In letzter Zeit häufen sich weltweit, auch in der Schweiz, Anrufe von Betrügern, welche sich als Mitarbeitende von Microsoft oder anderen IKT-Support-Firmen ausgeben. Die Anrufer sprechen meist englisch und stammen nach eigenen Angaben aus den USA, England oder Australien. In vielen Fällen weisen die Anrufer auf Fehlermeldungen hin, die angeblich von den Computern des angegangenen Unternehmens oder der Privatperson übermittelt worden sind. Die Angerufenen werden dann zum Beispiel angeleitet, auf ihrem Computer den Event-Viewer aufzurufen, mit welchem jegliche Ereignisse und Aktivitäten des Computers aufgezeigt werden können. Dazu muss man wissen, dass auch ein einwandfrei funktionierendes System gelegentlich Fehlermeldungen produziert. Je nach Alter und Konfiguration des Computers kann die Liste der Fehlermeldungen im Event-Viewer sogar sehr lang sein, ohne dass das System ein grundsätzliches Problem hat. Das Aufrufen-Lassen dieses Programms wird von den «Support»-Anrufern typischerweise benutzt, um den Opfern eine glaubwürdige Kulisse zu präsentieren, respektive Angst zu machen. Ziel der Betrüger ist es, die angerufene Person dadurch zu überzeugen, ihnen durch das Herunterladen eines Programms einen Fern-Zugriff auf den Computer zu erlauben. Wird dieser gewährt, hat der Anrufer dieselben Möglichkeiten, den Computer zu manipulieren, wie wenn er selbst direkt davor sitzen würde (Kopieren/Verändern/Löschen von Daten, Installation von Programmen, Einrichten einer «Hintertür» um später wieder auf das System Zugreifen zu können, usw.).
Manchmal bieten die Anrufer auch den Abschluss eines Support-Abonnements respektive einer Garantie an und verlangen dafür die Angabe von Kreditkartendaten oder eine andere Form von Bezahlung.
Die Opfer suchen sich die Anrufer offensichtlich über öffentlich zugängliche Verzeichnisse aus, wie beispielsweise das Schweizerische Handelsregister oder öffentliche Telefonbücher.
Auswirkungen und Risiken
Angreifer haben Vollzugriff auf den Computer
Angreifer können auch zu einem späteren Zeitpunkt auf den Computer zugreifen
Es wird eine Beratungsgebühr verlangt, dazu muss die Kreditkartennummer angegeben werden.
Massnahmen
Grundsätzlich ist festzuhalten, dass Microsoft und andere Softwarefirmen nie unangemeldete oder unaufgefordert Support-Anrufe tätigt um Computerprobleme zu beheben. Entsprechende Anrufe sollten Sie unverzüglich beenden.
fedpol erreichen zurzeit Meldungen von Nutzern, die im Namen von Apple betrügerische E-Mails erhalten haben. Dahinter verbirgt sich eine angebliche Bestellung, die man via Link stornieren kann. Dieser Link führt zu einer Phishing Seite, die auf persönliche Daten, Kreditkarte und in einem zweiten Schritt auf die Apple-ID zugreift.
Das Opfer erhält eine E-Mail mit einer täuschend echt gemachten Rechnung von iTunes. In einem vorliegenden Fall handelt es sich um einen angeblichen Einkauf von PokéPièces im Wert von CHF 39.00. Dem Kunden wird die Möglichkeit geboten, den Artikel via Link zu stornieren. Klickt er auf diesen Link, kommt er auf die Phishing Seite. Dort wird er aufgefordert, seine persönlichen Daten einzugeben und auf den Knopf „Artikel stornieren“ zu drücken. Damit wird er weitergeleitet und aufgefordert, seine Apple-ID anzugeben.
Nebst den sensiblen Daten wie den Angaben zur Kreditkarte haben die Täter die Möglichkeit, mit der Apple-ID auf Clouddaten (Dateien, Bilder etc.) sowie auf Sicherheitsfunktionen zuzugreifen (z.B. Lokalisierung, Sperrung etc.).
Der Computer-Schädling RAA soll nicht nur Daten als Geisel nehmen und ein Lösegeld verlangen, sondern auch einen Trojaner mitbringen, der Passwörter abgreift.
