Internet­warnungen

Zurzeit erhalten zahlreiche Bluewin-Kunden Sextortion-Spam-E-Mails mit dem Betreff: «48 Stunden zu zahlen».

Inhalt der E-Mail:

Guten Tag, Masturbieren ist natürlich normal, aber wenn deine Familie und Freunde davon zeugen, ist es natürlich eine große Schande. Ich habe dich eine Weile beobachtet, weil ich dich in einer Werbung auf einer Porno-Website durch einen Virus gehackt habe. […]

Es handelt sich um Spam-E-Mails, die ungezielt versendet werden! Wir empfehlen, diese E-Mails zu ignorieren und zu löschen. Weitere Informationen finden Sie hier: https://www.stop-sextortion.ch/ und in unserem Ratgeberartikel Fake Sextortion – Wie die Pornomail-Falle funktioniert.

Quelle: Melde- und Analysestelle Informationssicherung MELANI

Eine Sicherheitslücke in RDP mit dem Namen BlueKeep macht es möglich Geräte mit älteren Windows-Versionen über das Internet zu kapern. RDP wird verwendet um Fernverbindungen auf Windowsgeräte herzustellen (Remote Desktop).

Der mögliche Schaden dieser Sicherheitslücke ist ähnlich gross wie der der Schadsoftware WannaCry. Sie hat vor 2 Jahren weltweit hunderttausende Geräte infiziert und Millionenschäden verursacht.

Die RDP-Sicherheitslücke erlaubt es Code aus der Ferne auszuführen, damit können Verschlüsselungstrojaner oder andere Schadsoftware auf dem Zielgerät und unter Umständen auch auf anderen Geräten des Netzwerks ausgeführt werden. Besonders Geräte die direkt ans Internet angeschlossen sind, müssen dringend gepatchet werden.

Unbedingt patchen!

Microsoft hat Patches für alle betroffenen Windows-Versionen veröffentlicht. Betroffen sind Windows 7 und ältere Versionen:

• Sicherheits-Updates für Windows 7 und Windows Server 2008 (R2)
• Sicherheits-Updates für Windows XP, Vista und Server 2003

Wenn Sie Windows 7 verwenden und Automatische Updates aktiviert haben, wird der Patch automatisch installiert. Bei anderen Betriebssystemen müssen Sie ihn manuell installieren. Die Sicherheitslücke ist so gefährlich, dass auch Patches für Vista und XP bereitstehen, für die eigentlich keine Patches mehr veröffentlicht werden.

Unsere SLA-Kunden sind abgedeckt

Global System Kunden mit einem SLA inklusive Server Updates und Workstations können sich zurücklehnen, wir kümmern uns um alles.

IoT-Geräte können in grossem Masse für Cyber-Angriffe missbraucht werden, Erfolgreiche Erpressungsversuche (z.B. «Fake Sextortion») sowie Überweisungsbetrug mit «Office 365»-Zugangsdaten und das Schwergewichtsthema «Umgang mit eingekauften Risiken bei Hard- und Software»: Der am 30. April 2019 veröffentlichte 28. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cyber-Vorfällen der zweiten Jahreshälfte 2018 im In- und Ausland.

Die rasch voranschreitende Digitalisierung ist nur mit entsprechender Hard- und Software zu bewältigen. Der Markt wird klar von US-Unternehmen dominiert, mit China auf der Überholspur sowie vereinzelten globalen Mitspielern im Bereich Hard- und Software, beispielsweise aus Korea, Russland oder Deutschland.

Der potenzielle Zugriff auf IKT-Hersteller durch die jeweiligen Sitzstaaten führt zu Fragen über den richtigen Umgang mit diesen Risiken. Der 28. Halbjahresbericht MELANI widmet sich dieser Problematik im Schwerpunktthema und behandelt weitere aktuelle Themen wie die nachfolgend beschriebenen.

Haushaltsgeräte als Auslöser für einen Stromausfall

Mit dem Internet der Dinge (IoT) werden allerlei Geräte wie Heizungen und Klimaanlagen für deren Fernsteuerung ans Internet angeschlossen. Dies ist praktisch, birgt aber auch gewisse Risiken. Einer im Jahr 2018 publizierten Studie der Princeton Universität zufolge wäre es durchaus möglich, dass böswillige Akteure ungenügend geschützte IoT-Geräte hacken, zu einem Botnetz zusammenfügen und für Cyber-Angriffe, wie einen Stromausfall, missbrauchen könnten. Der Halbjahresbericht beleuchtet die Problematik und enthält Empfehlungen.

