Internetwarnungen

10.11.17

Schadsoftware Ordinypt versteckt sich in Bewerbungsschreiben

Die Schadsoftware «Ordinypt» befällt derzeit Benutzer aus Deutschland, wahrscheinlich sind auch Schweizer Firmen Ziele. Ordinypt wird als Anhang in E-Mails versendet. Es werden meist Personalabteilungen angeschrieben.

 

Das E-Mail ist als Bewerbung getarnt und in fehlerfreiem Deutsch verfasst. Die Anlagen bestehen aus einer ZIP-Datei mit dem Namen «Viktoria Henschel - Bewerbungsunterlagen.zip» und einer jpg-Bilddatei mit einem Portraitfoto. Die ZIP-Dateien enthalten zwei EXE-Dateien mit der Schadsoftware, beide mit dem Namen «Viktoria Henschel - Bewerbungsunterlagen - November.pdf.exe». Obwohl es sich um EXE-Dateien handelt wird im Explorer ein PDF-Icon angezeigt.

Bei flüchtigem Betrachten könnte man meinen, es handle sich im eine echte PDF-Datei.

Besonders gefährlich: Im Explorer werden die Dateiendungen bei bekannten Dateitypen standardmässig ausgeblendet. Die Endung .exe wird dann nicht angezeigt.

 

Sollte eine der beiden Dateien gestartet werden, beginnt das Programm Dateien zu zerstören. Die Schadsoftware tarnt sich als Ransomware: Sie ersetzt die zerstörten Dateien mit viel kleineren, zufällig generierten Dateien, so dass der Eindruck entsteht sie wären verschlüsselt. Das Wiederherstellen der originalen Dateien ist aber unmöglich. Löschen Sie diese E-Mail, sollten Sie sie erhalten.

 

 

Quelle: gdata.de


02.11.17

MELANI: 1. Halbjahresbericht 2017

Der am 2. November 2017 veröffentlichte 25. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cyber-Vorfällen der ersten Jahreshälfte 2017 im In- und Ausland. Im Schwerpunktthema widmet sich der Bericht den Verschlüsselungstrojanern «Wanna Cry» und «NotPetya», die im Frühjahr 2017 weltweit für Schlagzeilen gesorgt haben.

«Wanna Cry» und «NotPetya» richteten grossen Schaden an

Von den Verschlüsselungstrojanern «Wanna Cry» und «NotPetya» sollen gemäss Europol über 230'000 Opfer in 150 Staaten betroffen gewesen sein. Darunter waren Unternehmen wie z. B. die Deutsche Bahn, die spanische Telekommunikationsfirma Telefonica und zahlreiche Spitäler in Grossbritannien. In der Schweiz war lediglich eine kleine Anzahl von Privatpersonen und KMU betroffen. Das Schwerpunkthema befasst sich u. a. mit den Herausforderungen, die sich beim Aktualisieren von Systemen stellen, und zeigt auf, was bei der Datensicherung zu beachten ist.

Zunehmender Missbrauch von Behörden und namhaften Unternehmen

Im ersten Halbjahr 2017 gab es eine deutliche Zunahme von E-Mails zur Verteilung schadhafter Software, die angeblich von Bundesstellen oder von namhaften Unternehmen verschickt wurden. So stellte eine scheinbar von der Eidgenössischen Steuerverwaltung (ESTV) stammende Mail Steuerrückerstattungen in Aussicht. In einem anderen Fall wurden Vorladungen zu Gerichtsverhandlungen versendet, die vermeintlich von einer Kantonspolizei stammten. Unternehmen wie DHL, die Post oder Swisscom werden regelmässig missbraucht, um eine hohe Seriosität der Mails vorzutäuschen.

Politische Ereignisse als Auslöser für Cyber-Angriffe

Immer häufiger entladen sich politische Spannungen digital. Wo früher Häuserwände mit Graffitis besprüht wurden, verunstalten heute Hacktivisten Webseiten. So führten die Diskussionen in der Schweiz um den türkischen Präsidenten Erdogan zur Verunstaltung («Defacement») zahlreicher Schweizer Websites. Wie die Angreifer dabei vorgehen, lesen Sie im 25. Halbjahresbericht.

Der 25. Halbjahresbericht ist publiziert unter:
Halbjahresbericht 2017/1


29.08.17

Ransomware versteckt in JPG-Datei

Sicherheitsforscher haben eine neue Ransomware namens «SyncCrypt» entdeckt. Sie verbreitet sich via Spam-Mails, deren Anhang als Gerichtsbeschluss getarnt ist. Hinter Namen wie «CourtOrder_845493809.wsf» verbirgt sich ein Windows Script File (WSF), das, einmal ausgeführt, als Downloader für SyncCrypt dient.

 

Ungewöhnlich ist die Strategie, die SyncCrypt nutzt, um sich während des Downloads vor Antivirus-Software zu verstecken. Das Skript lädt die Ransomware nicht einfach als .exe-Datei herunter. Stattdessen nimmt es den Umweg über eine .jpg-Datei, in der sich ein Zip-Archiv verbirgt. Aus dieser extrahiert das Skript nach erfolgreichem Download die Ransomware, um sie anschliessend auszuführen.

