Internetwarnungen

21.01.19

Erneut gefälschte Bewerbungsmails

In der neusten Phishing-Welle werden erneut falsche Bewerbungsmails versendet. Eine ähnliche Welle gab es bereits im November 2018. Auch damals enthielten die E-Mails einen Word-Anhang mit einem Verschlüsselungstrojaner.

 

Angriffsschema

Der Trojaner verbreitet sich über E-Mails, die vorgeben die Bewerbung einer Person namens Saskia Heyne zu sein – Vorsicht: dieser Name kann sich im Laufe der Infektionswelle durchaus ändern. Im Anhang befindet sich ein Word-Dokument, das beim Öffnen versucht, den Anwender zur Aktivierung von Makros zu überreden. Ohne diesen Schritt kann der Trojaner seinen Schadcode nicht ausführen.

Die gefälschte Bewerbung will das Opfer dazu veranlassen, Office-Makros zu aktivieren

Das Dokument gibt vor «mit einer älteren Version von Microsoft Word erstellt» worden zu sein und versucht das Opfer dazu zu verleiten, per Kompatibilitätsmodus aktive Inhalte des Dokumentes zu aktivieren. Kommen Sie dieser Anweisung auf keinen Fall nach! Die Aktivierung der Makros erlaubt es dem Trojaner, auf das System zuzugreifen und wichtige Daten zu verschlüsseln.

 

Mögliche abgewandelte Formen

Es könnten sich bereits abgewandelte Formen des Trojaners im Umlauf befinden. Der beste Schutz vor dieser Art Angriffe ist immer noch, derartige E-Mails äusserst skeptisch zu behandeln und auf keinen Fall Office-Makros für Dateien zu aktivieren, die nicht aus absolut vertrauenswürdigen Quellen kommen – schon gar nicht bei Dokumenten, die man per Mail von Unbekannten erhalten hat.

 

Technisch gesehen ist GandCrab ein alter Hut, allerdings scheinen immer noch genügend Nutzer auf solche Tricks reinzufallen, dass sich das Versenden der Phishing-Mails lohnt.

 

 

Quelle: heise.de


14.12.18

Der Bund warnt ausdrücklich vor dem Trojaner Emotet

Wie wir bereits letzte Woche berichtet haben, läuft im Moment eine Phishing-Welle in der Schweiz die es besonders auf Unternehmensnetzwerke abgesehen hat. Nun berichtet auch die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes darüber, hier die detaillierte Meldung:

 

 

Trojaner Emotet greift Unternehmensnetzwerke an

Aktuell beobachtetet MELANI verschiedene Malspam-Wellen mit infiziertem Word-Dokumenten im Anhang. Dabei handelt es sich um einen bereits länger bekannten Trojaner namens Emotet (auch bekannt als Heodo). Ursprünglich als E-Banking-Trojaner bekannt, wird Emotet heute vor allem für den Versand von Spam sowie das Nachladen von weiterer Schadsoftware (Malware) verwendet. Emotet versucht - mit gefälschten E-Mails im Namen von Kollegen, Geschäftspartnern oder Bekannten - mittels Social-Engineering den Empfänger zum Öffnen des Word-Dokuments sowie zum Ausführen der darin enthaltenen Office-Makros zu verleiten.

 

Vergangene Woche warnte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) [https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/BSI_warnt_vor_Emotet.html] vor Emotet, welcher unter anderem den eBanking Trojaner «TrickBot» nachlädt sowie sich über die bereits länger bekannte Schwachstelle im SMB Proktoll («EternalBlue») in Unternehmensnetzwerke ausnutzt (Wurm-Komponente).

 

Gemäss aktuellen Informationen, welche der Melde- und Analysestelle Informationssicherung MELANI vorliegen, wird Emotet momentan auch aktiv dazu verwendet, um gezielt Computer und Server in Unternehmensnetzwerken mit einem Verschlüsselungstrojaner (Ransomware) namens «Ryuk» zu infizieren. Dabei verschlüsselt «Ryuk» auf dem Computer oder Server abgelegte Dateien und fordert nach erfolgter Verschlüsselung vom betroffenen Unternehmen eine erhebliche Summe an Lösegeld (CHF 200 000 und mehr). Betroffen sind ausschliesslich Geräte wie Computer und Server, welche mit einem Windows Betriebssystem laufen. Durch die vorhandene Wurm-Komponente besteht bei einer erfolgreichen Infektion ein hohes Risiko, dass sich der Trojaner im Unternehmensnetzwerk weiterverbreitet und einen erheblichen Schaden anrichtet.