Erpressung mittels Fake-Sextortion

Seit März 2018 kursieren unzählige «Fake Sextortion»-Mails. In einer E-Mail behaupten die Angreifer, sie würden über kompromittierendes Bildmaterial verfügen, das die Empfänger beim Konsum pornografischer Websites zeigt. Als «Beweis» für die Echtheit der Behauptung werden in der E-Mail oft Passwörter oder Mobiltelefonnummern genannt, die aus früheren Datenlecks stammen. Der Halbjahresbericht befasst sich mit dieser Problematik und zeigt die Entwicklung der verschiedenen «Fake-Sextortion»-Wellen.

Office 365-Zugangsdaten für Überweisungsbetrug verwendet

Mit über 100 Millionen monatlichen Nutzern sind Office 365-Konten zu einem populären Ziel für Angreifer geworden. Im zweiten Halbjahr 2018 kam es mit auf diese Weise ergatterten Office-365-Zugangsdaten vermehrt zu sogenanntem Überweisungsbetrug. Davon spricht man, wenn Betrüger in kompromittierten Konten nach bestehenden elektronischen Rechnungen suchen, diese dann kopieren, mit einer anderen IBAN versehen und erneut zustellen.

Der 28. Halbjahresbericht MELANI ist publiziert unter:

Halbjahresbericht 2018/2

Zurzeit läuft in der Schweiz eine Phishing-Welle mit gefälschten Rechnungen/Bestellungen. Auffällig an dieser Welle ist, dass der angebliche Absender ein bekannter Name ist. Meistens wird der Name von Mitarbeitern der eigenen Firma verwendet. Das ist besonders gefährlich, wenn es sich um Buchhalter handelt oder um jemanden, von dem Sie tatsächlich gerade eine Mail erwarten.

Man kann solche Mails trotzdem leicht erkennen, wenn man aufmerksam ist: Obwohl der Absendername stimmen könnte, ist die verwendete E-Mailadresse völlig falsch. Der Absender in unserem Beispiel heisst zwar Herr Koch, unser Supportleiter, jedoch stimmt die E-Mailadresse nicht mit dem Namen überein. Eine klare Phishing-E-Mail.

Im Text der E-Mail wird behauptet, die Rechnung im Anhang sei noch nicht bezahlt worden. Bei der Rechnung handelt es sich um ein Word-Dokument, das Schadsoftware enthält.

Was soll ich mit einer solchen E-Mail tun?

Wenn Sie so eine E-Mail erhalten, löschen Sie sie umgehend.

Öffnen Sie auf keinen Fall den Anhang.

In der neusten Phishing-Welle werden erneut falsche Bewerbungsmails versendet. Eine ähnliche Welle gab es bereits im November 2018. Auch damals enthielten die E-Mails einen Word-Anhang mit einem Verschlüsselungstrojaner.

Angriffsschema

Der Trojaner verbreitet sich über E-Mails, die vorgeben die Bewerbung einer Person namens Saskia Heyne zu sein – Vorsicht: dieser Name kann sich im Laufe der Infektionswelle durchaus ändern. Im Anhang befindet sich ein Word-Dokument, das beim Öffnen versucht, den Anwender zur Aktivierung von Makros zu überreden. Ohne diesen Schritt kann der Trojaner seinen Schadcode nicht ausführen.

Das Dokument gibt vor «mit einer älteren Version von Microsoft Word erstellt» worden zu sein und versucht das Opfer dazu zu verleiten, per Kompatibilitätsmodus aktive Inhalte des Dokumentes zu aktivieren. Kommen Sie dieser Anweisung auf keinen Fall nach! Die Aktivierung der Makros erlaubt es dem Trojaner, auf das System zuzugreifen und wichtige Daten zu verschlüsseln.

Mögliche abgewandelte Formen

Es könnten sich bereits abgewandelte Formen des Trojaners im Umlauf befinden. Der beste Schutz vor dieser Art Angriffe ist immer noch, derartige E-Mails äusserst skeptisch zu behandeln und auf keinen Fall Office-Makros für Dateien zu aktivieren, die nicht aus absolut vertrauenswürdigen Quellen kommen – schon gar nicht bei Dokumenten, die man per Mail von Unbekannten erhalten hat.

Technisch gesehen ist GandCrab ein alter Hut, allerdings scheinen immer noch genügend Nutzer auf solche Tricks reinzufallen, dass sich das Versenden der Phishing-Mails lohnt.

