Internet­warnungen

Das erste Halbjahr 2013 war vor allem durch die Berichterstattung über die Internetüberwachung einzelner Nachrichtendienste geprägt, die durch den Informanten Edward Snowden bekannt gemacht wurden. Doch auch andere Ereignisse rund ums Internet, welche MELANI in ihrem heutigen Halbjahresbericht aufführt, waren in den letzten Monaten von Bedeutung.

Massive DDoS-Angriffe auch in der Schweiz
Bereits in den letzten Jahren wurde eine stetige Zunahme an DDoS-Angriffen (Distributed Denial of Service) beobachtet. Bei DDoS-Attacken werden von einer Vielzahl von Rechnern Anfragen auf eine Website mit dem Ziel versendet, diese lahmzulegen. Im Vergleich zu den Vorjahren hat die Intensität dieser Angriffe jedoch deutlich zugenommen. So erlitt die in der Schweiz ansässige Non-Profit-Organisation Spamhaus einen der grössten DDoS-Angriffe in der Geschichte des Internets. Bei einem weiteren Angriff auf Dritte wurden die DNS-Server (Domain Name System) der Stiftung SWITCH missbräuchlich für DDoS-Attacken eingesetzt. Im aktuellen Halbjahresbericht werden Massnahmen zum Schutz der eigenen DNS-Infrastruktur vor Missbrauch aufgezeigt.

Smartphone-Trojaner auf dem Vormarsch
Mit der stetigen Zunahme von Smartphones setzt sich auch der Trend zur Verbreitung von Schadsoftware auf diesen Geräten fort. Im Fokus der Angreifer steht dabei vor allem das Betriebssystem Android. Bei den Ermittlungen wurde auch ein Smartphone-Trojaner gegen Schweizer E-Banking-Kunden entdeckt. Der Bericht analysiert diesen Trojaner und gibt einfache Tipps, wie sich Smartphones davor schützen lassen.

Gezielte Spionageangriffe – zahlreiche Fälle veröffentlicht
Im ersten Halbjahr 2013 jagte eine Meldung über professionelle gezielte Spionageangriffe die andere. Da meist staatliche Akteure hinter den Angriffen vermutet wurden, hatten diese Attacken auch zahlreiche politische Stellungnahmen zur Folge. Bei diesen Spionageangriffen handelt es sich längst nicht mehr um Einzelereignisse. Das Interesse an fremden Daten  besteht permanent, und demzufolge steigt auch der Druck, sensible Daten ständig zu schützen.

Sicherheitsempfehlungen zu industriellen Kontrollsystemen
Industrielle Kontroll- und Steuerungssysteme finden seit einiger Zeit vermehrt auch ausserhalb der Industrie Anwendung, zum Beispiel bei der Hausautomation. Untersuchungen weisen darauf hin, dass diese Systeme oftmals schlecht geschützt sind und man relativ ungehindert in der einen oder anderen Form via Internet darauf zugreifen kann. Um Unterstützung zu bieten, publiziert MELANI heute elf Sicherheitsempfehlungen, wie diese Kontrollsysteme besser geschützt werden können.

Problemzone Content Management System
Dank einfachen Hilfsmitteln lässt sich heutzutage auch ohne grosses technisches Wissen eine eigene Website erstellen. Dazu werden oft so genannte Content Management Systeme (CMS) verwendet. Der verbreitete Einsatz solcher Systeme macht diese auch für Cyberkriminelle interessant. Schwachstellen werden gesucht und leider auch gefunden. Im Halbjahresbericht werden die wichtigsten Massnahmen aufgeführt, die ein Webseitenadministrator befolgen kann, um ein CMS möglichst sicher zu betreiben.

Halbjahresbericht 2013/1


Quelle: Halbjahresbericht 2013/1

Wer Daten in einer Datenwolke speichert, muss damit rechnen, dass diese an ausländische Behörden gelangen. Das hält der Bundesrat fest. Die Datenbeschaffung ohne das Wissen der betroffenen Personen gehöre zum üblichen Vorgehen von Nachrichtendiensten.