 

 

 

 

MELANI verweist deshalb erneut auf folgenden Empfehlungen hin:

  • Erstellen Sie regelmässig eine Sicherungskopie (Backup) Ihrer Daten. Die Sicherungskopie sollte offline, das heisst auf einem externen Medium wie beispielsweise einer externen Festplatte gespeichert werden. Stellen Sie daher sicher, dass Sie das Medium, auf welche Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer bzw. Netzwerk trennen. Ansonsten werden bei einem Befall durch Ransomware möglicherweise auch die Daten auf dem Backup-Medium verschlüsselt und unbrauchbar.
  • Sowohl Betriebssysteme als auch alle auf den Computern und Servern installierten Applikationen (z. B. Adobe Reader, Adobe Flash, Oracle Java etc.) müssen konsequent auf den neuesten Stand gebracht werden. Falls vorhanden, am besten mit der automatischen Update-Funktion.
  • Netzwerk-Segmentierung (Trennung von Client-/Server-/Domain-Controller-Netzen sowie Produktionsnetzen mit jeweils isolierter Administration) nach unterschiedlichen Vertrauenszonen, Anwendungsbereichen und/oder Regionen.
  • Einhalten des Prinzips der minimalen Rechtevergabe besonders auch bei Netzwerklaufwerken (es sollte kein Benutzer Zugang zu allen Daten haben, wenn er diesen Zugang gar nicht benötigt).
  • Verwenden von dedizierten Geräten mit keinen oder nur eingeschränktem Internet-Zugang für das Management der Systeme sowie für das Durchführen von Zahlungen

Aufgrund der aktuellen Gefährdung durch Office-Makros empfiehlt MELANI Unternehmen und Betreibern kritischer Infrastrukturen zudem:

  • Das Ausführen von unsignierten Office-Makros technisch zu unterbinden.
  • Den Empfang von Office Dokumenten, welche Makros enthalten, auf dem E-Mail Gateway bzw. Spam-Filter technisch zu unterbinden

Um eine Infektion durch Emotet zu verhindern sowie das Nachladen von weiterer Schadsoftware (Malware) zu unterbinden empfiehlt MELANI jene Webseiten, welche aktiv für die Verbreitung von Emotet verwendet werden, am Netzwerkperimeter wie beispielsweise Web-Proxy oder DNS zu sperren. Eine Liste von solchen Webseiten wird beispielsweise von abuse.ch zur Verfügung gestellt:
https://urlhaus.abuse.ch/api/

 

Zudem rät MELANI, die Netzwerk-Kommunikation mit Servern, die zur Steuerung von mit Emotet infizierten Geräten verwendet werden, zu blockieren (Emotet Botnet Command&Control Server – C&C). Eine Liste von IP Adressen, welche Emotet zugeordnet werden können, werden unter anderem von Feodo Tracker publiziert:
https://feodotracker.abuse.ch/blocklist/

 

 

Quelle: Melde- und Analysestelle Informationssicherung (MELANI)


05.12.18

Emotet: Besonders gut gefälschte Phishing Mails

Gefälschte E-Mails im Namen von Freunden, Nachbarn oder Kollegen gefährden im Moment ganze Netzwerke. Die Schadsoftware Emotet infiziert seit einigen Tagen Computer und Netzwerke in der Schweiz und Deutschland. Sie verbreitet sich wie andere Schadsoftware auch über eine gefährliche Worddatei im Anhang oder über einen gefährlichen Link in der E-Mail. Auffällig ist wie gut die gefälschten Mails bekannte E-Mailkontakte imitieren.

 

Gezielte Verbreitung

Der Grund: Nach der Infizierung liest Emotet die Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern infizierter Systeme aus. Diese Informationen nutzen die Täter zur weiteren Verbreitung des Schadprogramms. Das funktioniert so: Empfänger erhalten E-Mails mit authentisch aussehenden, jedoch erfundenen Inhalten von Absendern, mit denen sie erst kürzlich in Kontakt standen. Aufgrund der korrekten Angabe der Namen und Mailadressen von Absender und Empfänger in Betreff, Anrede und Signatur wirken diese Nachrichten auf viele authentisch. Deswegen verleiten sie zum unbedachten Öffnen des schädlichen Dateianhangs oder der in der Nachricht enthaltenen URL.

So sehen die angehängten Rechnungen von Emotet häufig aus. Wer der Aufforderung nachkommt, infiziert sich mit Schadsoftware.

Nachgeladener Bank-Trojaner und Datenabfluss

Ist der Computer erst infiziert, lädt Emotet weitere Schadsoftware nach, wie zum Beispiel den Banking-Trojaner Trickbot. Diese Schadprogramme führen zu Datenabfluss oder ermöglichen den Kriminellen die vollständige Kontrolle über das System.

Trickbot versucht ausserdem eine alte Schwachstelle im SMB-Protokoll auszunutzen um sich im Netzwerk auszubreiten. Diese Schwachstelle ist allerdings seit über einem Jahr von Microsoft gepatcht und bedroht nur Netzwerke die automatische Windows Updates deaktiviert und dieses Update nicht installiert haben.

