Internetwarnungen

18.05.20

MELANI: 2. Halbjahresbericht 2019

Der 30. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cybervorfällen der zweiten Jahreshälfte 2019 in der Schweiz wie auch international. Schwerpunktthema im aktuellen Bericht bildet der Umgang und die Problematik von Personendaten im Netz.  

Auf der Webseite von MELANI können Sie den ausführlichen Berichts als PDF herunterladen.

 

Quelle: Melde- und Analysestelle Informationssicherheit MELANI


Immer auf dem laufenden sein

Wir warnen vor aktuellen Viren, Trojanern sowie den neusten Betrugsmaschen, Scam-Mails, Verschlüsselungsprogramme und mehr.

Unsere Internetwarnungen abonnieren

27.04.20

Phishing gegen Schweizer Webmaster

Zurzeit wird eine Zunahme von Phishing-Angriffen im Namen von verschiedenen Hosting-Providern gegen Schweizer Webmaster und Domäneninhaber festgestellt. Ignorieren Sie diese E-Mails. Hosting-Provider fordern Sie niemals per E-Mail zur Eingabe Ihrer Zugangsdaten auf.

 

 

Drei bekannte Varianten

Bis lang sind 3 Mail-Varianten bekannt. Alle enthalten einen Link der auf eine gefälschte Anmeldeseite führt. Die E-Mails werden von gehackten E-Mailkonten oder von gekapperten Servern aus gesendet.

 

 

AbsenderBetreff
<Name des Hostingproviders> <xy@domain-des-opfers>Service-Aufhängung - <Opfer-Domain>
<Name des Hostingproviders> <support@domain-des-hosting-providers>ACTION REQUISE
<Name des Hostingproviders> <support@domain-des-hosting-providers>Rappel: veuillez renouveler votre commande : 9.43 CHF
Beispiel einer Phishing-Mail. Die angebliche E-Mail von Hostpoint behauptet, dass eine Webseite gesperrt wurde oder bald gesperrt wird. Der angegebene Link führt auf eine Phishingseite und nicht auf die angezeigte Webseite.

 


30.03.20

Coronavirus: Betrugsmaschen im Internet

Wie wir in den letzten Wochen berichtet haben, nutzen Kriminelle die momentane Angst und Unsicherheit in der Bevölkerung aus. Derzeit werden vermehrt die folgenden 7 Betrugsvarianten im Internet festgestellt:

 

  • Phishing-E-Mails: Die Täter verschicken vor allem E-Mails, die angeblich von der World Health Organisation (WHO) oder dem Bundesamt für Gesundheit (BAG) stammen.
  • Voice Phishing: Anrufe im Namen des Bundesamtes für Gesundheit (BAG), um an persönliche Informationen zu gelangen.
  • Coronavirus Maps: Interaktive Karten auf Webseiten, welche die Virusverbreitung aufzeigen, können von Cyberkriminellen manipuliert werden und einen Download mit Malware auslösen.
  • Betrügerische Spendenaufrufe: Vermeintliche Wohltätigkeitsorganisationen rufen zu Spenden auf, um einen Impfstoff für COVID-19 zu entwickeln.
  • Fake-Shops für medizinische Produkte: Online-Shops, auf denen medizinische Produkte (Atemschutzmasken usw.) angeboten werden. Die Waren werden trotz Bezahlung nicht geliefert.
  • Money Mules: Mit interessanten Angeboten versuchen Betrüger, im Namen einer angeblichen Firma unbescholtene Bürger als Finanzagenten (Moneymules) anzuwerben.
  • Fake-Sextortion: Per E-Mail wird den Opfern gedroht, bei Nichtzahlung die Familie des Geschädigten mit dem Coronavirus zu infizieren.