Quelle: heise.de

Wie wir bereits letzte Woche berichtet haben, läuft im Moment eine Phishing-Welle in der Schweiz die es besonders auf Unternehmensnetzwerke abgesehen hat. Nun berichtet auch die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes darüber, hier die detaillierte Meldung:

Trojaner Emotet greift Unternehmensnetzwerke an

Aktuell beobachtetet MELANI verschiedene Malspam-Wellen mit infiziertem Word-Dokumenten im Anhang. Dabei handelt es sich um einen bereits länger bekannten Trojaner namens Emotet (auch bekannt als Heodo). Ursprünglich als E-Banking-Trojaner bekannt, wird Emotet heute vor allem für den Versand von Spam sowie das Nachladen von weiterer Schadsoftware (Malware) verwendet. Emotet versucht - mit gefälschten E-Mails im Namen von Kollegen, Geschäftspartnern oder Bekannten - mittels Social-Engineering den Empfänger zum Öffnen des Word-Dokuments sowie zum Ausführen der darin enthaltenen Office-Makros zu verleiten.

Vergangene Woche warnte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) [https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/BSI_warnt_vor_Emotet.html] vor Emotet, welcher unter anderem den eBanking Trojaner «TrickBot» nachlädt sowie sich über die bereits länger bekannte Schwachstelle im SMB Proktoll («EternalBlue») in Unternehmensnetzwerke ausnutzt (Wurm-Komponente).

Gemäss aktuellen Informationen, welche der Melde- und Analysestelle Informationssicherung MELANI vorliegen, wird Emotet momentan auch aktiv dazu verwendet, um gezielt Computer und Server in Unternehmensnetzwerken mit einem Verschlüsselungstrojaner (Ransomware) namens «Ryuk» zu infizieren. Dabei verschlüsselt «Ryuk» auf dem Computer oder Server abgelegte Dateien und fordert nach erfolgter Verschlüsselung vom betroffenen Unternehmen eine erhebliche Summe an Lösegeld (CHF 200 000 und mehr). Betroffen sind ausschliesslich Geräte wie Computer und Server, welche mit einem Windows Betriebssystem laufen. Durch die vorhandene Wurm-Komponente besteht bei einer erfolgreichen Infektion ein hohes Risiko, dass sich der Trojaner im Unternehmensnetzwerk weiterverbreitet und einen erheblichen Schaden anrichtet.

MELANI verweist deshalb erneut auf folgenden Empfehlungen hin:

• Erstellen Sie regelmässig eine Sicherungskopie (Backup) Ihrer Daten. Die Sicherungskopie sollte offline, das heisst auf einem externen Medium wie beispielsweise einer externen Festplatte gespeichert werden. Stellen Sie daher sicher, dass Sie das Medium, auf welche Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer bzw. Netzwerk trennen. Ansonsten werden bei einem Befall durch Ransomware möglicherweise auch die Daten auf dem Backup-Medium verschlüsselt und unbrauchbar.
• Sowohl Betriebssysteme als auch alle auf den Computern und Servern installierten Applikationen (z. B. Adobe Reader, Adobe Flash, Oracle Java etc.) müssen konsequent auf den neuesten Stand gebracht werden. Falls vorhanden, am besten mit der automatischen Update-Funktion.
• Netzwerk-Segmentierung (Trennung von Client-/Server-/Domain-Controller-Netzen sowie Produktionsnetzen mit jeweils isolierter Administration) nach unterschiedlichen Vertrauenszonen, Anwendungsbereichen und/oder Regionen.
• Einhalten des Prinzips der minimalen Rechtevergabe besonders auch bei Netzwerklaufwerken (es sollte kein Benutzer Zugang zu allen Daten haben, wenn er diesen Zugang gar nicht benötigt).
• Verwenden von dedizierten Geräten mit keinen oder nur eingeschränktem Internet-Zugang für das Management der Systeme sowie für das Durchführen von Zahlungen

Aufgrund der aktuellen Gefährdung durch Office-Makros empfiehlt MELANI Unternehmen und Betreibern kritischer Infrastrukturen zudem:

• Das Ausführen von unsignierten Office-Makros technisch zu unterbinden.
• Den Empfang von Office Dokumenten, welche Makros enthalten, auf dem E-Mail Gateway bzw. Spam-Filter technisch zu unterbinden

