Internetwarnungen

29.10.19

MELANI: 1. Halbjahresbericht 2019

Der 29. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cybervorfällen der ersten Jahreshälfte 2019 in der Schweiz wie auch international. Im aktuellen Bericht werden als Schwerpunktthema die Cyberangriffe mit Verschlüsselungstrojanern beleuchtet, welche im ersten Halbjahr 2019 weltweit grossen Schaden angerichtet haben.

 

 

Verschlüsselungstrojaner, sogenannte Ransomeware, gehören aktuell zu den gefährlichsten Cyberbedrohungen für Unternehmen, Organisationen und Verwaltungen. Ein erfolgreicher Angriff erfordert nicht nur den Einsatz von Zeit, Personal sowie Geld für die Bereinigung der Systeme und zur Wiederherstellung verlorener Daten. Er kann auch den Ruf eines Unternehmens schädigen oder einen temporären Produktivitätsverlust bedeuten. Um ein umfassendes Bild eines solchen Verschlüsselungsangriffs zu bieten, schildert die Stadt Bern, wie sie mit einem Ransomware-Vorfall umgegangen ist. Zudem erläutert die Kantonspolizei Zürich die Problematik aus Ermittlersicht. Weiter gibt MELANI Empfehlungen ab, wie man sich vor solchen Angriffen schützen kann.

 

 

Unterstützung für kleine und mittlere Elektrizitätsversorgungsunternehmen bei der Cybersicherheit

Im Fokus von Cyberangriffen stehen auch industrielle Kontrollsysteme wie etwa bei der Stromversorgung. Wie es um die Cybersicherheit von kleinen und mittleren Elektrizitätsversorgern (EVU) in der Schweiz steht, hat der Fachverband Electrosuisse in einer im Frühjahr 2019 veröffentlichen Studie aufgezeigt. Gemäss dieser findet die Cybersicherheit bei allen Unternehmen Beachtung. Bei der Gewährleistung der Informationssicherheit sind speziell bei kleineren Unternehmen verstärkte Massnahmen nötig. Um die Informatiksicherheit auszubauen, wurde eine Kooperation für Cybersecurity für die Stadtwerke ins Leben gerufen. Dank diesem Netzwerk können alle Kooperationspartner von den Erfahrungen der anderen profitieren und gemeinsam das Niveau der Informationssicherheit ständig anheben.

 

 

Erpressung mittels Fake-Sextortion nach wie vor aktuell

Im ersten Halbjahr 2019 gab es vermehrt Fake-Sextortion-E-Mails, in welchen die Angreifer die Opfer erpressen und behaupten, den Computer des Empfängers gehackt zu haben und über Bildmaterial zu verfügen, das sie beim Konsum pornografischer Inhalte im Internet zeige. Leider bezahlen immer noch viele Personen das verlangte Lösegeld. Deshalb hat MELANI in Zusammenarbeit mit verschiedenen Partnern im Frühjahr 2019 die Website www.stop-sextortion.ch ins Leben gerufen, um die Bevölkerung für dieses Thema zu sensibilisieren. Auf dieser Seite finden betroffene Personen Ratschläge, wie vorgegangen werden soll, sollten die Erpresser tatsächlich kompromittierendes Material besitzen.

 

 

Auf der Webseite von MELANI können Sie den ausführlichen Berichts als PDF herunterladen.

 

Quelle: Melde- und Analysestelle Informationssicherheit MELANI


Immer auf dem laufenden sein

Wir warnen vor aktuellen Viren, Trojanern sowie den neusten Betrugsmaschen, Scam-Mails, Verschlüsselungsprogramme und mehr.

Unsere Internetwarnungen abonnieren

31.07.19

Update Verschlüsselungs-Trojaner: Neue Vorgehensweise

Seit Anfang Juli wurden der Melde- Analysestelle Informationssicherung (MELANI) des Bundes vermehrt Cyber-Angriffe vermeldet, bei denen die Angreifer eine neue Vorgehensweise gewählt haben. Dabei werden Schweizer Unternehmen gezielt mittels schädlichen E-Mails angegriffen (sogenanntes Spear-Phishing).