 

Auch zu Corona-Zeiten gelten diese generellen Tipps:

  • Öffnen Sie keine Mails von unbekannten Absendern oder Anhänge und klicken Sie keinesfalls auf Links.
  • Gehen Sie nicht auf die Forderung der Erpresser ein und reagieren Sie nicht auf solche E-Mails. Meistens handelt es sich um Spam.
  • Implementieren Sie Antiviren-Software zur Erkennung und Vermeidung einer Infektion durch Schadsoftware und halten Sie Ihre Systeme auf dem aktuellsten Stand.
  • Lassen Sie sich von unbekannten Personen am Telefon nicht unter Druck setzen. Legen Sie im Zweifelsfall das Telefon auf.
  • Teilen Sie Passwörter, Zugangsdaten oder Kontoinformationen niemals per Telefon oder E-Mail mit.
  • Vorauszahlungen bei Online-Shops sollten Sie nur bei kleineren Beträgen leisten. Grössere Beträge sollten über ein von den Plattformen empfohlenes Zwischenkonto bzw. Online-Treuhandkonto bezahlt werden. Alternativ empfiehlt sich, die Ware direkt bei der Abholung zu bezahlen.
  • Ihre Bankkonten sollten Sie nie Dritten zur Verfügung stellen.

 

Quelle: Melde- und Analysestelle Informationssicherung MELANI


18.03.20

Gefälschte Telefonanrufe im Namen des BAG

Aktuell gibt es Meldungen zu gefälschten Telefonanrufen, die vorgeben im Namen des Bundesamts für Gesundheit (BAG) Umfragen durchzuführen und sich nach Gesundheitszustand und weiteren persönlichen Angaben erkundigen.

 

Ignorieren Sie diese Anrufe. Phishing- und Malware-Angriffe haben seit Beginn der Coronavirus-Epidemie massiv zugenommen. Die Kriminellen spekulieren darauf, dass Mitarbeiter im Moment weniger achtsam sind, besonders wenn Anfragen scheinbar von staatlichen Gesundheitsbehörden kommen.

 

 

Quelle: Melde- und Analysestelle Informationssicherung (MELANI)


16.03.20

Warnung vor gefälschten E-Mails im Namen des BAG

Seit Freitagmittag (13. März 2020) versuchen Cyberkriminelle die Verunsicherung der Bevölkerung aufgrund der Situation um das Coronavirus auszunutzen. Mittels gefälschten E-Mails und Posts zum Thema Coronavirus versuchen Cyberkriminelle zurzeit, Geräte zu infizieren und die Schadsoftware namens AgentTesla zu verbreiten. Als Absender der verschickten E-Mails wird das Bundesamt für Gesundheit (BAG) angegeben.

 

Beispiel einer gefälschten E-Mai im Namen des BAG:

 

Ignorieren Sie solche E-Mails, öffnen Sie keine Anhänge und klicken Sie niemals auf Links.

 

 

Beispiel eines geöffneten Anhangs:

 

Werden dennoch Anhänge geöffnet oder Links angeklickt, wird Malware platziert. Diese ermöglicht den Angreifern den vollen Fernzugriff auf den Computer und Passwörter können ausgelesen werden. Falls Sie versehentlich eine solche E-Mail geöffnet haben sollten, schalten Sie umgehend Ihren Computer aus. Kontaktieren Sie Global System oder ihren eigenen IT-Dienstleister, wenn Sie kein Kunde von uns sind. Wechseln Sie anschliessend umgehend Ihre Passwörter.

 

 

Quelle: Melde- und Analysestelle Informationssicherung MELANI

 


20.01.20

Internet Explorer mit kritischer Sicherheitslücke

Microsoft hat über eine kritische Sicherheitslücke in Internet Explorer (IE) informiert. Gelingt es einem Angreifer die Sicherheitslücke auszunutzen, erhält er dieselben Rechte wie der gerade aktive Benutzer. Er könnte so also die Kontrolle über den Computer erhalten. Die Sicherheitslücke wird bereits in einzelnen Fällen aktiv ausgenutzt.

 

Betroffen Sind die IE Versionen 9-11 auf den Windows Versionen 7-10 sowie Windows Server 2008 - 2019. Ein Sicherheitsupdate ist in Arbeit, aber noch nicht erhältlich. Für Windows 7 und Windows Server 2008 wird es voraussichtlich keine Patchs geben, da diese offiziell nicht mehr von Microsoft unterstützt werden.

 

Was Sie tun sollten

Wir raten allen Benutzern dringend einen anderen Browser zu verwenden, mindestens bis Microsoft das Sicherheitsupdate veröffentlicht hat. Besser wäre jedoch ganz auf einen neuen Browser zu wechseln, denn Internet Explorer 11 wird schon seit Jahren nicht mehr weiterentwickelt und erhält lediglich noch Sicherheitsupdates.

