Internet­warnungen

Wir warnen vor aktuellen Viren, Trojanern sowie den neusten Betrugsmaschen, Scam-Mails, Verschlüsselungsprogramme und mehr.

  • 01.06.2016

    Neue Welle von Ransomware

    Es werden vermehrt Meldungen zu betrügerischen E-Mails gemeldet, die angebliche Rechnungen und einen Word-Anhang enthalten.

    Gemäss fedpol handelt es sich bei diesen angeblichen Rechnungen um den Versuch, sogenannte Ransomware zu verbreiten. Beim Öffnen der Rechnung wird automatisch eine Schadsoftware heruntergeladen. Der Inhalt der E-Mail ist immer anders, die angeblichen Unternehmen heissen unterschiedlich und der Rechnungsbetrag variiert ebenso. Damit werden sowohl Dateien des lokalen Computers wie auch Dateien, die sich allenfalls im gleichen Netzwerk befinden, verschlüsselt.

    Wir empfehlen Internetnutzern dringend, die Nachricht zu löschen und auf gar keinen Fall den Anhang zu öffnen. Wer bereits den Anhang geöffnet und dadurch einen Schaden erlitten hat, kann dies bei der Kantonspolizei zur Anzeige bringen.  

     

    Screenshot: E-Mail mit gefälschter Rechnung im Anhang
    Die Rechnungen haben unterschiedliche Absender. Beiliegend ein Screenshot als Beispiel.
     
    Screenshot: E-Mail mit angeblicher Rechnung und gefährlichem Word-Anhang

    Die Rechnungen haben unterschiedliche Absender. Beiliegend ein weiterer Screenshot als Beispiel.

    Quelle: fedpol

  • 16.02.2016

    Betrügerische Telefonanrufe gegen KMUs im Zusammenhang mit dem eBanking Trojaner «Retefe»

    Seit Anfang Februar 2016 erreichen die Melde- und Analysestelle Informationssicherung MELANI sowie die Koordinationsstelle zur Bekämpfung der Internetkriminalität KOBIK vermehrt Meldungen aus der Bevölkerung betreffend betrügerischen Telefonanrufen, welche das Ziel haben, eBanking Betrug zu ermöglichen.

    Die Masche ist neu: Die Täterschaft ruft KMUs in der Schweiz unter einem Vorwand an, um eine E-Mail Adresse zu erhalten (z.B. die anstehende Übergabe eines Paketes). Wird eine solche bekannt gegeben, versendet die Täterschaft innert kurzer Zeit ein plausibel klingendes, auf das Telefonat bezugnehmendes E-Mail mit einem Link zu einem bekannten Cloud-Anbieter. Hinter dem Link befindet sich ein ZIP-Archiv, welches ein bösartiges Java-Script oder eine ausführbare Datei enthält. Die durch Anklicken dieser Datei durchgeführten Änderungen am Betriebssystem des Opfers (namentlich das ändern der Web-Proxy Einstellungen von Internet Explorer und Firefox, sowie das Hinzufügen einer bösartigen Certificate Authority zum vertrauenswürdigen Zertifikatsspeicher), erlauben es dem Angreifer auf das eBanking des Opfers zuzugreifen, sobald dieses sich das nächste Mal auf seinem eBanking-Konto anmeldet.

    Grafik: Ablauf der Betrugsmasche mit Hilfe des Trojaners Refete
    Ablauf der Betrugsmasche mit Hilfe des Trojaners Refete

    Die Täterschaft verwendet für die betrügerischen Anrufe Schweizer Telefonnummern und versendet die E-Mails mit Absenderadressen, welche den Adressen von legitimen Unternehmen täuschend ähnlich sehen. Unter anderem folgende Domain-Namen wurden bei den Absenderadressen beobachtet:

    • yurist-plus.com
    • betost-law.com
    • cva-swisskurier.com
    • advokaturburo.com
    • cva-swisskurier.com
    • grischamodellbau.com
    • steuershop.com
    • swiss-courier.com


    Beispiel einer solchen E-Mail

    Screenshot: Beispiel eins Mails mit einem Link zum Refetetrojaner
    Beispiel eins Mails mit einem Link zum Refetetrojaner

    Aufgrund der von den Angreifern verwendeten technischen Infrastruktur und dem verwendeten Schadcode gehen MELANI und KOBIK davon aus, dass der Angriff im Zusammenhang mit den durch die Schadsoftware „Retefe“ durchgeführten Angriffen vom letzten Jahr steht.

