Internetwarnungen

11.09.18

Erpressungsversuche durch Porno-Mails

Aktuell sind Erpresser-Mails im Umlauf. Die Empfänger sollen Lösegeld zahlen, weil sie angeblich beim Besuch einer Porno-Seite gefilmt wurden.

 

So die Masche: Empfänger der betrügerischen Mail wird weisgemacht, dass sie gefilmt worden sind, während Sie sich beim Schauen eines «dreckigen» Filmchens auf einer Porno-Seite im Internet selbstbefriedigt hätten. Die eigene Webcam – die von den Tätern selbst über Fernsteuerung aktiviert wurde –  habe alles aufgenommen.

 

Screenshot einer Erpressermail:

Betrüger nutzen das Schamgefühl ihrer Opfers aus, um Geld zu erpressen.

Internet-Betrüger wollen Bitcoins

Wenn die Opfer nicht Lösegeld für die Aufnahme zahlen, werde das pikante Video per Mail und Social Media an Bekannte weiterverschickt. Die Kontakte wurden nämlich über eine Schadenssoftware runtergesaugt, wie es in den Erpresser-Mails heisst.
Das Lösegeld soll in Form von Bitcoins innerhalb von 48 Stunden bezahlt werden, so die Betrüger.

 

Es gibt kein Video – Alles nur Einschüchterung

Die Erpressung funktioniert ganz ohne technische Hilfsmittel oder Hacks, ganz allein über Social-Engineering. Der Benutzer wurde nicht gehackt, es gibt auch kein Video. Es wird nur versucht das Opfer zu verängstigen und einzuschüchtern. Die Angst vor der sozialen Scham würde ein solches Video veröffentlicht, soll Opfer zum Zahlen verleiten.

 

Die Polizei rät, sich von den Erpressern nicht einschüchtern zu lassen und auf keinen Fall auf den Deal einzugehen, sondern die Mail sofort zu löschen.


07.09.18

Vermeintliche Rechnung mit gefälschten E-Mail-Absender von Mitarbeitern

Eine aktuelle Spam-Kampagne setzt auf starke Personalisierung: Sie täuscht als Absender reale E-Mail-Adressen von Mitarbeitern desselben Unternehmens vor. Neben E-Mails mit eher nichtssagendem Betreff wie «Scan 28923323236» beinhalten einige Betreffzeilen zusätzlich den Namen des Empfängers – etwa in der Form «WG: gescanntes Dokument 14517127599 [Empfänger]».

Die personalisierte Aufmachung verleitet zu reflexhaftem Anklicken

Der E-Mail-Text enthält einen Link, hinter dem sich je nach Wortlaut ein vermeintlicher Überweisungsbeleg oder ein Dokument mit angeblich angeforderten Informationen verbirgt. Angesichts der bekannten Absender-Adresse besteht erhöhte Gefahr, dass sich auch sicherheitsbewusste Anwender zum «reflexhaften». Anklicken verleiten lassen.

 

Auf der Zielseite wartet ein Word-Dokument mit der Bezeichnung Rechnungs-Details-68436558143.doc auf Download und Ausführung (die Namensgebung kann durchaus variieren).

 

Vermeintliche Rechnung enthält schädlichen Makro-Code

Das Word Dokument enthält Anweisungen was der Benutzer angeblich machen muss, damit er den Inhalt ansehen kann. Auf Englisch wird der Empfänger aufgefordert, mittels zwei Klicks auf gelbe Schaltflächen sowohl die Bearbeitung des Dokuments als auch die Ausführung eingebetteter Inhalte zu erlauben ( «Enable Editing»/«Enable Content»).

Das Word-Dokument bedient sich Social-Engineering-Strategien, um Empfänger zum Aktivieren schädlicher Inhalte zu verleiten.

Eine kurze Analyse fördert Makrocode zutage, der mittels einer autoopen()-Funktion automatisch startet. Der später im Code auftauchende Begriff «Shell» legt ausserdem nahe, dass weiterer Schadcode nachgeladen und ausgeführt wird. Um mit dem Office-Dokument einen Rechner zu infizieren, bedarf es also mehrerer Nutzer-Interaktionen. Gefährlich wird es allerdings , wenn die – mittlerweile standardmässige – Deaktivierung von Makros im Vorfeld vom Nutzer aufgehoben wurde.