 

Wir empfehlen Ihnen Microsoft Edge (seit Windows 10 standardmässig in Windows dabei), Mozilla Firefox oder Google Chrome zu verwenden.

 

 

Quelle: Microsoft

 


09.01.20

Falsche Gewinnbenachrichtigung im Namen von Coop

Zurzeit werden von Kriminellen vermeintliche Gewinnbenachrichtigungen im Namen von Coop versendet. Diese SMS führen auf ein falsches Gewinnspiel. Klicken Sie auf keinen Fall auf den Link. Falls Sie Kreditkartendaten angegeben haben, nehmen Sie umgehend mit Ihrem Kreditkarteninstitut Kontakt auf.

 

Quelle: Melde- und Analysestelle Informationssicherung (MELANI)


29.10.19

MELANI: 1. Halbjahresbericht 2019

Der 29. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cybervorfällen der ersten Jahreshälfte 2019 in der Schweiz wie auch international. Im aktuellen Bericht werden als Schwerpunktthema die Cyberangriffe mit Verschlüsselungstrojanern beleuchtet, welche im ersten Halbjahr 2019 weltweit grossen Schaden angerichtet haben.

 

 

Verschlüsselungstrojaner, sogenannte Ransomeware, gehören aktuell zu den gefährlichsten Cyberbedrohungen für Unternehmen, Organisationen und Verwaltungen. Ein erfolgreicher Angriff erfordert nicht nur den Einsatz von Zeit, Personal sowie Geld für die Bereinigung der Systeme und zur Wiederherstellung verlorener Daten. Er kann auch den Ruf eines Unternehmens schädigen oder einen temporären Produktivitätsverlust bedeuten. Um ein umfassendes Bild eines solchen Verschlüsselungsangriffs zu bieten, schildert die Stadt Bern, wie sie mit einem Ransomware-Vorfall umgegangen ist. Zudem erläutert die Kantonspolizei Zürich die Problematik aus Ermittlersicht. Weiter gibt MELANI Empfehlungen ab, wie man sich vor solchen Angriffen schützen kann.

 

 

Unterstützung für kleine und mittlere Elektrizitätsversorgungsunternehmen bei der Cybersicherheit

Im Fokus von Cyberangriffen stehen auch industrielle Kontrollsysteme wie etwa bei der Stromversorgung. Wie es um die Cybersicherheit von kleinen und mittleren Elektrizitätsversorgern (EVU) in der Schweiz steht, hat der Fachverband Electrosuisse in einer im Frühjahr 2019 veröffentlichen Studie aufgezeigt. Gemäss dieser findet die Cybersicherheit bei allen Unternehmen Beachtung. Bei der Gewährleistung der Informationssicherheit sind speziell bei kleineren Unternehmen verstärkte Massnahmen nötig. Um die Informatiksicherheit auszubauen, wurde eine Kooperation für Cybersecurity für die Stadtwerke ins Leben gerufen. Dank diesem Netzwerk können alle Kooperationspartner von den Erfahrungen der anderen profitieren und gemeinsam das Niveau der Informationssicherheit ständig anheben.

 

 

Erpressung mittels Fake-Sextortion nach wie vor aktuell

Im ersten Halbjahr 2019 gab es vermehrt Fake-Sextortion-E-Mails, in welchen die Angreifer die Opfer erpressen und behaupten, den Computer des Empfängers gehackt zu haben und über Bildmaterial zu verfügen, das sie beim Konsum pornografischer Inhalte im Internet zeige. Leider bezahlen immer noch viele Personen das verlangte Lösegeld. Deshalb hat MELANI in Zusammenarbeit mit verschiedenen Partnern im Frühjahr 2019 die Website www.stop-sextortion.ch ins Leben gerufen, um die Bevölkerung für dieses Thema zu sensibilisieren. Auf dieser Seite finden betroffene Personen Ratschläge, wie vorgegangen werden soll, sollten die Erpresser tatsächlich kompromittierendes Material besitzen.

 

 

Auf der Webseite von MELANI können Sie den ausführlichen Berichts als PDF herunterladen.