    MELANI und KOBIK empfehlen:

    • Seien Sie misstrauisch gegenüber Anrufen von Unbekannten
    • Seien Sie vorsichtig bei Emails mit Links, welche nicht sofort ersichtlich bzw. ausgeschrieben sind (z.B. „Klicken Sie hier“), auch wenn diese von vermeintlich vertrauenswürdigen Absendern stammen
    • Wenn Sie beim Login ins e-Banking nach Eingabe der Anmeldeinformationen (Passwort, mTAN/Token) einen Sperrbildschirm erhalten, z.B. „Das e-Banking steht derzeit nicht zur Verfügung", kontaktieren Sie umgehend Ihre Bank
    • Falls beim Login-Prozess andere aussergewöhnliche Vorkommnisse auftreten (z.B. Anzeige von Minuten-Timer, usw.), sollte ebenfalls die Bank kontaktiert werden
    • Falls Sie Opfer von Betrug geworden sind, melden Sie dies der KOBIK via dem KOBIK Meldeformular (https://www.cybercrime.admin.ch/kobik/de/home/meldeformular/meldeformular.html) und erstatten Sie Anzeige bei Ihrer kantonalen Polizeidienststelle.


    Für die IT-Sicherheit in KMUs hat MELANI sowie das KMU Portal des Bundes je ein Merkblatt veröffentlicht:

     

    Weitere Informationen zu Retefe finden Sie hier:

     

    Quelle: MELANI

  • 12.02.2016

    Neue Welle einer Police-Ransomware im Namen von fedpol/KOBIK

    FEDPOL warnt vor einer Ransomware im Namen von fedpol/KOBIK.

    Screenshot: Die Gefälschte Seite FEDPOL-Seite
    Die Gefälschte FEDPOL-Seite

    Die Schadsoftware, die in ähnlichen Varianten bereits in den letzten Jahren kursierte, zeigt nach Befall des Computers ein behördenähnliches Logo. Dem Benutzer wird vorgeworfen, sich illegaler Aktivitäten auf dem Internet schuldig gemacht zu haben, was zu einer Sperrung des Browsers geführt habe. Mit einer Geldbusse in der Höhe von CHF 150 (der Betrag kann variieren), zahlbar mit PaySafeCard, könne der Browser wieder entsperrt und eine Strafverfolgung umgangen werden.  

    Je nach Betriebssystem und Browser lässt sich das gesperrte Browser-Fenster wieder schliessen und es kann verhindert werden, dass die zuletzt besuchten Seiten automatisch wieder geöffnet werden (damit sich der Vorgang nicht wiederholt). Bitte konsultieren Sie hierzu die Anleitung der betroffenen Software. Bei Windows beispielsweise erfolgt die Schliessung über den Task-Manager (Ctrl-Alt-Del).

     

    fedpol empfiehlt

    1. Leisten Sie keine Zahlung. Sollten Sie schon bezahlt haben, haben Sie die Möglichkeit, bei der nächsten Polizeistelle Anzeige zu erstatten.
    2. Schützen Sie Ihren Computer. Führen Sie regelmässige Software-Updates durch und halten Sie insbesondere Ihr Antivirenprogramm auf dem aktuellsten Stand, damit potentielle Gefährdungen erkannt und Sie gewarnt werden.
    3. Melden Sie fedpol verdächtige Inhalte über das Meldeformular.