 

Schutzmassnahmen

  • Öffnen Sie auch bei vermeintlich bekannten Absendern nur mit Vorsicht Dateianhänge von E-Mails (insbesondere Office-Dokumente)
  • Prüfen Sie in den Nachrichten enthaltene Links, bevor sie diese anklicken. Bei einer verdächtigen E-Mail sollten Sie im Zweifelsfall den Absender anrufen und sich nach der Glaubhaftigkeit des Inhaltes erkundigen.
  • Aktivieren Sie die automatischen Windows-Updates und installieren Sie zeitnah Updates für Ihre Browser und Anwendungsprogramme.
  • Setzen Sie Antiviren-Software ein und aktualisieren Sie diese immer wieder.
  • Erstellen Sie regelmässig Backups Ihrer Daten.

 

 

Quelle: BSI Deutschland (Bundesamt für Sicherheit in der Informationstechnik)

 


19.11.18

MELANI: 1. Halbjahresbericht 2018

Lücken in Hardware-Komponenten stellen eine besondere Bedrohungsart dar. Diese Lücken lassen sich nicht mit einem einfachen Update beheben, wie dies bei Software-Lücken möglich ist. Ausserdem würde ein kompletter Austausch von Hardware-Komponenten die Hersteller vor grosse logistische Probleme stellen. Das Schwerpunktthema dieses Halbjahresberichts befasst sich mit den besonderen Herausforderungen bei Hardware-Lücken.

 

Das Problem von mehrfach im Internet verwendeten Passwörtern

Nach wie vor verwenden viele Benutzerinnen und Benutzer das gleiche Passwort für mehrere Online-Dienste wie beispielsweise Webmail, E-Banking, Onlineshops. Dies ist eine willkommene Vereinfachung für Kriminelle und ermöglicht ihnen, die gesammelten Login-Daten aus den diversen Datenabflüssen bei verschiedensten Internetdienstleistern systematisch einzusetzen. In einem Fall versuchten sich Angreifer mit knapp einer Million solch gestohlener und aus verschiedenen Quellen zusammengestellten Login-Kombinationen in die Benutzerkonten eines Online-Portals einzuloggen.

 

Missbrauch des Labors Spiez für Spionagekampagne

Im Sommer 2018 wurde der Name des Labors Spiez für die Planung eines Spionageangriffs gegen Dritte missbraucht. Dabei verwendeten die Angreifer ein im Internet publiziertes Dokument, mit dem das Labor Spiez zu einer internationalen Konferenz eingeladen hatte. Dieses wurde kopiert, mit einer Schadsoftware versehen und an die Opfer gesendet. Das Labor Spiez selbst wurde dabei nicht angegriffen.

 

Die Verwendung von Daten bei Angriffen

Immer häufiger kommt es zu ungewollten Datenabflüssen. Davor bleibt auch die Schweiz nicht verschont. Cyber-Kriminelle sind bezüglich Verwendung solcher Daten sehr vielfältig und innovativ. Eine unmittelbare Vorgehensweise, um aus Datenabflüssen Geld zu machen, ist die direkte Erpressung der Firma, bei der die Daten abgeflossen sind. Mit entwendeten Daten lassen sich ausserdem personalisierte E-Mails generieren, welche die Erfolgsrate bei Phishing-Mails im Vergleich zu Massen-Mails erheblich erhöhen. Es ist deshalb zu erwarten, dass Kriminelle künftig vermehrt diese Vorgehensweise wählen werden.

 

Der 27. Halbjahresbericht MELANI ist publiziert unter:

 

Halbjahresbericht 2018/1


07.11.18

Gefälschte Bewerbungsmail mit Virus

Wer eine E-Mail mit dem Betreff «Bewerbung auf die Angebotene Stelle bei der Agentur für Arbeit von Peter Reif» erhält, sollte die Mail umgehend löschen und den Dateianhang unter keinen Umständen öffnen. Berichten zufolge variiert der Name in den Mails und es gibt auch Versionen mit beispielsweise «Peter Schnell», «Caroline Schneider» und «Viktoria Henschel».

 

Der Empfang der Mail und das Entpacken des Archivs löst nach jetzigem Kenntnisstand noch keine Infektion aus. Erst wer das Archiv entpackt und die darin enthaltene Datei öffnet, holt sich einen Windows-Erpressungstrojaner auf den Computer, der Dateien verschlüsselt und erst nach einer Lösegeld-Zahlung wieder freigeben will. Es handelt sich bei der Schadsoftware anscheinend um die Ransomware GandCrab 5.0.4.

 

Infektionsvorgang

Die Mail ist in sauberem Deutsch formuliert und im Anhang der Mail befindet sich ein passwortgschütztes RAR-Archiv, in dem sich die Datei «Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf.exe» befindet. Das Kennwort für das Archiv findet sich in der Nachricht.

