Internet­warnungen

Wir warnen vor aktuellen Viren, Trojanern sowie den neusten Betrugsmaschen, Scam-Mails, Verschlüsselungsprogramme und mehr.

  • 08.11.2024

    BACS: 1. Halbjahresbericht 2024

    Das BACS hat im ersten Halbjahr 2024 34'789 Meldungen zu Cybervorfällen erhalten. Im Vergleich zur Vorjahresperiode entspricht dies einem signifikanten Anstieg um 15'740 Meldungen. Diese beinahe Verdoppelung ist vor allem auf die Zunahme der Phänomene «gefälschte Anrufe im Namen der Polizei», «betrügerische Gewinnspiele», «Abofallen» und «Phishing» zurückzuführen. Rund 90 % der Meldungen an das BACS erfolgten durch Privatpersonen, 10 % von Unternehmen. Wie in den Vorjahren wurden die meisten Meldungen zu den Kategorien «Betrug», «Phishing» und «Spam» erstattet.

    Betrug – am häufigsten gemeldet

    Mit 23’104 Meldungen ist Betrug nach wie vor das am häufigsten gemeldete Phänomen und macht zwei Drittel aller Meldungen im ersten Halbjahr 2024 aus. Im Vergleich zur Vorjahresperiode (11’174) hat sich diese Zahl mehr als verdoppelt. Von diesen Meldungen sind 13’730, also fast 60 %, auf gefälschte Behördenanrufe zurückzuführen. Bei diesem Phänomen werden in grosser Anzahl zufällige Nummern angerufen und den Opfern vorgegaukelt, sie seien in ein Strafverfahren verwickelt und sollen für das weitere Vorgehen die Taste «1» drücken. Anschliessend werden die Opfer mit einem Betrüger verbunden und von diesem dazu gedrängt, eine Fernzugriffs-Software herunterzuladen, die es den Betrügern erlaubt, auf deren Computer zuzugreifen und ungewollte Zahlungen im E-Banking auszulösen.

    Markanter Anstieg der Phishing-Meldungen

    Im ersten Halbjahr 2024 erhielt das BACS 6'643 Meldungen zu Phishing, was einem markanten Anstieg um rund 2'800 Meldungen im Vergleich zur Vorjahresperiode entspricht (3'879 Meldungen). Nach wie vor betrafen die meisten Phishing-Versuche gefälschte Paketbenachrichtigungen sowie Rückerstattungs-E-Mails im Namen von Lieferanten, der SBB respektive SwissPass sowie verschiedener Steuerverwaltungen. Insbesondere Phishing-Versuche gegen Microsoft-365-Konten werden dem BACS immer wieder gemeldet. Eine aktuell verbreitete Vorgehensweise beinhaltet eine schneeballartige Verteilung von Phishing-E-Mails, das sogenannte «Chain Phishing», bei dem nach der Kompromittierung des E-Mail-Postfachs sofort Phishing-Nachrichten an das gesamte Adressbuch versendet werden.

    DDoS-Angriffe im Rahmen von Grossanlässen und internationalen Konferenzen

    Bei Angriffen auf die Verfügbarkeit von Websites und -diensten – auch bekannt als «Distributed Denial of Service» (DDoS) – versuchen Angreifer, eine Website oder einen Internetdienst mithilfe von zahlreichen Anfragen für die Nutzung vorübergehend unzugänglich zu machen. Im Berichtshalbjahr wurden insbesondere drei DDoS-Kampagnen beobachtet: Im April 2024 meldeten verschiedene Schweizer Organisationen aus dem Finanzsektor DDoS-Angriffe, die mit einer Erpressung gekoppelt waren. Zu diesen Angriffen bekannte sich angeblich die Gruppe «Armada Collective» respektive «Alpha Jackal». Neben finanziellen Motiven setzten Bedrohungsakteure erneut DDoS-Angriffe mit politischen Absichten im Umfeld von internationalen Grossveranstaltungen und Konferenzen in der Schweiz ein. Das pro-russische Hacktivisten-Kollektiv «NoName057(16)» zielte im Januar 2024 auf Websites im Zusammenhang mit dem Weltwirtschaftsforum (WEF) und im Juni 2024 auf Websites von Organisationen mit Verbindungen zur «Konferenz zum Frieden in der Ukraine» auf dem Bürgenstock. Insgesamt lagen die Angriffe jeweils im erwarteten Rahmen und führten nur zu geringfügigen Beeinträchtigungen der IT-Infrastruktur. Zu keinem Zeitpunkt waren die IT-Systeme und Daten dieser Veranstaltungen oder der beteiligten Organisationen ernsthaft gefährdet.

