Internetwarnungen

07.01.21

Schadsoftware Emotet ist wieder aktiv

Seit Dienstagmittag ist die Schweiz Ziel einer breit angelegten Malware E-Mailkampagne. Die Schadmail enthält ein Passwort für das Öffnen der im Anhang beiliegenden verschlüsselten ZIP-Datei.

 

Die E-Mail gibt vor von einer offiziellen oder öffentlichen Organisation wie einer Bank oder der Polizei zu stammen. In der verschlüsselten ZIP-Datei steckt ein Office-Dokument. Dieses Dokument enthält ausführbare Makros. Öffnet der Benutzer das Dokument und erteilt die Erlaubnis, Makros auszuführen, infiziert sich der PC mit dem Trojaner Emotet.

Beispiel einer gefälschten E-Mail mit verschlüsseltem Anhang und Passwort.

Bei vielen dieser Mails handelt es sich um wirklich verschickte Mails, die den Betrügern in die Hände gefallen sind und nun durch sie erneut verschickt werden. Die Fälschung kann erkannt werden, wenn der angezeigte Name nicht dem wirklichen Namen entspricht.

 

Die E-Mailadresse entspricht nicht dem Anzeigenamen.

Da der Anhang verschlüsselt ist, kann der Inhalt von Antivirusprogrammen nicht überprüft werden. Wird das Office-Dokument geöffnet, versuchen die Betrüger den Benutzer zur Ausführung der Makros zu bringen, indem sie vorgeben, das Dokument sei mit einer anderen Windows-, Office-, Android-Version erstellt worden und müsse zuerst umgewandelt werden.

 

Löschen Sie solche E-Mails.

 

 

Quelle: cybercrimepolice.ch

 


Immer auf dem laufenden sein

Wir warnen vor aktuellen Viren, Trojanern sowie den neusten Betrugsmaschen, Scam-Mails, Verschlüsselungsprogramme und mehr.

Unsere Internetwarnungen abonnieren

02.11.20

MELANI: 1. Halbjahresbericht 2020

Der 31. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cybervorfällen der ersten Jahreshälfte 2020 in der Schweiz und international. Im aktuellen Bericht wird als Schwerpunktthema die Corona-Pandemie beleuchtet, die als Lockmittel für zahlreiche Cyberangriffe gedient hat.  

 

Schwerpunktthema: COVID-19

Cyberakteure passen ihre Angriffe regelmässig an aktuelle Grossereignisse an, die eine grosse Medienpräsenz haben, wie beispielsweise Naturkatastrophen. Dies war auch bei der aktuellen Covid19-Pandemie im ersten Halbjahr 2020 der Fall. Ob mit falschen Versprechungen für Informationen zum Virus, zu Bestellmöglichkeiten von Masken während tiefer Lagebestände oder Mitteilungen zu Online-Bestellungen – die Angreifer nutzten die verschiedensten Themen, um die Opfer zu betrügen oder Schadsoftware zu verbreiten. Im Halbjahresbericht werden die verschiedensten Arten von Cyberangriffen aufgezeigt, die in Zusammenhang mit der Pandemie erfolgt sind.

 

Industrielle Kontrollsysteme (ICS) im Visier von Ransomware

Doch nicht alle Cyberangriffe stehen in Zusammenhang mit Corona. Im ersten Halbjahr konnte wiederum eine Zunahme von Angriffen mit Ransomware verzeichnet werden. Dabei verschlüsseln die Angreifer Daten und fordern vom Opfer entsprechendes Lösegeld für die Freigabe der Daten. Bisher hatten es Angriffe mit Kryptotrojaner auf die IT-Infrastruktur der Opfer abgesehen und Kontrollsysteme meist nur kollateral in Mitleidenschaft gezogen. Im ersten Halbjahr 2020 wurde nun eine Ransomware beobachtet, die eigens dazu entworfen worden war, Prozesssteuerungen bei Industriekontrollsystemen zu treffen. Solche Angriffe können verheerende Folgen für Unternehmen und Bevölkerung haben.