 

In der Mail steht, dass das Archiv aus Gründen der Privatsphäre mit einem Kennwort geschützt ist– das ist aber Blödsinn. Die Drahtzieher der Kampagne haben ein Passwort vergeben, damit Virenscanner das Archiv nicht scannen können. Nur wenn ein Scanner das Passwort kennt, kann er es auch überprüfen.

 

Da Windows in der Standardeinstellung bekannte Dateiendungen (.exe) ausblendet, sieht es so aus, als handelt es sich um ein PDF-Dokument. Es ist aber immer noch eine ausführbare Datei. Wer doppelt auf «Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf» klickt löst die Infektion aus.

 

Entschlüsselung teilweise möglich

Die Firma Bitdefender hat ein kostenloses Entschlüsselungstool für einige Versionen von GandCrab. Bitdefender zufolge kursieren derzeit zwei Subvarianten von GandCrab 5.0.4, der aktuellen Version. Mit einer davon soll das Tool kompatibel sein. Opfer sollten es in jedem Fall ausprobieren.

 

 

Quelle: heise.de


12.10.18

Phishingmasche: Mails von vermeintlichen Bekannten, Freunden oder Geschäftspartnern

Phisher bedrohen Internetnutzer derzeit durch gehackte Mail-Konten, worüber sie in laufende Konversationen mit Bekannten eindringen.

 

Die kürzlich entdeckte Kampagne kapert E-Mail-Benutzerkonten, um Malware an eine unschuldig aussehende Antwortmail zu hängen, die der Empfänger sogar von seinem Bekannten erwartet. Die Antwort enthält eine infizierte Word-Datei. Ist die Datei einmal geöffnet, installiert sich die Schadsoftware «Ursnif» und sammelt unterschiedlichste Zugangs- und Bankdaten der Betroffenen. Die Opfer erkennen den Befall auf ihrem Rechner in diesen Fällen oft erst, wenn es bereits zu spät ist..

 

Erkennungsmerkmale der Phishing-Mails

Wer genau nachschaut, soll die gefälschten Mails allerdings erkennen können. Oft ist die Mail zum Beispiel plötzlich auf Englisch verfasst, und auch die Signaturen können von den gewohnten Signaturen der Konversationspartner abweichen.

Vergleich: Links eine Phishingantwort, rechts die originale Signatur. Die Phishing-Antwort ist häufig in einer anderen Sprache geschrieben (rote Markierung). Die Signatur sieht anders aus als das Original (blaue Markierung).

Auch die Header enthüllen verdächtige Anzeichen. Wer mehr wissen möchte, kann auf dem Trend Micro Blog (englisch) mehr Details zum Aufspüren der Auffälligkeiten erfahren.

 

Sollten Sie so eine Antwort-Mail von einem Bekannten, Freund oder Geschäftspartner erhalten haben, informieren Sie diese auch umgehend darüber das ihr E-Mailkonto gehackt wurde und sie entsprechende Massnahmen ergreifen müssen.

 

Zusätzlicher Schutz durch 2-Faktor-Authentifizierung

Für den Zugang zu E-Mailkonten oder anderen Onlinekonten, empfehlen wir Benutzern die Verwendung einer 2-Faktor-Authentifizierung (2FA) wie zum Beispiel Duo Mobile. Damit werden 2 verschiedene Authentifizierungen benötigt, bevor man Zugang zu einem Konto erhält. Ein gehacktes Passwort allein würde nicht mehr reichen.

 

 

 

Quelle: itmagazine.ch


08.10.18

Phishing-Attacken auf Online Datenaustausch und Kollaborationsplattformen

Viele Firmen erlauben ihren Angestellten, Dokumente online zu teilen und sogar auf ganze Bürosysteme online zuzugreifen. Manchmal reicht nur ein Passwort, um Zugriff auf ein E-Mail-Konto, aber auch auf diverse andere Dokumente zu erhalten. Es ist deshalb nicht verwunderlich, dass diese Zugangsdaten von grossem Interesse für Phishing-Angriffe sind. Das Kompromittieren eines ersten Kontos wird daher oft als weiterführender Angriffsvektor gegen die anderen Mitarbeitenden verwendet.

 

In den letzten Monaten hat MELANI Meldungen zu zahlreichen Phishing-Attacken erhalten, welche solche Plattformen imitieren und versuchen, an Zugangsdaten zu gelangen. Zum Beispiel werden die Webseiten von Microsoft Office 365 oder OneDrive nachgebaut. Die Qualität und die Art der E-Mails unterscheiden sich stark. Bei gewissen E-Mails wird der Empfänger gebeten sich zu identifizieren, um ein Problem mit seinem Konto zu lösen, oder aber aufgefordert, ein mit ihm geteiltes Dokument anzuschauen. In allen Fällen wird der Empfänger auf eine Phishing-Seite weitergeleitet, welche die Seite des Anbieters imitiert; dort sollen der Benutzername und das Passwort angegeben werden.