 

Die Ransomware verschlüsselt eine Vielzahl von Dateitypen und versieht sie mit der Zusatzendung «.kk». Anschliessend erpresst sie ein Lösegeld in Bitcoin. Kostenlose Entschlüsselungs-Tools gibt es bislang nicht.

Viele Antivirenprogramme erkennen die Ransomware nicht

Die Übertragungsmethode als .jpg-Datei ist äusserst effektiv. Nur einer der insgesamt 58 Virenscanner auf VirusTotal.com erkannte den Trojaner in der Bilddatei, während immerhin 28 von 63 Scannern bei der .exe-Datei Alarm schlugen.

 

Die Bilddatei für sich genommen kann keinen Schaden anrichten. Erst in Kombination mit der Windows Skript Datei kommt der enthaltene Schadcode zur Ausführung. Diese Variante zeigt, dass immer neue Wege gefunden werden um ein System zu infizieren und bestehende Abwehrmechanismen auszuhebeln. Ein wachsamer Benutzer ist darum unerlässlich.

 

 

Quelle: heise.de


18.08.17

E-Banking: Angreifer haben es auf Aktivierungsbriefe abgesehen

Seit 2016 versuchen Angreifer mit Hilfe von Schadsoftware («Malware») wie beispielsweise «Retefe» mobile Authentifizierungsmethoden auf dem Smartphone mittels Social Engineering zu umgehen. Betroffen von solchen Angriffen sind Benutzerinnen und Benutzer von PhotoTAN, CrontoSign und SecureSign. Dies ist unabhängig von dem verwendeten Smartphone-Betriebssystem (Android, iOS).

 

Seit rund zwei Wochen beobachtet die Melde- und Analysestelle Informationssicherung (MELANI) nun auch vermehrt Angriffe, bei welchen die Angreifer versuchen, an Briefe von Banken mit Aktivierungsdaten zu gelangen. Dieser Aktivierungsbrief enthält üblicherweise ein Mosaikbild, welches beim erstmaligen Login eines Gerätes ins E-Banking mit einer App wie PhotoTAN, CrontoSign oder SecureSign eingescannt bzw. abfotografiert werden muss. Anschliessend wird das entsprechende Gerät von der Bank für die mobile Authentifizierungsmethode zugelassen.  Diese Briefe werden in der Regel von der Bank per Briefpost an die Kundinnen und Kunden versendet. Die Angreifer versuchen nun, mittels Social Engineering an die Aktivierungsdaten zu gelangen und fordern das Opfer dazu auf, diesen Brief einzuscannen oder zu fotografieren und an die Betrüger zu übermitteln.

Screenshot: Betrüger fordern das Opfer nach dem Login ins E-Banking auf, den Aktivierungsbrief einzuscannen und den Betrügern zu übermitteln.

Durch die Bekanntgabe der Information, welche im Aktivierungsbrief in Form eines Mosaikbildes hinterlegt sind, ist es den Betrügern unter Umständen möglich, sich in das E-Banking des Opfers einzuloggen, indem sie ein weiteres Smartphone für die Zwei-Faktor Authentifierzung (2FA) aktivieren. Ab diesem Zeitpunkt können sich die Angreifer jederzeit in das E-Banking Portal einloggen und ohne das Wissen des Opfers betrügerische Zahlungen von dessen Konto in Auftrag geben.

 

 

Im Umgang mit E-Banking empfiehlt MELANI: 

  • Den Aktivierungsbrief, welchen Sie von der Bank erhalten haben, ist persönlich. Teilen Sie diesen mit niemanden, auch nicht mit der Bank, selbst wenn Sie dazu aufgefordert werden. Im Zweifelsfall kontaktieren Sie telefonisch Ihre Bank oder Ihren Kundenberater.
  • Stellen Sie sicher, dass Sie beim Login-Vorgang ins E-Banking auf dem mobilen Gerät (beispielsweise Smartphone oder dediziertes PhotoTAN-Gerät) wirklich das Login bestätigen und dass es sich nicht bereits um die Visierung einer Zahlung handelt.
  • Falls Sie eine Zahlung visieren, lesen Sie immer den ganzen Text auf dem mobilen Gerät und überprüfen Sie Betrag und Empfänger (Name, IBAN) der Zahlung, bevor Sie diese freigeben.
  • Installieren Sie Smartphone-Apps nur aus dem offiziellen App-Store (Google Play bzw. Apple App Store). Installieren Sie niemals Apps aus unbekannten Quellen, auch nicht wenn Sie dazu aufgefordert werden. Modifizieren Sie Ihr Gerät nicht so, dass wesentliche Sicherheitsmechanismen ausgehebelt werden (z.B. „rooten“, „jailbreaken“).
  • Spielen Sie Sicherheitsupdates sowohl für den Computer wie auch für das Mobiltelefon ein, sobald eine solche Aktualisierung vorhanden ist.
  • Sollten Sie beim Login in das E-Banking Unregelmässigkeiten feststellen, kontaktieren Sie unverzüglich Ihre Bank. Solche Unregelmässigkeiten sind beispielsweise:
    • Sicherheitsmeldung vor dem Login ins E-Banking. Zum Beispiel «In Zusammenhang mit der Modernisierung des Sicherheitssystems kann von Ihnen beim Einloggen ins Benutzerkonto eine zusätzliche Identifizierung angefordert werden. […]»
    • Fehlermeldung nach dem Login ins E-Banking. Zum Beispiel «Fehler! Wegen eines technischen Problems sind wir unfähig, die Seite zu finden, nach der Sie suchen. Versuchen Sie bitte in 2 Minuten noch einmal.»
    • Sicherheitsmeldung nach dem Login ins E-Banking (z.B. «Sicherheitsmassnahme»), bei welcher Sie dazu aufgefordert werden, Festnetz- oder Handy-Nummer einzugeben
    • Aufforderung zur Installation einer Mobile-App nach dem Login ins E-Banking
    • Nach dem Login ins E-Banking erfolgt eine Weiterleitung auf eine Website, die nicht in Zusammenhang mit der Bank steht (z.B. auf google.ch).
    • Timer nach dem Login ins E-Banking. Zum Beispiel: «Bitte warten… (Bitte warten Sie eine Minute, die Seite nicht neu laden)»

