Internetwarnungen

19.11.18

MELANI: 1. Halbjahresbericht 2018

Lücken in Hardware-Komponenten stellen eine besondere Bedrohungsart dar. Diese Lücken lassen sich nicht mit einem einfachen Update beheben, wie dies bei Software-Lücken möglich ist. Ausserdem würde ein kompletter Austausch von Hardware-Komponenten die Hersteller vor grosse logistische Probleme stellen. Das Schwerpunktthema dieses Halbjahresberichts befasst sich mit den besonderen Herausforderungen bei Hardware-Lücken.

 

Das Problem von mehrfach im Internet verwendeten Passwörtern

Nach wie vor verwenden viele Benutzerinnen und Benutzer das gleiche Passwort für mehrere Online-Dienste wie beispielsweise Webmail, E-Banking, Onlineshops. Dies ist eine willkommene Vereinfachung für Kriminelle und ermöglicht ihnen, die gesammelten Login-Daten aus den diversen Datenabflüssen bei verschiedensten Internetdienstleistern systematisch einzusetzen. In einem Fall versuchten sich Angreifer mit knapp einer Million solch gestohlener und aus verschiedenen Quellen zusammengestellten Login-Kombinationen in die Benutzerkonten eines Online-Portals einzuloggen.

 

Missbrauch des Labors Spiez für Spionagekampagne

Im Sommer 2018 wurde der Name des Labors Spiez für die Planung eines Spionageangriffs gegen Dritte missbraucht. Dabei verwendeten die Angreifer ein im Internet publiziertes Dokument, mit dem das Labor Spiez zu einer internationalen Konferenz eingeladen hatte. Dieses wurde kopiert, mit einer Schadsoftware versehen und an die Opfer gesendet. Das Labor Spiez selbst wurde dabei nicht angegriffen.

 

Die Verwendung von Daten bei Angriffen

Immer häufiger kommt es zu ungewollten Datenabflüssen. Davor bleibt auch die Schweiz nicht verschont. Cyber-Kriminelle sind bezüglich Verwendung solcher Daten sehr vielfältig und innovativ. Eine unmittelbare Vorgehensweise, um aus Datenabflüssen Geld zu machen, ist die direkte Erpressung der Firma, bei der die Daten abgeflossen sind. Mit entwendeten Daten lassen sich ausserdem personalisierte E-Mails generieren, welche die Erfolgsrate bei Phishing-Mails im Vergleich zu Massen-Mails erheblich erhöhen. Es ist deshalb zu erwarten, dass Kriminelle künftig vermehrt diese Vorgehensweise wählen werden.

 

Der 27. Halbjahresbericht MELANI ist publiziert unter:

 

Halbjahresbericht 2018/1


07.11.18

Gefälschte Bewerbungsmail mit Virus

Wer eine E-Mail mit dem Betreff «Bewerbung auf die Angebotene Stelle bei der Agentur für Arbeit von Peter Reif» erhält, sollte die Mail umgehend löschen und den Dateianhang unter keinen Umständen öffnen. Berichten zufolge variiert der Name in den Mails und es gibt auch Versionen mit beispielsweise «Peter Schnell», «Caroline Schneider» und «Viktoria Henschel».

 

Der Empfang der Mail und das Entpacken des Archivs löst nach jetzigem Kenntnisstand noch keine Infektion aus. Erst wer das Archiv entpackt und die darin enthaltene Datei öffnet, holt sich einen Windows-Erpressungstrojaner auf den Computer, der Dateien verschlüsselt und erst nach einer Lösegeld-Zahlung wieder freigeben will. Es handelt sich bei der Schadsoftware anscheinend um die Ransomware GandCrab 5.0.4.

 

Infektionsvorgang

Die Mail ist in sauberem Deutsch formuliert und im Anhang der Mail befindet sich ein passwortgschütztes RAR-Archiv, in dem sich die Datei «Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf.exe» befindet. Das Kennwort für das Archiv findet sich in der Nachricht.

 

In der Mail steht, dass das Archiv aus Gründen der Privatsphäre mit einem Kennwort geschützt ist– das ist aber Blödsinn. Die Drahtzieher der Kampagne haben ein Passwort vergeben, damit Virenscanner das Archiv nicht scannen können. Nur wenn ein Scanner das Passwort kennt, kann er es auch überprüfen.