 

 

Angriffsszenarien

Bislang sind folgende Angriffsszenarien bekannt:

  • Angreifer versenden gezielt schädliche E-Mails an Schweizer Unternehmen, um diese mit Ransomware zu infizieren. Diese beinhalten in der Regel einen Link auf eine bösartige Webseite oder einen schädlichen Dateianhang.
  • In einschlägigen Internet-Foren werden Zugänge zu infizierten Computern in Schweizer Unternehmen zum Verkauf angeboten. Diese sind in der Regel mit der Schadsoftware «Emotet», «TrickBot» oder vereinzelt auch «Qbot» infiziert. Kriminelle Gruppierungen «kaufen» die infizierten Computer, um das Netzwerk des Opfers grossflächig zu infiltrieren.
  • Angreifer scannen das Internet nach offenen VPN- und Terminal-Servern ab und versuchen mittels Brute-Forcing-Angriffen Zugriff auf diese zu erhalten.

Bei allen genannten Vorgehensweisen verwenden die Angreifer weitere Angriffswerkzeuge, um an die nötigen Zugriffsrechte des Unternehmens zu kommen. Ist dies erfolgreich, wird eine Ransomware auf den Systemen platziert welche die Daten vollständig verschlüsselt.

 

 

Empfohlene Schutzmassnahmen

Aufgrund der aktuellen Gefahrenlage sowie der neuen Vorgehensweise warnt MELANI Schweizer Unternehmen erneut eindringlich vor Ransomware und empfiehlt dringend, folgende Massnahmen, falls nicht bereits geschehen, schnellstmöglich umzusetzen:

  • Erstellen Sie regelmässig Sicherungskopien (Backups) Ihrer Daten zum Beispiel auf einer externen Festplatte. Nutzen Sie dabei das Generationenprinzip (täglich, wöchentlich, monatlich / mindestens 2 Generationen). Stellen Sie jeweils sicher, dass Sie das Medium, auf welchem Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer bzw. Netzwerk physisch trennen. Ansonsten besteht die Gefahr, dass die Angreifer auch auf die Daten des Backups Zugriff erhalten und verschlüsseln oder löschen können.
  • Bei Cloud-basierten Backup-Lösungen sollten Sie sicherstellen, dass der Provider analog zum klassischen Backup mindestens über zwei Generationen verfügt und dass diese für eine Ransomware nicht zugreifbar sind, indem man für kritische Operationen beispielsweise eine Zweifaktor-Authentifizierung verlangt.
  • Prüfen Sie die Qualität der Backups und üben Sie das Einspielen von Backups, damit Sie im Notfall keine unnötige Zeit verlieren.
  • Sowohl Betriebssysteme als auch alle auf den Computern oder Servern installierte Applikationen (z. B. Adobe Acrobat Reader, Adobe Flash, Java usw.) müssen konsequent und unverzüglich auf den neuesten Stand gebracht werden. Falls vorhanden, am besten mit der automatischen Update-Funktion.
  • Schützen Sie auch alle vom Internet erreichbaren Ressourcen (insbesondere Terminal-Server, RAS- und VPN-Zugänge) mit einem zweiten Faktor. Stellen sie Terminal-Server hinter ein VPN-Portal.
  • Blockieren Sie den Empfang von gefährlichen E-Mail-Anhängen auf Ihrem E-Mail-Gateway. Dazu zählen auch Office-Dokumente mit Makros.
  • Beobachten Sie die Logfiles Ihrer Antivirus-Lösung auf Unregelmässigkeiten.

 

Global System Kunden

Global System Kunden mit einem Server- und Network-SLA, haben alle genannten und weitere Schutzmassnahmen standardmässig umgesetzt. Mitarbeiter die nicht auf einem Terminal Server sondern lokal arbeiten, sind für die Software-Updates Ihrer Geräte und den darauf verwendeten Programmen selber zuständig. Kontrollieren Sie in einem solchen Fall dass:

  • Automatische Windows-Updates aktiviert ist (Geräte von Global System werden standardmässig so ausgeliefert).
  • Automatisches Office-Updates aktiviert ist (Geräte von Global System werden standardmässig so ausgeliefert).
  • Sonstige installierte Software auf dem neusten Stand ist.

 

Quelle: Melde- und Analysestelle Informationssicherung MELANI


02.07.19

Neuartiger Ansatz: Phishing-Mails mit QR-Code

Derzeit sollen im Finanzbereich Phishing-Mails unterwegs sein, die erfolgreich Spam-Filter umgehen. Betrüger betten URLs in Form von QR-Codes in die Mail ein. Die QR-Codes werden von Mail-Scannern offensichtlich nicht als gefährliche URLs erkannt und landen im Postfach des Opfers. Die Betrüger sind auf der Jagd nach Log-in-Daten von beispielsweise AOL und Microsoft.