 

Nationale Anlaufstelle ist operativ

Seit Anfang dieses Jahres ist das Nationale Zentrum für Cybersicherheit (NCSC) zentrale Anlaufstelle für Wirtschaft, Bevölkerung, Behörden und Bildungsinstitutionen, wenn es um Cyberthemen geht. Die Anlaufstelle nimmt Meldungen über Vorfälle einheitlich entgegen, prüft diese und leitet sie an die entsprechende Stelle weiter. Im ersten Halbjahr 2020 wurden insgesamt 5'152 Meldungen registriert. Mit über der Hälfte Meldungen machten Betrugsversuche den grössten Anteil aus, davon betrafen alleine 825 Fälle E-Mails mit Vorschussbetrug. Die Statistik der eingegangenen Meldungen wird wöchentlich auf der Website des NCSC publiziert.

 

 

Der Halbjahresbericht MELANI erscheint zum letzten Mal in dieser Aufmachung und wird neu unter dem Label des Nationalen Zentrums für Cybersicherheit (NCSC) erscheinen.

 

Auf der Webseite des NCSC können Sie den ausführlichen Bericht herunterladen (PDF 3,8 MB).

 

 

Quelle: Nationales Zentrum für Cybersicherheit NCSC


15.10.20

Gefährliche Outlook Web App Phishingmails

Es werden im Moment gefährliche Phishingmails versendet, die vorgeben von Microsoft Outlook Web App (OWA) zu sein. Darin heisst es, dass das Passwort des Kontos bald ablaufen würde. Man könne ein neues Passwort setzen oder das bestehende weiterbenutzen, wenn man auf den Link klickt.

 

 

Der Benutzer wird im Phishingmail mit Namen angesprochen, ausserdem wird mehrmals die Firmendomain verwendet, um den Anschein von Authentizität zu erwecken. Wer auf den Link klickt, wird zu einer gefälschten Seite geleitet mit einer Anmeldemaske. Meldet man sich dort mit seinem OWA-Zugangsdaten an, werden diese an die Kriminellen gesendet.

 

Klicken Sie auf keine Links und löschen Sie solche E-Mails.

 

 

Beachten Sie

  • Passwörter für das OWA müssen nie verlängert werden und laufen nicht ab.
  • Klicken Sie allgemein nicht auf Links, die Sie zu Login-Seiten führen. Öffnen Sie Ihren Browser und navigieren Sie selber dorthin. So stellen Sie sicher, dass Sie auch auf der offiziellen Seite sind und nicht auf einer Fälschung.
  • Wenn Sie nicht sicher sind, ob es sich um eine echte Mail handelt, kontaktieren Sie Ihren IT-Verantwortlichen oder Administrator und fragen Sie nach.
  • Aktivieren Sie 2-Faktor-Authentifzierung (2FA), um die Sicherheit Ihres Kontos zu erhöhen. Mehr über 2FA können Sie in unserem Ratgeberartikel nachlesen: Was ist 2FA und warum ist es so wichtig?

 


10.09.20

Betrügerische SMS im Namen der Steuerverwaltung

Im Moment sind SMS im Umlauf, welche angeblich von der Eidgenössischen Steuerverwaltung (ESTV) stammen. Sie geben vor, dass die letzte Rechnung zweimal bezahlt wurde und ein Betrag zurückerstattet werde. Es handelt sich hierbei um eine betrügerische SMS! Klicken Sie nicht auf den Link und löschen Sie die SMS umgehend.

 

Quelle: Nationales Zentrum für Cybersicherheit (ECSC)


13.08.20

Betrügerische Mails im Namen der Zollverwaltung und anderen Dienstleistern

In letzter Zeit erhalten Schweizerinnen und Schweizer Nachrichten, die angeblich von Dienstleistern wie der Post, DHL oder der Eidgenössischen Zollverwaltung stammen und irgendwelche Gebühren verlangen. In einigen Fällen sollen Kreditkartendaten eingegeben werden, in anderen Fällen soll man die Gebühr via Mobiltelefon bezahlen. Es gibt ebenfalls die Variante, wo der Betrag mit einer Paysafecard bezahlt werden soll. Es handelt sich hierbei um betrügerische E-Mails.