In der sogenannten «Cloud» gespeicherte Daten sind nicht sicher. Das hält der Bundesrat in seiner Antwort auf einen parlamentarischen Vorstoss fest.

Nationalrat Jean Christophe Schwaab (SP/VD) erkundigte sich über das US-Gesetz Fisa (Foreign Intelligence and Surveillance Act). Dieses erlaubt US-Behörden, von Unternehmen wie Google, Facebook oder Twitter die Herausgabe von Personendaten aus der Datenwolke von Bürgern anderer Staaten zu verlangen.

Verantwortung liegt beim User
Der Bundesrat erinnert daran, dass eine Datenbeschaffung ohne das Wissen der betroffenen Personen zum Modus Operandi von Nachrichtendiensten gehöre. Es treffe aber zu, dass sich durch neue Technologien Überwachungsmöglichkeiten «in grossem Ausmass» ergäben, namentlich durch das dezentrale, ortsunabhängige Speichern und Bearbeiten von grossen Datenmengen beim «Cloud Computing».

«Wer soziale Netzwerke benutzt, muss sich der damit verbundenen Risiken bewusst sein», schreibt der Bundesrat. Dazu gehörten der Kontrollverlust über einmal ins Netz gestellte Informationen sowie die fehlenden Einflussmöglichkeiten der Schweizerischen Behörden.

Quelle: SRF Nachrichten

Immer raffinierter werdende Phishing-Methoden für Angriffe auf E-Banking-Konten, massive DDoS-Attacken auf US-Banken, Aktuelles zum Cyber-Konflikt in Nahost und das unbewusste Preisgeben von Daten beim Surfen im Internet: Dies sind die Schwerpunkte des zweiten Halbjahresberichts 2012 der Melde- und Analysestelle Informationssicherung MELANI, welcher heute publiziert worden ist.

Das zweite Halbjahr 2012 war von zahlreichen, teilweise spektakulären Cyber-Angriffen auf Unternehmen und Regierungsstellen im In- und Ausland geprägt.

Spuren im Internet - Welche Daten Benutzer beim Besuch einer Website preisgeben
Es ist hinlänglich bekannt, dass viele Benutzer von Facebook, XING oder ähnlichen sozialen Netzwerken freiwillig und wissentlich Daten preisgeben. Unbekannt ist jedoch, welche Daten im Internet gesammelt werden. Im vorliegenden Halbjahresbericht werden einige Massnahmen und Werkzeuge erläutert, mit denen sich zumindest teilweise einschränken lässt, dass beispielsweise Werbefirmen Profile über unser Surfverhalten erstellen.

Phishing wird immer raffinierter
Vielen Angriffen aus der Cyber-Welt liegt die Motivation zugrunde, damit Geld zu verdienen. Dementsprechend beliebt sind Phishing-Angriffe auf Nutzende von E-Banking-Anwendungen. Da Sicherheitsmassnahmen es für die Kriminellen schwieriger machen, Online-Konten technisch anzugreifen, setzen sie vermehrt auf raffiniertere Phishing-Methoden. So erhalten potenzielle Opfer beispielsweise Anrufe von angeblichen Bankangestellten und werden gebeten, zur Verbesserung der Sicherheit ihre Zugangsdaten wie Login und Passwort bekannt zu geben. Des Weiteren wurden im zweiten Halbjahr 2012 auch Phishing-Webseiten mit https:// beobachtet, also Internetseiten, welche die Daten verschlüsselt und deshalb vermeintlich sicher übermitteln.

Massive DDoS-Angriffe auf US-Banken
Angriffe, um Websites lahmzulegen, so genannte Distributed Denial of Service (DDoS) Attacken, galten lange als Vandalenakt und blieben oftmals für einen Grossteil der Bevölkerung unbemerkt. Die Situation hat sich gewandelt: Immer öfter werden DDoS-Angriffe für erpresserische Zwecke, Konkurrenzschädigung, als Rachewerkzeug oder für politische Aktionen eingesetzt. So gibt es immer wieder DDoS-Angriffe, welche darauf abzielen, eine grosse Aufmerksamkeit zu erreichen. Im zweiten Halbjahr 2012 gab es zum Teil massive Angriffe auf US-Banken. Auch wenn eine islamische Hackergruppe die Veröffentlichung des Mohammed-Videos als Grund angab, wurde von verschiedener Seite auch das Wirtschaftsembargo der USA gegen den Iran als mögliche Ursache genannt.