Screenshot: Beispiel einer Phishing-Seite, die OneDrive imitiert.

Sobald die Kriminellen Zugang zum Konto haben, können sie prinzipiell dieselben Einstellungen vornehmen wie der Konto-Inhaber:

  • Eine E-Mail-Weiterleitung einrichten, sodass sie Zugang zur gesamten Korrespondenz der geschädigten Person haben. Die Weiterleitung erfolgt oft mittels Kopie, so dass dies für den Konto-Inhaber nicht erkennbar ist.
  • Wenn das E-Mail-Konto der Plattform als Rücksetz-E-Mail-Adresse für weitere Dienste verwendet wird, könnte ein Angreifer entsprechende Passwörter zurücksetzen lassen und so Zugang zu weiteren Diensten gewinnen.
  • Angreifer können sich Zugang zu weiteren Dokumenten verschaffen, soweit die Rechte des Benutzers dies zulassen. Sie können aber auch andere Benutzer im Namen ihres Opfers für die Freigabe von Dokumenten anfragen. Da diese annehmen, dass dies von einem Firmenkollegen geschieht, werden sie diesem Wunsch oft nachkommen.

 

Für die Kriminellen sind diese Zugangsdaten oft eine Goldmine, welche ihnen erlauben, relevante Informationen, wie beispielsweise Geschäftsbeziehungen, zu bearbeitende Fälle, Struktur und Organigramme des Unternehmens, für einen massgeschneiderten Betrugsversuch zu sammeln. Ebenfalls kann nicht ausgeschlossen werden, dass solche Informationen zur Wirtschaftsspionage benutzt oder weiterverkauft werden.

 

Sobald ein Konto kompromittiert ist, können alle Kontakte der geschädigten Person betroffen sein. Oft riskieren sie, dass ein E-Mail mit Malware oder Phishing an sie verschickt wird, welches scheinbar vom Konto des Kollegen oder Geschäftspartners kommt. Mit dieser Methode können die Angreifer weitere Zugänge im Firmennetzwerk gewinnen.

 

 

Empfehlungen

Technische Massnahmen:

  • Nutzen Sie eine Zwei-Faktor-Authentifizierung wo immer diese verfügbar ist.
  • Es wird empfohlen, einen Dienst zu wählen, der genügend Logging Funktionalität bietet und die Logs in geeigneter Form für Kunden zur Verfügung stellt.
  • Den Unternehmen wird empfohlen, nach anormalen Aktionen bei den Konten der Mitarbeitenden zu suchen: Zugang von ungewöhnlichen Orten oder zu unüblichen Zeiten, Hinzufügen von E-Mail-Weiterleitungen, etc.
  • Mails sollten (zumindest intern) immer digital signiert sein und Benutzer darauf trainiert werden, Mails ohne eine entsprechende Signatur besonders vorsichtig zu behandeln.
  • Beim Versand von legitimen E-Mails mit hohem Missbrauchspotential für Phishing, wie z.B. der elektronische Versand von Rechnungen, sollte darauf geachtet werden, dass die Links nicht hinter HTML Text versteckt sind und dass die Mails und/oder Dokumente digital signiert sind.
  • Damit die eigene Domain weniger einfach für Phishing Versuche missbraucht werden kann, sollte SPF, DKIM und DMARC Protokolle eingerichtet werden. Dies ist auch bei einigen der grossen Collaboration Providern möglich, wie z.B. bei Office365.

 

Organisatorische Massnahmen:

  • Die beste Methode, um Phishing zu bekämpfen, ist die Mitarbeitenden bezüglich diesem Phänomen zu sensibilisieren: Es ist unerlässlich, dass die Mitarbeitenden in der Erkennung und dem Umgang mit suspekten und betrügerischen E-Mails geschult werden. Sensibilisierte Mitarbeitende wissen, dass sie bei suspekten oder betrügerischen E-Mails auf keine Links klicken oder Anhänge öffnen sollen, sondern umgehend die Vorgesetzten oder die IT-Verantwortlichen informieren sollten.
  • Ebenfalls sind die vom Unternehmen definierten Prozesse und risikominimierenden Massnahmen zu jeder Zeit einzuhalten. Insbesondere sollten sämtliche Prozesse, welche den Zahlungsverkehr betreffen, firmenintern klar geregelt sein und von den Mitarbeitenden in allen Fällen eingehalten werden (z.B. Vier-Augen-Prinzip, Unterschrift kollektiv zu zweien, Prozesse gemäss internem Kontrollsystem).
  • Die Phishing-Versuche können auf der Seite www.antiphishing.ch gemeldet werden. Dies erlaubt MELANI, schnelle Massnahmen zu treffen, um andere Benutzer zu schützen.