 

Bitte die Absender genau prüfen. Beim Absender notification@ezv.admin.ch z.B., handelt es sich um eine Betrugs-E-Mail. Nicht öffnen!

 

 

Quelle: Nationales Zentrum für Cybersicherheit (NCSC)


30.07.20

Trojaner Emotet wieder aktiv

Der Trojaner Emotet der 2018 und 2019 weltweit Computer von Unternehmen und Privatkunden infiziert hatte, ist nach einer halbjährigen Pause wieder aktiv.

 

Vorgehen

Wie bereits in den letzten Jahren werden von den Kriminellen Mails versendet, die einen Link zu einer gefährlichen Webseite enthalten oder einen infizierten Anhang. Falls man den Link/Anhang öffnet, wird Schadsoftware heruntergeladen und ausgeführt, meistens ein Verschlüsselungstrojaner.

 

Gelingt es Emotet ein System zu infizieren, versucht es E-Mails und Kontaktdaten aus Outlook zu stehlen. Mit den Daten werden weitere gefälschte Mails erzeugt. Indem auf eine laufende E-Mailunterhaltung zwischen dem Opfer und einer anderen Person geantwortet wird, versucht er die vermeintliche Echtheit einer E-Mail zu erhöhen, denn ein Mitarbeitender kontrolliert einen Dateianhang weniger gründlich, wenn es sich um einen bekannten E-Mailbetreff handelt.

 

Neu ist, dass Emotet auch kleine E-Mailanhänge der Opfer kopiert und sie in neuen E-Mails mitsendet. Es wurden E-Mails gemeldet, die 5 Dateianhänge besassen. Dies ist ein weiterer Versuch die Authentizität der Mails zu erhöhen.

Die Meldung versucht den Benutzer zu überlisten Makros zu aktivieren, in dem sie behauptet, das Dokument sei auf einem Apple-Gerät erstellt worden und man müsse den «Inhalt aktivieren».

Die Erklärungen in der Meldung eines infizierten Worddokumentes variieren, aber die Anweisungen an das Opfer sind immer gleich: In der Sicherheitswarnung auf «Bearbeitung aktivieren» klicken, als zweites auf «Inhalt aktivieren» klicken. Danach sind Makros im Dokument aktiviert und Emotet lädt weitere Schadsoftware aus dem Internet nach. Meistens ein Verschlüsselungstrojaner und eine Wurmkomponente, die es der Schadsoftware erlaub sich im Netzwerk auszubreiten und weitere Geräte zu infizieren, je nach Konfiguration des Netzwerkes.

 

Erpressungsversuche

Emotet wird aktiv dazu verwendet, um gezielt Computer und Server in Unternehmensnetzwerken zu infizieren. Die Ransomware fordert nach erfolgter Verschlüsselung vom betroffenen Unternehmen eine erhebliche Summe an Lösegeld. Betroffen sind ausschliesslich Geräte wie Computer und Server, welche mit einem Windows Betriebssystem laufen.

 

Wenn Sie bei einer E-Mail unsicher sind, rufen Sie den Absender an und fragen Sie nach, ob die Mail von ihm ist.


18.05.20

MELANI: 2. Halbjahresbericht 2019

Der 30. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cybervorfällen der zweiten Jahreshälfte 2019 in der Schweiz wie auch international. Schwerpunktthema im aktuellen Bericht bildet der Umgang und die Problematik von Personendaten im Netz.  

Auf der Webseite von MELANI können Sie den ausführlichen Berichts als PDF herunterladen.

 

Quelle: Melde- und Analysestelle Informationssicherheit MELANI


27.04.20

Phishing gegen Schweizer Webmaster

Zurzeit wird eine Zunahme von Phishing-Angriffen im Namen von verschiedenen Hosting-Providern gegen Schweizer Webmaster und Domäneninhaber festgestellt. Ignorieren Sie diese E-Mails. Hosting-Provider fordern Sie niemals per E-Mail zur Eingabe Ihrer Zugangsdaten auf.