 

Quelle: Melde- und Analysestelle Informationssicherung (MELANI)


20.07.17

SambaCry: Angriffe auf Linux-NAS-Boxen

Kriminelle benutzen die SambaCry Schwachstelle um einen Hintertür-Trojaner auf Linuxgeräten zu installieren, die eine ältere Version des Samba Filesharing-Servers benutzen.

 

Nach Expertenangaben der Firma Trend Micro, haben es die meisten Attacken auf NAS-Geräte abgesehen, einige davon werden mit der Samba Server-Software ausgeliefert die das Austauschen von Dateien zwischen unterschiedlichen Betriebssystemen erlaubt.

 

Die ersten Angriffe auf Linux-Rechner mittels dieser Hintertür wurden vor ungefähr einem Monat bekannt, als Forscher einen Trojaner entdeckten, der Linux-Server angreift, übernimmt und sie dann zum Schürfen der Kryptowährung Monero missbraucht. Jetzt nutzen die Angreifer offenbar diesen Infektionsweg, um gezielt NAS-Geräte zu kompromittieren.

 

Was genau die Angreifer mit den erbeuteten NAS-Boxen machen, sagt TrendMicro nicht. Auf Grund des Funktionsumfangs der Schadsoftware und ihrer Zielgeräte, darf man davon ausgehen, dass die Angreifer Daten stehlen wollen. Wahrscheinlich um sie im Untergrund in Hackerforen zu verkaufen oder um die entsprechenden Firmen zu erpressen.

 

Zwar hat fast jede Linux-Distribution die SambaCry-Lücke mittlerweile geschlossen, da es sich bei den meisten NAS-Geräten allerdings um Embedded-Systeme handelt, sind viele von ihnen noch angreifbar. Leider zeigt sich erneut das Problem mit dem Internet der Dinge (Internet of Things, IoT) und Herstellern, welche die Firmware auf ihren Geräten nur sehr langsam und in den meisten Fällen gar nicht aktualisieren. Wie es aussieht wird die SambaCry-Lücke auf älteren Systemen noch einige Zeit missbraucht werden.

 

 

Quelle: heise.de


27.06.17

Petya – Neue Ransomwarewelle

Seit diesem Nachmittag werden in verschiedenen Ländern Europas und weltweit Firmen mit einer neuen Ransomware angegriffen. Die meisten Angriffe finden in der Ukraine und Russland statt, es sind aber auch Fälle aus Italien, Polen, den Niederlanden, Deutschland und anderen Ländern bekannt. Eine Ausbreitung auf die Schweiz ist möglich.

 

Die Schadsoftware ist eine Variante des Trojaners Petya, der bereits 2016 aufgetaucht war. Das Programm soll mehrere Angriffsmöglichkeiten besitzen. Ein Angriffsvektor ist die Verwendung der selben Schwachstelle die schon WannaCry im letzten Mai verwendet hat. Systeme die regelmässig die neusten Windows Updates installieren sind geschützt.

 

Eine andere Art wie Petya auf ein System gelangt, ist über infizierte Word-Anhänge die per E-Mail versendet werden. Sollte die Schadsoftware auf diesem Weg auf ein gepatchtes System gelangen, kann es die Sicherheitsvorkehrkungen umgehen und sich trotzdem im Netzwerk ausbreiten.

 

Die Schadsoftware wartet nach der Infektion 10 bis 60 Minuten und startet anschliessend den Computer automatisch neu. Nach dem Neustart erscheint nur noch ein Bild mit der Lösegeldforderung. Die Dateien sind dann verschlüsselt, der Computer nicht mehr benutzbar.