    Quelle: KOBIK

  • 08.12.2015

    TeslaCrypt: Angriffe, die Daten verschlüsseln und danach Lösegeld fordern reissen nicht ab

    Diverse Meldungen über die Schadsoftware TeslaCrypt an die Melde- und Analysestelle Informationssicherung MELANI zeugen von einer steigenden Verbreitung dieser neuen Variante von erpresserischer Schadsoftware (Ransomware). Nach den seit längerem aktiven Kampagnen von Cryptolocker, Synolocker, Cryptowall etc. scheint sich die neue Variante fast ausschliesslich über infizierte E-Mail Anhänge (Ein Anhang des Typs „.zip“, der eine Datei des Typs „.js“ beinhaltet) zu verbreiten. Einmal installiert, verschlüsselt TeslaCrypt die Dateien, welche sich auf dem Computer befinden (beispielsweise Fotos, Excel- oder Word-Dateien). Dem Opfer wird anschliessend eine Meldung präsentiert, in der die Kriminellen eine Geldforderung stellen. Im Gegenzug soll das Opfer den Schlüssel erhalten mit dem die Dateien wiederhergestellt werden können (Erpressung).$

    Beispiel eines Erpresserschreibens:

    Screenshot: Beispiel eines Erpresser-E-Mails nach der Infizierung
    Beispiel einer erhaltenen Erpresser-E-Mail nach der Infizierung

    Verschiedene Antiviren Produkte können die Schadsoftware finden und zerstören. Dann ist es aber meistens zu spät, weil die auf dem Computer vorhandenen Dateien bereits verschlüsselt wurden. In diesem Fall ist deshalb nicht die Entfernung der Schadsoftware das Problem, sondern die Wiederherstellung der ursprünglichen Daten. Im Moment scheint es keine Methode zu geben, die Daten ohne den Schlüssel, der nur den Erpressern bekannt ist, zu entschlüsseln. MELANI rät hier trotzdem davon ab, auf die Forderungen der Erpresser einzugehen und eine Zahlung zu leisten. Es gibt keine Garantie, dass die Kriminellen auch wirklich Wort halten und den für das Entschlüsseln der Dateien benötigten Schlüssel dem Opfer tatsächlich zu-senden. Sie finanzieren gleichzeitig die Weiterentwicklung der Angreifer, welche einen nächsten noch wirksameren Angriff ermöglicht.

    Massnahmen

    • Auf dem Computer abgelegte Daten sollten regelmässig auf externe Datenträger kopiert werden (Backup). Dieser soll nur während des Backupvorgangs am Computer angeschlossen sein.
    • Seien Sie immer vorsichtig bei verdächtigen E-Mails, bei E-Mails, welche Sie unerwartet bekommen, oder welche von einem unbekannten Absender stammen. Befolgen Sie hier keine Anweisungen im Text, öffnen Sie keinen Anhang und folgen Sie keinen Links.
    • Sowohl Betriebssystem als auch installierte Applikationen (z.B. Browser, PDF Reader) müssen immer aktuell gehalten werden. Falls vorhanden, am besten mit der automatischen Update Funktion.
    • Ein Antivirenprogramm muss installiert sein und aktuell gehalten werden.
    • Eine Personal Firewall muss installiert sein und aktuell gehalten werden.


    Detaillierte Empfehlungen finden Sie auf der MELANI Webseite unter der Rubrik «Wie schütze ich mich?».

    Im Falle einer Infektion empfehlen wir den Computer sofort von allen Netzwerken zu trennen. Eine Säuberung des Computers ist natürlich notwendig. Grundsätzlich ist eine Neuinstallation des Systems und das Ändern aller Passwörter ratsam. Wir empfehlen, diese Massnahme zusammen mit einem Computerspezialisten durchzuführen. Nachdem diese Massnahmen erledigt wurden, können dann, sofern vorhanden, die Backup-Daten wieder zurückgespielt werden. Wenn kein Backup der Daten vorliegt, ist es empfehlenswert, die verschlüsselten Daten zu behalten und zu sichern, damit Sie sie allenfalls später noch entschlüsseln können, sollte hierzu eine Lösung gefunden werden.