    Ransomware – eine nationale und globale Herausforderung

    Der Meldeeingang beim BACS zu Ransomware-Angriffen auf Unternehmen ist leicht rückläufig. Dabei verantworten die drei Ransomware-Gruppen «Akira», «8Base» und «Black Basta» im Berichtszeitraum mehrere Angriffe auf Schweizer Unternehmen. Opfer von Ransomware-Angriffen finden sich in allen Branchen und Unternehmensgrössen. Bei Privatpersonen setzt sich der bisherige Trend fort, dass sie immer weniger im Fokus der Cyberkriminellen stehen. Wegen des typischen opportunistischen Verhaltens von Ransomware-Gruppen könnten vermehrt gezielte Angriffe auf sehr lukrative Opfer diese Entwicklung beeinflusst haben. Auch international stellen Ransomware-Angriffe Unternehmen und Behörden vor Herausforderungen.

    Weitere Phänomene

    Der Bericht beleuchtet ferner die Trends und Entwicklungen in Bezug auf Schwachstellen, Schadsoftware bei Mobilgeräten und initialem Zugang. Auch der Umgang mit Daten erfordert die Aufmerksamkeit. Nach Datenlecks werden abgeflossene Daten häufig zur Kompromittierung von IT-Systemen und für Social-Engineering-Angriffe in Betrugsfällen genutzt. Schliesslich gibt der Bericht einen Überblick über die Cyberspionage- und Sabotageaktivitäten im Kontext von geopolitischen Spannungen und des Rekordwahljahres 2024. Dieses Kapitel beruht zwar mehrheitlich auf Beobachtungen aus dem Ausland, ist aber für eine umfassende Beurteilung der Schweizer Bedrohungslage zentral.

     

    Auf der Webseite des BACS können Sie den ausführlichen Berichts als PDF herunterladen (1MB).

     

    Quelle: Bundesamt für Cybersicherheit BACS

  • 23.10.2024

    Falsche Mail vom Chef

    Zurzeit werden Phishingmails versendet, die vorgeben vom Chef der eigenen Firma zu sein. Die Mails haben den Betreff «Dringende Aufgabe» und der Name des Absenders entspricht dem CEO oder Geschäftsführer. Die Absenderadresse versucht die Firmenadresse nachzuahmen und folgt dem Schema: hans.muster.firmenname@outlook.com.

    Der E-Mailtext ist dabei stets eine Variation von:

    Guten Morgen

    Hast du eine Minute Zeit? Du musst einen Job für mich erledigen. Ich kann nicht telefonieren. Ich habe viele Meetings, also schreibe einfach hier zurück.
    Mit freundlichen Grüßen,

    Hans Muster
    CEO

    Screemshot einer falschen E-Mail die vorgibt, vom Chef zu sein.

    Die E-Mail enthält noch keine Anhänge oder Links. Es ist aber davon auszugehen, dass nach einer Antwort weitere E-Mails mit gefährlichem Inhalt folgen werden. Da der Benutzer vermeintlich eine Antwort erwartet, könnte er die folgenden E-Mails weniger genau prüfen als normal.

    Was können Sie tun?

    Wenn Sie in ihrer Firma eine solche E-Mail erhalten, informieren Sie andere Mitarbeiter über die Gefahr und löschen Sie die E-Mail.

    Blockieren Sie den Absender, fall Sie die Möglichkeit haben.

    Für Global System Kunden

    Informieren Sie uns über solche E-Mails und wir werden den Absender sperren.

  • 29.08.2024

    Wie Betrüger über WhatsApp täuschen

    Es gibt vermehrt Meldungen von gehackten WhatsApp-Konten. Die Vorgehensweise ähnelt der, die bereits letztes Jahr beobachtet wurde. Ein Kontakt meldet sich per WhatsApp und bittet Sie um Unterstützung bei einem dringenden Problem. Sie müssen dazu lediglich einen SMS-Code weiterleiten. Neu ist, dass die Betrüger mittlerweile auch in Mundart kommunizieren und bevor sie das Konto übernehmen, versuchen das Opfer zu einer Twint-Zahlung zu bewegen.

    Links die Anfrage eines «Bekannten» den eintreffenden SMS-Code weiterzuleiten. Rechts, der Code, der von WhatsApp gesendet wird, um WhatsApp auf einem neuen Gerät zu installieren.

    Kontoübernahme

    Ein legitimer Kontakt meldet sich per WhatsApp und gibt vor, ein Problem mit dem Mobiltelefon zu haben. Angeblich sei dieses gesperrt und könne nur mit einem Code entsperrt werden, der in Kürze per SMS eintreffen werde. Der Empfänger wird dann gebeten, diesen Code weiterzuleiten. Die eingehende WhatsApp-Nachricht stammt in diesem Fall tatsächlich vom Konto des oder der Bekannten. Man ist in diesem Moment versucht, dem Kontakt einen Gefallen zu tun und es kostet nichts, den Code weiterzuleiten.

    Betrügerischer Whatsapp-Chat in Schweizerdeutsch

    Mit dem Weitergeben des 6-stelligen Codes erlaubt man aber dem Betrüger das eigene WhatsApp-Konto auf einem anderen Gerät einzurichten, dabei wird das Konto auf dem eigenen Smartphone entfernt. Der Betrüger hat dann Zugang auf die ganze Kontaktliste und kann sich bei weiteren Personen als legitimer Kontakt ausgeben. Bevor der Betrüger aber den Code eingibt, versucht er Geld zu ergaunern.