Um eine Infektion durch Emotet zu verhindern sowie das Nachladen von weiterer Schadsoftware (Malware) zu unterbinden empfiehlt MELANI jene Webseiten, welche aktiv für die Verbreitung von Emotet verwendet werden, am Netzwerkperimeter wie beispielsweise Web-Proxy oder DNS zu sperren. Eine Liste von solchen Webseiten wird beispielsweise von abuse.ch zur Verfügung gestellt:
https://urlhaus.abuse.ch/api/

Zudem rät MELANI, die Netzwerk-Kommunikation mit Servern, die zur Steuerung von mit Emotet infizierten Geräten verwendet werden, zu blockieren (Emotet Botnet Command&Control Server – C&C). Eine Liste von IP Adressen, welche Emotet zugeordnet werden können, werden unter anderem von Feodo Tracker publiziert:
https://feodotracker.abuse.ch/blocklist/

Quelle: Melde- und Analysestelle Informationssicherung (MELANI)

Gefälschte E-Mails im Namen von Freunden, Nachbarn oder Kollegen gefährden im Moment ganze Netzwerke. Die Schadsoftware Emotet infiziert seit einigen Tagen Computer und Netzwerke in der Schweiz und Deutschland. Sie verbreitet sich wie andere Schadsoftware auch über eine gefährliche Worddatei im Anhang oder über einen gefährlichen Link in der E-Mail. Auffällig ist wie gut die gefälschten Mails bekannte E-Mailkontakte imitieren.

Gezielte Verbreitung

Der Grund: Nach der Infizierung liest Emotet die Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern infizierter Systeme aus. Diese Informationen nutzen die Täter zur weiteren Verbreitung des Schadprogramms. Das funktioniert so: Empfänger erhalten E-Mails mit authentisch aussehenden, jedoch erfundenen Inhalten von Absendern, mit denen sie erst kürzlich in Kontakt standen. Aufgrund der korrekten Angabe der Namen und Mailadressen von Absender und Empfänger in Betreff, Anrede und Signatur wirken diese Nachrichten auf viele authentisch. Deswegen verleiten sie zum unbedachten Öffnen des schädlichen Dateianhangs oder der in der Nachricht enthaltenen URL.

Nachgeladener Bank-Trojaner und Datenabfluss

Ist der Computer erst infiziert, lädt Emotet weitere Schadsoftware nach, wie zum Beispiel den Banking-Trojaner Trickbot. Diese Schadprogramme führen zu Datenabfluss oder ermöglichen den Kriminellen die vollständige Kontrolle über das System.

Trickbot versucht ausserdem eine alte Schwachstelle im SMB-Protokoll auszunutzen um sich im Netzwerk auszubreiten. Diese Schwachstelle ist allerdings seit über einem Jahr von Microsoft gepatcht und bedroht nur Netzwerke die automatische Windows Updates deaktiviert und dieses Update nicht installiert haben.

Schutzmassnahmen

• Öffnen Sie auch bei vermeintlich bekannten Absendern nur mit Vorsicht Dateianhänge von E-Mails (insbesondere Office-Dokumente)
• Prüfen Sie in den Nachrichten enthaltene Links, bevor sie diese anklicken. Bei einer verdächtigen E-Mail sollten Sie im Zweifelsfall den Absender anrufen und sich nach der Glaubhaftigkeit des Inhaltes erkundigen.
• Aktivieren Sie die automatischen Windows-Updates und installieren Sie zeitnah Updates für Ihre Browser und Anwendungsprogramme.
• Setzen Sie Antiviren-Software ein und aktualisieren Sie diese immer wieder.
• Erstellen Sie regelmässig Backups Ihrer Daten.

Quelle: BSI Deutschland (Bundesamt für Sicherheit in der Informationstechnik)

Lücken in Hardware-Komponenten stellen eine besondere Bedrohungsart dar. Diese Lücken lassen sich nicht mit einem einfachen Update beheben, wie dies bei Software-Lücken möglich ist. Ausserdem würde ein kompletter Austausch von Hardware-Komponenten die Hersteller vor grosse logistische Probleme stellen. Das Schwerpunktthema dieses Halbjahresberichts befasst sich mit den besonderen Herausforderungen bei Hardware-Lücken.

Das Problem von mehrfach im Internet verwendeten Passwörtern

Nach wie vor verwenden viele Benutzerinnen und Benutzer das gleiche Passwort für mehrere Online-Dienste wie beispielsweise Webmail, E-Banking, Onlineshops. Dies ist eine willkommene Vereinfachung für Kriminelle und ermöglicht ihnen, die gesammelten Login-Daten aus den diversen Daten­ab­flüssen bei verschiedensten Internetdienstleistern systematisch einzusetzen. In einem Fall versuchten sich Angreifer mit knapp einer Million solch gestohlener und aus verschiedenen Quellen zusammengestellten Login-Kombinationen in die Benutzerkonten eines Online-Portals einzuloggen.