Die Sicherheitsforscher mit den Pseudonymen JAMESWT_MHT und benkow_ haben den Verschlüsselungs-Trojaner RAA entdeckt und herausgefunden, dass der Schädling zusätzlich einen Trojaner zum Stehlen von Passwörtern auf infizierte Rechner installiert. Davor warnen die Ransomware-Experten von Bleepingcomputer.com.
RAA soll zudem der erste Erpressungs-Trojaner sein, der komplett auf JavaScript basiert. Dabei tarnt sich der Schädling als Word-Datei, die die unbekannten Angreifer per Mail-Anhang verbreiten, berichten die Kryptologen. Öffnet man die Datei, taucht auf den ersten Blick nur ein Word-Dokument auf dem Bildschirm auf, welches beschädigt aussieht. Doch im Hintergrund beginnt bereits das Zerstörungswerk und RAA verschlüsselt Daten mithilfe der CryptoJS-Bibliothek. Chiffrierte Dateien weisen die Namenserweiterung .locked auf.
Zusätzlich löscht der Schädling noch die Schattenkopien von Windows. Anschließend haben Opfer keine Möglichkeit mehr, unverschlüsselte Versionen von Dateien wiederherzustellen. Damit Opfer wieder Zugriff auf ihre Daten erhalten, fordern die Kriminellen ein Lösegeld von 0.39 Bitcoin (rund 260 Euro) ein.
Passwort-Dieb mit an Bord
Nutzerdaten als Geisel zu nehmen reicht den Kriminellen aber nicht aus: Der Erpressungs-Trojaner bringt den Sicherheitsforschern zufolge noch die Malware Pony mit, die Passwörter abgreifen kann. Der zweite Schädling soll sich als Base64-String in der JavaScript-Datei verstecken. Wird diese ausgeführt, findet eine Konvertierung in eine ausführbare Datei statt, die sich anschließend im Auto-Start von Windows einnistet, erläutern die Kryptologen.
Wir raten darum wieder: Öffnen Sie NIE Dateianhänge von denen Sie nicht 100% wissen, dass sie direkt für Sie sind. Im Zweifelsfall immer nachfragen.
Viele Internutzer erschrecken, wenn sie ihre Mails derzeit öffnen: Der Computer ist angeblich von einer Polizeibehörde gescannt worden. Man habe sich des Konsums verbotener Pornographie schuldig gemacht und müsse nun eine Busse zahlen. Das Geld sei über MoneyGram oder Western Union zu überweisen, sonst werde das Arbeitsumfeld und weitere offizielle Behörden über das Delikt ins Bild gesetzt und das verwerfliche Material der Presse übermittelt. Um glaubwürdig zu wirken, werden (falsche) Gesetzesartikel angegeben und eine Absenderadresse gewählt, die auf den ersten Blick wie diejenige einer Polizeibehörde aussieht.
Beispiel einer französioschen Erpressungsmail von einer angeblichen Polizeibehörde
Die E-Mails sind ein Schwindel. Wir raten dringend davon ab, auf die Erpressung einzugehen.
Wir empfehlen:
Schicken Sie die verdächtige Korrespondenz via Meldeformular an fedpol zur Analyse.
Reagieren Sie nicht auf die E-Mail.
Leisten Sie keine Zahlungen.
Sie haben die Möglichkeit, bei Ihrer nächsten Polizeidienststelle Anzeige wegen versuchter Erpressung zu erstatten.
Wieder ist ein gefälschtes Mail mit dem vermeintlichen Absender Post.ch im Umlauf. Als Virusträger ist diesmal nicht ein Word-Dokument beigelegt, sondern eine Excel-Datei. Deshalb gilt: Nie ein Office Dokument öffnen, dass von einer vermeintlich bekannten Stelle kommt!
Gefälschte Post-E-Mail mit Virus im Anhang
Auch nie ein Office-Dokument öffnen, wenn das Mail vermeintlich von einem Vorgesetzten kommt. Selbst dieses kann gefälscht sein, bitte rückfragen!