 

 

Quelle: Melde- und Analysestelle Informationssicherung MELANI


11.09.18

Erpressungsversuche durch Porno-Mails

Aktuell sind Erpresser-Mails im Umlauf. Die Empfänger sollen Lösegeld zahlen, weil sie angeblich beim Besuch einer Porno-Seite gefilmt wurden.

 

So die Masche: Empfänger der betrügerischen Mail wird weisgemacht, dass sie gefilmt worden sind, während Sie sich beim Schauen eines «dreckigen» Filmchens auf einer Porno-Seite im Internet selbstbefriedigt hätten. Die eigene Webcam – die von den Tätern selbst über Fernsteuerung aktiviert wurde –  habe alles aufgenommen.

 

Screenshot einer Erpressermail:

Betrüger nutzen das Schamgefühl ihrer Opfers aus, um Geld zu erpressen.

Internet-Betrüger wollen Bitcoins

Wenn die Opfer nicht Lösegeld für die Aufnahme zahlen, werde das pikante Video per Mail und Social Media an Bekannte weiterverschickt. Die Kontakte wurden nämlich über eine Schadenssoftware runtergesaugt, wie es in den Erpresser-Mails heisst.
Das Lösegeld soll in Form von Bitcoins innerhalb von 48 Stunden bezahlt werden, so die Betrüger.

 

Es gibt kein Video – Alles nur Einschüchterung

Die Erpressung funktioniert ganz ohne technische Hilfsmittel oder Hacks, ganz allein über Social-Engineering. Der Benutzer wurde nicht gehackt, es gibt auch kein Video. Es wird nur versucht das Opfer zu verängstigen und einzuschüchtern. Die Angst vor der sozialen Scham würde ein solches Video veröffentlicht, soll Opfer zum Zahlen verleiten.

 

Die Polizei rät, sich von den Erpressern nicht einschüchtern zu lassen und auf keinen Fall auf den Deal einzugehen, sondern die Mail sofort zu löschen.


07.09.18

Vermeintliche Rechnung mit gefälschten E-Mail-Absender von Mitarbeitern

Eine aktuelle Spam-Kampagne setzt auf starke Personalisierung: Sie täuscht als Absender reale E-Mail-Adressen von Mitarbeitern desselben Unternehmens vor. Neben E-Mails mit eher nichtssagendem Betreff wie «Scan 28923323236» beinhalten einige Betreffzeilen zusätzlich den Namen des Empfängers – etwa in der Form «WG: gescanntes Dokument 14517127599 [Empfänger]».

Die personalisierte Aufmachung verleitet zu reflexhaftem Anklicken

Der E-Mail-Text enthält einen Link, hinter dem sich je nach Wortlaut ein vermeintlicher Überweisungsbeleg oder ein Dokument mit angeblich angeforderten Informationen verbirgt. Angesichts der bekannten Absender-Adresse besteht erhöhte Gefahr, dass sich auch sicherheitsbewusste Anwender zum «reflexhaften». Anklicken verleiten lassen.

 

Auf der Zielseite wartet ein Word-Dokument mit der Bezeichnung Rechnungs-Details-68436558143.doc auf Download und Ausführung (die Namensgebung kann durchaus variieren).

 

Vermeintliche Rechnung enthält schädlichen Makro-Code

Das Word Dokument enthält Anweisungen was der Benutzer angeblich machen muss, damit er den Inhalt ansehen kann. Auf Englisch wird der Empfänger aufgefordert, mittels zwei Klicks auf gelbe Schaltflächen sowohl die Bearbeitung des Dokuments als auch die Ausführung eingebetteter Inhalte zu erlauben ( «Enable Editing»/«Enable Content»).

Das Word-Dokument bedient sich Social-Engineering-Strategien, um Empfänger zum Aktivieren schädlicher Inhalte zu verleiten.

Eine kurze Analyse fördert Makrocode zutage, der mittels einer autoopen()-Funktion automatisch startet. Der später im Code auftauchende Begriff «Shell» legt ausserdem nahe, dass weiterer Schadcode nachgeladen und ausgeführt wird. Um mit dem Office-Dokument einen Rechner zu infizieren, bedarf es also mehrerer Nutzer-Interaktionen. Gefährlich wird es allerdings , wenn die – mittlerweile standardmässige – Deaktivierung von Makros im Vorfeld vom Nutzer aufgehoben wurde.