Missbrauch des Labors Spiez für Spionagekampagne

Im Sommer 2018 wurde der Name des Labors Spiez für die Planung eines Spionageangriffs gegen Dritte missbraucht. Dabei verwendeten die Angreifer ein im Internet publiziertes Dokument, mit dem das Labor Spiez zu einer internationalen Konferenz eingeladen hatte. Dieses wurde kopiert, mit einer Schadsoftware versehen und an die Opfer gesendet. Das Labor Spiez selbst wurde dabei nicht angegriffen.

Die Verwendung von Daten bei Angriffen

Immer häufiger kommt es zu ungewollten Daten­ab­flüssen. Davor bleibt auch die Schweiz nicht verschont. Cyber-Kriminelle sind bezüglich Verwendung solcher Daten sehr vielfältig und innovativ. Eine unmittelbare Vorgehensweise, um aus Daten­ab­flüssen Geld zu machen, ist die direkte Erpressung der Firma, bei der die Daten abgeflossen sind. Mit entwendeten Daten lassen sich ausserdem personalisierte E-Mails generieren, welche die Erfolgsrate bei Phishing-Mails im Vergleich zu Massen-Mails erheblich erhöhen. Es ist deshalb zu erwarten, dass Kriminelle künftig vermehrt diese Vorgehensweise wählen werden.

Der 27. Halbjahresbericht MELANI ist publiziert unter:

Halbjahresbericht 2018/1

Wer eine E-Mail mit dem Betreff «Bewerbung auf die Angebotene Stelle bei der Agentur für Arbeit von Peter Reif» erhält, sollte die Mail umgehend löschen und den Dateianhang unter keinen Umständen öffnen. Berichten zufolge variiert der Name in den Mails und es gibt auch Versionen mit beispielsweise «Peter Schnell», «Caroline Schneider» und «Viktoria Henschel».

Der Empfang der Mail und das Entpacken des Archivs löst nach jetzigem Kenntnisstand noch keine Infektion aus. Erst wer das Archiv entpackt und die darin enthaltene Datei öffnet, holt sich einen Windows-Erpressungstrojaner auf den Computer, der Dateien verschlüsselt und erst nach einer Lösegeld-Zahlung wieder freigeben will. Es handelt sich bei der Schadsoftware anscheinend um die Ransomware GandCrab 5.0.4.

Infektionsvorgang

Die Mail ist in sauberem Deutsch formuliert und im Anhang der Mail befindet sich ein passwortgschütztes RAR-Archiv, in dem sich die Datei «Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf.exe» befindet. Das Kennwort für das Archiv findet sich in der Nachricht.

In der Mail steht, dass das Archiv aus Gründen der Privatsphäre mit einem Kennwort geschützt ist– das ist aber Blödsinn. Die Drahtzieher der Kampagne haben ein Passwort vergeben, damit Virenscanner das Archiv nicht scannen können. Nur wenn ein Scanner das Passwort kennt, kann er es auch überprüfen.

Da Windows in der Standardeinstellung bekannte Dateiendungen (.exe) ausblendet, sieht es so aus, als handelt es sich um ein PDF-Dokument. Es ist aber immer noch eine ausführbare Datei. Wer doppelt auf «Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf» klickt löst die Infektion aus.

Entschlüsselung teilweise möglich

Die Firma Bitdefender hat ein kostenloses Entschlüsselungstool für einige Versionen von GandCrab. Bitdefender zufolge kursieren derzeit zwei Subvarianten von GandCrab 5.0.4, der aktuellen Version. Mit einer davon soll das Tool kompatibel sein. Opfer sollten es in jedem Fall ausprobieren.

Quelle: heise.de

Phisher bedrohen Internetnutzer derzeit durch gehackte Mail-Konten, worüber sie in laufende Konversationen mit Bekannten eindringen.

Die kürzlich entdeckte Kampagne kapert E-Mail-Benutzerkonten, um Malware an eine unschuldig aussehende Antwortmail zu hängen, die der Empfänger sogar von seinem Bekannten erwartet. Die Antwort enthält eine infizierte Word-Datei. Ist die Datei einmal geöffnet, installiert sich die Schadsoftware «Ursnif» und sammelt unterschiedlichste Zugangs- und Bankdaten der Betroffenen. Die Opfer erkennen den Befall auf ihrem Rechner in diesen Fällen oft erst, wenn es bereits zu spät ist..