Cyber-Konflikt in Nahost
Erstmals ist mit «Gauss» eine mutmasslich staatliche Spionagesoftware aufgetaucht, die typische Charakteristiken eines Online-Trojaners aufgewiesen hat. Während rund neun Monaten wurden damit vornehmlich in libanesischen Banken Transaktionen ausspioniert und an die Angreifer gemeldet.

Eine auf den Namen «Shamoon» getaufte Schadsoftware legte am 15. August 2012 das Büronetzwerk der staatlichen saudischen Ölgesellschaft Aramco lahm. Westliche Experten spekulieren, dass der Iran, dessen Energieexporte infolge internationaler Sanktionen stark unter Druck geraten waren, hinter dem Angriff stehen könnte. Dies, um eine erhöhte Gas- und Öl-Produktion in den saudischen Staaten zu verhindern.

Der 16. Halbjahresbericht MELANI ist publiziert unter:

Halbjahresbericht 2012/2


Quelle: Halbjahresbericht 2012/2

Bei dieser Angriffsart wird eine Schadsoftware auf dem Computer installiert. Loggt sich ein Kunde in sein E-Banking-Konto ein, erscheint eine Meldung, wonach ein neues E-Security-Zertifikat installiert werden müsse. Der Kunde wird aufgefordert, den Typ seines Smartphones sowie die mobile Telefonnummer anzugeben. Danach wird der Kunde per SMS aufgefordert, das neue Zertifikat auf dem Smartphone zu installieren.

Tatsächlich wird auf dem Gerät jedoch eine Schadsoftware installiert, die es den Angreifern erlaubt, die für die Transaktionssignierung notwendige SMS abzufangen und missbräuchliche Zahlungen vorzunehmen.

MELANI empfiehlt allen E-Banking-Kunden, die während der E-Banking Sitzung aufgefordert werden, ein Zertifikat (siehe Bild) oder etwas ähnliches auf dem Smartphone zu installieren folgendes zu unternehmen

• den E-Banking-Vorgang keinesfalls fortzusetzen.
• die Verbindung zum E-Banking zu schliessen (Logout-Button).
• unverzüglich mit der Bank in Kontakt zu treten.

Schweizer Banken fordern ihre Kunden niemals durch Bildschirmeinblendungen oder per SMS dazu auf, neue Sicherheitselemente auf Geräten zu installieren!

Quelle: MELANI

Die Melde- und Analysestelle Informationssicherung MELANI wurde darauf aufmerksam gemacht, dass am Dienstag 22. Januar 2013 E-Mails in holländischer Sprache in Umlauf gesetzt wurden, welche vermeintlich von einer öffentlichen Stelle des Kantons Aargau stammen. Beim Anklicken des Links wird im Hintergrund versucht, Schwachstellen auf dem Computer zu finden, um Schadsoftware zu installieren.

Der Kanton Aargau war nicht Opfer eines Hackerangriffs, es wurden lediglich gefälschte E-Mail-Adressen "ag.ch" als Absender benutzt.

Die Melde- und Analysestelle zur Informationssicherung MELANI rät dringlich vor dem Anklicken der Links in diesen E-Mails ab und empfiehlt solche E-Mails unbesehen zu löschen.

Generell gilt:

• Klicken Sie auf keine Links, welche Sie von unbekannten Absendern oder unaufgefordert erhalten; diese können zu mit Schadsoftware präparierten Webseiten führen.
• Stellen Sie sicher, dass Ihr Betriebssystem und Ihre Anwendungen auf dem neuesten Stand sind und aktivieren Sie die automatische Update-Funktion, so wird ein allfälliger Patch, welcher die Sicherheitslücke schliesst, schnellstmöglich eingespielt.
• Benutzen Sie eine aktuelle Antivirensoftware und einen Firewall.