    Bitte um Twint-Zahlung

    Kurze Zeit nach dem der Betrüger den Code erhalten hat, meldet er sich erneut und bittet das Opfer eine Twint-Zahlung zu tätigen, um ihm aus der Patsche zu helfen. Zu diesem Zweck sendet er einen Code, der in die Twint-App eingegeben werden soll. Mit der Eingabe und Bestätigung dieses Codes wird eine Abbuchung z. B. für die Kiosk AG getätigt. Im Hintergrund hat der Betrüger auf dieser Seite Gutscheine gekauft und als Zahlungsmethode Twint gewählt. Durch die Eingabe des Codes in der Twint-App wird dieser Kauf ausgelöst und der Betrüger kann die Gutscheine weltweit einlösen oder weiterverkaufen. In vielen Fällen werden die Opfer auch ein zweites und drittes Mal kontaktiert und noch einmal um eine Twint-Zahlung gebeten.

    Nachdem das Opfer nicht mehr zahlt, gibt der Betrüger den ursprünglichen WhatsApp SMS-Code ein und übernimmt das Konto des Opfers.

    Gegenmassnahmen

    Als Benutzerin oder Benutzer von WhatsApp oder anderen Chat-Diensten kann man sich mit wenigen Massnahmen schützen:

    • Generell sollten Sie einen Code, den Sie erhalten hat, unter keinen Umständen weitergegeben. Im Zweifelsfall können Sie bei der Person, die ihn vermeintlich anfordert, per Telefon nachfragen, was es damit auf sich habe;
    • Aktivieren Sie unbedingt die Zwei-Faktor-Authentisierung (beispielsweise bei Android oder iPhone: Einstellungen → Konto → Verifizierung in zwei Schritten). Dabei vergeben Sie einmalig einen 6-stelligen Code. Ohne diesen Code kann das Konto nicht auf ein anderes Gerät übertragen werden. Selbstverständlich darf auch dieser nie weitergegeben werden;

    Die Massnahmen können auch auf andere Social-Media-Konten übertragen werden. So werden z. B. Facebook- und Instagram-Konten nach ähnlichem Muster übernommen.

    Wenn es nun doch schon zu spät und das WhatsApp-Konto abhandengekommen ist, sind folgende Massnahmen hilfreich:

    • Informieren Sie Ihre Kontakte über andere Kanäle darüber, dass womöglich betrügerische Nachrichten in Ihrem Namen versendet werden;
    • Das Konto kann prinzipiell mit demselben Verfahren zurückgeholt werden, das auch die Betrüger verwenden: melden Sie sich in der App mit der Telefonnummer an und geben Sie den SMS-Code ein, der Ihnen dann zugeschickt wird;
    • Hat der Betrüger jedoch in der Zwischenzeit bereits eine Zwei-Faktor-Authentisierung eingerichtet, wird es komplizierter. In diesem Fall muss man 7 Tage warten, bis man sich erneut anmelden kann, diesmal ohne den zweiten Faktor. (Quelle: https://faq.whatsapp.com/1131652977717250/).

     

    Quelle: Bundesamt für Cybersicherheit BACS 

  • 01.07.2024

    Cyberkriminelle verbreiten im Namen von AGOV Schadsoftware für macOS

    Aktuell versenden Cyberkriminelle E-Mails, die vermeintlich von AGOV stammen. AGOV ist das Behörden-Login der Schweiz, welches bei Behörden von Bund, Kantonen und Gemeinden eingesetzt werden kann, um beispielsweise die Steuererklärung elektronisch auszufüllen. In der E-Mail werden die Angeschriebenen aufgefordert, ein Software-Paket herunterzuladen. Es wird unter anderem behauptet, dass die AGOV access App als Desktop-Anwendung verfügbar sei. Das ist falsch. Die AGOV access App ist nur für Smartphones verfügbar.

    Screenshots der gefälschten E-Mail im Namen von AGOV

    Diese missbräuchlichen E-Mails enthalten einen Link zur Suchmaschine «Bing», welche das Opfer auf eine weitere Webseite weiterleitet. Auf dieser Website wird das Opfer wiederum auf eine andere Website weitergeleitet, auf welcher ein Software-Paket für Apples macOS angeboten wird. Lädt das Opfer die Datei herunter und führt es diese aus, wird der Computer mit einer Schadsoftware namens «Poseidon Stealer» infiziert. Ist diese Schadsoftware einmal auf dem Gerät installiert, stiehlt sie diverse Informationen vom Computer des Opfers und sendet diese an die Cyberkriminellen.

    Was Sie tun können

    Löschen Sie die missbräuchliche E-Mail. Wenn Sie die Schadsoftware bereits heruntergeladen und installiert haben, sollte das betroffene Gerät umgehend neu aufgesetzt werden. 