 

Ungeschützt auf mobilen Geräten

Die Phishing-Mails behaupten ein wichtiges SharePoint-Dokument bereitzuhalten. Um dieses zu bekommen, muss das Opfer den QR-Code mit seinem Smartphone scannen. Ist das Opfer mit seinem Gerät im mobilen Internet angemeldet (und nicht im Firmen-WLAN), verlässt es so die abgesicherte Infrastruktur des Unternehmens. In diesem Fall greifen die Sicherheitslösungen und anderweitige Filter des Firmennetzwerkes nicht.

Nach dem Scannen des QR-Codes. landet das Opfer auf der Phishing-Site. Um das Dokument anschauen zu können, müsse man sich noch anmelden. Gibt man seine Login-Daten ein, werden diese direkt an die Betrüger gesendet.

 

Untypische Methode

QR-Codes sind in Europa kaum verbreitet, besonders im Geschäftsbereich trifft man sie wenig an. Darum kann man davon ausgehen, dass diese Methode sich nicht etablieren wird. Gefährlich ist sie dennoch, denn in der Regel erkennen mittlerweile viele Standardkameras auf Smartphones die Codes und leiten Nutzer auf Websites weiter.

 

 

Quelle: heise.de


24.06.19

Neue Fake-Sextortion-Welle

Zurzeit erhalten zahlreiche Bluewin-Kunden Sextortion-Spam-E-Mails mit dem Betreff: «48 Stunden zu zahlen».

 

Inhalt der E-Mail:

Guten Tag, Masturbieren ist natürlich normal, aber wenn deine Familie und Freunde davon zeugen, ist es natürlich eine große Schande. Ich habe dich eine Weile beobachtet, weil ich dich in einer Werbung auf einer Porno-Website durch einen Virus gehackt habe. […]

 

Es handelt sich um Spam-E-Mails, die ungezielt versendet werden! Wir empfehlen, diese E-Mails zu ignorieren und zu löschen. Weitere Informationen finden Sie hier: https://www.stop-sextortion.ch/ und in unserem Ratgeberartikel Fake Sextortion – Wie die Pornomail-Falle funktioniert.

 

 

Quelle: Melde- und Analysestelle Informationssicherung MELANI


03.06.19

Kritische RDP-Sicherheitslücke

Eine Sicherheitslücke in RDP mit dem Namen BlueKeep macht es möglich Geräte mit älteren Windows-Versionen über das Internet zu kapern. RDP wird verwendet um Fernverbindungen auf Windowsgeräte herzustellen (Remote Desktop).

 

Der mögliche Schaden dieser Sicherheitslücke ist ähnlich gross wie der der Schadsoftware WannaCry. Sie hat vor 2 Jahren weltweit hunderttausende Geräte infiziert und Millionenschäden verursacht.

 

Die RDP-Sicherheitslücke erlaubt es Code aus der Ferne auszuführen, damit können Verschlüsselungstrojaner oder andere Schadsoftware auf dem Zielgerät und unter Umständen auch auf anderen Geräten des Netzwerks ausgeführt werden. Besonders Geräte die direkt ans Internet angeschlossen sind, müssen dringend gepatchet werden.

 

Unbedingt patchen!

Microsoft hat Patches für alle betroffenen Windows-Versionen veröffentlicht. Betroffen sind Windows 7 und ältere Versionen:

Wenn Sie Windows 7 verwenden und Automatische Updates aktiviert haben, wird der Patch automatisch installiert. Bei anderen Betriebssystemen müssen Sie ihn manuell installieren. Die Sicherheitslücke ist so gefährlich, dass auch Patches für Vista und XP bereitstehen, für die eigentlich keine Patches mehr veröffentlicht werden.

 

Unsere SLA-Kunden sind abgedeckt

Global System Kunden mit einem SLA inklusive Server Updates und Workstations können sich zurücklehnen, wir kümmern uns um alles.


30.04.19

MELANI: 2. Halbjahresbericht 2018

IoT-Geräte können in grossem Masse für Cyber-Angriffe missbraucht werden, Erfolgreiche Erpressungsversuche (z.B. «Fake Sextortion») sowie Überweisungsbetrug mit «Office 365»-Zugangsdaten und das Schwergewichtsthema «Umgang mit eingekauften Risiken bei Hard- und Software»: Der am 30. April 2019 veröffentlichte 28. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cyber-Vorfällen der zweiten Jahreshälfte 2018 im In- und Ausland.