 

 

Halten Sie sich an folgende Richtlinien

  • Wenn Sie nicht sicher sind warum Sie von einem Mitarbeiter eine E-Mail erhalten haben, fragen Sie zuerst telefonisch nach.
  • Klicken Sie auf keinen Link in einer E-Mail, der auf einen Ort ausserhalt Ihres Firmennetzes zeigt.
  • NIEMALS den Anweisungen in einem Worddokument folgen und Makros aktivieren oder Sicherheitsvorrichtungen ausschalten.

 

 

Quelle: heise.de


04.09.18

Erneut falsche Bewerbungsmails mit Schadsoftware im Umlauf

Der Erpressungstrojaner Gandcrab hat es derzeit auf Windows-Computer in Firmen abgesehen und versucht diese über den Anhang einer Bewerbungsmail zu infizieren. Vor allem Mitarbeiter im Personalwesen sollten aufpassen und angehängte Dateien von Bewerbungen genau Prüfung bevor sie sie öffnen.

 

Das E-Mail ist als Bewerbung getarnt und in fehlerfreiem Deutsch verfasst. Die Anlagen bestehen aus einer ZIP-Datei mit einem Namen in der Form von «Viktoria Hagen - Bewerbungsunterlagen.zip» und einer jpg-Bilddatei mit einem Portraitfoto. Der verwendete Name kann variieren.

 

Die ZIP-Dateien enthalten eine oder zwei EXE-Dateien mit der Schadsoftware. Obwohl es sich um EXE-Dateien handelt wird im Explorer ein PDF-Icon angezeigt!

Gefährlich: Im Explorer werden die exe-Dateien als PDFs angezeigt.

Seien Sie besonders vorsichtig bei E-Mails die sie nicht erwarten, wie in diesem Fall Blindbewerbungen oder auch wenn Sie den Absender nicht kennen. Wenn Sie eine solche E-Mal erhalten, löschen Sie sie und öffnen Sie auf keinen Fall die Anhänge.

 

Erstellen Sie regelmässig Backup Ihrer Daten und bewahren Sie sie an einem separaten, von Ihrem Arbeitsgerät getrennten Ort auf.

 

Nicht das erste mal

Die momentane Welle hat grosse Ähnlichkeit mit einer E-Mailwelle aus dem Jahr 2017, als Bewerbungsmail mit Schadsoftware im Anhang versendet wurden. Damals allerdings mit der Schadsoftware «Ordinypt».

 

 

Quelle: heise.de


05.07.18

Wieder betrügerische Anrufe bei Firmen

In den letzten Tagen mehren sich wiederum Anrufe bei potenziellen Opferfirmen, in denen sich Angreifer als Bankmitarbeiter ausgeben. Die Anrufer bitten um die Ausführung von Zahlungen oder geben vor, ein Update beim E-Banking durchführen zu müssen, das anschliessend getestet werden soll.  

Die Angreifer versuchen typischerweise die Mitarbeitenden der Firma zu überzeugen, eine Fernzugriffssoftware (zum Beispiel NTR-Cloud, Teamviewer) zu installieren, verbinden sich dann mit dem  Computer des Opfers und täuschen vor, ein E-Banking-Update durchzuführen. Anschliessend geben die Täter vor, dass das Update getestet werden müsse und versuchen das Opfer zu überzeugen, seine Zugangsdaten für das E-Banking der Firma einzugeben.  Anhand einer Testzahlung wollen die Angreifer die Funktionsweise des Systems überprüfen. Ist die Zahlung durch eine Kollektivunterschrift geschützt, versuchen die Betrüger das Opfer zu überzeugen, alle Unterschriftsberechtigten zu organisieren, um die Zahlung freizugeben.