Bildschirm mit Lösegeldforderung nach der Infizierung

Wir empfehlen in den nächsten Tagen Ihre E-Mails besonders genau zu überprüfen und unsere Richtlinien zum Umgang mit E-Mails zu befolgen:

  • Misstrauen Sie E-Mails, die Sie unaufgefordert erhalten: Nicht nur bei E-Mails von unbekannten Personen sollte man kritisch sein, sondern auch bei bekannten Absendern Vorsicht walten lassen. Besonders vertrauenswürdige Firmen werden gerne als gefälschte Absenderadressen missbraucht.
  • Lassen Sie sich nicht unter Druck setzen. Nehmen Sie sich bei unerwarteten E-Mails genügend Zeit für Abklärungen und fragen Sie im Zweifelsfall bei der Firma oder dem Absender nach. Benutzen Sie dabei nicht die allenfalls in der E-Mail angegebene Telefonnummer, sondern suchen Sie die Telefonnummer beispielsweise auf der bekannten Firmenwebseite oder dem Onlinetelefonbuch heraus.
  • Öffnen Sie keine Anhänge, wenn Sie nicht absolut sicher sind was es ist.
  • Sollten Sie beim Öffnen eines vermeintlich vertrauenswürdigen Anhangs Sicherheitswarnungen erhalten (z.B. bei Word- oder PDF-Anhängen), die Sie zum Aktivieren einer Funktion auffordern, stellen Sie sicher, dass es eine legitime Anfrage ist. Wenn Sie das nicht beurteilen können, wenden Sie sich an einen Experten, bevor Sie etwas anklicken.

 

Quelle: Diverese Webseiten, unter anderem heise.de


16.06.17

Schadsoftware: Vorsicht ist geboten - unabhängig vom Betriebssystem

Bei der Verbreitung von Schadsoftware via E-Mail versuchen Kriminelle vermehrt, ihre Opfer gezielt anzugreifen. Dabei sind nicht mehr nur ausschliesslich Windows Benutzer im Visier. In den vergangenen Wochen, hat die Melde- und Analysestelle Informationssicherung MELANI verschiedene Schadsoftware-Wellen beobachtet, welche sich gezielt gegen Schweizer Nutzende des Betriebssystems MacOS, das von Apple entwickelte Betriebssystem, richteten. Es ist deshalb wichtig in Erinnerung zu rufen, dass unabhängig vom verwendeten Betriebssystem und für alle Nutzenden Vorsicht geboten ist.

Täter sammlen zuerst Informationen über das Betriebssystem des Benutzers

Die Tendenz spezifische Systeme anzugreifen, um eine darauf zugeschnittene Schadsoftware zu platzieren ist nicht neu. So wurde beispielsweise bei den Angriffen gegen Bezahlsysteme vor einigen Monaten beobachtet, dass Schadsoftware den Computer auf das Vorhandensein  bestimmter Offline Zahlungssysteme untersuchte. War das entsprechende Programm auf dem Computer vorhanden, wurde anschliessend ein darauf zugeschnittener Schadcode gesendet.

 

Die Tendenz gezielter Schadsoftware hat sich in den letzten Wochen bestätigt mit einem grösser werdenden Interesse der Cyber-Kriminellen an Benutzern des Betriebssystems MacOS. So wurden in den letzten Wochen verschiedene E-Mail Wellen beobachtet, mit welchen versucht wurde Schadsoftware im Anhang spezifisch für das vom Opfer verwendete Betriebssystem zu verbreiten. Solche E-Mails geben normalerweise vor, von bekannten Firmen zu stammen, was mittlerweile ein bekannter Modus Operandi ist (Siehe Meldung: Zunehmender Missbrauch der Namen von Bundesstellen und Firmen). Die letzten beobachteten Versionen enthielten einen Anhang in Form einer ZIP-Datei, welcher eine detaillierte Rechnung einer angeblichen Bestellung hätte enthalten sollen. Einmal geöffnet, versuchte das Schadprogramm aber den Bankentrojaner Retefe zu installieren. Retefe ist ein in der Schweiz gut bekanntes Schadprogramm, das aber bislang von den Angreifern nur gegen das Windows Betriebssystem eingesetzt wurde.

 

Um nun die E-Mails gezielt zu versenden und das Betriebssystem eines bestimmten Opfers zu eruieren, versuchen die Kriminellen in einem ersten Schritt ein unverdächtiges E-Mail zu senden. Auch dieser Typ E-Mail kommt angeblich von einer bekannten Firma und gibt vor, unter verschiedenen Vorwänden eine Kontaktaufnahme machen zu wollen. Das E-Mail enthält einen kurzen Text oder in anderen Fällen nur die Kontaktdaten der vorgegaukelten Firma.  