 

Da Windows in der Standardeinstellung bekannte Dateiendungen (.exe) ausblendet, sieht es so aus, als handelt es sich um ein PDF-Dokument. Es ist aber immer noch eine ausführbare Datei. Wer doppelt auf «Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf» klickt löst die Infektion aus.

 

Entschlüsselung teilweise möglich

Die Firma Bitdefender hat ein kostenloses Entschlüsselungstool für einige Versionen von GandCrab. Bitdefender zufolge kursieren derzeit zwei Subvarianten von GandCrab 5.0.4, der aktuellen Version. Mit einer davon soll das Tool kompatibel sein. Opfer sollten es in jedem Fall ausprobieren.

 

 

Quelle: heise.de


12.10.18

Phishingmasche: Mails von vermeintlichen Bekannten, Freunden oder Geschäftspartnern

Phisher bedrohen Internetnutzer derzeit durch gehackte Mail-Konten, worüber sie in laufende Konversationen mit Bekannten eindringen.

 

Die kürzlich entdeckte Kampagne kapert E-Mail-Benutzerkonten, um Malware an eine unschuldig aussehende Antwortmail zu hängen, die der Empfänger sogar von seinem Bekannten erwartet. Die Antwort enthält eine infizierte Word-Datei. Ist die Datei einmal geöffnet, installiert sich die Schadsoftware «Ursnif» und sammelt unterschiedlichste Zugangs- und Bankdaten der Betroffenen. Die Opfer erkennen den Befall auf ihrem Rechner in diesen Fällen oft erst, wenn es bereits zu spät ist..

 

Erkennungsmerkmale der Phishing-Mails

Wer genau nachschaut, soll die gefälschten Mails allerdings erkennen können. Oft ist die Mail zum Beispiel plötzlich auf Englisch verfasst, und auch die Signaturen können von den gewohnten Signaturen der Konversationspartner abweichen.

Vergleich: Links eine Phishingantwort, rechts die originale Signatur. Die Phishing-Antwort ist häufig in einer anderen Sprache geschrieben (rote Markierung). Die Signatur sieht anders aus als das Original (blaue Markierung).

Auch die Header enthüllen verdächtige Anzeichen. Wer mehr wissen möchte, kann auf dem Trend Micro Blog (englisch) mehr Details zum Aufspüren der Auffälligkeiten erfahren.

 

Sollten Sie so eine Antwort-Mail von einem Bekannten, Freund oder Geschäftspartner erhalten haben, informieren Sie diese auch umgehend darüber das ihr E-Mailkonto gehackt wurde und sie entsprechende Massnahmen ergreifen müssen.

 

Zusätzlicher Schutz durch 2-Faktor-Authentifizierung

Für den Zugang zu E-Mailkonten oder anderen Onlinekonten, empfehlen wir Benutzern die Verwendung einer 2-Faktor-Authentifizierung (2FA) wie zum Beispiel Duo Mobile. Damit werden 2 verschiedene Authentifizierungen benötigt, bevor man Zugang zu einem Konto erhält. Ein gehacktes Passwort allein würde nicht mehr reichen.

 

 

 

Quelle: itmagazine.ch


08.10.18

Phishing-Attacken auf Online Datenaustausch und Kollaborationsplattformen

Viele Firmen erlauben ihren Angestellten, Dokumente online zu teilen und sogar auf ganze Bürosysteme online zuzugreifen. Manchmal reicht nur ein Passwort, um Zugriff auf ein E-Mail-Konto, aber auch auf diverse andere Dokumente zu erhalten. Es ist deshalb nicht verwunderlich, dass diese Zugangsdaten von grossem Interesse für Phishing-Angriffe sind. Das Kompromittieren eines ersten Kontos wird daher oft als weiterführender Angriffsvektor gegen die anderen Mitarbeitenden verwendet.