In einer anderen Variante werden die Opfer angewiesen, aufgrund von dringenden E-Banking Updates für einige Tage auf das E-Banking zu verzichten. Im Falle von dringenden Transaktionen soll das Opfer eine durch die Betrüger angegebene Rufnummer kontaktieren. Ruft das Opfer den falschen Bankmitarbeiter an, um eine E-Banking Transaktion durchzuführen, werden sowohl Benutzername und Passwort als auch das Einmalpasswort nachgefragt. Der Angreifer bekommt so Zugang zum E-Banking der Firma. Dieses Vorgehen kann so lange wiederholt werden, bis das Opfer misstrauisch wird.

Die Beispiele zeigen, wie aktuell Social Engineering Methoden weiterhin sind. Die Sensibilisierung innerhalb der einzelnen Firmen ist der Schlüssel, solchen Betrugsversuchen wirksam vorzubeugen.

Empfehlungen:

  • Unternehmen sollten kontrollieren, welche Informationen über die eigene Firma online zugänglich sind. Geben Sie auf Ihrer Firmen-Website nie die E-Mail-Adressen von Vorstand bzw. Mitarbeitenden preis – verwenden Sie generische E-Mail Adressen.
  • Seien Sie misstrauisch, falls sich jemand mit ungewohnten Anliegen bei Ihnen meldet und überprüfen Sie den Anrufenden kritisch. Bei ungewöhnlichen Kontaktaufnahmen und Aufforderungen ist es empfehlenswert, innerhalb der Firma Rücksprache zu nehmen, um die Richtigkeit des Auftrages zu verifizieren. Sensibilisieren Sie die Mitarbeitenden bezüglich dieser Vorfälle, insbesondere die Mitarbeitenden in Schlüsselpositionen.
  • Geben Sie niemals per Telefon, E-Mail oder im Internet persönliche Zugangsdaten an Dritte weiter. Finanzinstitute werden Sie nie in einem Telefongespräch, E-Mail oder einer Kurznachricht dazu auffordern, vertrauliche Personendaten anzugeben.
  • Installieren Sie niemals Software, wenn Sie telefonisch oder schriftlich dazu aufgefordert werden. Erlauben Sie niemals einen Fremdzugriff auf Ihren Computer. Keine Bank wird Sie auffordern, an Tests von irgendwelchen Sicherheitsupdates mitzuwirken.
  • Sämtliche den Zahlungsverkehr betreffenden Prozesse, sollten firmenintern klar geregelt sein und von den Mitarbeitenden in allen Fällen konsequent eingehalten werden.

 

Quelle: Melde- und Analysestelle Informationssicherung MELANI


30.04.18

MELANI: 2. Halbjahresbericht 2017

Im Oktober 2017 musste der Internet-Konzern «Yahoo!» eingestehen, dass bei einem Hacker-Angriff im Jahr 2013 die Daten aller Nutzenden dieses Dienstes betroffen gewesen waren. Es dürften somit über 3 Milliarden Datensätze abgeflossen sein. Der Vorfall gilt als bisher grösster Datenabfluss weltweit. In der Schweiz gaben im zweiten Halbjahr 2017 vor allem die Datenabflüsse bei der Swisscom mit 800'000 Datensätzen sowie jener bei «dvd-shop.ch» mit 70'000 Datensätzen zu reden. Im Schwerpunktthema des aktuellen Halbjahresberichts beleuchtet MELANI unter anderem die Auswirkungen solcher Datenlecks, datenschutzrechtliche Aspekte sowie die Frage, wie Betroffene informiert werden sollen.

 

Crimeware weiterhin sehr aktiv

Auch im zweiten Halbjahr 2017 war der Einsatz von Crimeware, insbesondere Verschlüsselungs- und E-Banking-Trojaner, weit verbreitetet. Die Daten von MELANI/GovCERT zeigen, dass «Downadup», auch bekannt unter «Conficker», immer noch zu der in der Schweiz am stärksten verbreiteten Schadsoftware gehört, obwohl für die dabei ausgenutzte Sicherheitslücke seit mehr als zehn Jahren ein Patch zur Verfügung steht.