Erkennungsmerkmale der Phishing-Mails

Wer genau nachschaut, soll die gefälschten Mails allerdings erkennen können. Oft ist die Mail zum Beispiel plötzlich auf Englisch verfasst, und auch die Signaturen können von den gewohnten Signaturen der Konversationspartner abweichen.

Auch die Header enthüllen verdächtige Anzeichen. Wer mehr wissen möchte, kann auf dem Trend Micro Blog (englisch) mehr Details zum Aufspüren der Auffälligkeiten erfahren.

Sollten Sie so eine Antwort-Mail von einem Bekannten, Freund oder Geschäftspartner erhalten haben, informieren Sie diese auch umgehend darüber das ihr E-Mailkonto gehackt wurde und sie entsprechende Massnahmen ergreifen müssen.

Zusätzlicher Schutz durch 2-Faktor-Authenti­fizierung

Für den Zugang zu E-Mailkonten oder anderen Onlinekonten, empfehlen wir Benutzern die Verwendung einer 2-Faktor-Authenti­fizierung (2FA) wie zum Beispiel Duo Mobile. Damit werden 2 verschiedene Authenti­fizierungen benötigt, bevor man Zugang zu einem Konto erhält. Ein gehacktes Passwort allein würde nicht mehr reichen.

Quelle: itmagazine.ch

Viele Firmen erlauben ihren Angestellten, Dokumente online zu teilen und sogar auf ganze Bürosysteme online zuzugreifen. Manchmal reicht nur ein Passwort, um Zugriff auf ein E-Mail-Konto, aber auch auf diverse andere Dokumente zu erhalten. Es ist deshalb nicht verwunderlich, dass diese Zugangsdaten von grossem Interesse für Phishing-Angriffe sind. Das Kompromittieren eines ersten Kontos wird daher oft als weiterführender Angriffsvektor gegen die anderen Mitarbeitenden verwendet.

In den letzten Monaten hat MELANI Meldungen zu zahlreichen Phishing-Attacken erhalten, welche solche Plattformen imitieren und versuchen, an Zugangsdaten zu gelangen. Zum Beispiel werden die Webseiten von Microsoft Office 365 oder OneDrive nachgebaut. Die Qualität und die Art der E-Mails unterscheiden sich stark. Bei gewissen E-Mails wird der Empfänger gebeten sich zu identifizieren, um ein Problem mit seinem Konto zu lösen, oder aber aufgefordert, ein mit ihm geteiltes Dokument anzuschauen. In allen Fällen wird der Empfänger auf eine Phishing-Seite weitergeleitet, welche die Seite des Anbieters imitiert; dort sollen der Benutzername und das Passwort angegeben werden.

Sobald die Kriminellen Zugang zum Konto haben, können sie prinzipiell dieselben Einstellungen vornehmen wie der Konto-Inhaber:

• Eine E-Mail-Weiterleitung einrichten, sodass sie Zugang zur gesamten Korrespondenz der geschädigten Person haben. Die Weiterleitung erfolgt oft mittels Kopie, so dass dies für den Konto-Inhaber nicht erkennbar ist.
• Wenn das E-Mail-Konto der Plattform als Rücksetz-E-Mail-Adresse für weitere Dienste verwendet wird, könnte ein Angreifer entsprechende Passwörter zurücksetzen lassen und so Zugang zu weiteren Diensten gewinnen.
• Angreifer können sich Zugang zu weiteren Dokumenten verschaffen, soweit die Rechte des Benutzers dies zulassen. Sie können aber auch andere Benutzer im Namen ihres Opfers für die Freigabe von Dokumenten anfragen. Da diese annehmen, dass dies von einem Firmenkollegen geschieht, werden sie diesem Wunsch oft nachkommen.

Für die Kriminellen sind diese Zugangsdaten oft eine Goldmine, welche ihnen erlauben, relevante Informationen, wie beispielsweise Geschäftsbeziehungen, zu bearbeitende Fälle, Struktur und Organigramme des Unternehmens, für einen massgeschneiderten Betrugsversuch zu sammeln. Ebenfalls kann nicht ausgeschlossen werden, dass solche Informationen zur Wirtschaftsspionage benutzt oder weiterverkauft werden.