 

 

Die rasch voranschreitende Digitalisierung ist nur mit entsprechender Hard- und Software zu bewältigen. Der Markt wird klar von US-Unternehmen dominiert, mit China auf der Überholspur sowie vereinzelten globalen Mitspielern im Bereich Hard- und Software, beispielsweise aus Korea, Russland oder Deutschland.

Der potenzielle Zugriff auf IKT-Hersteller durch die jeweiligen Sitzstaaten führt zu Fragen über den richtigen Umgang mit diesen Risiken. Der 28. Halbjahresbericht MELANI widmet sich dieser Problematik im Schwerpunktthema und behandelt weitere aktuelle Themen wie die nachfolgend beschriebenen.

 

Haushaltsgeräte als Auslöser für einen Stromausfall

Mit dem Internet der Dinge (IoT) werden allerlei Geräte wie Heizungen und Klimaanlagen für deren Fernsteuerung ans Internet angeschlossen. Dies ist praktisch, birgt aber auch gewisse Risiken. Einer im Jahr 2018 publizierten Studie der Princeton Universität zufolge wäre es durchaus möglich, dass böswillige Akteure ungenügend geschützte IoT-Geräte hacken, zu einem Botnetz zusammenfügen und für Cyber-Angriffe, wie einen Stromausfall, missbrauchen könnten. Der Halbjahresbericht beleuchtet die Problematik und enthält Empfehlungen.

 

Erpressung mittels Fake-Sextortion

Seit März 2018 kursieren unzählige «Fake Sextortion»-Mails. In einer E-Mail behaupten die Angreifer, sie würden über kompromittierendes Bildmaterial verfügen, das die Empfänger beim Konsum pornografischer Websites zeigt. Als «Beweis» für die Echtheit der Behauptung werden in der E-Mail oft Passwörter oder Mobiltelefonnummern genannt, die aus früheren Datenlecks stammen. Der Halbjahresbericht befasst sich mit dieser Problematik und zeigt die Entwicklung der verschiedenen «Fake-Sextortion»-Wellen.

 

Office 365-Zugangsdaten für Überweisungsbetrug verwendet

Mit über 100 Millionen monatlichen Nutzern sind Office 365-Konten zu einem populären Ziel für Angreifer geworden. Im zweiten Halbjahr 2018 kam es mit auf diese Weise ergatterten Office-365-Zugangsdaten vermehrt zu sogenanntem Überweisungsbetrug. Davon spricht man, wenn Betrüger in kompromittierten Konten nach bestehenden elektronischen Rechnungen suchen, diese dann kopieren, mit einer anderen IBAN versehen und erneut zustellen.

 


Der 28. Halbjahresbericht MELANI ist publiziert unter:

Halbjahresbericht 2018/2


10.04.19

Phishing-Welle mit gefälschten Rechnungen

Zurzeit läuft in der Schweiz eine Phishing-Welle mit gefälschten Rechnungen/Bestellungen. Auffällig an dieser Welle ist, dass der angebliche Absender ein bekannter Name ist. Meistens wird der Name von Mitarbeitern der eigenen Firma verwendet. Das ist besonders gefährlich, wenn es sich um Buchhalter handelt oder um jemanden, von dem Sie tatsächlich gerade eine Mail erwarten.

 

Sie erkennen diese Phishing-Mails an einer falschen E-Mailadresse

 

Man kann solche Mails trotzdem leicht erkennen, wenn man aufmerksam ist: Obwohl der Absendername stimmen könnte, ist die verwendete E-Mailadresse völlig falsch. Der Absender in unserem Beispiel heisst zwar Herr Koch, unser Supportleiter, jedoch stimmt die E-Mailadresse nicht mit dem Namen überein. Eine klare Phishing-E-Mail.

 

Im Text der E-Mail wird behauptet, die Rechnung im Anhang sei noch nicht bezahlt worden. Bei der Rechnung handelt es sich um ein Word-Dokument, das Schadsoftware enthält.

Die gefälschte E-Mail mit gefährlichem Anhang

 

Was soll ich mit einer solchen E-Mail tun?

Wenn Sie so eine E-Mail erhalten, löschen Sie sie umgehend.

Öffnen Sie auf keinen Fall den Anhang.


21.01.19

Erneut gefälschte Bewerbungsmails

In der neusten Phishing-Welle werden erneut falsche Bewerbungsmails versendet. Eine ähnliche Welle gab es bereits im November 2018. Auch damals enthielten die E-Mails einen Word-Anhang mit einem Verschlüsselungstrojaner.