 

Angriffe auf industrielle Kontrollsysteme

Industrielle Kontrollsysteme sind nicht nur das Herz zahlreicher kritischer Infrastrukturen wie etwa der Energieversorgung, sondern auch zahlreicher medizintechnischer Geräte wie beispielsweise der MRI-Scanner oder Herzschrittmacher. Der Ausfall solcher Geräte kann für den Patienten im Extremfall lebensbedrohliche Ausmasse annehmen. Der vorliegende Halbjahresbericht behandelt die Herausforderungen rund um Sicherheitsupdates bei medizintechnischen Geräten und befasst sich mit möglichen Sicherheitslücken bei Herzschrittmachern.

 

Der 26. Halbjahresbericht MELANI ist publiziert unter:

MELANI - Halbjahresbericht 2/2017


14.03.18

Phishing-Trojaner tarnt sich als Post-E-Mail

Es ist eine Pishing-Welle im Gange, dabei werden gefälschte E-Mails im Namen der Schweizerischen Post verschickt. Die Melde- und Analysestelle Informationssicherung des Bundes (MELANI) bestätigt die Angriffsversuche.

Das Word-Dokument im Anhang enthält einen E-Banking-Trojaner

Im Anhang der E-Mail ist eine Word-Datei die einen E-Banking-Trojaner beinhaltet. Infizierte Systeme werden dabei so manipuliert, dass auf dem PC des Opfers der Eintrag des DNS-Servers auf einen bösartigen DNS-Server geändert wird und gefälschte Root-Zertifikate installiert werden. Nach der Infektion löscht der Trojaner alle Spuren, was es für Antiviren-Programme besonders schwierig macht, eine Infektion festzustellen. Bei erfolgreicher Infektion, erhalten die Betrüger die vollständige Kontrolle über den E-Banking-Account des Opfers.

 

Der verwendete Trojaner trägt den Namen Refete und wurde bereits 2013, 2016 und das letzte mal 2017 in der Schweiz und Österreich für Phishing-Angriffe verwendet.


07.02.18

Datenleck bei Swisscom

Im Herbst letzten Jahres sind Kontaktdaten von ungefähr 800'000 Kundinnen und Kunden der Swisscom gestohlen wurden. Betroffen sind mehrheitlich Mobilfunkkunden.  Dies gab Swisscom heute Mittwochmorgen in einer Medienmitteilung bekannt. Unbekannte hatten sich die Zugriffsrechte eines Vertriebspartners beschafft und die Kontaktdaten entwendet.

 

Betroffene Daten

Bei den entwendeten Daten handelt es sich um Name, Adresse, Geburtsdatum und Telefonnummer. Diese gelten laut dem Datenschutzgesetz als «nicht besonders schützenswerte Personendaten», die Swisscom von Gesetzes wegen erhebe und für den Abschluss eines Abos benötige. Vertriebspartnern sei es gestattet auf diese zuzugreifen um Kunden zu identifizieren, zu beraten, Verträge abzuschliessen oder anzupassen. Nicht betroffen sind Passwörter, Gesprächs- und Zahlungsdaten.

 

Check per SMS

Mobilfunkkunden können eine SMS mit dem Stichwort «Info» an die Nummer 444 senden und damit feststellen, ob Ihre Daten betroffen sind. Festnetz- und Firmenkunden seien per Mail und Brief informiert worden. Bis heute habe noch kein Anstieg bei Werbeanrufen oder anderen Aktivitäten festgestellt werden können.

 

 

Quelle: swisscom.ch


10.11.17

Schadsoftware Ordinypt versteckt sich in Bewerbungsschreiben

Die Schadsoftware «Ordinypt» befällt derzeit Benutzer aus Deutschland, wahrscheinlich sind auch Schweizer Firmen Ziele. Ordinypt wird als Anhang in E-Mails versendet. Es werden meist Personalabteilungen angeschrieben.