Im Zweifelsfall den Absender anrufen. Verwenden Sie dafür aber nichtdie Telefonnummer im fraglichen Mail, verifizieren Sie die Nummer über einen Telefoneintrag der Webseite (z.B. post.ch). Am Besten ist, wenn man in der Firma abmacht, keine Office-Dokumente intern per Mail zu versenden, stattdessen kann man sie im Dateisystem eines Servers speichern, wo andere auch Zugang haben.
01.06.16
Neue Welle von Ransomware
Es werden vermehrt Meldungen zu betrügerischen E-Mails gemeldet, die angebliche Rechnungen und einen Word-Anhang enthalten.
Gemäss fedpol handelt es sich bei diesen angeblichen Rechnungen um den Versuch, sogenannte Ransomware zu verbreiten. Beim Öffnen der Rechnung wird automatisch eine Schadsoftware heruntergeladen. Der Inhalt der E-Mail ist immer anders, die angeblichen Unternehmen heissen unterschiedlich und der Rechnungsbetrag variiert ebenso. Damit werden sowohl Dateien des lokalen Computers wie auch Dateien, die sich allenfalls im gleichen Netzwerk befinden, verschlüsselt.
Wir empfehlen Internetnutzern dringend, die Nachricht zu löschen und auf gar keinen Fall den Anhang zu öffnen. Wer bereits den Anhang geöffnet und dadurch einen Schaden erlitten hat, kann dies bei der Kantonspolizei zur Anzeige bringen.
Die Rechnungen haben unterschiedliche Absender. Beiliegend ein Screenshot als Beispiel.
Die Rechnungen haben unterschiedliche Absender. Beiliegend ein weiterer Screenshot als Beispiel.
Betrügerische Telefonanrufe gegen KMUs im Zusammenhang mit dem eBanking Trojaner «Retefe»
Seit Anfang Februar 2016 erreichen die Melde- und Analysestelle Informationssicherung MELANI sowie die Koordinationsstelle zur Bekämpfung der Internetkriminalität KOBIK vermehrt Meldungen aus der Bevölkerung betreffend betrügerischen Telefonanrufen, welche das Ziel haben, eBanking Betrug zu ermöglichen.
Die Masche ist neu: Die Täterschaft ruft KMUs in der Schweiz unter einem Vorwand an, um eine E-Mail Adresse zu erhalten (z.B. die anstehende Übergabe eines Paketes). Wird eine solche bekannt gegeben, versendet die Täterschaft innert kurzer Zeit ein plausibel klingendes, auf das Telefonat bezugnehmendes E-Mail mit einem Link zu einem bekannten Cloud-Anbieter. Hinter dem Link befindet sich ein ZIP-Archiv, welches ein bösartiges Java-Script oder eine ausführbare Datei enthält. Die durch Anklicken dieser Datei durchgeführten Änderungen am Betriebssystem des Opfers (namentlich das ändern der Web-Proxy Einstellungen von Internet Explorer und Firefox, sowie das Hinzufügen einer bösartigen Certificate Authority zum vertrauenswürdigen Zertifikatsspeicher), erlauben es dem Angreifer auf das eBanking des Opfers zuzugreifen, sobald dieses sich das nächste Mal auf seinem eBanking-Konto anmeldet.
Ablauf der Betrugsmasche mit Hilfe des Trojaners Refete
Die Täterschaft verwendet für die betrügerischen Anrufe Schweizer Telefonnummern und versendet die E-Mails mit Absenderadressen, welche den Adressen von legitimen Unternehmen täuschend ähnlich sehen. Unter anderem folgende Domain-Namen wurden bei den Absenderadressen beobachtet:
yurist-plus.com
betost-law.com
cva-swisskurier.com
advokaturburo.com
cva-swisskurier.com
grischamodellbau.com
steuershop.com
swiss-courier.com
Beispiel einer solchen E-Mail
Beispiel eins Mails mit einem Link zum Refetetrojaner
Aufgrund der von den Angreifern verwendeten technischen Infrastruktur und dem verwendeten Schadcode gehen MELANI und KOBIK davon aus, dass der Angriff im Zusammenhang mit den durch die Schadsoftware „Retefe“ durchgeführten Angriffen vom letzten Jahr steht.