    Global System Kunden

    Sollten Sie die Software installiert haben, melden Sie sich bei unserem Support.

     

    Quelle: Bundesamt für Cybersicherheit BACS

  • 06.05.2024

    BACS: 2. Halbjahresbericht 2023

    Das Bundesamt für Cybersicherheit (BACS) blickt auf die ersten Monate als neues Bundesamt zurück. Direktor Florian Schütz hat im Rahmen eines Fachgesprächs am 6. Mai eine erste Bilanz gezogen. Die Überführung des Nationalen Zentrums für Cybersicherheit (NCSC) in ein Bundesamt per 1. Januar 2024 markierte einen wichtigen Meilenstein für die Stärkung der Schweizer Cybersicherheit. Die primären Aufgaben des BACS bestehen auch weiterhin darin, die Sicherheit der Schweiz im Cyberraum zu erhöhen. Hierfür informiert und sensibilisiert es die Öffentlichkeit über Cyberbedrohungen und ‑angriffe. Zusätzlich fungiert das BACS als Anlaufstelle für die Meldung von Cybervorfällen und unterstützt insbesondere Betreiber kritischer Infrastrukturen bei der Bewältigung dieser Vorfälle. Darüber hinaus erstellt das BACS technische Analysen zur Einschätzung und Abwehr von Cybervorfällen und Cyberbedrohungen. Es identifiziert und behebt Schwachstellen im Schutz der Schweiz vor Cyberbedrohungen, um die Resilienz des Landes zu stärken.

    Strategische Ausrichtung des BACS

    Der Kernauftrag des BACS ist es, die Cybersicherheit von kritischen Infrastrukturen, Wirtschaft, Bildungswesen, Bevölkerung und Behörden zu stärken, indem es die Umsetzung der Nationalen Cyberstrategie (NCS) koordiniert. Die heute präsentierte Strategie des Bundesamtes zeigt auf, wie dieser Kernauftrag erfüllt wird. Das Ziel des BACS ist es die Cybersicherheit in Zusammenarbeit mit allen relevanten Akteuren zu verbessern. Dazu richtet es seine Leistungen entlang von vier strategischen Säulen aus: Cyberbedrohungen verständlich machen, Mittel zur Verhinderung von Cyberangriffen zur Verfügung stellen, Schäden aus Cybervorfällen reduzieren sowie die Sicherheit von digitalen Produkten und Dienstleistungen erhöhen.

    BACS-Halbjahresbericht 2023/2: Betrugsversuche mit Künstlicher Intelligenz (KI) auf dem Vormarsch

    Der Meldeeingang zu Cybervorfällen beim BACS hat sich im zweiten Halbjahr 2023 mit 30'331 gemeldeten Vorfällen nahezu verdoppelt im Vergleich zum Vorjahreszeitraum mit 16'951 Meldungen. Dieser Anstieg ist hauptsächlich auf betrügerische Stellenangebote und vermeintliche Anrufe der Polizei zurückzuführen. Unter den meistgemeldeten Vorfällen gehörten Betrugsversuche, wobei insbesondere die Kategorien «CEO-Betrug» und «Rechnungsmanipulationsbetrug» auffällig waren.

    Mit 5536 Meldungen sind mehr als doppelt so viele Meldungen zu Phishing eingegangen als in der Vorjahresperiode (2179 Meldungen). Besonders erwähnenswert ist das so genannte «Chain Phishing»: Über gehackte E-Mail-Postfächer versenden Phisher E-Mails an alle in diesem Postfach gespeicherten Adressen. Da der Absender den Empfängern bekannt sein dürfte, ist die Wahrscheinlichkeit gross, dass diese auf das Phishing hereinfallen. Danach werden über das gephishte E-Mail-Konto wiederum alle darin vorhandenen Kontakte angeschrieben.

    Auch gingen vermehrt Meldungen zu Betrugsversuchen ein, bei denen KI zum Einsatz kam. Cyberkriminelle nutzen KI-generierte Bilder für Sextortion-Versuche, geben sich am Telefon als prominente Persönlichkeiten aus oder führen Investitionsbetrug durch. Obwohl die Anzahl der Meldungen in diesem Bereich noch vergleichsweise gering ist, handelt es sich laut Einschätzung des BACS um erste Versuche der Cyberkriminellen, die Einsatzmöglichkeiten von KI für zukünftige Cyberangriffe auszuloten.

     

    Auf der Webseite des BACS können Sie den ausführlichen Berichts als PDF herunterladen (2MB).

    Quelle: Bundesamt für Cybersicherheit BACS

  • 21.03.2024

    Office365-Phishing

    Kriminelle führen zurzeit in der Schweiz eine gefährliche Phishing-Kampagne durch, um an Office365-Zugänge zu kommen. Nach einem erfolgreichen Angriff haben die Kriminellen dieselben Rechte wie der jeweilige Benutzer, z.B. E-Mails in seinem Namen versenden oder Zugang zu geteilten Dokumenten.