 

 

Halten Sie sich an folgende Richtlinien

  • Wenn Sie nicht sicher sind warum Sie von einem Mitarbeiter eine E-Mail erhalten haben, fragen Sie zuerst telefonisch nach.
  • Klicken Sie auf keinen Link in einer E-Mail, der auf einen Ort ausserhalt Ihres Firmennetzes zeigt.
  • NIEMALS den Anweisungen in einem Worddokument folgen und Makros aktivieren oder Sicherheitsvorrichtungen ausschalten.

 

 

Quelle: heise.de


04.09.18

Erneut falsche Bewerbungsmails mit Schadsoftware im Umlauf

Der Erpressungstrojaner Gandcrab hat es derzeit auf Windows-Computer in Firmen abgesehen und versucht diese über den Anhang einer Bewerbungsmail zu infizieren. Vor allem Mitarbeiter im Personalwesen sollten aufpassen und angehängte Dateien von Bewerbungen genau Prüfung bevor sie sie öffnen.

 

Das E-Mail ist als Bewerbung getarnt und in fehlerfreiem Deutsch verfasst. Die Anlagen bestehen aus einer ZIP-Datei mit einem Namen in der Form von «Viktoria Hagen - Bewerbungsunterlagen.zip» und einer jpg-Bilddatei mit einem Portraitfoto. Der verwendete Name kann variieren.

 

Die ZIP-Dateien enthalten eine oder zwei EXE-Dateien mit der Schadsoftware. Obwohl es sich um EXE-Dateien handelt wird im Explorer ein PDF-Icon angezeigt!

Gefährlich: Im Explorer werden die exe-Dateien als PDFs angezeigt.

Seien Sie besonders vorsichtig bei E-Mails die sie nicht erwarten, wie in diesem Fall Blindbewerbungen oder auch wenn Sie den Absender nicht kennen. Wenn Sie eine solche E-Mal erhalten, löschen Sie sie und öffnen Sie auf keinen Fall die Anhänge.

 

Erstellen Sie regelmässig Backup Ihrer Daten und bewahren Sie sie an einem separaten, von Ihrem Arbeitsgerät getrennten Ort auf.

 

Nicht das erste mal

Die momentane Welle hat grosse Ähnlichkeit mit einer E-Mailwelle aus dem Jahr 2017, als Bewerbungsmail mit Schadsoftware im Anhang versendet wurden. Damals allerdings mit der Schadsoftware «Ordinypt».

 

 

Quelle: heise.de


05.07.18

Wieder betrügerische Anrufe bei Firmen

In den letzten Tagen mehren sich wiederum Anrufe bei potenziellen Opferfirmen, in denen sich Angreifer als Bankmitarbeiter ausgeben. Die Anrufer bitten um die Ausführung von Zahlungen oder geben vor, ein Update beim E-Banking durchführen zu müssen, das anschliessend getestet werden soll.  

Die Angreifer versuchen typischerweise die Mitarbeitenden der Firma zu überzeugen, eine Fernzugriffssoftware (zum Beispiel NTR-Cloud, Teamviewer) zu installieren, verbinden sich dann mit dem  Computer des Opfers und täuschen vor, ein E-Banking-Update durchzuführen. Anschliessend geben die Täter vor, dass das Update getestet werden müsse und versuchen das Opfer zu überzeugen, seine Zugangsdaten für das E-Banking der Firma einzugeben.  Anhand einer Testzahlung wollen die Angreifer die Funktionsweise des Systems überprüfen. Ist die Zahlung durch eine Kollektivunterschrift geschützt, versuchen die Betrüger das Opfer zu überzeugen, alle Unterschriftsberechtigten zu organisieren, um die Zahlung freizugeben.

In einer anderen Variante werden die Opfer angewiesen, aufgrund von dringenden E-Banking Updates für einige Tage auf das E-Banking zu verzichten. Im Falle von dringenden Transaktionen soll das Opfer eine durch die Betrüger angegebene Rufnummer kontaktieren. Ruft das Opfer den falschen Bankmitarbeiter an, um eine E-Banking Transaktion durchzuführen, werden sowohl Benutzername und Passwort als auch das Einmalpasswort nachgefragt. Der Angreifer bekommt so Zugang zum E-Banking der Firma. Dieses Vorgehen kann so lange wiederholt werden, bis das Opfer misstrauisch wird.

Die Beispiele zeigen, wie aktuell Social Engineering Methoden weiterhin sind. Die Sensibilisierung innerhalb der einzelnen Firmen ist der Schlüssel, solchen Betrugsversuchen wirksam vorzubeugen.