 

Das E-Mail ist als Bewerbung getarnt und in fehlerfreiem Deutsch verfasst. Die Anlagen bestehen aus einer ZIP-Datei mit dem Namen «Viktoria Henschel - Bewerbungsunterlagen.zip» und einer jpg-Bilddatei mit einem Portraitfoto. Die ZIP-Dateien enthalten zwei EXE-Dateien mit der Schadsoftware, beide mit dem Namen «Viktoria Henschel - Bewerbungsunterlagen - November.pdf.exe». Obwohl es sich um EXE-Dateien handelt wird im Explorer ein PDF-Icon angezeigt.

Bei flüchtigem Betrachten könnte man meinen, es handle sich im eine echte PDF-Datei.

Besonders gefährlich: Im Explorer werden die Dateiendungen bei bekannten Dateitypen standardmässig ausgeblendet. Die Endung .exe wird dann nicht angezeigt.

 

Sollte eine der beiden Dateien gestartet werden, beginnt das Programm Dateien zu zerstören. Die Schadsoftware tarnt sich als Ransomware: Sie ersetzt die zerstörten Dateien mit viel kleineren, zufällig generierten Dateien, so dass der Eindruck entsteht sie wären verschlüsselt. Das Wiederherstellen der originalen Dateien ist aber unmöglich. Löschen Sie diese E-Mail, sollten Sie sie erhalten.

 

 

Quelle: gdata.de


02.11.17

MELANI: 1. Halbjahresbericht 2017

Der am 2. November 2017 veröffentlichte 25. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cyber-Vorfällen der ersten Jahreshälfte 2017 im In- und Ausland. Im Schwerpunktthema widmet sich der Bericht den Verschlüsselungstrojanern «Wanna Cry» und «NotPetya», die im Frühjahr 2017 weltweit für Schlagzeilen gesorgt haben.

«Wanna Cry» und «NotPetya» richteten grossen Schaden an

Von den Verschlüsselungstrojanern «Wanna Cry» und «NotPetya» sollen gemäss Europol über 230'000 Opfer in 150 Staaten betroffen gewesen sein. Darunter waren Unternehmen wie z. B. die Deutsche Bahn, die spanische Telekommunikationsfirma Telefonica und zahlreiche Spitäler in Grossbritannien. In der Schweiz war lediglich eine kleine Anzahl von Privatpersonen und KMU betroffen. Das Schwerpunkthema befasst sich u. a. mit den Herausforderungen, die sich beim Aktualisieren von Systemen stellen, und zeigt auf, was bei der Datensicherung zu beachten ist.

Zunehmender Missbrauch von Behörden und namhaften Unternehmen

Im ersten Halbjahr 2017 gab es eine deutliche Zunahme von E-Mails zur Verteilung schadhafter Software, die angeblich von Bundesstellen oder von namhaften Unternehmen verschickt wurden. So stellte eine scheinbar von der Eidgenössischen Steuerverwaltung (ESTV) stammende Mail Steuerrückerstattungen in Aussicht. In einem anderen Fall wurden Vorladungen zu Gerichtsverhandlungen versendet, die vermeintlich von einer Kantonspolizei stammten. Unternehmen wie DHL, die Post oder Swisscom werden regelmässig missbraucht, um eine hohe Seriosität der Mails vorzutäuschen.

Politische Ereignisse als Auslöser für Cyber-Angriffe

Immer häufiger entladen sich politische Spannungen digital. Wo früher Häuserwände mit Graffitis besprüht wurden, verunstalten heute Hacktivisten Webseiten. So führten die Diskussionen in der Schweiz um den türkischen Präsidenten Erdogan zur Verunstaltung («Defacement») zahlreicher Schweizer Websites. Wie die Angreifer dabei vorgehen, lesen Sie im 25. Halbjahresbericht.

Der 25. Halbjahresbericht ist publiziert unter:
Halbjahresbericht 2017/1


29.08.17

Ransomware versteckt in JPG-Datei

Sicherheitsforscher haben eine neue Ransomware namens «SyncCrypt» entdeckt. Sie verbreitet sich via Spam-Mails, deren Anhang als Gerichtsbeschluss getarnt ist. Hinter Namen wie «CourtOrder_845493809.wsf» verbirgt sich ein Windows Script File (WSF), das, einmal ausgeführt, als Downloader für SyncCrypt dient.