 

Vorgehensweise um ein Betriebsystem gezielt anzugreifen

Die E-Mail enthält in Wirklichkeit aber ein kleines für den Mail-Empfänger fast unsichtbares Bild (1x1 Pixel). Wenn dieses Bild heruntergeladen wird (was abhängig von der E-Mail Konfiguration auch automatisch geschehen kann), wird eine Verbindung mit dem Server des Angreifers aufgebaut, auf welchem das Bild abgespeichert ist, und automatisch verschiedenste Informationen der Computerkonfiguration, unter anderem auch Informationen zum verwendeten Betriebssystem (generell der User Agent),  übermittelt. Die Kriminellen erhalten so die Möglichkeit, die E-Mail-Adresse mit der Computerkonfiguration in Verbindung zu bringen. In einem zweiten Schritt senden sie ein E-Mail , welches auf das entsprechende Betriebssystem zugeschnitten ist.

 

Wir erinnern deshalb daran, dass sich folgende Sicherheitsmassnahmen an alle Computernutzenden richten – unabhängig davon, welches Betriebssystems diese benutzen: 

  • Stellen Sie sicher, dass Ihr E-Mail-Programm oder -Dienst das automatische Herunterladen von Bildern oder anderen Dateien, welche in einer E-Mail vorhanden sind, blockt. Oft ist dieser Schutz schon voreingestellt.
  • Laden Sie keine Bilder in einer E-Mail Nachricht herunter, wenn Sie nicht vollständig sicher sind, woher das Bild stammt.
  • Misstrauen Sie E-Mails, die Sie unaufgefordert erhalten: Nicht nur bei E-Mails von unbekannten Personen sollte man kritisch sein, sondern auch bei bekannten Absendern Vorsicht walten lassen. Besonders vertrauenswürdige Firmen werden gerne als gefälschte Absenderadressen missbraucht.
  • Lassen Sie sich nicht unter Druck setzen. Nehmen Sie sich genügend Zeit für Abklärungen und fragen Sie im Zweifelsfall bei der Firma nach. Benutzen Sie dabei nicht die allenfalls in der E-Mail angegebene Telefonnummer, sondern suchen Sie die Telefonnummer beispielsweise auf der bekannten Firmenwebseite oder dem Onlinetelefonbuch heraus.
  • In seltenen Fällen kann es vorkommen, dass das Opfer zufälligerweise tatsächlich eine E-Mail von der Firma erwartet. Aber auch in diesen Fällen gibt es  zahlreiche Hinweise, mit welchen man eine betrügerische E-Mail von einer echten E-Mail unterscheiden kann (*). Auch hier gilt: Nehmen Sie sich Zeit, die Plausibilität zu überprüfen. 

(*) MELANI empfiehlt für E-Mails stets digitale Signaturen zu nutzen (S/MIME oder PGP).

Um eine Infektion mit Schadsoftware zu verhindern, empfehlen wir zudem folgende Massnahmen:

  • Stellen Sie sicher, dass potenziell schädliche E-Mail Anhänge bereits auf Ihrem E-Mail-Gateway bzw. Spam-Filter blockiert bzw. gefiltert werden. Gefährliche E-Mail Anhänge verwenden unter anderem folgende Datei-Endungen:

.js (JavaScript)
.jar (Java)
.bat (Batch file)
.exe (Windows executable)
.cpl (Control Panel)
.scr (Screensaver)
.com (COM file)
.pif (Program Information File)
.vbs (Visual Basic Script)
.ps1 (Windows PowerShell)
.wsf (Windows Script File)
.docm (Microsoft Word mit Makros)
.xlsm (Microsoft Excel mit Makros)
.pptm (Microsoft PowerPoint mit Makros)

 

Für das MaxOS System:

 

.app (Application macOS)
.pkg (Package Files)
.dmg (Disk Images)
.sh (Shell Scripts)
.py (Python Scripts)
.pl (Perl Scripts)

 

Diese Dateitypen können auch andere Datei-Endungen haben. Es ist deshalb wichtig, dass die Filterprogramme, nicht nur auf Basis der Endung des Dateinamens, sondern auch aufgrund des Inhaltes der Dateien filtern.

  • Versichern Sie sich, dass solche gefährlichen E-Mail-Anhänge auch dann blockiert werden, wenn diese in Archiv-Dateien wie beispielsweise ZIP, RAR oder aber auch in geschützten Archiv-Dateien (z.B. in einem passwortgeschützten ZIP) an Empfänger in Ihrem Unternehmen versendet werden.
  • Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten (z.B. Word, Excel oder PowerPoint Anhänge mit Makros).

 

Quelle: Melde- und Analysestelle Infirmationssicherung MELANI


13.05.17

Weltweite Angriffswelle des Erpressungstrojaners WannaCry

Ein neuer Erpressungstrojaner ist im Umlauf. Der WannaCry genannte Trojaner hat weltweit Server befallen und tausende von Systemen gesperrt.

Auch in der Schweiz sind Firmen Opfer des Trojaners geworden. Wichtig:

  • Öffnen Sie keine E-Mailanhänge, wenn Sie keine E-Mail mit Anhang erwarten und wissen was im Anhang drin ist
  • Aktivieren Sie die automatischen Windows Updates
  • Verwenden Sie eine sauber konfigurierte Firewall
  • Erstelle Sie regelmässig Backups Ihrer Daten und bewaren Sie sie getrennt von Ihrem Computer auf

Die Verbreitung des Trojaners konnte inzwischen durch Sicherheitsfirmen verhindert werden. Es ist aber nur eine Frage der Zeit bis neue Varianten auftauchen deren Verbreitung noch nicht gestoppt werden kann.


