunabhängige Speichern und Bearbeiten von grossen Datenmengen beim «Cloud Computing».
«Wer soziale Netzwerke benutzt, muss sich der damit verbundenen Risiken bewusst sein», schreibt der Bundesrat. Dazu gehörten der Kontrollverlust über einmal ins Netz gestellte Informationen sowie die fehlenden Einflussmöglichkeiten der Schweizerischen Behörden.
Quelle: SRF Nachrichten
Immer raffinierter werdende Phishing-Methoden für Angriffe auf E-Banking-Konten, massive DDoS-Attacken auf US-Banken, Aktuelles zum Cyber-Konflikt in Nahost und das unbewusste Preisgeben von Daten beim Surfen im Internet: Dies sind die Schwerpunkte des zweiten Halbjahresberichts 2012 der Melde- und Analysestelle Informationssicherung MELANI, welcher heute publiziert worden ist.
Das zweite Halbjahr 2012 war von zahlreichen, teilweise spektakulären Cyber-Angriffen auf Unternehmen und Regierungsstellen im In- und Ausland geprägt.
Spuren im Internet - Welche Daten Benutzer beim Besuch einer Website preisgeben
Es ist hinlänglich bekannt, dass viele Benutzer von Facebook, XING oder ähnlichen sozialen Netzwerken freiwillig und wissentlich Daten preisgeben. Unbekannt ist jedoch, welche Daten im Internet gesammelt werden. Im vorliegenden Halbjahresbericht werden einige Massnahmen und Werkzeuge erläutert, mit denen sich zumindest teilweise einschränken lässt, dass beispielsweise Werbefirmen Profile über unser Surfverhalten erstellen.
Phishing wird immer raffinierter
Vielen Angriffen aus der Cyber-Welt liegt die Motivation zugrunde, damit Geld zu verdienen. Dementsprechend beliebt sind Phishing-Angriffe auf Nutzende von E-Banking-Anwendungen. Da Sicherheitsmassnahmen es für die Kriminellen schwieriger machen, Online-Konten technisch anzugreifen, setzen sie vermehrt auf raffiniertere Phishing-Methoden. So erhalten potenzielle Opfer beispielsweise Anrufe von angeblichen Bankangestellten und werden gebeten, zur Verbesserung der Sicherheit ihre Zugangsdaten wie Login und Passwort bekannt zu geben. Des Weiteren wurden im zweiten Halbjahr 2012 auch Phishing-Webseiten mit https:// beobachtet, also Internetseiten, welche die Daten verschlüsselt und deshalb vermeintlich sicher übermitteln.
Massive DDoS-Angriffe auf US-Banken
Angriffe, um Websites lahmzulegen, so genannte Distributed Denial of Service (DDoS) Attacken, galten lange als Vandalenakt und blieben oftmals für einen Grossteil der Bevölkerung unbemerkt. Die Situation hat sich gewandelt: Immer öfter werden DDoS-Angriffe für erpresserische Zwecke, Konkurrenzschädigung, als Rachewerkzeug oder für politische Aktionen eingesetzt. So gibt es immer wieder DDoS-Angriffe, welche darauf abzielen, eine grosse Aufmerksamkeit zu erreichen. Im zweiten Halbjahr 2012 gab es zum Teil massive Angriffe auf US-Banken. Auch wenn eine islamische Hackergruppe die Veröffentlichung des Mohammed-Videos als Grund angab, wurde von verschiedener Seite auch das Wirtschaftsembargo der USA gegen den Iran als mögliche Ursache genannt.
Cyber-Konflikt in Nahost
Erstmals ist mit «Gauss» eine mutmasslich staatliche Spionagesoftware aufgetaucht, die typische Charakteristiken eines Online-Trojaners aufgewiesen hat. Während rund neun Monaten wurden damit vornehmlich in libanesischen Banken Transaktionen ausspioniert und an die Angreifer gemeldet.
Eine auf den Namen «Shamoon» getaufte Schadsoftware legte am 15. August 2012 das Büronetzwerk der staatlichen saudischen Ölgesellschaft Aramco lahm. Westliche Experten spekulieren, dass der Iran, dessen Energieexporte infolge internationaler Sanktionen stark unter Druck geraten waren, hinter dem Angriff stehen könnte. Dies, um eine erhöhte Gas- und Öl-Produktion in den saudischen Staaten zu verhindern.
Der 16. Halbjahresbericht MELANI ist publiziert unter:
Halbjahresbericht 2012/2
Quelle: Halbjahresbericht 2012/2
Bei dieser Angriffsart wird eine Schadsoftware auf dem Computer installiert. Loggt sich ein Kunde in sein E-Banking-Konto ein, erscheint eine Meldung, wonach ein neues E-Security-Zertifikat installiert werden müsse. Der Kunde wird aufgefordert, den Typ seines Smartphones sowie die mobile Telefonnummer anzugeben. Danach wird der Kunde per SMS aufgefordert, das neue Zertifikat auf dem Smartphone zu installieren.
Tatsächlich wird auf dem Gerät jedoch eine Schadsoftware installiert, die es den Angreifern erlaubt, die für die Transaktionssignierung notwendige SMS abzufangen und missbräuchliche Zahlungen vorzunehmen.
MELANI empfiehlt allen E-Banking-Kunden, die während der E-Banking Sitzung aufgefordert werden, ein Zertifikat (siehe Bild) oder etwas ähnliches auf dem Smartphone zu installieren folgendes zu unternehmen
Schweizer Banken fordern ihre Kunden niemals durch Bildschirmeinblendungen oder per SMS dazu auf, neue Sicherheitselemente auf Geräten zu installieren!
Quelle: MELANI
Die Melde- und Analysestelle Informationssicherung MELANI wurde darauf aufmerksam gemacht, dass am Dienstag 22. Januar 2013 E-Mails in holländischer Sprache in Umlauf gesetzt wurden, welche vermeintlich von einer öffentlichen Stelle des Kantons Aargau stammen. Beim Anklicken des Links wird im Hintergrund versucht, Schwachstellen auf dem Computer zu finden, um Schadsoftware zu installieren.
Der Kanton Aargau war nicht Opfer eines Hackerangriffs, es wurden lediglich gefälschte E-Mail-Adressen "ag.ch" als Absender benutzt.
Die Melde- und Analysestelle zur Informationssicherung MELANI rät dringlich vor dem Anklicken der Links in diesen E-Mails ab und empfiehlt solche E-Mails unbesehen zu löschen.
Generell gilt:
Quelle: MELANI