Sobald ein Konto kompromittiert ist, können alle Kontakte der geschädigten Person betroffen sein. Oft riskieren sie, dass ein E-Mail mit Malware oder Phishing an sie verschickt wird, welches scheinbar vom Konto des Kollegen oder Geschäftspartners kommt. Mit dieser Methode können die Angreifer weitere Zugänge im Firmennetzwerk gewinnen.

Empfehlungen

Technische Massnahmen:

• Nutzen Sie eine Zwei-Faktor-Authenti­fizierung wo immer diese verfügbar ist.
• Es wird empfohlen, einen Dienst zu wählen, der genügend Logging Funktionalität bietet und die Logs in geeigneter Form für Kunden zur Verfügung stellt.
• Den Unternehmen wird empfohlen, nach anormalen Aktionen bei den Konten der Mitarbeitenden zu suchen: Zugang von ungewöhnlichen Orten oder zu unüblichen Zeiten, Hinzufügen von E-Mail-Weiterleitungen, etc.
• Mails sollten (zumindest intern) immer digital signiert sein und Benutzer darauf trainiert werden, Mails ohne eine entsprechende Signatur besonders vorsichtig zu behandeln.
• Beim Versand von legitimen E-Mails mit hohem Missbrauchspotential für Phishing, wie z.B. der elektronische Versand von Rechnungen, sollte darauf geachtet werden, dass die Links nicht hinter HTML Text versteckt sind und dass die Mails und/oder Dokumente digital signiert sind.
• Damit die eigene Domain weniger einfach für Phishing Versuche missbraucht werden kann, sollte SPF, DKIM und DMARC Protokolle eingerichtet werden. Dies ist auch bei einigen der grossen Collaboration Providern möglich, wie z.B. bei Office365.

Organisatorische Massnahmen:

• Die beste Methode, um Phishing zu bekämpfen, ist die Mitarbeitenden bezüglich diesem Phänomen zu sensibilisieren: Es ist unerlässlich, dass die Mitarbeitenden in der Erkennung und dem Umgang mit suspekten und betrügerischen E-Mails geschult werden. Sensibilisierte Mitarbeitende wissen, dass sie bei suspekten oder betrügerischen E-Mails auf keine Links klicken oder Anhänge öffnen sollen, sondern umgehend die Vorgesetzten oder die IT-Verantwortlichen informieren sollten.
• Ebenfalls sind die vom Unternehmen definierten Prozesse und risikominimierenden Massnahmen zu jeder Zeit einzuhalten. Insbesondere sollten sämtliche Prozesse, welche den Zahlungsverkehr betreffen, firmenintern klar geregelt sein und von den Mitarbeitenden in allen Fällen eingehalten werden (z.B. Vier-Augen-Prinzip, Unterschrift kollektiv zu zweien, Prozesse gemäss internem Kontrollsystem).
• Die Phishing-Versuche können auf der Seite www.antiphishing.ch gemeldet werden. Dies erlaubt MELANI, schnelle Massnahmen zu treffen, um andere Benutzer zu schützen.

Quelle: Melde- und Analysestelle Informationssicherung MELANI

Aktuell sind Erpresser-Mails im Umlauf. Die Empfänger sollen Lösegeld zahlen, weil sie angeblich beim Besuch einer Porno-Seite gefilmt wurden.

So die Masche: Empfänger der betrügerischen Mail wird weisgemacht, dass sie gefilmt worden sind, während Sie sich beim Schauen eines «dreckigen» Filmchens auf einer Porno-Seite im Internet selbstbefriedigt hätten. Die eigene Webcam – die von den Tätern selbst über Fernsteuerung aktiviert wurde –  habe alles aufgenommen.

Screenshot einer Erpressermail:

Internet-Betrüger wollen Bitcoins

Wenn die Opfer nicht Lösegeld für die Aufnahme zahlen, werde das pikante Video per Mail und Social Media an Bekannte weiterverschickt. Die Kontakte wurden nämlich über eine Schadenssoftware runtergesaugt, wie es in den Erpresser-Mails heisst.
Das Lösegeld soll in Form von Bitcoins innerhalb von 48 Stunden bezahlt werden, so die Betrüger.

Es gibt kein Video – Alles nur Einschüchterung

Die Erpressung funktioniert ganz ohne technische Hilfsmittel oder Hacks, ganz allein über Social-Engineering. Der Benutzer wurde nicht gehackt, es gibt auch kein Video. Es wird nur versucht das Opfer zu verängstigen und einzuschüchtern. Die Angst vor der sozialen Scham würde ein solches Video veröffentlicht, soll Opfer zum Zahlen verleiten.