08.05.17

Zunehmender Missbrauch der Namen von Bundesstellen und Firmen

In den letzten Monaten hat der Missbrauch der Namen von Bundestellen und bekannten Firmen als Absenderadresse zugenommen.

In den letzten Wochen haben Betrüger vermehrt E-Mails versandt, die angeblich von der Eidgenössischen Steuerverwaltung (ESTV) stammen. Dabei wird auf eine fiktive Steuerrückerstattung Bezug genommen, welche man durch Ausfüllen eines angehängten Dokumentes erhalten soll. In anderen Fällen versuchen die Betrüger, mit der gefälschten Absenderadresse der ESTV, den Steuerpflichtigen eine Dienstleistungen anzubieten. Beim Öffnen des Dokuments wird dann allerdings eine Schadsoftware installiert. Solche Betrugsmails werden zu hunderttausenden in Umlauf gesetzt und werden über kompromittierte Server in der ganzen Welt versendet. In diesem Falle speziell war zudem, dass neben Schadsoftwarevarianten für das Betriebssystem Windows auch solche für  MacOSX versendet wurden.

Beispiel einer betrügerischen E-Mail

Die Angreifer verwenden als Absender vermehrt auch bekannte Firmennamen, um dem E-Mail ein seriöses Aussehen zu geben. Beliebt bei Angreifern sind ebenfalls angebliche Paketzustellversuche beispielsweise von DHL, Post oder Zahlungsanweisungen. Ein bekanntes Beispiel sind gefälschte Swisscom Rechnungen, mit denen Angreifer im Februar 2017 versucht haben, die Schadsoftware Dridex zu verbreiten.

Gefälschte Swisscom Rechnungen, mit denen Angreifer im Februar 2017 versucht haben, die Schadsoftware Dridex zu verbreiten

Auch gefälschte Einladungen zu Gerichtsverhandlungen oder E-Mails, die angeblich von der Kantonspolizei stammen, benutzen die Angreifer, um den Empfänger zu verunsichern und diesen zu verleiten auf einen Link zu klicken.

Ziel der Angreifer ist es, den Benutzer zu überrumpeln, seine Neugier zu wecken oder ihm Angst zu machen, um ihn dann zu einer unbedachten Aktion zu verleiten. In den meisten Fällen wird schnell klar, dass es sich um eine Fälschung handelt. So kommuniziert beispielsweise die ESTV nur auf dem Postweg und nie via E-Mail.

Bei den missbrauchten Organisationen sorgen betrügerische E-Mails für ein grosses Meldeaufkommen. Zusätzlich können sich solche E-Mails auch auf die Reputation eines Unternehmens auswirken.

 

Beachten Sie die nachfolgenden Empfehlungen:

Für E-Mail Empfänger: 

  • Misstrauen Sie E-Mails, die Sie unaufgefordert erhalten: Es gilt nicht mehr nur bei E-Mails von unbekannten Personen kritisch zu sein, sondern auch bei bekannten Absendern Vorsicht walten zu lassen. Besonders vertrauenswürdige Firmen werden gerne als gefälschte Absenderadressen missbraucht.
  • Lassen Sie sich nicht unter Druck setzen. Nehmen Sie sich genügend Zeit für Abklärungen und fragen Sie im Zweifelsfall bei der Firma nach.
  • In seltenen Fällen kann es vorkommen, dass das Opfer zufälligerweise tatsächlich ein E-Mail von der Firma erwartet. Aber auch in diesen Fällen gibt es  zahlreiche Hinweise, mit welchen man ein betrügerisches E-Mail von einem echten E-Mail unterscheiden kann. Auch hier gilt: Nehmen Sie sich Zeit die Plausibilität zu überprüfen. Achten Sie zum Beispiel auf die Verwendung von Vor- und Nachnamen: In legitimen E-Rechnungen wird der Empfänger mit Vor- und Nachnamen angesprochen. Diese Anrede ist bei betrügerischen Mails immer noch die Ausnahme. Im Zweifelsfall erkundigen Sie sich bei der Firma, ob eine Rechnung ausgelöst wurde oder bitten Sie diese, die Rechnung erneut zuzustellen. 