    Beim Angriff wird eine Phishing-Mail mit einem Link zu einem Office-365-Dokument versehen. Klickt der Benutzer auf den Link wird er zu einer authentisch wirkenden Anmeldeseite geführt. GIbt er dort Benutzername und Passwort ein, wird die Sitzung übernommen, selbst wenn 2FA aktiviert ist.

    Screenshot einer Phishing-Mail mit falschem Link zu einem Office-365-Dokument.

    Besonders gefährlich ist, dass die Angreifer, nachdem Sie ein Konto übernommen haben, legitime Phishing-E-Mails mit dieser E-Mailadresse versenden können. Es sind einige Fälle bekannt, wo so Phishing-Mails auf eine bestimmte Personen zugeschnitten wurden, um die Wahrscheinlichkeit zu erhöhen, dass sie auf den Link klickt. (sog. Spear-Phishing).

    Was sie tun können

    • Klicken Sie nie auf Links aus E-Mails, wenn Sie die E-Mail nicht erwarten, auch wenn es von einer bekannten oder vertrauenswürdigen Person stammt.
    • Achten Sie darauf, dass ein korrekter Empfänger angezeigt wird, auffällig bei dieser Kampagne ist, dass der Empfänger leer ist.
    • Fragen Sie im Zweifelsfall per Telefon nach.
    • Sollten Sie bereits auf den Link geklickt haben, ändern Sie Ihr persönliches Passwort, dadurch wird eine neue Office365-Sitzung angelegt.

     

    Global System Kunden

    • Sollten Sie bereits auf einen solchen Link geklickt haben, melden Sie sich bei unserem Support.
  • 05.02.2024

    Phishing mit falscher Steuerrückerstattung

    Zurzeit werden Phishing E-Mails versendet, die einen angeblichen Anspruch auf eine Steuerrückerstattung in Aussicht stellen. Der hinterlegte Link führt auf eine Phishing-Seite. Ignorieren Sie diese E-Mails, klicken Sie nicht auf den Link und geben Sie keine persönlichen Daten auf der Phishing-Seite ein.

  • 02.11.2023

    NCSC: 1. Halbjahresbericht 2023

    Politisch relevante Ereignisse können zu illegalen Aktivitäten im Cyberraum, sogenanntem Hacktivismus, führen. Dabei zielen die Hacktivisten darauf ab, die mediale und somit die öffentliche Aufmerksamkeit zu gewinnen. Im Juni 2023 wurde die Bundesverwaltung zweimal Opfer von Hacktivismus. Zuerst erfolgte ein DDoS-Angriff im Nachgang zu einem Entscheid des Ständerats in Zusammenhang mit dem Kriegsmaterialgesetz. Dies mit dem Ziel, die Website der Parlamentsdienste zu überlasten und somit für Nutzende unzugänglich zu machen. Beim zweiten Angriff war die Ankündigung einer Online-Rede des ukrainischen Präsidenten, Wolodymyr Selenskyj, vor der Bundesversammlung der Auslöser. Von diesem DDoS-Angriff betroffen waren neben mehreren Websites von Bundesämtern und dem Parlament auch die Websites von Grossunternehmen in der Schweiz, einigen Flughäfen, zahlreichen Städten und Kantonen sowie der Schweizerische Bankiervereinigung. Das Fokusthema des Halbjahresberichts widmet sich deshalb den Vorgehensweisen und Motivationen der Hacktivisten. Zudem zeigen zwei Gastbeiträge auf, wie betroffene Grossunternehmen auf den DDoS-Angriff reagiert haben. Gleichzeitig mit diesem Halbjahresbericht publiziert das NCSC einen detaillierten Analysebericht zu diesen DDoS-Angriffen.

    Zunahme der Meldungen im ersten Halbjahr 2023

    Im ersten Halbjahr 2023 sind beim NCSC 19'048 Meldungen zu Cybervorfällen eingegangen. Dies entspricht einer Zunahme von rund 2'000 Meldungen in Vergleich zum ersten Halbjahr 2022 (16’951 Meldungen). Im ersten Halbjahr 2023 betrafen wiederum die häufigsten Meldungen an das NCSC verschiedenste Betrugsformen. Beim grössten Teil, rund 30%, handelt es sich weiterhin um Drohmails, sogenannte Fake Extortions. Meist wird das Opfer dieser Drohmails einer angeblich begangenen Straftat beschuldigt. Diese Drohungen werden vermeintlich im Namen von in- und ausländischen Behörden versendet, wobei im letzten Halbjahr auch immer häufiger der Name des schweizerischen NCSC missbraucht worden ist.