 

Ungewöhnlich ist die Strategie, die SyncCrypt nutzt, um sich während des Downloads vor Antivirus-Software zu verstecken. Das Skript lädt die Ransomware nicht einfach als .exe-Datei herunter. Stattdessen nimmt es den Umweg über eine .jpg-Datei, in der sich ein Zip-Archiv verbirgt. Aus dieser extrahiert das Skript nach erfolgreichem Download die Ransomware, um sie anschliessend auszuführen.

 

Die Ransomware verschlüsselt eine Vielzahl von Dateitypen und versieht sie mit der Zusatzendung «.kk». Anschliessend erpresst sie ein Lösegeld in Bitcoin. Kostenlose Entschlüsselungs-Tools gibt es bislang nicht.

Viele Antivirenprogramme erkennen die Ransomware nicht

Die Übertragungsmethode als .jpg-Datei ist äusserst effektiv. Nur einer der insgesamt 58 Virenscanner auf VirusTotal.com erkannte den Trojaner in der Bilddatei, während immerhin 28 von 63 Scannern bei der .exe-Datei Alarm schlugen.

 

Die Bilddatei für sich genommen kann keinen Schaden anrichten. Erst in Kombination mit der Windows Skript Datei kommt der enthaltene Schadcode zur Ausführung. Diese Variante zeigt, dass immer neue Wege gefunden werden um ein System zu infizieren und bestehende Abwehrmechanismen auszuhebeln. Ein wachsamer Benutzer ist darum unerlässlich.

 

 

Quelle: heise.de


18.08.17

E-Banking: Angreifer haben es auf Aktivierungsbriefe abgesehen

Seit 2016 versuchen Angreifer mit Hilfe von Schadsoftware («Malware») wie beispielsweise «Retefe» mobile Authentifizierungsmethoden auf dem Smartphone mittels Social Engineering zu umgehen. Betroffen von solchen Angriffen sind Benutzerinnen und Benutzer von PhotoTAN, CrontoSign und SecureSign. Dies ist unabhängig von dem verwendeten Smartphone-Betriebssystem (Android, iOS).

 

Seit rund zwei Wochen beobachtet die Melde- und Analysestelle Informationssicherung (MELANI) nun auch vermehrt Angriffe, bei welchen die Angreifer versuchen, an Briefe von Banken mit Aktivierungsdaten zu gelangen. Dieser Aktivierungsbrief enthält üblicherweise ein Mosaikbild, welches beim erstmaligen Login eines Gerätes ins E-Banking mit einer App wie PhotoTAN, CrontoSign oder SecureSign eingescannt bzw. abfotografiert werden muss. Anschliessend wird das entsprechende Gerät von der Bank für die mobile Authentifizierungsmethode zugelassen.  Diese Briefe werden in der Regel von der Bank per Briefpost an die Kundinnen und Kunden versendet. Die Angreifer versuchen nun, mittels Social Engineering an die Aktivierungsdaten zu gelangen und fordern das Opfer dazu auf, diesen Brief einzuscannen oder zu fotografieren und an die Betrüger zu übermitteln.

Screenshot: Betrüger fordern das Opfer nach dem Login ins E-Banking auf, den Aktivierungsbrief einzuscannen und den Betrügern zu übermitteln.

Durch die Bekanntgabe der Information, welche im Aktivierungsbrief in Form eines Mosaikbildes hinterlegt sind, ist es den Betrügern unter Umständen möglich, sich in das E-Banking des Opfers einzuloggen, indem sie ein weiteres Smartphone für die Zwei-Faktor Authentifierzung (2FA) aktivieren. Ab diesem Zeitpunkt können sich die Angreifer jederzeit in das E-Banking Portal einloggen und ohne das Wissen des Opfers betrügerische Zahlungen von dessen Konto in Auftrag geben.