MELANI und KOBIK empfehlen:
Seien Sie misstrauisch gegenüber Anrufen von Unbekannten
Seien Sie vorsichtig bei Emails mit Links, welche nicht sofort ersichtlich bzw. ausgeschrieben sind (z.B. „Klicken Sie hier“), auch wenn diese von vermeintlich vertrauenswürdigen Absendern stammen
Wenn Sie beim Login ins e-Banking nach Eingabe der Anmeldeinformationen (Passwort, mTAN/Token) einen Sperrbildschirm erhalten, z.B. „Das e-Banking steht derzeit nicht zur Verfügung", kontaktieren Sie umgehend Ihre Bank
Falls beim Login-Prozess andere aussergewöhnliche Vorkommnisse auftreten (z.B. Anzeige von Minuten-Timer, usw.), sollte ebenfalls die Bank kontaktiert werden
Für die IT-Sicherheit in KMUs hat MELANI sowie das KMU Portal des Bundes je ein Merkblatt veröffentlicht:
Merkblatt IT Sicherheit für KMUs: https://www.melani.admin.ch/melani/de/home/dokumentation/checklisten-und-anleitungen/merkblatt-it-sicherheit-fuer-kmus.html
Neue Welle einer Police-Ransomware im Namen von fedpol/KOBIK
FEDPOL warnt vor einer Ransomware im Namen von fedpol/KOBIK.
Die Gefälschte FEDPOL-Seite
Die Schadsoftware, die in ähnlichen Varianten bereits in den letzten Jahren kursierte, zeigt nach Befall des Computers ein behördenähnliches Logo. Dem Benutzer wird vorgeworfen, sich illegaler Aktivitäten auf dem Internet schuldig gemacht zu haben, was zu einer Sperrung des Browsers geführt habe. Mit einer Geldbusse in der Höhe von CHF 150 (der Betrag kann variieren), zahlbar mit PaySafeCard, könne der Browser wieder entsperrt und eine Strafverfolgung umgangen werden.
Je nach Betriebssystem und Browser lässt sich das gesperrte Browser-Fenster wieder schliessen und es kann verhindert werden, dass die zuletzt besuchten Seiten automatisch wieder geöffnet werden (damit sich der Vorgang nicht wiederholt). Bitte konsultieren Sie hierzu die Anleitung der betroffenen Software. Bei Windows beispielsweise erfolgt die Schliessung über den Task-Manager (Ctrl-Alt-Del).
fedpol empfiehlt
Leisten Sie keine Zahlung. Sollten Sie schon bezahlt haben, haben Sie die Möglichkeit, bei der nächsten Polizeistelle Anzeige zu erstatten.
Schützen Sie Ihren Computer. Führen Sie regelmässige Software-Updates durch und halten Sie insbesondere Ihr Antivirenprogramm auf dem aktuellsten Stand, damit potentielle Gefährdungen erkannt und Sie gewarnt werden.
Melden Sie fedpol verdächtige Inhalte über das Meldeformular.
TeslaCrypt: Angriffe, die Daten verschlüsseln und danach Lösegeld fordern reissen nicht ab
Diverse Meldungen über die Schadsoftware TeslaCrypt an die Melde- und Analysestelle Informationssicherung MELANI zeugen von einer steigenden Verbreitung dieser neuen Variante von erpresserischer Schadsoftware (Ransomware). Nach den seit längerem aktiven Kampagnen von Cryptolocker, Synolocker, Cryptowall etc. scheint sich die neue Variante fast ausschliesslich über infizierte E-Mail Anhänge (Ein Anhang des Typs „.zip“, der eine Datei des Typs „.js“ beinhaltet) zu verbreiten. Einmal installiert, verschlüsselt TeslaCrypt die Dateien, welche sich auf dem Computer befinden (beispielsweise Fotos, Excel- oder Word-Dateien). Dem Opfer wird anschliessend eine Meldung präsentiert, in der die Kriminellen eine Geldforderung stellen. Im Gegenzug soll das Opfer den Schlüssel erhalten mit dem die Dateien wiederhergestellt werden können (Erpressung).$
Beispiel eines Erpresserschreibens:
Beispiel einer erhaltenen Erpresser-E-Mail nach der Infizierung
Verschiedene Antiviren Produkte können die Schadsoftware finden und zerstören. Dann ist es aber meistens zu spät, weil die auf dem Computer vorhandenen Dateien bereits verschlüsselt wurden. In diesem Fall ist deshalb nicht die Entfernung der Schadsoftware das Problem, sondern die Wiederherstellung der ursprünglichen Daten. Im Moment scheint es keine Methode zu geben, die Daten ohne den Schlüssel, der nur den Erpressern bekannt ist, zu entschlüsseln. MELANI rät hier trotzdem davon ab, auf die Forderungen der Erpresser einzugehen und eine Zahlung zu leisten. Es gibt keine Garantie, dass die Kriminellen auch wirklich Wort halten und den für das Entschlüsseln der Dateien benötigten Schlüssel dem Opfer tatsächlich zu-senden. Sie finanzieren gleichzeitig die Weiterentwicklung der Angreifer, welche einen nächsten noch wirksameren Angriff ermöglicht.