 

Quelle: Melde- und Analysestelle Informationssicherheit MELANI


31.07.19

Update Verschlüsselungs-Trojaner: Neue Vorgehensweise

Seit Anfang Juli wurden der Melde- Analysestelle Informationssicherung (MELANI) des Bundes vermehrt Cyber-Angriffe vermeldet, bei denen die Angreifer eine neue Vorgehensweise gewählt haben. Dabei werden Schweizer Unternehmen gezielt mittels schädlichen E-Mails angegriffen (sogenanntes Spear-Phishing).

 

 

Angriffsszenarien

Bislang sind folgende Angriffsszenarien bekannt:

  • Angreifer versenden gezielt schädliche E-Mails an Schweizer Unternehmen, um diese mit Ransomware zu infizieren. Diese beinhalten in der Regel einen Link auf eine bösartige Webseite oder einen schädlichen Dateianhang.
  • In einschlägigen Internet-Foren werden Zugänge zu infizierten Computern in Schweizer Unternehmen zum Verkauf angeboten. Diese sind in der Regel mit der Schadsoftware «Emotet», «TrickBot» oder vereinzelt auch «Qbot» infiziert. Kriminelle Gruppierungen «kaufen» die infizierten Computer, um das Netzwerk des Opfers grossflächig zu infiltrieren.
  • Angreifer scannen das Internet nach offenen VPN- und Terminal-Servern ab und versuchen mittels Brute-Forcing-Angriffen Zugriff auf diese zu erhalten.

Bei allen genannten Vorgehensweisen verwenden die Angreifer weitere Angriffswerkzeuge, um an die nötigen Zugriffsrechte des Unternehmens zu kommen. Ist dies erfolgreich, wird eine Ransomware auf den Systemen platziert welche die Daten vollständig verschlüsselt.

 

 

Empfohlene Schutzmassnahmen

Aufgrund der aktuellen Gefahrenlage sowie der neuen Vorgehensweise warnt MELANI Schweizer Unternehmen erneut eindringlich vor Ransomware und empfiehlt dringend, folgende Massnahmen, falls nicht bereits geschehen, schnellstmöglich umzusetzen:

  • Erstellen Sie regelmässig Sicherungskopien (Backups) Ihrer Daten zum Beispiel auf einer externen Festplatte. Nutzen Sie dabei das Generationenprinzip (täglich, wöchentlich, monatlich / mindestens 2 Generationen). Stellen Sie jeweils sicher, dass Sie das Medium, auf welchem Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer bzw. Netzwerk physisch trennen. Ansonsten besteht die Gefahr, dass die Angreifer auch auf die Daten des Backups Zugriff erhalten und verschlüsseln oder löschen können.
  • Bei Cloud-basierten Backup-Lösungen sollten Sie sicherstellen, dass der Provider analog zum klassischen Backup mindestens über zwei Generationen verfügt und dass diese für eine Ransomware nicht zugreifbar sind, indem man für kritische Operationen beispielsweise eine Zweifaktor-Authentifizierung verlangt.
  • Prüfen Sie die Qualität der Backups und üben Sie das Einspielen von Backups, damit Sie im Notfall keine unnötige Zeit verlieren.
  • Sowohl Betriebssysteme als auch alle auf den Computern oder Servern installierte Applikationen (z. B. Adobe Acrobat Reader, Adobe Flash, Java usw.) müssen konsequent und unverzüglich auf den neuesten Stand gebracht werden. Falls vorhanden, am besten mit der automatischen Update-Funktion.
  • Schützen Sie auch alle vom Internet erreichbaren Ressourcen (insbesondere Terminal-Server, RAS- und VPN-Zugänge) mit einem zweiten Faktor. Stellen sie Terminal-Server hinter ein VPN-Portal.
  • Blockieren Sie den Empfang von gefährlichen E-Mail-Anhängen auf Ihrem E-Mail-Gateway. Dazu zählen auch Office-Dokumente mit Makros.
  • Beobachten Sie die Logfiles Ihrer Antivirus-Lösung auf Unregelmässigkeiten.