 

Angriffsschema

Der Trojaner verbreitet sich über E-Mails, die vorgeben die Bewerbung einer Person namens Saskia Heyne zu sein – Vorsicht: dieser Name kann sich im Laufe der Infektionswelle durchaus ändern. Im Anhang befindet sich ein Word-Dokument, das beim Öffnen versucht, den Anwender zur Aktivierung von Makros zu überreden. Ohne diesen Schritt kann der Trojaner seinen Schadcode nicht ausführen.

Die gefälschte Bewerbung will das Opfer dazu veranlassen, Office-Makros zu aktivieren

Das Dokument gibt vor «mit einer älteren Version von Microsoft Word erstellt» worden zu sein und versucht das Opfer dazu zu verleiten, per Kompatibilitätsmodus aktive Inhalte des Dokumentes zu aktivieren. Kommen Sie dieser Anweisung auf keinen Fall nach! Die Aktivierung der Makros erlaubt es dem Trojaner, auf das System zuzugreifen und wichtige Daten zu verschlüsseln.

 

Mögliche abgewandelte Formen

Es könnten sich bereits abgewandelte Formen des Trojaners im Umlauf befinden. Der beste Schutz vor dieser Art Angriffe ist immer noch, derartige E-Mails äusserst skeptisch zu behandeln und auf keinen Fall Office-Makros für Dateien zu aktivieren, die nicht aus absolut vertrauenswürdigen Quellen kommen – schon gar nicht bei Dokumenten, die man per Mail von Unbekannten erhalten hat.

 

Technisch gesehen ist GandCrab ein alter Hut, allerdings scheinen immer noch genügend Nutzer auf solche Tricks reinzufallen, dass sich das Versenden der Phishing-Mails lohnt.

 

 

Quelle: heise.de


14.12.18

Der Bund warnt ausdrücklich vor dem Trojaner Emotet

Wie wir bereits letzte Woche berichtet haben, läuft im Moment eine Phishing-Welle in der Schweiz die es besonders auf Unternehmensnetzwerke abgesehen hat. Nun berichtet auch die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes darüber, hier die detaillierte Meldung:

 

 

Trojaner Emotet greift Unternehmensnetzwerke an

Aktuell beobachtetet MELANI verschiedene Malspam-Wellen mit infiziertem Word-Dokumenten im Anhang. Dabei handelt es sich um einen bereits länger bekannten Trojaner namens Emotet (auch bekannt als Heodo). Ursprünglich als E-Banking-Trojaner bekannt, wird Emotet heute vor allem für den Versand von Spam sowie das Nachladen von weiterer Schadsoftware (Malware) verwendet. Emotet versucht - mit gefälschten E-Mails im Namen von Kollegen, Geschäftspartnern oder Bekannten - mittels Social-Engineering den Empfänger zum Öffnen des Word-Dokuments sowie zum Ausführen der darin enthaltenen Office-Makros zu verleiten.

 

Vergangene Woche warnte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) [https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/BSI_warnt_vor_Emotet.html] vor Emotet, welcher unter anderem den eBanking Trojaner «TrickBot» nachlädt sowie sich über die bereits länger bekannte Schwachstelle im SMB Proktoll («EternalBlue») in Unternehmensnetzwerke ausnutzt (Wurm-Komponente).

 

Gemäss aktuellen Informationen, welche der Melde- und Analysestelle Informationssicherung MELANI vorliegen, wird Emotet momentan auch aktiv dazu verwendet, um gezielt Computer und Server in Unternehmensnetzwerken mit einem Verschlüsselungstrojaner (Ransomware) namens «Ryuk» zu infizieren. Dabei verschlüsselt «Ryuk» auf dem Computer oder Server abgelegte Dateien und fordert nach erfolgter Verschlüsselung vom betroffenen Unternehmen eine erhebliche Summe an Lösegeld (CHF 200 000 und mehr). Betroffen sind ausschliesslich Geräte wie Computer und Server, welche mit einem Windows Betriebssystem laufen. Durch die vorhandene Wurm-Komponente besteht bei einer erfolgreichen Infektion ein hohes Risiko, dass sich der Trojaner im Unternehmensnetzwerk weiterverbreitet und einen erheblichen Schaden anrichtet.