    Markanter Anstieg der Phishing-Meldungen

    Den zweiten Platz der meistgemeldeten Vorfälle belegt Phishing, dessen Anzahl Meldungen um über 40% zugenommen und im letzten Semester für einen Fünftel des Meldeeingangs gesorgt hat. Der Hauptgrund für diesen Anstieg ist eine ausgedehnte Phishing-Kampagne gegen SwissPass-Kunden, die sich fast über das gesamte erste Halbjahr 2023 hingezogen hat. Allgemein ist bei den Phishing-Versuchen festzustellen, dass diese aufwändiger gestaltet werden und die Angreifer neue Methoden der Verschleierung des Phishing-Links ausprobieren.

    Ransomware-Vorfälle: Unterschiedliche Entwicklung bei Unternehmen und Privatpersonen

    Im ersten Halbjahr 2023 blieb mit 64 Meldungen die Anzahl zu Ransomware fast gleich hoch wie in der Vorhalbjahresperiode (76 Meldungen). Während Meldungen von Privatpersonen stark zurückgegangen sind (von 27 auf 8 Fälle), stieg die Anzahl gemeldeter Ransomware-Vorfälle bei Unternehmen an (von 49 auf 56 Fälle). Neben kurzfristigen betrieblichen Einschränkungen infolge von Verschlüsselung von Daten verursacht die Publikation von abgeflossenen Unternehmensdaten schwer kalkulierbare Folgeschäden.

     

    Auf der Webseite des NCSC können Sie den ausführlichen Berichts als PDF herunterladen (3,7MB).

    Quelle: Nationales Zentrum für Cybersicherheit NCSC

  • 18.09.2023

    Schwere WebP-Sicherheitslücke betrifft Browser und andere Apps

    Eine schwere Sicherheitslücke in Libwebp, einer Bibliothek, die von den meisten Browsern und vielen anderen Apps zur Darstellung von Bildern im WebP-Format verwendet wird, wird von Hackern aktiv ausgenützt. Die Sicherheitslücke erlaub es Angreifern eigenen Code ausführen zu lassen, wenn Benutzer eine Website aufrufen mit einem präparierten WebP-Bild. Für die grossen Browser sind Updates bereits verteilt worden. Stellen Sie sicher, dass Sie die automatische Aktualisierung aktiviert haben oder installieren Sie das Update manuell.

    Browser mit erhältlichem Update:

    • Google Chrome
    • Mozilla Firefox
    • Microsoft Edge 
    • Tor Browser 
    • Brave-Browser

    Betroffen sind aber nicht nur Browser, sondern jedes Programm, dass diese Bibliothek verwendet. Es gibt keine offizielle Liste aller Programme, die folgende Liste ist daher nicht abschliessend:

    • Ubuntu- Debian- und SUSE-Linux
    • Adobe Reader/Acrobat
    • OnePassword
    • Affinity
    • Gimp
    • Inkscape
    • LibreOffice
    • Signal
    • Telegram
    • Thunderbird 
    • Ffmpeg 

    Aktualisieren

    Sollten Sie eines dieser Programme verwenden, stellen Sie auch hier sicher, dass Auto-Aktualisierung aktiviert ist, damit Sie das Update erhalten, sobald es verfügbar ist. Sollte das Programm keine solche Funktion besitzen, kontrollieren Sie selbst, ob es eine neue Version gibt und installieren Sie das Update manuell. Für einige dieser Programme sind Updates bereits erhätlich, unter anderem für die Linux-Versionen, Adobe Reader/Acrobat, Thunderbird und Signal.

  • 13.09.2023

    7-Zip und Notepad++ mit Sicherheitslücken: updaten

    Im Komprimierungs- und Archivierungsprogramm 7-Zip sowie im Texteditor Notepad++ gibt es gefährliche Sicherheitslücken.

    Bei 7-Zip kann über ein manipulierte Archivdatei Schadcode ausgeführt werden. Es reicht, wenn das Archiv geöffnet wird. Die Sicherheitslücke ist in der neusten Version 23.01 behoben: https://www.7-zip.org/. Das Programm kann sich nicht selbst aktualisieren, es muss manuell gemacht werden.

    Bei Notepad++ gibt es Sicherheitslücken, die über eine präparierte Textdatei ausgenutzt werden können, um Schadcode auszuführen. Die Sicherheitslücke ist in der neusten Version 8.5.7 behoben: https://notepad-plus-plus.org/downloads/. Das Programm besitzt zwar eine automatische Aktualisierung, diese muss allerdings zum einen aktiviert sein und zum anderen scheint das Sicherheitsupdate noch nicht überall verteilt zu werden. Es wird auch hier empfohlen, das Programm manuell zu aktualisieren.

  • 21.08.2023

    Kritische Sicherheitslücke in Winrar

    Es wurde eine kritische Sicherheitslücke in der Komprimierungs- und Archivierungssoftware WinRAR bekannt. Sie erlaubt es Angreifern, beliebigen Code ausführen zu lassen. Die Sicherheitslücke kann mit einer präparierten .rar-Datei ausgenutzt werden, der Benutzer muss sie lediglich öffnen.