 

Global System Kunden

Global System Kunden mit einem Server- und Network-SLA, haben alle genannten und weitere Schutzmassnahmen standardmässig umgesetzt. Mitarbeiter die nicht auf einem Terminal Server sondern lokal arbeiten, sind für die Software-Updates Ihrer Geräte und den darauf verwendeten Programmen selber zuständig. Kontrollieren Sie in einem solchen Fall dass:

  • Automatische Windows-Updates aktiviert ist (Geräte von Global System werden standardmässig so ausgeliefert).
  • Automatisches Office-Updates aktiviert ist (Geräte von Global System werden standardmässig so ausgeliefert).
  • Sonstige installierte Software auf dem neusten Stand ist.

 

Quelle: Melde- und Analysestelle Informationssicherung MELANI


02.07.19

Neuartiger Ansatz: Phishing-Mails mit QR-Code

Derzeit sollen im Finanzbereich Phishing-Mails unterwegs sein, die erfolgreich Spam-Filter umgehen. Betrüger betten URLs in Form von QR-Codes in die Mail ein. Die QR-Codes werden von Mail-Scannern offensichtlich nicht als gefährliche URLs erkannt und landen im Postfach des Opfers. Die Betrüger sind auf der Jagd nach Log-in-Daten von beispielsweise AOL und Microsoft.

 

Ungeschützt auf mobilen Geräten

Die Phishing-Mails behaupten ein wichtiges SharePoint-Dokument bereitzuhalten. Um dieses zu bekommen, muss das Opfer den QR-Code mit seinem Smartphone scannen. Ist das Opfer mit seinem Gerät im mobilen Internet angemeldet (und nicht im Firmen-WLAN), verlässt es so die abgesicherte Infrastruktur des Unternehmens. In diesem Fall greifen die Sicherheitslösungen und anderweitige Filter des Firmennetzwerkes nicht.

Nach dem Scannen des QR-Codes. landet das Opfer auf der Phishing-Site. Um das Dokument anschauen zu können, müsse man sich noch anmelden. Gibt man seine Login-Daten ein, werden diese direkt an die Betrüger gesendet.

 

Untypische Methode

QR-Codes sind in Europa kaum verbreitet, besonders im Geschäftsbereich trifft man sie wenig an. Darum kann man davon ausgehen, dass diese Methode sich nicht etablieren wird. Gefährlich ist sie dennoch, denn in der Regel erkennen mittlerweile viele Standardkameras auf Smartphones die Codes und leiten Nutzer auf Websites weiter.

 

 

Quelle: heise.de


24.06.19

Neue Fake-Sextortion-Welle

Zurzeit erhalten zahlreiche Bluewin-Kunden Sextortion-Spam-E-Mails mit dem Betreff: «48 Stunden zu zahlen».

 

Inhalt der E-Mail:

Guten Tag, Masturbieren ist natürlich normal, aber wenn deine Familie und Freunde davon zeugen, ist es natürlich eine große Schande. Ich habe dich eine Weile beobachtet, weil ich dich in einer Werbung auf einer Porno-Website durch einen Virus gehackt habe. […]

 

Es handelt sich um Spam-E-Mails, die ungezielt versendet werden! Wir empfehlen, diese E-Mails zu ignorieren und zu löschen. Weitere Informationen finden Sie hier: https://www.stop-sextortion.ch/ und in unserem Ratgeberartikel Fake Sextortion – Wie die Pornomail-Falle funktioniert.

 

 

Quelle: Melde- und Analysestelle Informationssicherung MELANI


03.06.19

Kritische RDP-Sicherheitslücke

Eine Sicherheitslücke in RDP mit dem Namen BlueKeep macht es möglich Geräte mit älteren Windows-Versionen über das Internet zu kapern. RDP wird verwendet um Fernverbindungen auf Windowsgeräte herzustellen (Remote Desktop).

 

Der mögliche Schaden dieser Sicherheitslücke ist ähnlich gross wie der der Schadsoftware WannaCry. Sie hat vor 2 Jahren weltweit hunderttausende Geräte infiziert und Millionenschäden verursacht.

 

Die RDP-Sicherheitslücke erlaubt es Code aus der Ferne auszuführen, damit können Verschlüsselungstrojaner oder andere Schadsoftware auf dem Zielgerät und unter Umständen auch auf anderen Geräten des Netzwerks ausgeführt werden. Besonders Geräte die direkt ans Internet angeschlossen sind, müssen dringend gepatchet werden.