Massnahmen
Auf dem Computer abgelegte Daten sollten regelmässig auf externe Datenträger kopiert werden (Backup). Dieser soll nur während des Backupvorgangs am Computer angeschlossen sein.
Seien Sie immer vorsichtig bei verdächtigen E-Mails, bei E-Mails, welche Sie unerwartet bekommen, oder welche von einem unbekannten Absender stammen. Befolgen Sie hier keine Anweisungen im Text, öffnen Sie keinen Anhang und folgen Sie keinen Links.
Sowohl Betriebssystem als auch installierte Applikationen (z.B. Browser, PDF Reader) müssen immer aktuell gehalten werden. Falls vorhanden, am besten mit der automatischen Update Funktion.
Ein Antivirenprogramm muss installiert sein und aktuell gehalten werden.
Eine Personal Firewall muss installiert sein und aktuell gehalten werden.
Detaillierte Empfehlungen finden Sie auf der MELANI Webseite unter der Rubrik «Wie schütze ich mich?».
Im Falle einer Infektion empfehlen wir den Computer sofort von allen Netzwerken zu trennen. Eine Säuberung des Computers ist natürlich notwendig. Grundsätzlich ist eine Neuinstallation des Systems und das Ändern aller Passwörter ratsam. Wir empfehlen, diese Massnahme zusammen mit einem Computerspezialisten durchzuführen. Nachdem diese Massnahmen erledigt wurden, können dann, sofern vorhanden, die Backup-Daten wieder zurückgespielt werden. Wenn kein Backup der Daten vorliegt, ist es empfehlenswert, die verschlüsselten Daten zu behalten und zu sichern, damit Sie sie allenfalls später noch entschlüsseln können, sollte hierzu eine Lösung gefunden werden.
Grundsätze zum Umgang mit E-Mail-Links und Anhängen
In den letzten Tagen wurden mehrere unserer Kunden Opfer von Kryptolocker-Schadsoftware. Kryptolocker sind Programme die wichtige Systemdateien oder persönliche Daten auf einem Computer verschlüsseln, so dass sie nicht mehr verwenderbar sind. Meist wird danach ein Lösegeld für die Entschlüsselung gefordert (die nach der Zahlung natürlich nicht durchgeführt wird).
Die Tricks der Betrüger werden immer ausgereifter und können selbst erfahrende Nutzer täuschen. Wir haben darum in unserer Wissensdatenbank einen Artikel geschrieben mit den wichtigsten Verhaltensregeln. Einen 100% Schutz hat man allerdings nie, darum ist es unerlässlich regelmässig Sicherheitskopien aller wichtigen Daten zu erstellen.
Im Moment kommt es wieder häufig vor, dass der Verschlüsselungs-Virus versendet wird.
Das Mail suggeriert, dass Ihnen ein Packet nicht zugestellt werden kann. Um weitere Informationen zu erhalten soll man auf einen Link klicken, siehe Bild:
E-Mail mit Link zu Kryptovirus
Der Virus wird von den Antiviren-Softwares meist nicht erkannt!
Ein Klick auf den Link verschlüsselt alle Daten, ini-Dateien und Systemeinstellungen.