 

 

Drei bekannte Varianten

Bis lang sind 3 Mail-Varianten bekannt. Alle enthalten einen Link der auf eine gefälschte Anmeldeseite führt. Die E-Mails werden von gehackten E-Mailkonten oder von gekapperten Servern aus gesendet.

 

 

AbsenderBetreff
<Name des Hostingproviders> <xy@domain-des-opfers>Service-Aufhängung - <Opfer-Domain>
<Name des Hostingproviders> <support@domain-des-hosting-providers>ACTION REQUISE
<Name des Hostingproviders> <support@domain-des-hosting-providers>Rappel: veuillez renouveler votre commande : 9.43 CHF
Beispiel einer Phishing-Mail. Die angebliche E-Mail von Hostpoint behauptet, dass eine Webseite gesperrt wurde oder bald gesperrt wird. Der angegebene Link führt auf eine Phishingseite und nicht auf die angezeigte Webseite.

 


30.03.20

Coronavirus: Betrugsmaschen im Internet

Wie wir in den letzten Wochen berichtet haben, nutzen Kriminelle die momentane Angst und Unsicherheit in der Bevölkerung aus. Derzeit werden vermehrt die folgenden 7 Betrugsvarianten im Internet festgestellt:

 

  • Phishing-E-Mails: Die Täter verschicken vor allem E-Mails, die angeblich von der World Health Organisation (WHO) oder dem Bundesamt für Gesundheit (BAG) stammen.
  • Voice Phishing: Anrufe im Namen des Bundesamtes für Gesundheit (BAG), um an persönliche Informationen zu gelangen.
  • Coronavirus Maps: Interaktive Karten auf Webseiten, welche die Virusverbreitung aufzeigen, können von Cyberkriminellen manipuliert werden und einen Download mit Malware auslösen.
  • Betrügerische Spendenaufrufe: Vermeintliche Wohltätigkeitsorganisationen rufen zu Spenden auf, um einen Impfstoff für COVID-19 zu entwickeln.
  • Fake-Shops für medizinische Produkte: Online-Shops, auf denen medizinische Produkte (Atemschutzmasken usw.) angeboten werden. Die Waren werden trotz Bezahlung nicht geliefert.
  • Money Mules: Mit interessanten Angeboten versuchen Betrüger, im Namen einer angeblichen Firma unbescholtene Bürger als Finanzagenten (Moneymules) anzuwerben.
  • Fake-Sextortion: Per E-Mail wird den Opfern gedroht, bei Nichtzahlung die Familie des Geschädigten mit dem Coronavirus zu infizieren.

 

Auch zu Corona-Zeiten gelten diese generellen Tipps:

  • Öffnen Sie keine Mails von unbekannten Absendern oder Anhänge und klicken Sie keinesfalls auf Links.
  • Gehen Sie nicht auf die Forderung der Erpresser ein und reagieren Sie nicht auf solche E-Mails. Meistens handelt es sich um Spam.
  • Implementieren Sie Antiviren-Software zur Erkennung und Vermeidung einer Infektion durch Schadsoftware und halten Sie Ihre Systeme auf dem aktuellsten Stand.
  • Lassen Sie sich von unbekannten Personen am Telefon nicht unter Druck setzen. Legen Sie im Zweifelsfall das Telefon auf.
  • Teilen Sie Passwörter, Zugangsdaten oder Kontoinformationen niemals per Telefon oder E-Mail mit.
  • Vorauszahlungen bei Online-Shops sollten Sie nur bei kleineren Beträgen leisten. Grössere Beträge sollten über ein von den Plattformen empfohlenes Zwischenkonto bzw. Online-Treuhandkonto bezahlt werden. Alternativ empfiehlt sich, die Ware direkt bei der Abholung zu bezahlen.
  • Ihre Bankkonten sollten Sie nie Dritten zur Verfügung stellen.

 

Quelle: Melde- und Analysestelle Informationssicherung MELANI


18.03.20

Gefälschte Telefonanrufe im Namen des BAG

Aktuell gibt es Meldungen zu gefälschten Telefonanrufen, die vorgeben im Namen des Bundesamts für Gesundheit (BAG) Umfragen durchzuführen und sich nach Gesundheitszustand und weiteren persönlichen Angaben erkundigen.