 

Unbedingt patchen!

Microsoft hat Patches für alle betroffenen Windows-Versionen veröffentlicht. Betroffen sind Windows 7 und ältere Versionen:

Wenn Sie Windows 7 verwenden und Automatische Updates aktiviert haben, wird der Patch automatisch installiert. Bei anderen Betriebssystemen müssen Sie ihn manuell installieren. Die Sicherheitslücke ist so gefährlich, dass auch Patches für Vista und XP bereitstehen, für die eigentlich keine Patches mehr veröffentlicht werden.

 

Unsere SLA-Kunden sind abgedeckt

Global System Kunden mit einem SLA inklusive Server Updates und Workstations können sich zurücklehnen, wir kümmern uns um alles.


30.04.19

MELANI: 2. Halbjahresbericht 2018

IoT-Geräte können in grossem Masse für Cyber-Angriffe missbraucht werden, Erfolgreiche Erpressungsversuche (z.B. «Fake Sextortion») sowie Überweisungsbetrug mit «Office 365»-Zugangsdaten und das Schwergewichtsthema «Umgang mit eingekauften Risiken bei Hard- und Software»: Der am 30. April 2019 veröffentlichte 28. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cyber-Vorfällen der zweiten Jahreshälfte 2018 im In- und Ausland.

 

 

Die rasch voranschreitende Digitalisierung ist nur mit entsprechender Hard- und Software zu bewältigen. Der Markt wird klar von US-Unternehmen dominiert, mit China auf der Überholspur sowie vereinzelten globalen Mitspielern im Bereich Hard- und Software, beispielsweise aus Korea, Russland oder Deutschland.

Der potenzielle Zugriff auf IKT-Hersteller durch die jeweiligen Sitzstaaten führt zu Fragen über den richtigen Umgang mit diesen Risiken. Der 28. Halbjahresbericht MELANI widmet sich dieser Problematik im Schwerpunktthema und behandelt weitere aktuelle Themen wie die nachfolgend beschriebenen.

 

Haushaltsgeräte als Auslöser für einen Stromausfall

Mit dem Internet der Dinge (IoT) werden allerlei Geräte wie Heizungen und Klimaanlagen für deren Fernsteuerung ans Internet angeschlossen. Dies ist praktisch, birgt aber auch gewisse Risiken. Einer im Jahr 2018 publizierten Studie der Princeton Universität zufolge wäre es durchaus möglich, dass böswillige Akteure ungenügend geschützte IoT-Geräte hacken, zu einem Botnetz zusammenfügen und für Cyber-Angriffe, wie einen Stromausfall, missbrauchen könnten. Der Halbjahresbericht beleuchtet die Problematik und enthält Empfehlungen.

 

Erpressung mittels Fake-Sextortion

Seit März 2018 kursieren unzählige «Fake Sextortion»-Mails. In einer E-Mail behaupten die Angreifer, sie würden über kompromittierendes Bildmaterial verfügen, das die Empfänger beim Konsum pornografischer Websites zeigt. Als «Beweis» für die Echtheit der Behauptung werden in der E-Mail oft Passwörter oder Mobiltelefonnummern genannt, die aus früheren Datenlecks stammen. Der Halbjahresbericht befasst sich mit dieser Problematik und zeigt die Entwicklung der verschiedenen «Fake-Sextortion»-Wellen.

 

Office 365-Zugangsdaten für Überweisungsbetrug verwendet

Mit über 100 Millionen monatlichen Nutzern sind Office 365-Konten zu einem populären Ziel für Angreifer geworden. Im zweiten Halbjahr 2018 kam es mit auf diese Weise ergatterten Office-365-Zugangsdaten vermehrt zu sogenanntem Überweisungsbetrug. Davon spricht man, wenn Betrüger in kompromittierten Konten nach bestehenden elektronischen Rechnungen suchen, diese dann kopieren, mit einer anderen IBAN versehen und erneut zustellen.

 


Der 28. Halbjahresbericht MELANI ist publiziert unter:

Halbjahresbericht 2018/2