 

In den letzten Monaten hat MELANI Meldungen zu zahlreichen Phishing-Attacken erhalten, welche solche Plattformen imitieren und versuchen, an Zugangsdaten zu gelangen. Zum Beispiel werden die Webseiten von Microsoft Office 365 oder OneDrive nachgebaut. Die Qualität und die Art der E-Mails unterscheiden sich stark. Bei gewissen E-Mails wird der Empfänger gebeten sich zu identifizieren, um ein Problem mit seinem Konto zu lösen, oder aber aufgefordert, ein mit ihm geteiltes Dokument anzuschauen. In allen Fällen wird der Empfänger auf eine Phishing-Seite weitergeleitet, welche die Seite des Anbieters imitiert; dort sollen der Benutzername und das Passwort angegeben werden.

Screenshot: Beispiel einer Phishing-Seite, die OneDrive imitiert.

Sobald die Kriminellen Zugang zum Konto haben, können sie prinzipiell dieselben Einstellungen vornehmen wie der Konto-Inhaber:

  • Eine E-Mail-Weiterleitung einrichten, sodass sie Zugang zur gesamten Korrespondenz der geschädigten Person haben. Die Weiterleitung erfolgt oft mittels Kopie, so dass dies für den Konto-Inhaber nicht erkennbar ist.
  • Wenn das E-Mail-Konto der Plattform als Rücksetz-E-Mail-Adresse für weitere Dienste verwendet wird, könnte ein Angreifer entsprechende Passwörter zurücksetzen lassen und so Zugang zu weiteren Diensten gewinnen.
  • Angreifer können sich Zugang zu weiteren Dokumenten verschaffen, soweit die Rechte des Benutzers dies zulassen. Sie können aber auch andere Benutzer im Namen ihres Opfers für die Freigabe von Dokumenten anfragen. Da diese annehmen, dass dies von einem Firmenkollegen geschieht, werden sie diesem Wunsch oft nachkommen.

 

Für die Kriminellen sind diese Zugangsdaten oft eine Goldmine, welche ihnen erlauben, relevante Informationen, wie beispielsweise Geschäftsbeziehungen, zu bearbeitende Fälle, Struktur und Organigramme des Unternehmens, für einen massgeschneiderten Betrugsversuch zu sammeln. Ebenfalls kann nicht ausgeschlossen werden, dass solche Informationen zur Wirtschaftsspionage benutzt oder weiterverkauft werden.

 

Sobald ein Konto kompromittiert ist, können alle Kontakte der geschädigten Person betroffen sein. Oft riskieren sie, dass ein E-Mail mit Malware oder Phishing an sie verschickt wird, welches scheinbar vom Konto des Kollegen oder Geschäftspartners kommt. Mit dieser Methode können die Angreifer weitere Zugänge im Firmennetzwerk gewinnen.

 

 

Empfehlungen

Technische Massnahmen:

  • Nutzen Sie eine Zwei-Faktor-Authentifizierung wo immer diese verfügbar ist.
  • Es wird empfohlen, einen Dienst zu wählen, der genügend Logging Funktionalität bietet und die Logs in geeigneter Form für Kunden zur Verfügung stellt.
  • Den Unternehmen wird empfohlen, nach anormalen Aktionen bei den Konten der Mitarbeitenden zu suchen: Zugang von ungewöhnlichen Orten oder zu unüblichen Zeiten, Hinzufügen von E-Mail-Weiterleitungen, etc.
  • Mails sollten (zumindest intern) immer digital signiert sein und Benutzer darauf trainiert werden, Mails ohne eine entsprechende Signatur besonders vorsichtig zu behandeln.
  • Beim Versand von legitimen E-Mails mit hohem Missbrauchspotential für Phishing, wie z.B. der elektronische Versand von Rechnungen, sollte darauf geachtet werden, dass die Links nicht hinter HTML Text versteckt sind und dass die Mails und/oder Dokumente digital signiert sind.
  • Damit die eigene Domain weniger einfach für Phishing Versuche missbraucht werden kann, sollte SPF, DKIM und DMARC Protokolle eingerichtet werden. Dies ist auch bei einigen der grossen Collaboration Providern möglich, wie z.B. bei Office365.