 

Ignorieren Sie diese Anrufe. Phishing- und Malware-Angriffe haben seit Beginn der Coronavirus-Epidemie massiv zugenommen. Die Kriminellen spekulieren darauf, dass Mitarbeiter im Moment weniger achtsam sind, besonders wenn Anfragen scheinbar von staatlichen Gesundheitsbehörden kommen.

 

 

Quelle: Melde- und Analysestelle Informationssicherung (MELANI)


16.03.20

Warnung vor gefälschten E-Mails im Namen des BAG

Seit Freitagmittag (13. März 2020) versuchen Cyberkriminelle die Verunsicherung der Bevölkerung aufgrund der Situation um das Coronavirus auszunutzen. Mittels gefälschten E-Mails und Posts zum Thema Coronavirus versuchen Cyberkriminelle zurzeit, Geräte zu infizieren und die Schadsoftware namens AgentTesla zu verbreiten. Als Absender der verschickten E-Mails wird das Bundesamt für Gesundheit (BAG) angegeben.

 

Beispiel einer gefälschten E-Mai im Namen des BAG:

 

Ignorieren Sie solche E-Mails, öffnen Sie keine Anhänge und klicken Sie niemals auf Links.

 

 

Beispiel eines geöffneten Anhangs:

 

Werden dennoch Anhänge geöffnet oder Links angeklickt, wird Malware platziert. Diese ermöglicht den Angreifern den vollen Fernzugriff auf den Computer und Passwörter können ausgelesen werden. Falls Sie versehentlich eine solche E-Mail geöffnet haben sollten, schalten Sie umgehend Ihren Computer aus. Kontaktieren Sie Global System oder ihren eigenen IT-Dienstleister, wenn Sie kein Kunde von uns sind. Wechseln Sie anschliessend umgehend Ihre Passwörter.

 

 

Quelle: Melde- und Analysestelle Informationssicherung MELANI

 


20.01.20

Internet Explorer mit kritischer Sicherheitslücke

Microsoft hat über eine kritische Sicherheitslücke in Internet Explorer (IE) informiert. Gelingt es einem Angreifer die Sicherheitslücke auszunutzen, erhält er dieselben Rechte wie der gerade aktive Benutzer. Er könnte so also die Kontrolle über den Computer erhalten. Die Sicherheitslücke wird bereits in einzelnen Fällen aktiv ausgenutzt.

 

Betroffen Sind die IE Versionen 9-11 auf den Windows Versionen 7-10 sowie Windows Server 2008 - 2019. Ein Sicherheitsupdate ist in Arbeit, aber noch nicht erhältlich. Für Windows 7 und Windows Server 2008 wird es voraussichtlich keine Patchs geben, da diese offiziell nicht mehr von Microsoft unterstützt werden.

 

Was Sie tun sollten

Wir raten allen Benutzern dringend einen anderen Browser zu verwenden, mindestens bis Microsoft das Sicherheitsupdate veröffentlicht hat. Besser wäre jedoch ganz auf einen neuen Browser zu wechseln, denn Internet Explorer 11 wird schon seit Jahren nicht mehr weiterentwickelt und erhält lediglich noch Sicherheitsupdates.

 

Wir empfehlen Ihnen Microsoft Edge (seit Windows 10 standardmässig in Windows dabei), Mozilla Firefox oder Google Chrome zu verwenden.

 

 

Quelle: Microsoft

 


09.01.20

Falsche Gewinnbenachrichtigung im Namen von Coop

Zurzeit werden von Kriminellen vermeintliche Gewinnbenachrichtigungen im Namen von Coop versendet. Diese SMS führen auf ein falsches Gewinnspiel. Klicken Sie auf keinen Fall auf den Link. Falls Sie Kreditkartendaten angegeben haben, nehmen Sie umgehend mit Ihrem Kreditkarteninstitut Kontakt auf.

 

Quelle: Melde- und Analysestelle Informationssicherung (MELANI)