Klicken Sie auf keinen Fall auf einen solchen Link und löschen Sie die E-Mail. Informieren Sie ausserdem Ihre Mitarbeiter.
18.05.15
Phishing-Attacken gegen iTunes-Benutzer
Es sind Phishing-Emails im Umlauf die Benutzer von iTunes im Visier haben. Ähnlich wie die E-Mails aus dem Jahre 2013 versuchen auch diese E-Mails die Benutzer dazu zu bringen Ihre Anmeldedaten auf einer falschen Apple-ähnlichen Seite einzugeben. Unten sehen Sie eine solche E-Mail:
Gefälschte Apple iTunes E-Mail
Dem Empfänger wir gesagt, dass er auf Grund eines Problems bei Apple seine Rechungsdaten innert 48 Stunden neu eingeben muss. Dazu soll er auf den Link klicken und auf der neuen Seite seine Kontoinformationen eingeben.
Wie Sie diese falschen Apple-E-Mails erkennen
Der Absender hat eine verdächtige E-Mailendung «@mail.com» ist keine Appleadresse.
Die im Betreff erwähnte ID iTunes gibt es gar nicht, Benutzer haben nur eine Apple-ID. Eine E-Mail die solche Fehler enthält ist 100% nicht echt.
Fahren Sie mit der Maus über den Link ohne diesen anzuklicken, nach einem Moment erscheint eine Box mit der Adresse der verlinkten Webseite. In unserem Beispiel ist es «http://secure-apple-login-account-inc.mr-yasmin.co.li » keine offizielle Appleseite => die E-Mail ist zu 100% falsch.
Generell werden bei iTunes alle kontobezogenen Aktivitäten direkt im iTunes-Programm vorgenommen, nicht über einen Web-Browser. Wenn Sie gefragt werden Ihre Kontoinformationen zu aktualiseren, stellen Sie sicher, dass Sie das nur innerhalb von iTunes oder auf einer legitimen Seite auf Apple.com tun, wie z.B. dem online Apple Store. Sie erkennen legitime Seiten an diesem Symol in der Adressleiste: (im Internet Explorer ist die ganze Adressleiste grün)
Nur für Englisch sprechende Benutzer: Falsche E-Mails sind meistens in schlechtem Englisch geschrieben. In unserem Beispiel enthält die E-Mail Grammatikfehler wie z.B. «has been expired» im Betreff.
Was Sie tun sollen, wenn Sie eine solche E-Mail erhalten
Klicken Sie auf keine Links und löschen Sie die E-Mail.
31.03.15
Kunden von Schweizer KMUs: Ziel von massgeschneiderten Phishing-Angriffen
Nach wie vor versuchen Betrüger an sensible Daten wie Passwörter, Kreditkartendaten usw. zu gelangen. Zu diesem Zweck werden meist Webseiten kreiert, welche derjenigen einer Firma täuschend ähnlich sehen (beispielsweise werden gerne Internetauftritte von Banken oder Kreditkarteninstituten missbraucht). MELANI interveniert täglich, um solche betrügerische Webseiten vom Netz zu nehmen und so die Internetnutzer zu schützen.
Schon seit einiger Zeit missbrauchen die Betrüger allerdings nicht mehr ausschliesslich nur die Namen von grossen und bekannten Unternehmen, sondern verüben auch sehr gezielte Phishingangriffe mit dem Namen kleinerer Firmen. Diese Tendenz scheint sich zu akzentuieren: verschiedene Fälle, welche MELANI kürzlich zur Kenntnis gebracht wurden, zeugen von einer zunehmenden Professionalität dieser Angriffe. Betroffen sind KMUs in den verschiedensten Tätigkeitsbereichen, welche eine Website betreiben, die in irgendeiner Weise Kunden-E-Mail-Adressen verwenden respektive gespeichert haben, beispielsweise für den Versand eines Newsletters.