 

Organisatorische Massnahmen:

  • Die beste Methode, um Phishing zu bekämpfen, ist die Mitarbeitenden bezüglich diesem Phänomen zu sensibilisieren: Es ist unerlässlich, dass die Mitarbeitenden in der Erkennung und dem Umgang mit suspekten und betrügerischen E-Mails geschult werden. Sensibilisierte Mitarbeitende wissen, dass sie bei suspekten oder betrügerischen E-Mails auf keine Links klicken oder Anhänge öffnen sollen, sondern umgehend die Vorgesetzten oder die IT-Verantwortlichen informieren sollten.
  • Ebenfalls sind die vom Unternehmen definierten Prozesse und risikominimierenden Massnahmen zu jeder Zeit einzuhalten. Insbesondere sollten sämtliche Prozesse, welche den Zahlungsverkehr betreffen, firmenintern klar geregelt sein und von den Mitarbeitenden in allen Fällen eingehalten werden (z.B. Vier-Augen-Prinzip, Unterschrift kollektiv zu zweien, Prozesse gemäss internem Kontrollsystem).
  • Die Phishing-Versuche können auf der Seite www.antiphishing.ch gemeldet werden. Dies erlaubt MELANI, schnelle Massnahmen zu treffen, um andere Benutzer zu schützen.

 

 

Quelle: Melde- und Analysestelle Informationssicherung MELANI


11.09.18

Erpressungsversuche durch Porno-Mails

Aktuell sind Erpresser-Mails im Umlauf. Die Empfänger sollen Lösegeld zahlen, weil sie angeblich beim Besuch einer Porno-Seite gefilmt wurden.

 

So die Masche: Empfänger der betrügerischen Mail wird weisgemacht, dass sie gefilmt worden sind, während Sie sich beim Schauen eines «dreckigen» Filmchens auf einer Porno-Seite im Internet selbstbefriedigt hätten. Die eigene Webcam – die von den Tätern selbst über Fernsteuerung aktiviert wurde –  habe alles aufgenommen.

 

Screenshot einer Erpressermail:

Betrüger nutzen das Schamgefühl ihrer Opfers aus, um Geld zu erpressen.

Internet-Betrüger wollen Bitcoins

Wenn die Opfer nicht Lösegeld für die Aufnahme zahlen, werde das pikante Video per Mail und Social Media an Bekannte weiterverschickt. Die Kontakte wurden nämlich über eine Schadenssoftware runtergesaugt, wie es in den Erpresser-Mails heisst.
Das Lösegeld soll in Form von Bitcoins innerhalb von 48 Stunden bezahlt werden, so die Betrüger.

 

Es gibt kein Video – Alles nur Einschüchterung

Die Erpressung funktioniert ganz ohne technische Hilfsmittel oder Hacks, ganz allein über Social-Engineering. Der Benutzer wurde nicht gehackt, es gibt auch kein Video. Es wird nur versucht das Opfer zu verängstigen und einzuschüchtern. Die Angst vor der sozialen Scham würde ein solches Video veröffentlicht, soll Opfer zum Zahlen verleiten.

 

Die Polizei rät, sich von den Erpressern nicht einschüchtern zu lassen und auf keinen Fall auf den Deal einzugehen, sondern die Mail sofort zu löschen.


07.09.18

Vermeintliche Rechnung mit gefälschten E-Mail-Absender von Mitarbeitern

Eine aktuelle Spam-Kampagne setzt auf starke Personalisierung: Sie täuscht als Absender reale E-Mail-Adressen von Mitarbeitern desselben Unternehmens vor. Neben E-Mails mit eher nichtssagendem Betreff wie «Scan 28923323236» beinhalten einige Betreffzeilen zusätzlich den Namen des Empfängers – etwa in der Form «WG: gescanntes Dokument 14517127599 [Empfänger]».

Die personalisierte Aufmachung verleitet zu reflexhaftem Anklicken

Der E-Mail-Text enthält einen Link, hinter dem sich je nach Wortlaut ein vermeintlicher Überweisungsbeleg oder ein Dokument mit angeblich angeforderten Informationen verbirgt. Angesichts der bekannten Absender-Adresse besteht erhöhte Gefahr, dass sich auch sicherheitsbewusste Anwender zum «reflexhaften». Anklicken verleiten lassen.

 

Auf der Zielseite wartet ein Word-Dokument mit der Bezeichnung Rechnungs-Details-68436558143.doc auf Download und Ausführung (die Namensgebung kann durchaus variieren).