 

 

Im Umgang mit E-Banking empfiehlt MELANI: 

  • Den Aktivierungsbrief, welchen Sie von der Bank erhalten haben, ist persönlich. Teilen Sie diesen mit niemanden, auch nicht mit der Bank, selbst wenn Sie dazu aufgefordert werden. Im Zweifelsfall kontaktieren Sie telefonisch Ihre Bank oder Ihren Kundenberater.
  • Stellen Sie sicher, dass Sie beim Login-Vorgang ins E-Banking auf dem mobilen Gerät (beispielsweise Smartphone oder dediziertes PhotoTAN-Gerät) wirklich das Login bestätigen und dass es sich nicht bereits um die Visierung einer Zahlung handelt.
  • Falls Sie eine Zahlung visieren, lesen Sie immer den ganzen Text auf dem mobilen Gerät und überprüfen Sie Betrag und Empfänger (Name, IBAN) der Zahlung, bevor Sie diese freigeben.
  • Installieren Sie Smartphone-Apps nur aus dem offiziellen App-Store (Google Play bzw. Apple App Store). Installieren Sie niemals Apps aus unbekannten Quellen, auch nicht wenn Sie dazu aufgefordert werden. Modifizieren Sie Ihr Gerät nicht so, dass wesentliche Sicherheitsmechanismen ausgehebelt werden (z.B. „rooten“, „jailbreaken“).
  • Spielen Sie Sicherheitsupdates sowohl für den Computer wie auch für das Mobiltelefon ein, sobald eine solche Aktualisierung vorhanden ist.
  • Sollten Sie beim Login in das E-Banking Unregelmässigkeiten feststellen, kontaktieren Sie unverzüglich Ihre Bank. Solche Unregelmässigkeiten sind beispielsweise:
    • Sicherheitsmeldung vor dem Login ins E-Banking. Zum Beispiel «In Zusammenhang mit der Modernisierung des Sicherheitssystems kann von Ihnen beim Einloggen ins Benutzerkonto eine zusätzliche Identifizierung angefordert werden. […]»
    • Fehlermeldung nach dem Login ins E-Banking. Zum Beispiel «Fehler! Wegen eines technischen Problems sind wir unfähig, die Seite zu finden, nach der Sie suchen. Versuchen Sie bitte in 2 Minuten noch einmal.»
    • Sicherheitsmeldung nach dem Login ins E-Banking (z.B. «Sicherheitsmassnahme»), bei welcher Sie dazu aufgefordert werden, Festnetz- oder Handy-Nummer einzugeben
    • Aufforderung zur Installation einer Mobile-App nach dem Login ins E-Banking
    • Nach dem Login ins E-Banking erfolgt eine Weiterleitung auf eine Website, die nicht in Zusammenhang mit der Bank steht (z.B. auf google.ch).
    • Timer nach dem Login ins E-Banking. Zum Beispiel: «Bitte warten… (Bitte warten Sie eine Minute, die Seite nicht neu laden)»

 

Quelle: Melde- und Analysestelle Informationssicherung (MELANI)


20.07.17

SambaCry: Angriffe auf Linux-NAS-Boxen

Kriminelle benutzen die SambaCry Schwachstelle um einen Hintertür-Trojaner auf Linuxgeräten zu installieren, die eine ältere Version des Samba Filesharing-Servers benutzen.

 

Nach Expertenangaben der Firma Trend Micro, haben es die meisten Attacken auf NAS-Geräte abgesehen, einige davon werden mit der Samba Server-Software ausgeliefert die das Austauschen von Dateien zwischen unterschiedlichen Betriebssystemen erlaubt.

 

Die ersten Angriffe auf Linux-Rechner mittels dieser Hintertür wurden vor ungefähr einem Monat bekannt, als Forscher einen Trojaner entdeckten, der Linux-Server angreift, übernimmt und sie dann zum Schürfen der Kryptowährung Monero missbraucht. Jetzt nutzen die Angreifer offenbar diesen Infektionsweg, um gezielt NAS-Geräte zu kompromittieren.