 

 

 

 

MELANI verweist deshalb erneut auf folgenden Empfehlungen hin:

  • Erstellen Sie regelmässig eine Sicherungskopie (Backup) Ihrer Daten. Die Sicherungskopie sollte offline, das heisst auf einem externen Medium wie beispielsweise einer externen Festplatte gespeichert werden. Stellen Sie daher sicher, dass Sie das Medium, auf welche Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer bzw. Netzwerk trennen. Ansonsten werden bei einem Befall durch Ransomware möglicherweise auch die Daten auf dem Backup-Medium verschlüsselt und unbrauchbar.
  • Sowohl Betriebssysteme als auch alle auf den Computern und Servern installierten Applikationen (z. B. Adobe Reader, Adobe Flash, Oracle Java etc.) müssen konsequent auf den neuesten Stand gebracht werden. Falls vorhanden, am besten mit der automatischen Update-Funktion.
  • Netzwerk-Segmentierung (Trennung von Client-/Server-/Domain-Controller-Netzen sowie Produktionsnetzen mit jeweils isolierter Administration) nach unterschiedlichen Vertrauenszonen, Anwendungsbereichen und/oder Regionen.
  • Einhalten des Prinzips der minimalen Rechtevergabe besonders auch bei Netzwerklaufwerken (es sollte kein Benutzer Zugang zu allen Daten haben, wenn er diesen Zugang gar nicht benötigt).
  • Verwenden von dedizierten Geräten mit keinen oder nur eingeschränktem Internet-Zugang für das Management der Systeme sowie für das Durchführen von Zahlungen

Aufgrund der aktuellen Gefährdung durch Office-Makros empfiehlt MELANI Unternehmen und Betreibern kritischer Infrastrukturen zudem:

  • Das Ausführen von unsignierten Office-Makros technisch zu unterbinden.
  • Den Empfang von Office Dokumenten, welche Makros enthalten, auf dem E-Mail Gateway bzw. Spam-Filter technisch zu unterbinden

Um eine Infektion durch Emotet zu verhindern sowie das Nachladen von weiterer Schadsoftware (Malware) zu unterbinden empfiehlt MELANI jene Webseiten, welche aktiv für die Verbreitung von Emotet verwendet werden, am Netzwerkperimeter wie beispielsweise Web-Proxy oder DNS zu sperren. Eine Liste von solchen Webseiten wird beispielsweise von abuse.ch zur Verfügung gestellt:
https://urlhaus.abuse.ch/api/

 

Zudem rät MELANI, die Netzwerk-Kommunikation mit Servern, die zur Steuerung von mit Emotet infizierten Geräten verwendet werden, zu blockieren (Emotet Botnet Command&Control Server – C&C). Eine Liste von IP Adressen, welche Emotet zugeordnet werden können, werden unter anderem von Feodo Tracker publiziert:
https://feodotracker.abuse.ch/blocklist/

 

 

Quelle: Melde- und Analysestelle Informationssicherung (MELANI)


05.12.18

Emotet: Besonders gut gefälschte Phishing Mails

Gefälschte E-Mails im Namen von Freunden, Nachbarn oder Kollegen gefährden im Moment ganze Netzwerke. Die Schadsoftware Emotet infiziert seit einigen Tagen Computer und Netzwerke in der Schweiz und Deutschland. Sie verbreitet sich wie andere Schadsoftware auch über eine gefährliche Worddatei im Anhang oder über einen gefährlichen Link in der E-Mail. Auffällig ist wie gut die gefälschten Mails bekannte E-Mailkontakte imitieren.

 

Gezielte Verbreitung

Der Grund: Nach der Infizierung liest Emotet die Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern infizierter Systeme aus. Diese Informationen nutzen die Täter zur weiteren Verbreitung des Schadprogramms. Das funktioniert so: Empfänger erhalten E-Mails mit authentisch aussehenden, jedoch erfundenen Inhalten von Absendern, mit denen sie erst kürzlich in Kontakt standen. Aufgrund der korrekten Angabe der Namen und Mailadressen von Absender und Empfänger in Betreff, Anrede und Signatur wirken diese Nachrichten auf viele authentisch. Deswegen verleiten sie zum unbedachten Öffnen des schädlichen Dateianhangs oder der in der Nachricht enthaltenen URL.

So sehen die angehängten Rechnungen von Emotet häufig aus. Wer der Aufforderung nachkommt, infiziert sich mit Schadsoftware.