 

Vermeintliche Rechnung enthält schädlichen Makro-Code

Das Word Dokument enthält Anweisungen was der Benutzer angeblich machen muss, damit er den Inhalt ansehen kann. Auf Englisch wird der Empfänger aufgefordert, mittels zwei Klicks auf gelbe Schaltflächen sowohl die Bearbeitung des Dokuments als auch die Ausführung eingebetteter Inhalte zu erlauben ( «Enable Editing»/«Enable Content»).

Das Word-Dokument bedient sich Social-Engineering-Strategien, um Empfänger zum Aktivieren schädlicher Inhalte zu verleiten.

Eine kurze Analyse fördert Makrocode zutage, der mittels einer autoopen()-Funktion automatisch startet. Der später im Code auftauchende Begriff «Shell» legt ausserdem nahe, dass weiterer Schadcode nachgeladen und ausgeführt wird. Um mit dem Office-Dokument einen Rechner zu infizieren, bedarf es also mehrerer Nutzer-Interaktionen. Gefährlich wird es allerdings , wenn die – mittlerweile standardmässige – Deaktivierung von Makros im Vorfeld vom Nutzer aufgehoben wurde.

 

 

Halten Sie sich an folgende Richtlinien

  • Wenn Sie nicht sicher sind warum Sie von einem Mitarbeiter eine E-Mail erhalten haben, fragen Sie zuerst telefonisch nach.
  • Klicken Sie auf keinen Link in einer E-Mail, der auf einen Ort ausserhalt Ihres Firmennetzes zeigt.
  • NIEMALS den Anweisungen in einem Worddokument folgen und Makros aktivieren oder Sicherheitsvorrichtungen ausschalten.

 

 

Quelle: heise.de


04.09.18

Erneut falsche Bewerbungsmails mit Schadsoftware im Umlauf

Der Erpressungstrojaner Gandcrab hat es derzeit auf Windows-Computer in Firmen abgesehen und versucht diese über den Anhang einer Bewerbungsmail zu infizieren. Vor allem Mitarbeiter im Personalwesen sollten aufpassen und angehängte Dateien von Bewerbungen genau Prüfung bevor sie sie öffnen.

 

Das E-Mail ist als Bewerbung getarnt und in fehlerfreiem Deutsch verfasst. Die Anlagen bestehen aus einer ZIP-Datei mit einem Namen in der Form von «Viktoria Hagen - Bewerbungsunterlagen.zip» und einer jpg-Bilddatei mit einem Portraitfoto. Der verwendete Name kann variieren.

 

Die ZIP-Dateien enthalten eine oder zwei EXE-Dateien mit der Schadsoftware. Obwohl es sich um EXE-Dateien handelt wird im Explorer ein PDF-Icon angezeigt!

Gefährlich: Im Explorer werden die exe-Dateien als PDFs angezeigt.

Seien Sie besonders vorsichtig bei E-Mails die sie nicht erwarten, wie in diesem Fall Blindbewerbungen oder auch wenn Sie den Absender nicht kennen. Wenn Sie eine solche E-Mal erhalten, löschen Sie sie und öffnen Sie auf keinen Fall die Anhänge.

 

Erstellen Sie regelmässig Backup Ihrer Daten und bewahren Sie sie an einem separaten, von Ihrem Arbeitsgerät getrennten Ort auf.

 

Nicht das erste mal

Die momentane Welle hat grosse Ähnlichkeit mit einer E-Mailwelle aus dem Jahr 2017, als Bewerbungsmail mit Schadsoftware im Anhang versendet wurden. Damals allerdings mit der Schadsoftware «Ordinypt».

 

 

Quelle: heise.de


05.07.18

Wieder betrügerische Anrufe bei Firmen

In den letzten Tagen mehren sich wiederum Anrufe bei potenziellen Opferfirmen, in denen sich Angreifer als Bankmitarbeiter ausgeben. Die Anrufer bitten um die Ausführung von Zahlungen oder geben vor, ein Update beim E-Banking durchführen zu müssen, das anschliessend getestet werden soll.  