Für Firmen, deren Namen als Absender missbraucht wurde: 

  • Sollte Ihr Firmenname für Betrugs-E-Mails missbraucht werden, weisen Sie auf der Startseite gut sichtbar darauf hin, dass ihre Firma als Absender für Schadsoftware-E-Mails missbraucht wird. Geben Sie den Kunden Ihre Empfehlung ab, wie sie sich verhalten sollen.
  • Weisen Sie Ihre Kunden mittels einem regelmässig erscheinenden Newsletter oder direkt auf die Betrugsversuche hin.
  • Halten Sie bei der Kundenkommunikation via E-Mail folgende Grundregeln ein und teilen Sie diese den Kunden mit:
    • Mit Links in E-Mails sparsam umgehen und nur auf die eigene Domäne verlinken. Wenn möglich Links auf durch Verschlüsselung gesicherte Seiten (https) verwenden und dies dem Empfänger mitteilen.
    • Keine versteckten Links benutzen, sondern immer die Links für den Benutzer sichtbar machen.
    • Nicht auf Webseiten verlinken, die Benutzername und Passwort oder andere Eingaben verlangen.
    • Kunden mit Vor- und Nachnamen anschreiben, sofern diese Information vorhanden ist.
    • Wichtige Informationen zu Konten schriftlich per Brief versenden - gerade im Finanzsektor.

 

Quelle: Melde- und Analysestelle Infirmationssicherung MELANI


26.04.17

Warnung vor betrügerischer Masche in sozialen Netzwerken

Seit anfangs Jahr gingen bei der Kriminalpolizei der Staatsanwaltschaft Basel-Stadt rund 40 Anzeigen wegen einer speziellen Betrugsmasche ein. Ziel der Täter ist, an persönliche Daten der Nutzer (social network users) zu gelangen und sich unrechtmässig zu bereichern.

 

Die Geschädigten erhielten auf ihrem Account eine Freundschaftsanfrage. Im Glauben, es handelt sich um eine Bekannte oder einen Freund, nahmen sie die Freundschaftsanfrage an und gaben ihre Telefonnummer preis. Kurz darauf erhielten sie eine SMS mit der Aufforderung, diese zu bestätigen.

Gelingt es den falschen Freunden, ihre Opfer dazu zu bringen, eine SMS-Bestätigung zu senden oder ihnen einen Code mitzuteilen, wird unmittelbar danach ihre Telefonrechnung mit bis zu 100 Franken belastet.

Die Staatsanwaltschaft rät zur Vorsicht bei so genannten Freundschaftsanfragen in sozialen Netzwerken und empfiehlt, weder Daten noch andere persönliche Informationen Unbekannten preis zu geben. Die Gefahr, Opfer von Cyberkriminellen zu werden, kann dadurch verringert werden. Im Weiteren wird empfohlen:

  • Seien Sie vorsichtig bei Freundschaftsanfragen
  • Prüfen Sie, ob die Person nicht schon in Ihrer Freundesliste ist
  • Wenn Sie "zweifelhafte" Anfragen von Bekannten erhalten, erkundigen Sie sich ausserhalb sozialer Netzwerke nach der Vertrauenswürdigkeit dieser Nachricht
  • Gehen Sie nicht auf eine falsche Freundschaftsanfrage ein bzw. lehnen Sie diese ab
  • Falls Sie eine solche Anfrage doch angenommen haben, sollte der "Freund" aus der Freundschaftsliste sofort gelöscht werden
  • Teilen Sie den richtigen Freunden mit, dass man eine falsche Freundschaftsanfrage erhalten hat und möglicherweise das Profil kopiert wurde
  • Melden Sie Missbräuche dem Betreiber des sozialen Netzwerks.

Quelle: http://www.polizeiticker.ch/


24.04.17

Internet der Dinge: Schwerpunktthema im Halbjahresbericht MELANI

Der am 20. April veröffentlichte 24. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cyber-Vorfällen der zweiten Jahreshälfte 2016 im In- und Ausland. Im Schwerpunktthema widmet sich der Bericht dem immer bedeutender werdenden Internet der Dinge.

Schätzungen zufolge waren 2016 bereits über 6 Milliarden Geräte ans Internet angeschlossen, die dem Internet der Dinge zuzuordnen sind. Bis ins Jahr 2020 sollen es rund 20 Milliarden sein. Von sogenannten «Wearables», am Körper getragene oder in Kleider eingenähte Anwendungen wie beispielsweise Smartwatches oder Fitnesstracker, über selbstfahrende Autos bis hin zu Steuerungsanlagen grosser Gebäudekomplexe wird alles ans Internet angeschlossen. Oftmals kümmern sich jedoch die Hersteller und auch die Benutzenden zu wenig um die Sicherheitsaspekte. Der Halbjahresbericht zeigt die Problematik auf und gibt Empfehlungen für den sicheren Umgang mit dem Internet der Dinge ab.

Die Schweiz als indirektes Ziel von Cyber-Spionage

Im zweiten Halbjahr 2016 wurden Cyber-Spionagekampagnen publik, die zwar einen Bezug zur Schweiz haben, bei denen unser Land aber nicht das eigentliche Ziel dieser Operationen war. So standen unter anderem die Welt-Anti-Doping-Agentur und der internationale Sportsgerichtshof im Zentrum der Aufmerksamkeit und damit indirekt auch die Schweiz, da letzterer den Sitz in Lausanne hat. Im Falle der Welt-Anti-Doping-Agentur war das offensichtliche Ziel die Antidoping-Daten bestimmter Sportler weltweit. Bei einem weiteren Angriff, der bereits länger zurückliegt, aber erst jetzt durch die Publikation der Gruppe «Shadow Brokers» bekannt wurde, waren unter anderem drei Server der Universität Genf betroffen. Der Halbjahresbericht beleuchtet diese Angriffe und nennt die Gründe, warum die Schweiz auch zum indirekten Ziel von Cyber-Spionage werden kann.