Empfehlungen:

  • Unternehmen sollten kontrollieren, welche Informationen über die eigene Firma online zugänglich sind. Geben Sie auf Ihrer Firmen-Website nie die E-Mail-Adressen von Vorstand bzw. Mitarbeitenden preis – verwenden Sie generische E-Mail Adressen.
  • Seien Sie misstrauisch, falls sich jemand mit ungewohnten Anliegen bei Ihnen meldet und überprüfen Sie den Anrufenden kritisch. Bei ungewöhnlichen Kontaktaufnahmen und Aufforderungen ist es empfehlenswert, innerhalb der Firma Rücksprache zu nehmen, um die Richtigkeit des Auftrages zu verifizieren. Sensibilisieren Sie die Mitarbeitenden bezüglich dieser Vorfälle, insbesondere die Mitarbeitenden in Schlüsselpositionen.
  • Geben Sie niemals per Telefon, E-Mail oder im Internet persönliche Zugangsdaten an Dritte weiter. Finanzinstitute werden Sie nie in einem Telefongespräch, E-Mail oder einer Kurznachricht dazu auffordern, vertrauliche Personendaten anzugeben.
  • Installieren Sie niemals Software, wenn Sie telefonisch oder schriftlich dazu aufgefordert werden. Erlauben Sie niemals einen Fremdzugriff auf Ihren Computer. Keine Bank wird Sie auffordern, an Tests von irgendwelchen Sicherheitsupdates mitzuwirken.
  • Sämtliche den Zahlungsverkehr betreffenden Prozesse, sollten firmenintern klar geregelt sein und von den Mitarbeitenden in allen Fällen konsequent eingehalten werden.

 

Quelle: Melde- und Analysestelle Informationssicherung MELANI


30.04.18

MELANI: 2. Halbjahresbericht 2017

Im Oktober 2017 musste der Internet-Konzern «Yahoo!» eingestehen, dass bei einem Hacker-Angriff im Jahr 2013 die Daten aller Nutzenden dieses Dienstes betroffen gewesen waren. Es dürften somit über 3 Milliarden Datensätze abgeflossen sein. Der Vorfall gilt als bisher grösster Datenabfluss weltweit. In der Schweiz gaben im zweiten Halbjahr 2017 vor allem die Datenabflüsse bei der Swisscom mit 800'000 Datensätzen sowie jener bei «dvd-shop.ch» mit 70'000 Datensätzen zu reden. Im Schwerpunktthema des aktuellen Halbjahresberichts beleuchtet MELANI unter anderem die Auswirkungen solcher Datenlecks, datenschutzrechtliche Aspekte sowie die Frage, wie Betroffene informiert werden sollen.

 

Crimeware weiterhin sehr aktiv

Auch im zweiten Halbjahr 2017 war der Einsatz von Crimeware, insbesondere Verschlüsselungs- und E-Banking-Trojaner, weit verbreitetet. Die Daten von MELANI/GovCERT zeigen, dass «Downadup», auch bekannt unter «Conficker», immer noch zu der in der Schweiz am stärksten verbreiteten Schadsoftware gehört, obwohl für die dabei ausgenutzte Sicherheitslücke seit mehr als zehn Jahren ein Patch zur Verfügung steht.

 

Angriffe auf industrielle Kontrollsysteme

Industrielle Kontrollsysteme sind nicht nur das Herz zahlreicher kritischer Infrastrukturen wie etwa der Energieversorgung, sondern auch zahlreicher medizintechnischer Geräte wie beispielsweise der MRI-Scanner oder Herzschrittmacher. Der Ausfall solcher Geräte kann für den Patienten im Extremfall lebensbedrohliche Ausmasse annehmen. Der vorliegende Halbjahresbericht behandelt die Herausforderungen rund um Sicherheitsupdates bei medizintechnischen Geräten und befasst sich mit möglichen Sicherheitslücken bei Herzschrittmachern.

 

Der 26. Halbjahresbericht MELANI ist publiziert unter:

MELANI - Halbjahresbericht 2/2017


14.03.18

Phishing-Trojaner tarnt sich als Post-E-Mail

Es ist eine Pishing-Welle im Gange, dabei werden gefälschte E-Mails im Namen der Schweizerischen Post verschickt. Die Melde- und Analysestelle Informationssicherung des Bundes (MELANI) bestätigt die Angriffsversuche.

Das Word-Dokument im Anhang enthält einen E-Banking-Trojaner

Im Anhang der E-Mail ist eine Word-Datei die einen E-Banking-Trojaner beinhaltet. Infizierte Systeme werden dabei so manipuliert, dass auf dem PC des Opfers der Eintrag des DNS-Servers auf einen bösartigen DNS-Server geändert wird und gefälschte Root-Zertifikate installiert werden. Nach der Infektion löscht der Trojaner alle Spuren, was es für Antiviren-Programme besonders schwierig macht, eine Infektion festzustellen. Bei erfolgreicher Infektion, erhalten die Betrüger die vollständige Kontrolle über den E-Banking-Account des Opfers.

 

Der verwendete Trojaner trägt den Namen Refete und wurde bereits 2013, 2016 und das letzte mal 2017 in der Schweiz und Österreich für Phishing-Angriffe verwendet.