Die Angreifer versuchen typischerweise die Mitarbeitenden der Firma zu überzeugen, eine Fernzugriffssoftware (zum Beispiel NTR-Cloud, Teamviewer) zu installieren, verbinden sich dann mit dem  Computer des Opfers und täuschen vor, ein E-Banking-Update durchzuführen. Anschliessend geben die Täter vor, dass das Update getestet werden müsse und versuchen das Opfer zu überzeugen, seine Zugangsdaten für das E-Banking der Firma einzugeben.  Anhand einer Testzahlung wollen die Angreifer die Funktionsweise des Systems überprüfen. Ist die Zahlung durch eine Kollektivunterschrift geschützt, versuchen die Betrüger das Opfer zu überzeugen, alle Unterschriftsberechtigten zu organisieren, um die Zahlung freizugeben.

In einer anderen Variante werden die Opfer angewiesen, aufgrund von dringenden E-Banking Updates für einige Tage auf das E-Banking zu verzichten. Im Falle von dringenden Transaktionen soll das Opfer eine durch die Betrüger angegebene Rufnummer kontaktieren. Ruft das Opfer den falschen Bankmitarbeiter an, um eine E-Banking Transaktion durchzuführen, werden sowohl Benutzername und Passwort als auch das Einmalpasswort nachgefragt. Der Angreifer bekommt so Zugang zum E-Banking der Firma. Dieses Vorgehen kann so lange wiederholt werden, bis das Opfer misstrauisch wird.

Die Beispiele zeigen, wie aktuell Social Engineering Methoden weiterhin sind. Die Sensibilisierung innerhalb der einzelnen Firmen ist der Schlüssel, solchen Betrugsversuchen wirksam vorzubeugen.

Empfehlungen:

  • Unternehmen sollten kontrollieren, welche Informationen über die eigene Firma online zugänglich sind. Geben Sie auf Ihrer Firmen-Website nie die E-Mail-Adressen von Vorstand bzw. Mitarbeitenden preis – verwenden Sie generische E-Mail Adressen.
  • Seien Sie misstrauisch, falls sich jemand mit ungewohnten Anliegen bei Ihnen meldet und überprüfen Sie den Anrufenden kritisch. Bei ungewöhnlichen Kontaktaufnahmen und Aufforderungen ist es empfehlenswert, innerhalb der Firma Rücksprache zu nehmen, um die Richtigkeit des Auftrages zu verifizieren. Sensibilisieren Sie die Mitarbeitenden bezüglich dieser Vorfälle, insbesondere die Mitarbeitenden in Schlüsselpositionen.
  • Geben Sie niemals per Telefon, E-Mail oder im Internet persönliche Zugangsdaten an Dritte weiter. Finanzinstitute werden Sie nie in einem Telefongespräch, E-Mail oder einer Kurznachricht dazu auffordern, vertrauliche Personendaten anzugeben.
  • Installieren Sie niemals Software, wenn Sie telefonisch oder schriftlich dazu aufgefordert werden. Erlauben Sie niemals einen Fremdzugriff auf Ihren Computer. Keine Bank wird Sie auffordern, an Tests von irgendwelchen Sicherheitsupdates mitzuwirken.
  • Sämtliche den Zahlungsverkehr betreffenden Prozesse, sollten firmenintern klar geregelt sein und von den Mitarbeitenden in allen Fällen konsequent eingehalten werden.

 

Quelle: Melde- und Analysestelle Informationssicherung MELANI


30.04.18

MELANI: 2. Halbjahresbericht 2017

Im Oktober 2017 musste der Internet-Konzern «Yahoo!» eingestehen, dass bei einem Hacker-Angriff im Jahr 2013 die Daten aller Nutzenden dieses Dienstes betroffen gewesen waren. Es dürften somit über 3 Milliarden Datensätze abgeflossen sein. Der Vorfall gilt als bisher grösster Datenabfluss weltweit. In der Schweiz gaben im zweiten Halbjahr 2017 vor allem die Datenabflüsse bei der Swisscom mit 800'000 Datensätzen sowie jener bei «dvd-shop.ch» mit 70'000 Datensätzen zu reden. Im Schwerpunktthema des aktuellen Halbjahresberichts beleuchtet MELANI unter anderem die Auswirkungen solcher Datenlecks, datenschutzrechtliche Aspekte sowie die Frage, wie Betroffene informiert werden sollen.