Die Polizei rät, sich von den Erpressern nicht einschüchtern zu lassen und auf keinen Fall auf den Deal einzugehen, sondern die Mail sofort zu löschen.

Eine aktuelle Spam-Kampagne setzt auf starke Personalisierung: Sie täuscht als Absender reale E-Mail-Adressen von Mitarbeitern desselben Unternehmens vor. Neben E-Mails mit eher nichtssagendem Betreff wie «Scan 28923323236» beinhalten einige Betreffzeilen zusätzlich den Namen des Empfängers – etwa in der Form «WG: gescanntes Dokument 14517127599 [Empfänger]».

Der E-Mail-Text enthält einen Link, hinter dem sich je nach Wortlaut ein vermeintlicher Überweisungsbeleg oder ein Dokument mit angeblich angeforderten Informationen verbirgt. Angesichts der bekannten Absender-Adresse besteht erhöhte Gefahr, dass sich auch sicherheitsbewusste Anwender zum «reflexhaften». Anklicken verleiten lassen.

Auf der Zielseite wartet ein Word-Dokument mit der Bezeichnung Rechnungs-Details-68436558143.doc auf Download und Ausführung (die Namensgebung kann durchaus variieren).

Vermeintliche Rechnung enthält schädlichen Makro-Code

Das Word Dokument enthält Anweisungen was der Benutzer angeblich machen muss, damit er den Inhalt ansehen kann. Auf Englisch wird der Empfänger aufgefordert, mittels zwei Klicks auf gelbe Schaltflächen sowohl die Bearbeitung des Dokuments als auch die Ausführung eingebetteter Inhalte zu erlauben ( «Enable Editing»/«Enable Content»).

Eine kurze Analyse fördert Makrocode zutage, der mittels einer autoopen()-Funktion automatisch startet. Der später im Code auftauchende Begriff «Shell» legt ausserdem nahe, dass weiterer Schadcode nachgeladen und ausgeführt wird. Um mit dem Office-Dokument einen Rechner zu infizieren, bedarf es also mehrerer Nutzer-Interaktionen. Gefährlich wird es allerdings , wenn die – mittlerweile standardmässige – Deaktivierung von Makros im Vorfeld vom Nutzer aufgehoben wurde.

Halten Sie sich an folgende Richtlinien

• Wenn Sie nicht sicher sind warum Sie von einem Mitarbeiter eine E-Mail erhalten haben, fragen Sie zuerst telefonisch nach.
• Klicken Sie auf keinen Link in einer E-Mail, der auf einen Ort ausserhalt Ihres Firmennetzes zeigt.
• NIEMALS den Anweisungen in einem Worddokument folgen und Makros aktivieren oder Sicherheitsvorrichtungen ausschalten.

Quelle: heise.de

Der Erpressungstrojaner Gandcrab hat es derzeit auf Windows-Computer in Firmen abgesehen und versucht diese über den Anhang einer Bewerbungsmail zu infizieren. Vor allem Mitarbeiter im Personalwesen sollten aufpassen und angehängte Dateien von Bewerbungen genau Prüfung bevor sie sie öffnen.

Das E-Mail ist als Bewerbung getarnt und in fehlerfreiem Deutsch verfasst. Die Anlagen bestehen aus einer ZIP-Datei mit einem Namen in der Form von «Viktoria Hagen - Bewerbungsunterlagen.zip» und einer jpg-Bilddatei mit einem Portraitfoto. Der verwendete Name kann variieren.

Die ZIP-Dateien enthalten eine oder zwei EXE-Dateien mit der Schadsoftware. Obwohl es sich um EXE-Dateien handelt wird im Explorer ein PDF-Icon angezeigt!

Seien Sie besonders vorsichtig bei E-Mails die sie nicht erwarten, wie in diesem Fall Blindbewerbungen oder auch wenn Sie den Absender nicht kennen. Wenn Sie eine solche E-Mal erhalten, löschen Sie sie und öffnen Sie auf keinen Fall die Anhänge.

Erstellen Sie regelmässig Backup Ihrer Daten und bewahren Sie sie an einem separaten, von Ihrem Arbeitsgerät getrennten Ort auf.

Nicht das erste mal

Die momentane Welle hat grosse Ähnlichkeit mit einer E-Mailwelle aus dem Jahr 2017, als Bewerbungsmail mit Schadsoftware im Anhang versendet wurden. Damals allerdings mit der Schadsoftware «Ordinypt».

Quelle: heise.de