Quelle:  MELANI

Zur Zeit tauchen in der Schweiz Phishing E-Mails auf, die das Opfer dazu verleiten, seine Angaben per Fax anzugeben. Anschliessend werden die Opfer von den Betrügern angerufen und unter dem Vorwand einer Sicherheitsverbesserung dazu bewegt, das Passwort und das zweite Sicherheitselement anzugeben.

Die Betrüger können sich so in das Bankkonto des Opfers einloggen. Achten Sie sich auf den Absender des E-Mails wenn Sie solche Mails bekommen. Aber auch die können gefälscht werden!

Kein Finanzinstitut versendet solche E-Mails! Im Zweifelsfall rufen Sie direkt bei Ihrer Bank an. Auch Telefonanrufe der Bank können sie getrost ignorieren! Rufen Sie nie einer Nummer zurück, die Ihnen per Mail oder Telefon angegeben wurde. Rufen Sie immer auf der öffentlichen Telefonnummer an!

Zur Zeit tauchen in der Schweiz Phishing E-Mails auf, die das Opfer dazu verleiten, seine Kontonummer und seine Telefonnummer anzugeben. Anschliessend werden die Opfer von den Betrügern angerufen und unter dem Vorwand einer Sicherheitsverbesserung dazu bewegt, das Passwort und das zweite Sicherheitselement anzugeben. Die Betrüger können sich so in das Bankkonto des Opfers einloggen.

Zur Zeit tauchen in der Schweiz Phishing E-Mails auf, welche vorgeben, dass das Finanzinstitut zum Schutz des E-Banking Kontos ein neues Sicherheitssystem installiert hat. Um diesen Prozess abzuschliessen, werde sich ein angeblicher Bankmitarbeiter mit dem Opfer telefonisch in Verbindung setzen und den Prozess diskutieren und vervollständigen. Zu diesem Zweck wird das Opfer gebeten neben persönlichen Daten auch seine Telefonnummer anzugeben.

Anschliessend werden die Opfer von den Betrügern angerufen und unter dem Vorwand einer Sicherheitsverbesserung dazu bewegt, das Passwort und das zweite Sicherheitselement anzugeben. Dabei wird das Opfer beispielsweise aufgefordert einen Code in den Kartenleser einzugeben und dem Angreifer das Ergebnis zu mitzuteilen. Mit diesen Angaben kann sich der Betrüger in das E-Banking Konto einloggen und eine Zahlung auslösen. Wird für das Auslösen der Zahlung noch eine weitere Sicherheitsabfrage verlangt, die sogenannte Transaktionssignierung, wird auch diese in der gleichen Art und Weise vom Betrüger erfragt.

Der Telefonanruf ist professionell gemacht und erfolgt beispielsweise auch in  Schweizerdeutsch.

Quelle: MELANI

Die Melde- und Analysestelle Informationssicherung empfiehlt Internetbenutzern, ihre Computer auf den Befall mit der Schadsoftware «DNS-Changer» zu überprüfen.

Bei einer Infektion mit der Schadsoftware «DNS-Changer» wurde auf einem betroffenen Computer das DNS-System so manipuliert, dass der Webbrowser die Benutzer bei Abfrage von populären Webseiten unbemerkt auf manipulierte Seiten der Kriminellen umgeleitet hat.

Nach der Verhaftung der Betrüger im November 2011 wurden die manipulierten DNS-Server der Kriminellen durch korrekt arbeitende, vom FBI betriebene DNS-Server ersetzt, damit keine weiteren Manipulationen mehr möglich sind.

Diese Server sollen am 9. Juli 2012 definitiv abgeschaltet werden. Als Folge davon werden infizierte Computer keine Domänen mehr auflösen können und demzufolge die betroffenen Nutzer keine Webseiten mehr aufrufen können. Je nach Einsatzart des Computers kann dies zu schwerwiegenden Problemen führen.

Die Stiftung SWITCH hat deshalb einen Online-Test bereitgestellt, bei welchem jeder seinen Computer überprüfen kann. Bei einer Infektion empfiehlt MELANI, sich an ein Computerfachgeschäft zu wenden.