 

Crimeware weiterhin sehr aktiv

Auch im zweiten Halbjahr 2017 war der Einsatz von Crimeware, insbesondere Verschlüsselungs- und E-Banking-Trojaner, weit verbreitetet. Die Daten von MELANI/GovCERT zeigen, dass «Downadup», auch bekannt unter «Conficker», immer noch zu der in der Schweiz am stärksten verbreiteten Schadsoftware gehört, obwohl für die dabei ausgenutzte Sicherheitslücke seit mehr als zehn Jahren ein Patch zur Verfügung steht.

 

Angriffe auf industrielle Kontrollsysteme

Industrielle Kontrollsysteme sind nicht nur das Herz zahlreicher kritischer Infrastrukturen wie etwa der Energieversorgung, sondern auch zahlreicher medizintechnischer Geräte wie beispielsweise der MRI-Scanner oder Herzschrittmacher. Der Ausfall solcher Geräte kann für den Patienten im Extremfall lebensbedrohliche Ausmasse annehmen. Der vorliegende Halbjahresbericht behandelt die Herausforderungen rund um Sicherheitsupdates bei medizintechnischen Geräten und befasst sich mit möglichen Sicherheitslücken bei Herzschrittmachern.

 

Der 26. Halbjahresbericht MELANI ist publiziert unter:

MELANI - Halbjahresbericht 2/2017


14.03.18

Phishing-Trojaner tarnt sich als Post-E-Mail

Es ist eine Pishing-Welle im Gange, dabei werden gefälschte E-Mails im Namen der Schweizerischen Post verschickt. Die Melde- und Analysestelle Informationssicherung des Bundes (MELANI) bestätigt die Angriffsversuche.

Das Word-Dokument im Anhang enthält einen E-Banking-Trojaner

Im Anhang der E-Mail ist eine Word-Datei die einen E-Banking-Trojaner beinhaltet. Infizierte Systeme werden dabei so manipuliert, dass auf dem PC des Opfers der Eintrag des DNS-Servers auf einen bösartigen DNS-Server geändert wird und gefälschte Root-Zertifikate installiert werden. Nach der Infektion löscht der Trojaner alle Spuren, was es für Antiviren-Programme besonders schwierig macht, eine Infektion festzustellen. Bei erfolgreicher Infektion, erhalten die Betrüger die vollständige Kontrolle über den E-Banking-Account des Opfers.

 

Der verwendete Trojaner trägt den Namen Refete und wurde bereits 2013, 2016 und das letzte mal 2017 in der Schweiz und Österreich für Phishing-Angriffe verwendet.


07.02.18

Datenleck bei Swisscom

Im Herbst letzten Jahres sind Kontaktdaten von ungefähr 800'000 Kundinnen und Kunden der Swisscom gestohlen wurden. Betroffen sind mehrheitlich Mobilfunkkunden.  Dies gab Swisscom heute Mittwochmorgen in einer Medienmitteilung bekannt. Unbekannte hatten sich die Zugriffsrechte eines Vertriebspartners beschafft und die Kontaktdaten entwendet.

 

Betroffene Daten

Bei den entwendeten Daten handelt es sich um Name, Adresse, Geburtsdatum und Telefonnummer. Diese gelten laut dem Datenschutzgesetz als «nicht besonders schützenswerte Personendaten», die Swisscom von Gesetzes wegen erhebe und für den Abschluss eines Abos benötige. Vertriebspartnern sei es gestattet auf diese zuzugreifen um Kunden zu identifizieren, zu beraten, Verträge abzuschliessen oder anzupassen. Nicht betroffen sind Passwörter, Gesprächs- und Zahlungsdaten.

 

Check per SMS

Mobilfunkkunden können eine SMS mit dem Stichwort «Info» an die Nummer 444 senden und damit feststellen, ob Ihre Daten betroffen sind. Festnetz- und Firmenkunden seien per Mail und Brief informiert worden. Bis heute habe noch kein Anstieg bei Werbeanrufen oder anderen Aktivitäten festgestellt werden können.