Nachgeladener Bank-Trojaner und Datenabfluss

Ist der Computer erst infiziert, lädt Emotet weitere Schadsoftware nach, wie zum Beispiel den Banking-Trojaner Trickbot. Diese Schadprogramme führen zu Datenabfluss oder ermöglichen den Kriminellen die vollständige Kontrolle über das System.

Trickbot versucht ausserdem eine alte Schwachstelle im SMB-Protokoll auszunutzen um sich im Netzwerk auszubreiten. Diese Schwachstelle ist allerdings seit über einem Jahr von Microsoft gepatcht und bedroht nur Netzwerke die automatische Windows Updates deaktiviert und dieses Update nicht installiert haben.

 

Schutzmassnahmen

  • Öffnen Sie auch bei vermeintlich bekannten Absendern nur mit Vorsicht Dateianhänge von E-Mails (insbesondere Office-Dokumente)
  • Prüfen Sie in den Nachrichten enthaltene Links, bevor sie diese anklicken. Bei einer verdächtigen E-Mail sollten Sie im Zweifelsfall den Absender anrufen und sich nach der Glaubhaftigkeit des Inhaltes erkundigen.
  • Aktivieren Sie die automatischen Windows-Updates und installieren Sie zeitnah Updates für Ihre Browser und Anwendungsprogramme.
  • Setzen Sie Antiviren-Software ein und aktualisieren Sie diese immer wieder.
  • Erstellen Sie regelmässig Backups Ihrer Daten.

 

 

Quelle: BSI Deutschland (Bundesamt für Sicherheit in der Informationstechnik)

 


19.11.18

MELANI: 1. Halbjahresbericht 2018

Lücken in Hardware-Komponenten stellen eine besondere Bedrohungsart dar. Diese Lücken lassen sich nicht mit einem einfachen Update beheben, wie dies bei Software-Lücken möglich ist. Ausserdem würde ein kompletter Austausch von Hardware-Komponenten die Hersteller vor grosse logistische Probleme stellen. Das Schwerpunktthema dieses Halbjahresberichts befasst sich mit den besonderen Herausforderungen bei Hardware-Lücken.

 

Das Problem von mehrfach im Internet verwendeten Passwörtern

Nach wie vor verwenden viele Benutzerinnen und Benutzer das gleiche Passwort für mehrere Online-Dienste wie beispielsweise Webmail, E-Banking, Onlineshops. Dies ist eine willkommene Vereinfachung für Kriminelle und ermöglicht ihnen, die gesammelten Login-Daten aus den diversen Datenabflüssen bei verschiedensten Internetdienstleistern systematisch einzusetzen. In einem Fall versuchten sich Angreifer mit knapp einer Million solch gestohlener und aus verschiedenen Quellen zusammengestellten Login-Kombinationen in die Benutzerkonten eines Online-Portals einzuloggen.

 

Missbrauch des Labors Spiez für Spionagekampagne

Im Sommer 2018 wurde der Name des Labors Spiez für die Planung eines Spionageangriffs gegen Dritte missbraucht. Dabei verwendeten die Angreifer ein im Internet publiziertes Dokument, mit dem das Labor Spiez zu einer internationalen Konferenz eingeladen hatte. Dieses wurde kopiert, mit einer Schadsoftware versehen und an die Opfer gesendet. Das Labor Spiez selbst wurde dabei nicht angegriffen.

 

Die Verwendung von Daten bei Angriffen

Immer häufiger kommt es zu ungewollten Datenabflüssen. Davor bleibt auch die Schweiz nicht verschont. Cyber-Kriminelle sind bezüglich Verwendung solcher Daten sehr vielfältig und innovativ. Eine unmittelbare Vorgehensweise, um aus Datenabflüssen Geld zu machen, ist die direkte Erpressung der Firma, bei der die Daten abgeflossen sind. Mit entwendeten Daten lassen sich ausserdem personalisierte E-Mails generieren, welche die Erfolgsrate bei Phishing-Mails im Vergleich zu Massen-Mails erheblich erhöhen. Es ist deshalb zu erwarten, dass Kriminelle künftig vermehrt diese Vorgehensweise wählen werden.

 

Der 27. Halbjahresbericht MELANI ist publiziert unter:

 

Halbjahresbericht 2018/1


07.11.18

Gefälschte Bewerbungsmail mit Virus

Wer eine E-Mail mit dem Betreff «Bewerbung auf die Angebotene Stelle bei der Agentur für Arbeit von Peter Reif» erhält, sollte die Mail umgehend löschen und den Dateianhang unter keinen Umständen öffnen. Berichten zufolge variiert der Name in den Mails und es gibt auch Versionen mit beispielsweise «Peter Schnell», «Caroline Schneider» und «Viktoria Henschel».