Weiterhin Betrugsversuche und Angriffe mit erpresserischen Forderungen

Auch im zweiten Halbjahr 2016 beobachtete MELANI zahlreiche Fälle von Cyber-Betrugsversuchen, bei welchen vor allem Unternehmen sehr viel Geld verlieren können. Auch DDoS-Angriffe und Verschlüsselungstrojaner sind bei den Angreifern immer noch von grosser Beliebtheit, um die Opfer zu erpressen. Der vorliegende Bericht befasst sich mit dieser Thematik, beschreibt einige Vorfälle und enthält Empfehlungen zum Schutz vor derartigen Angriffen.

Der 24. Halbjahresbericht MELANI ist publiziert unter:


07.12.16

Neuer Verschlüsselungstrojaner «Goldeneye»

Ein bisher unbekannter Verschlüsselungstrojaner tarnt sich als Bewerbungs-E-Mail und versucht Systeme zu verschlüsseln. Zur Zeit verbreitet er sich rasant in ganz Deutschland, es kann gut sein, dass auch bald Schweizer Firmen Ziele werden. Viele Virenscannern erkennen den Trojaner im Moment noch nicht.

Screenshot: Excel-Datei mit Sicherheitswarnung
Screenshot der Excel-Datei mit Sicherheitswarnung oben

Öffnet der Nutzer die angehängte Excel-Datei, wird er im Dokument darum gebeten, die "Bearbeitungsfunktion" des eingesetzten Tabellenkalkulationsprogramms zu aktivieren. Tut man dies und erlaubt dem Programm so, Makros auszuführen, ist es zu spät. Der Trojaner erzeugt dann zwei EXE-Dateien, führt sie aus und verschlüsselt Daten auf dem System, um anschließend Lösegeld zu fordern.

 

Auf der Festplatte hinterlegt der Trojaner eine Textdatei die ankündigt, Daten seien von der "GOLDENEYE RANSOMWARE" verschlüsselt. Diese Warnung wird auch auf Netzlaufwerken abgelegt. Bisher gibt es allerdings keine Anzeichen, dass auch hier Daten verschlüsselt werden.Bis jetzt enttarnen nur wenige Scanner den Schädling.

 

Momentan werden die bösartigen EXE-Dateien nach Erkenntnissen von AV-Test von nur sehr wenigen Virenscannern entdeckt. Ergebnisse beim Online-AV-Aggregator VirusTotal bestätigen dies. Bei den Excel-Dateien sieht es mit den Entdeckungsraten schon besser aus, weswegen die Drahtzieher des Trojaners diese wohl ständig ändern.

 

 

Quelle: heise.de


31.10.16

Cyber-Erpressung: Schwerpunktthema im Halbjahresbericht MELANI

Der kürzlich veröffentlichte 23. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) zeigt die wichtigsten Cyber-Vorfälle der ersten Jahreshälfte 2016 national und international auf. Der Bericht widmet sich im Schwerpunktthema den vermehrten Angriffen durch Cyber-Erpressung. Ausserdem stehen verschiedene Datenabflüsse im Fokus.

 

Seit Januar 2016 stellt MELANI eine markante Zunahme von Cyber-Angriffen fest, die von erpresserischen Forderungen begleitet sind. Ziel dieser Angriffe ist, die Daten für die Opfer unbrauchbar zu machen. Dies geschieht meist durch das Verschlüsseln der Daten mittels Trojaner oder durch Überlastung des Servers durch mutwillige Angriffe, sogenannte DDoS-Angriffe. Anschliessend wird vom Opfer die Bezahlung eines Lösegeldes gefordert. Im Visier der Angreifer stehen diejenigen Daten oder Systeme, die für eine Privatperson oder ein Unternehmen einen Wert haben und wichtig genug sind, dass die Opfer bereit sind zu bezahlen. Im Halbjahresbericht wird die Strategie aufgezeigt, die hinter diesen Angriffen steht, wie man sich verhalten soll, wenn man betroffen ist, und wie man vorbeugen kann. Im ersten Halbjahr 2016 wurden MELANI 6000 gehackte E-Mail- und Passwortkombinationen zugespielt. Diese Konten hätten für illegale Zwecke wie beispielsweise Betrügereien oder Erpressung missbraucht werden können, sofern das Passwort vom Inhaber nicht umgehend geändert wurde. Um allfällige Opfer zu unterstützen, publizierte MELANI ein Online-Tool, mit dem sich überprüfen liess, ob die eigene E-Mail-Adresse betroffen war.

 

Der 23. Halbjahresbericht MELANI ist publiziert unter: Halbjahresbericht 2016/1