    Die Sicherheitslücke ist in der neusten Version 6.23 behoben. Sollten Sie eine ältere Version installiert haben, aktualisieren Sie auf die Version 6.23. Es ist davon auszugehen, dass nach der Veröffentlichung der Sicherheitslücke Kriminelle versuchen werden diese auszunutzen.

    Quelle: heise.de

  • 30.03.2023

    3CX Desktop App mit Sicherheitslücke

    Die 3CX Desktop App ist mit Schadsoftware infiziert. 3CX hat dies inzwischen bestätigt. Die Version kann nicht mehr von der offiziellen Seite heruntergeladen werden.

    Ursprung der Sicherheitslücke ist eine Bibliothek die von der «3CX Desktop App» mitverwendet wird, und von Angreifern infiziert wurde. Einen solchen Angriff nennt man Lieferkettenangriff (Supply Chain Attack). Was das infizierte Programm alles anstellen kann, ist nicht abschliessend geklärt. Es gibt Meldungen, dass sich das Programm mit einem bösartigen Server verbinden will, dass weitere Software nachlädt und in wenigen Fällen Tastatureingaben.

    Viele Virenscanner erkennen mitlerweile die infizierte Datei.

    Betroffene Version

    3CX stellt 4 unterschiedliche Clients zur Verfügung:

    • 3CX Windows Client (Legacy)
    • 3CX Desktop App
    • 3CX Web Client (PWA)
    • 3CX Smartphone Client

    Betroffen ist nach aktuellem Informationsstand nur die «3CX Desktop App» in der Version 18.12.407, 18.12.416 unter Windows und 18.11.1213 unter Mac.
    Nicht betroffen sind die Smartphone App, der Web Client (PWA) sowie die alte Legacy App.

    3CX Desktop App deinstallieren

    Sollten Sie sich die «3CX Desktop App» über den Webclient heruntergeladen und lokal installiert haben, sollten Sie diese umgehend deinstallieren. Die Deinstallation der «3CX Desktop App» im Benutzerkontext ist OHNE Administratorberechtigung möglich.

    3CX rät Kunden den «3CX Web Client (PWA)» zu verwenden, bis eine neue, sichere Version der «3CX Desktop App» verfügbar ist.

    Global System Kunden

    Kunden, bei denen die 3CX Desktop App lokal installiert sein könnte, wurden bereits informiert.

     

    Quellen: bleepingcomputers.com (englisch), Stellungnahme von 3CX (englisch)

  • 27.03.2023

    Hostpoint-Phishing E-Mails

    Derzeit kursieren vermehrt E-Mails, die vermeintlich vom Webhoster Hostpoint stammen und in denen behauptet wird, dass Sie die Zahlungsmethode aktualisieren müssen. Die Betrüger versuchen, über eine Fake-Webseite die Kreditkartendaten abzugreifen.

    Sollte die Phishingmasche der Betrüger erfolgreich sein, wird sofort eine Kreditkartenbelastung ausgelöst. Dabei versuchen die Betrüger den per SMS übermittelten Sicherheits-Code des Finanzinstitutes zu ergattern (Umgehung der Zwei-Faktor-Authenti­fizierung).

    Screenshot einer Phishing-Mail die vorgibt von Hostpoint zu sein.
    • Ignorieren Sie das E-Mail 
    • Folgen Sie niemals Links aus E-Mails, SMS, etc. oder von anderen Websites, da diese optisch verändert sein können. Greifen Sie nur über die offiziellen Websites auf die entsprechende Login-Funktion zu 
    • Geben Sie nie sensible Daten von sich preis, wenn Sie vorgängig keine gründlichen Abklärungen getätigt haben

     

    Quelle: cybercrimepolice.ch

  • 07.11.2022

    NCSC: 1. Halbjahresbericht 2022

    Bewaffnete Konflikte werden zunehmend auch mithilfe von Cyberangriffen geführt. Urheber solcher Angriffe können nebst staatlichen Akteuren auch nichtstaatliche Angreifer wie Hacktivisten oder kriminelle Gruppierungen sein. Insbesondere der Ukraine-Konflikt zeigt, wo Cyber als Mittel eingesetzt werden kann.  Diese vielschichtige Thematik bildet das Fokusthema und wird im aktuellen Bericht von den verschiedensten Seiten her beleuchtet.

    Droh-Mails: Massive Zunahme

    Im ersten Halbjahr 2022 verzeichnete das NCSC eine massive Zunahme von Meldungen aus der Bevölkerung. Bis Ende Juni gingen beim NCSC 17'186 Meldungen ein. Im Vergleich zur Vorhalbjahresperiode mit 10’234 Meldungen entspricht dies einer Zunahme von rund 70 Prozent. Hauptursache dieser beachtlichen Steigerung sind vor allem Meldungen zu Droh-E-Mails im Namen der Polizei, so genannte Fake-Extortion-E-Mails.