 

 

Quelle: swisscom.ch


10.11.17

Schadsoftware Ordinypt versteckt sich in Bewerbungsschreiben

Die Schadsoftware «Ordinypt» befällt derzeit Benutzer aus Deutschland, wahrscheinlich sind auch Schweizer Firmen Ziele. Ordinypt wird als Anhang in E-Mails versendet. Es werden meist Personalabteilungen angeschrieben.

 

Das E-Mail ist als Bewerbung getarnt und in fehlerfreiem Deutsch verfasst. Die Anlagen bestehen aus einer ZIP-Datei mit dem Namen «Viktoria Henschel - Bewerbungsunterlagen.zip» und einer jpg-Bilddatei mit einem Portraitfoto. Die ZIP-Dateien enthalten zwei EXE-Dateien mit der Schadsoftware, beide mit dem Namen «Viktoria Henschel - Bewerbungsunterlagen - November.pdf.exe». Obwohl es sich um EXE-Dateien handelt wird im Explorer ein PDF-Icon angezeigt.

Bei flüchtigem Betrachten könnte man meinen, es handle sich im eine echte PDF-Datei.

Besonders gefährlich: Im Explorer werden die Dateiendungen bei bekannten Dateitypen standardmässig ausgeblendet. Die Endung .exe wird dann nicht angezeigt.

 

Sollte eine der beiden Dateien gestartet werden, beginnt das Programm Dateien zu zerstören. Die Schadsoftware tarnt sich als Ransomware: Sie ersetzt die zerstörten Dateien mit viel kleineren, zufällig generierten Dateien, so dass der Eindruck entsteht sie wären verschlüsselt. Das Wiederherstellen der originalen Dateien ist aber unmöglich. Löschen Sie diese E-Mail, sollten Sie sie erhalten.

 

 

Quelle: gdata.de


02.11.17

MELANI: 1. Halbjahresbericht 2017

Der am 2. November 2017 veröffentlichte 25. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cyber-Vorfällen der ersten Jahreshälfte 2017 im In- und Ausland. Im Schwerpunktthema widmet sich der Bericht den Verschlüsselungstrojanern «Wanna Cry» und «NotPetya», die im Frühjahr 2017 weltweit für Schlagzeilen gesorgt haben.

«Wanna Cry» und «NotPetya» richteten grossen Schaden an

Von den Verschlüsselungstrojanern «Wanna Cry» und «NotPetya» sollen gemäss Europol über 230'000 Opfer in 150 Staaten betroffen gewesen sein. Darunter waren Unternehmen wie z. B. die Deutsche Bahn, die spanische Telekommunikationsfirma Telefonica und zahlreiche Spitäler in Grossbritannien. In der Schweiz war lediglich eine kleine Anzahl von Privatpersonen und KMU betroffen. Das Schwerpunkthema befasst sich u. a. mit den Herausforderungen, die sich beim Aktualisieren von Systemen stellen, und zeigt auf, was bei der Datensicherung zu beachten ist.

Zunehmender Missbrauch von Behörden und namhaften Unternehmen

Im ersten Halbjahr 2017 gab es eine deutliche Zunahme von E-Mails zur Verteilung schadhafter Software, die angeblich von Bundesstellen oder von namhaften Unternehmen verschickt wurden. So stellte eine scheinbar von der Eidgenössischen Steuerverwaltung (ESTV) stammende Mail Steuerrückerstattungen in Aussicht. In einem anderen Fall wurden Vorladungen zu Gerichtsverhandlungen versendet, die vermeintlich von einer Kantonspolizei stammten. Unternehmen wie DHL, die Post oder Swisscom werden regelmässig missbraucht, um eine hohe Seriosität der Mails vorzutäuschen.

Politische Ereignisse als Auslöser für Cyber-Angriffe

Immer häufiger entladen sich politische Spannungen digital. Wo früher Häuserwände mit Graffitis besprüht wurden, verunstalten heute Hacktivisten Webseiten. So führten die Diskussionen in der Schweiz um den türkischen Präsidenten Erdogan zur Verunstaltung («Defacement») zahlreicher Schweizer Websites. Wie die Angreifer dabei vorgehen, lesen Sie im 25. Halbjahresbericht.

Der 25. Halbjahresbericht ist publiziert unter:
Halbjahresbericht 2017/1