Angriffsablauf
In einer ersten Phase des Angriffs versuchen die Kriminellen, über die Firmenwebsite an eine Datenbank mit Kunden-E-Mail-Adressen zu gelangen. Meist wird dabei eine Schwachstelle auf der Website ausgenutzt (beispielsweise Angriffe mit SQL-Injections). Danach werden im Namen dieser Firma gefälschte Mail-Nachrichten an die entwendeten Adressen gesendet. Absender und Inhalt werden perfekt imitiert, so dass es aussieht, als stammten diese Mails tatsächlich von der Firma. In den aktuellen Fällen geben die E-Mails vor, dass das Opfer eine Kostenrückerstattung beantragen kann. Zu diesem Zweck soll ein Link angeklickt werden (siehe untenstehendes Beispiel).
Beispiel einer gefälschten Firmen-E-Mail
Hinter diesem angegebenen Link versteckt sich eine gefälschte Website, die identisch zur entsprechenden Firmenwebsite ist und ebenfalls eine URL verwendet, die einen zum Verwechseln ähnlichen Namen verwendet. Das Opfer wird darauf gebeten, Details seiner Kreditkarte anzugeben (Nummer, Ablaufdatum, Sicherheitscode), so wie es auch bei klassischen Phishingseiten üblich ist.
Da die gestohlenen E-Mail-Adressen im Zusammenhang mit der Firma stehen, erhöhen die Betrüger die Chancen, dass ein Opfer auf den Betrug hereinfällt.
Zum Schutz von Site und Webapplikationen empfiehlt MELANI, sowohl die Vorschläge von OWASP bezüglich der Verwendung von Applikation-Firewalls (Web Application Firewall) https://www.owasp.org/index.php/Category:OWASP_Best_Practices:_Use_of_Web_Application_Firewalls wie auch diejenigen von Microsoft (Microsoft: Basic Security Practices for Web Applications) umzusetzen http://msdn.microsoft.com/en-us/library/zdh19h94%28v=vs.140%29.aspx
Wird bemerkt, dass E-Mail Adressen von Kunden entwendet wurden, ist eine rasche Information angezeigt. Diese kann entweder direkt per E-Mail und/oder als Information auf der Firmenwebsite erfolgen und sollte Anweisungen über das weitere Vorgehen enthalten.
Zudem sollte überprüft werden, ob die Angreifer ebenfalls andere Daten entwendet haben und ob zusätzliche Massnahmen getroffen werden müssen (beispielsweise das Ändern der Passwörter, wenn die Angreifer ebenfalls darauf Zugriff hatten).
Überlegen Sie sich zudem, bei der Kantonspolizei Ihres Firmensitzes eine Strafanzeige einzureichen.
Präventionsmassnahmen für Benutzer
Löschen Sie E-Mails dieses Typs! Keine seriöse Firma wird sie per E-Mail auffordern, Kreditkartendaten anzugeben.
Besonders vertrauenswürdige Firmen werden gerne missbraucht, um Empfänger zu täuschen. Die Betrüger fälschen auch Absender-E-Mail Adressen und Webseiten von Firmen, mit denen Sie tatsächlich in Kontakt stehen.
Seien Sie vorsichtig, wenn Sie E-Mails erhalten, die eine Aktion von Ihnen verlangen und ansonsten mit Konsequenzen drohen (Geldverlust, Strafanzeige, Konto- oder Kartensperrung, Verpasste Chance, Unglück).
Überprüfen Sie immer die Internetadresse (URL), auf welche man Sie via Link weiterleitet. Dazu führen Sie die Maus über den Link, ohne zu klicken. In einem über dem Mauszeiger erscheinenden Fenster sehen Sie, ob der Link wirklich auf die gewünschte Seite führt. Achtung: Schauen Sie genau hin, denn die gefälschte URL unterscheidet sich oft nur minimal von der seriösen URL, die Sie kennen.
Befolgen Sie jeweils bei unerwarteten verdächtigen Mail-Nachrichten oder Nachrichten von unbekannten Absendern keinesfalls die Anweisung im Text. Öffnen Sie keine Attachments und folgen Sie keinen Links, sondern löschen Sie die Nachricht.
Wenn Sie bei einer E-Mail nicht sicher sind, ob sie echt oder gefälscht ist, löschen Sie die Mail. War es eine seriöse Nachricht, wird der Absender bei Ihnen nachfragen, wenn er innerhalb einer angemessenen Frist keine Antwort von Ihnen erhält.
(im Internet Explorer ist die ganze Adressleiste grün)