 

Der Empfang der Mail und das Entpacken des Archivs löst nach jetzigem Kenntnisstand noch keine Infektion aus. Erst wer das Archiv entpackt und die darin enthaltene Datei öffnet, holt sich einen Windows-Erpressungstrojaner auf den Computer, der Dateien verschlüsselt und erst nach einer Lösegeld-Zahlung wieder freigeben will. Es handelt sich bei der Schadsoftware anscheinend um die Ransomware GandCrab 5.0.4.

 

Infektionsvorgang

Die Mail ist in sauberem Deutsch formuliert und im Anhang der Mail befindet sich ein passwortgschütztes RAR-Archiv, in dem sich die Datei «Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf.exe» befindet. Das Kennwort für das Archiv findet sich in der Nachricht.

 

In der Mail steht, dass das Archiv aus Gründen der Privatsphäre mit einem Kennwort geschützt ist– das ist aber Blödsinn. Die Drahtzieher der Kampagne haben ein Passwort vergeben, damit Virenscanner das Archiv nicht scannen können. Nur wenn ein Scanner das Passwort kennt, kann er es auch überprüfen.

 

Da Windows in der Standardeinstellung bekannte Dateiendungen (.exe) ausblendet, sieht es so aus, als handelt es sich um ein PDF-Dokument. Es ist aber immer noch eine ausführbare Datei. Wer doppelt auf «Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf» klickt löst die Infektion aus.

 

Entschlüsselung teilweise möglich

Die Firma Bitdefender hat ein kostenloses Entschlüsselungstool für einige Versionen von GandCrab. Bitdefender zufolge kursieren derzeit zwei Subvarianten von GandCrab 5.0.4, der aktuellen Version. Mit einer davon soll das Tool kompatibel sein. Opfer sollten es in jedem Fall ausprobieren.

 

 

Quelle: heise.de


12.10.18

Phishingmasche: Mails von vermeintlichen Bekannten, Freunden oder Geschäftspartnern

Phisher bedrohen Internetnutzer derzeit durch gehackte Mail-Konten, worüber sie in laufende Konversationen mit Bekannten eindringen.

 

Die kürzlich entdeckte Kampagne kapert E-Mail-Benutzerkonten, um Malware an eine unschuldig aussehende Antwortmail zu hängen, die der Empfänger sogar von seinem Bekannten erwartet. Die Antwort enthält eine infizierte Word-Datei. Ist die Datei einmal geöffnet, installiert sich die Schadsoftware «Ursnif» und sammelt unterschiedlichste Zugangs- und Bankdaten der Betroffenen. Die Opfer erkennen den Befall auf ihrem Rechner in diesen Fällen oft erst, wenn es bereits zu spät ist..

 

Erkennungsmerkmale der Phishing-Mails

Wer genau nachschaut, soll die gefälschten Mails allerdings erkennen können. Oft ist die Mail zum Beispiel plötzlich auf Englisch verfasst, und auch die Signaturen können von den gewohnten Signaturen der Konversationspartner abweichen.

Vergleich: Links eine Phishingantwort, rechts die originale Signatur. Die Phishing-Antwort ist häufig in einer anderen Sprache geschrieben (rote Markierung). Die Signatur sieht anders aus als das Original (blaue Markierung).

Auch die Header enthüllen verdächtige Anzeichen. Wer mehr wissen möchte, kann auf dem Trend Micro Blog (englisch) mehr Details zum Aufspüren der Auffälligkeiten erfahren.

 

Sollten Sie so eine Antwort-Mail von einem Bekannten, Freund oder Geschäftspartner erhalten haben, informieren Sie diese auch umgehend darüber das ihr E-Mailkonto gehackt wurde und sie entsprechende Massnahmen ergreifen müssen.

 

Zusätzlicher Schutz durch 2-Faktor-Authentifizierung

Für den Zugang zu E-Mailkonten oder anderen Onlinekonten, empfehlen wir Benutzern die Verwendung einer 2-Faktor-Authentifizierung (2FA) wie zum Beispiel Duo Mobile. Damit werden 2 verschiedene Authentifizierungen benötigt, bevor man Zugang zu einem Konto erhält. Ein gehacktes Passwort allein würde nicht mehr reichen.

 

 

 

Quelle: itmagazine.ch