    Betrugsfälle weiterhin als nationale Spitzenreiter

    Im Berichtszeitraum betrafen die meisten Meldungen an das NCSC verschiedenste Betrugsformen (10'447 Meldungen). Rund die Hälfte davon waren Meldungen zu Fake-Extortion-E-Mails (5'872 Meldungen). Weitere Betrugsfälle fielen auf Vorschussbetrug (1’834), Fake Sextortion (615) und Kleinanzeigenbetrug (419). Meldungen zu Phishing und Schadsoftware bewegten sich im Vergleich zur Vorhalbjahresperiode auf dem gleichen Niveau.

    Hohe Schäden bei Investment-Betrug und Rechnungsmanipulationsbetrug

    Das höchste Schadenspotential bei Unternehmen verzeichnete das NCSC neben Ransomware beim Phänomen des Rechnungsmanipulationsbetrugs (Business-E-Mail-Compromise). Im ersten Halbjahr 2022 erhielt das NCSC diesbezüglich 47 Meldungen mit einer Schadenssumme von insgesamt 2.3 Millionen Schweizer Franken. Der Investment-Betrug gehört, insbesondere bei Privatpersonen, zu den Delikten mit den höchsten Schadenssummen. In der ersten Jahreshälfte 2022 wurden dem NCSC Fälle mit einer Schadenssumme von insgesamt mehr als drei Millionen Schweizer Franken gemeldet.

    Leichter Rückgang bei Meldungen zu Ransomware

    Obwohl die Meldungen zu Ransomware im Vergleich zur Vorhalbjahresperiode von 91 auf 83 Meldungen leicht zurückgegangen sind, ist diese Angriffsform weiterhin die akuteste Cyberbedrohung, der Organisationen in der Schweiz ausgesetzt sind. Seit Jahresbeginn sind in der Schweiz verschiedene Organisationen in diversen Sektoren Ziele von Ransomware-Angriffen geworden.

    Spoofing im Aufwind

    Einen enormen Anstieg verzeichnete das NCSC auch bei den Meldungen zu gefälschten (gespooften) Telefonnummern. Dabei fälschen dubiose Callcenter die angezeigte Rufnummer, in dem sie Telefonnummern von Privatpersonen anzeigen lassen. So sollen die Angerufenen verleitet werden, den Anruf entgegenzunehmen. Im ersten Halbjahr 2022 gingen beim NCSC 319 Meldungen ein. Im Berichtszeitraum des Vorjahres waren es nur gerade 17 Meldungen.

    Auf der Webseite des NCSC können Sie den ausführlichen Berichts als PDF herunterladen (1MB).

     

    Quelle: Nationales Zentrum für Cybersicherheit NCSC

  • 01.06.2022

    Gefährliche Schwachstelle in Windows entdeckt

    Eine gefährliche Schwachstelle wurde in Windows entdeckt, mit der präparierte Office-Dateien Schadsoftware nachladen können. Das Gefährliche an der aktuellen Methode ist, dass sie einen Fehler in Microsoft Windows Support Diagnostic Tool ausnutzt und damit Schadsoftware nachlädt, selbst wenn Makros deaktiviert sind. Wird die Datei als .rtf-Datei versendet, wird sogar die Geschützte-Ansicht von Office umgangen. D.h. die blosse Ansichtsvorschau einer Datei kann zur Infizierung führen.

    Es scheinen fast alle Windows-Versionen betroffen zu sein. Ob Virenscanner alle präparierten Dokumente erkennen, ist noch unklar. Im Ausland sind erste Fälle bekannt, wo Kriminelle die Sicherheitslücke ausnützen. Zurzeit gibt es von Microsoft noch keinen Sicherheitspatch.

    Vorsichtsmassnahmen

    • Aktivieren Sie die automatischen Windows Updates, damit Sie den Patch von Microsoft erhalten, wenn er bereitsteht.
    • Seien Sie skeptisch, wenn Sie unaufgefordert Office-Dateien zugesendet erhalten, besonders wenn es sich um .rtf-Dateien handelt. Öffnen Sie die Datei nur, wenn Sie 100% sicher sind, dass sie harmlos ist.
    • Fragen Sie lieber beim Sender telefonisch nach, ob er wirklich die Datei gesendet hat.
    • Deaktivieren Sie das Vorschaufenster im Explorer, falls es aktiviert ist, da darüber eine Datei im Hintergrund auch geöffnet wird. Klicken Sie dazu im Explorer oben auf «Ansicht» und deaktivieren Sie die Option «Vorschaufenster» (alternativ können Sie die Tasten­kombination ALT + P verwenden).

    Kunden von Global System

    Global System Kunden mit einem «Windows & Linux Server SLA» beziehungsweise «Windows & Linux Client SLA» müssen nichts unternehmen. Wir haben bei Bekanntgabe dieser Schwachstelle sofort das Microsoft Windows Support Diagnostic Tool temporär deaktiviert. Beim nächsten Wartungsfenster, wird das von uns erst geprüfte Update, installiert werden.

Nach oben