Testseite von SWITCH: http://www.dns-check.ch/

Bei dieser Gelegenheit weist MELANI ein weiteres Mal darauf hin, dass es unerlässlich ist, regelmässig Backups (Sicherungskopien) der auf dem Computer vorhandenen Dateien zu erstellen. Dieses Massnahme gewährleistet einen möglichst geringfügigen Datenverlust, wenn das System einmal neu aufgesetzt werden muss.

Quelle: MELANI

Im zweiten Halbjahr 2011 hat die Melde- und Analysestelle Informationsscherung MELANI vermehrt Phishingangriffe, Betrugsversuche und erpresserische Schadsoftware, sogenannte Ransomware, beobachtet. Diese und weitere Informationen finden sich im heute veröffentlichten Halbjahresbericht.

Angriffe aus dem Cyberspace werden technisch immer raffinierter. Jedoch bleibt der Mensch nach wie vor das grösste Risiko, beispielsweise durch fahrlässige oder vorsätzliche Fehlmanipulationen. Der vorliegende Halbjahresbericht von MELANI  beleuchtet unter anderem die verschiedenen Betrugsarten und die Angriffe, die in der zweiten Hälfte von 2011 stattgefunden haben.

Angriffe durch vermeintlichen IT-Support

In den letzten sechs Monaten des vergangenen Jahres häuften sich Phishingversuche gegen E-Mail-Provider und Kreditkartenfirmen. Insbesondere Anrufe von vermeintlichen Mitarbeitern der Firma Microsoft oder anderen IT-Firmen haben teilweise auch medial hohe Wellen geschlagen. Dabei geben sich die Betrüger als Supportpersonen der jeweiligen Firma aus. Sie weisen auf Fehlermeldungen hin, die angeblich nur zu lösen seien, wenn das IT-Unternehmen vom Opfer Fern-Zugriff erhalte. Wird dieser gewährt, hat der Angreifer dieselben Möglichkeiten, den Computer zu manipulieren, wie wenn er selbst direkt davor sitzen würde.

Betrugsversuche durch gehackte E-Mail-Konten

In wellenartigen Bewegungen sind immer wieder Angriffe auf E-Mail-Konten festzustellen. Gelingt den Angreifern das Hacken von E-Mail-Konten, haben sie Zugriff auf alle in den Kontaktlisten gespeicherten Adressen. An diese Adressen versenden sie im Namen des tatsächlichen Kontoinhabers beispielsweise E-Mails, wonach dieser im Ausland festsitze, weil ihm Geld und Pass gestohlen worden sei. Schliesslich wird um die Überweisung von Geld gebeten, um die Hotelrechnung zu bezahlen und die Heimreise zu finanzieren.

Erpressung durch Ransomware

Seit April 2011 verbreitete sich über das Internet eine besonders hinterhältige Schadsoftware: Sie zeigte auf den infizierten Computern eine Meldung des deutschen Bundeskriminalamtes (BKA) an, wonach auf dem Computer illegale Software gefunden worden sei. Bei Nicht-Bezahlung der geforderten Busse von 100 Euro werde der Computer gesperrt und die Harddisk formatiert. Im November 2011 wurde  diese Schadsoftware mit Lösegeldforderung, genannt Ransomware, auch in der Schweiz festgestellt. Die in der Schweiz in Umlauf gebrachte Version missbrauchte das Logo des Eidgenössischen Justiz- und Polizeidepartementes (EJPD).

Cyber-Aktivismus

Bereits im letzten Halbjahresbericht hat MELANI ausführlich über die Machenschaften von Cyber-Aktivisten informiert. Insbesondere die Gruppe «Anonymous» hat immer wieder für Aufsehen gesorgt. Ihr gehören Internet-Aktivisten aus aller Welt an, die für ein freies Internet und gegen staatliche Kontrollen demonstrieren,. Der vorliegende Halbjahresbericht widmet sich einer detaillierten Abwägung der Vor- und Nachteile einer offenen Struktur, wie sie von Cyberaktivisten im Allgemeinen und von «Anonymous» im Besonderen gerne verwendet wird.

Quelle: MELANI