 

Was genau die Angreifer mit den erbeuteten NAS-Boxen machen, sagt TrendMicro nicht. Auf Grund des Funktionsumfangs der Schadsoftware und ihrer Zielgeräte, darf man davon ausgehen, dass die Angreifer Daten stehlen wollen. Wahrscheinlich um sie im Untergrund in Hackerforen zu verkaufen oder um die entsprechenden Firmen zu erpressen.

 

Zwar hat fast jede Linux-Distribution die SambaCry-Lücke mittlerweile geschlossen, da es sich bei den meisten NAS-Geräten allerdings um Embedded-Systeme handelt, sind viele von ihnen noch angreifbar. Leider zeigt sich erneut das Problem mit dem Internet der Dinge (Internet of Things, IoT) und Herstellern, welche die Firmware auf ihren Geräten nur sehr langsam und in den meisten Fällen gar nicht aktualisieren. Wie es aussieht wird die SambaCry-Lücke auf älteren Systemen noch einige Zeit missbraucht werden.

 

 

Quelle: heise.de


27.06.17

Petya – Neue Ransomwarewelle

Seit diesem Nachmittag werden in verschiedenen Ländern Europas und weltweit Firmen mit einer neuen Ransomware angegriffen. Die meisten Angriffe finden in der Ukraine und Russland statt, es sind aber auch Fälle aus Italien, Polen, den Niederlanden, Deutschland und anderen Ländern bekannt. Eine Ausbreitung auf die Schweiz ist möglich.

 

Die Schadsoftware ist eine Variante des Trojaners Petya, der bereits 2016 aufgetaucht war. Das Programm soll mehrere Angriffsmöglichkeiten besitzen. Ein Angriffsvektor ist die Verwendung der selben Schwachstelle die schon WannaCry im letzten Mai verwendet hat. Systeme die regelmässig die neusten Windows Updates installieren sind geschützt.

 

Eine andere Art wie Petya auf ein System gelangt, ist über infizierte Word-Anhänge die per E-Mail versendet werden. Sollte die Schadsoftware auf diesem Weg auf ein gepatchtes System gelangen, kann es die Sicherheitsvorkehrkungen umgehen und sich trotzdem im Netzwerk ausbreiten.

 

Die Schadsoftware wartet nach der Infektion 10 bis 60 Minuten und startet anschliessend den Computer automatisch neu. Nach dem Neustart erscheint nur noch ein Bild mit der Lösegeldforderung. Die Dateien sind dann verschlüsselt, der Computer nicht mehr benutzbar.

Bildschirm mit Lösegeldforderung nach der Infizierung

Wir empfehlen in den nächsten Tagen Ihre E-Mails besonders genau zu überprüfen und unsere Richtlinien zum Umgang mit E-Mails zu befolgen:

  • Misstrauen Sie E-Mails, die Sie unaufgefordert erhalten: Nicht nur bei E-Mails von unbekannten Personen sollte man kritisch sein, sondern auch bei bekannten Absendern Vorsicht walten lassen. Besonders vertrauenswürdige Firmen werden gerne als gefälschte Absenderadressen missbraucht.
  • Lassen Sie sich nicht unter Druck setzen. Nehmen Sie sich bei unerwarteten E-Mails genügend Zeit für Abklärungen und fragen Sie im Zweifelsfall bei der Firma oder dem Absender nach. Benutzen Sie dabei nicht die allenfalls in der E-Mail angegebene Telefonnummer, sondern suchen Sie die Telefonnummer beispielsweise auf der bekannten Firmenwebseite oder dem Onlinetelefonbuch heraus.
  • Öffnen Sie keine Anhänge, wenn Sie nicht absolut sicher sind was es ist.
  • Sollten Sie beim Öffnen eines vermeintlich vertrauenswürdigen Anhangs Sicherheitswarnungen erhalten (z.B. bei Word- oder PDF-Anhängen), die Sie zum Aktivieren einer Funktion auffordern, stellen Sie sicher, dass es eine legitime Anfrage ist. Wenn Sie das nicht beurteilen können, wenden Sie sich an einen Experten, bevor Sie etwas anklicken.

 

Quelle: Diverese Webseiten, unter anderem heise.de