    Quelle: MELANI

     

  • 01.12.2015

    Grundsätze zum Umgang mit E-Mail-Links und Anhängen

    In den letzten Tagen wurden  mehrere unserer Kunden Opfer von Kryptolocker-Schadsoftware. Kryptolocker sind Programme die wichtige Systemdateien oder persönliche Daten auf einem Computer verschlüsseln, so dass sie nicht mehr verwenderbar sind. Meist wird danach ein Lösegeld für die Entschlüsselung gefordert (die nach der Zahlung natürlich nicht durchgeführt wird).

    Die Tricks der Betrüger werden immer ausgereifter und können selbst erfahrende Nutzer täuschen. Wir haben darum in unserer Wissensdatenbank einen Artikel geschrieben mit den wichtigsten Verhaltensregeln. Einen 100%  Schutz hat man allerdings nie, darum ist es unerlässlich regelmässig Sicherheitskopien aller wichtigen Daten zu erstellen.

    Zur Artikel

  • 29.06.2015

    Neue Krypto-Viren im Umlauf

    Im Moment kommt es wieder häufig vor, dass der Verschlüsselungs-Virus versendet wird.
    Das Mail suggeriert, dass Ihnen ein Packet nicht zugestellt werden kann. Um weitere Informationen zu erhalten soll man auf einen Link klicken, siehe Bild:

    Screenshot: E-Mail mit Link zu Kryptovirus
    E-Mail mit Link zu Kryptovirus

    Der Virus wird von den Antiviren-Softwares meist nicht erkannt!
    Ein Klick auf den Link verschlüsselt alle Daten, ini-Dateien und Systemeinstellungen.

    Klicken Sie auf keinen Fall auf einen solchen Link und löschen Sie die E-Mail. Informieren Sie ausserdem Ihre Mitarbeiter.

  • 18.05.2015

    Phishing-Attacken gegen iTunes-Benutzer

    Es sind Phishing-Emails im Umlauf die Benutzer von iTunes im Visier haben. Ähnlich wie die E-Mails aus dem Jahre 2013 versuchen auch diese E-Mails die Benutzer dazu zu bringen Ihre Anmeldedaten auf einer falschen Apple-ähnlichen Seite einzugeben. Unten sehen Sie eine solche E-Mail:

    Screenshot: Falsche itunes E-Mail
    Gefälschte Apple iTunes E-Mail

    Dem Empfänger wir gesagt, dass er auf Grund eines Problems bei Apple seine Rechungsdaten innert 48 Stunden neu eingeben muss. Dazu soll er auf den Link klicken und auf der neuen Seite seine Kontoinformationen eingeben.


    Wie Sie diese falschen Apple-E-Mails erkennen

    • Der Absender hat eine verdächtige E-Mailendung «@mail.com» ist keine Appleadresse.
    • Die im Betreff erwähnte ID iTunes gibt es gar nicht, Benutzer haben nur eine Apple-ID. Eine E-Mail die solche Fehler enthält ist 100% nicht echt.
    • Fahren Sie mit der Maus über den Link ohne diesen anzuklicken, nach einem Moment erscheint eine Box mit der Adresse der verlinkten Webseite. In unserem Beispiel ist es «http://secure-apple-login-account-inc.mr-yasmin.co.li » keine offizielle Appleseite => die E-Mail ist zu 100% falsch.
    • Generell werden bei iTunes alle kontobezogenen Aktivitäten direkt im iTunes-Programm vorgenommen, nicht über einen Web-Browser. Wenn Sie gefragt werden Ihre Kontoinformationen zu aktualiseren, stellen Sie sicher, dass Sie das nur innerhalb von iTunes oder auf einer legitimen Seite auf Apple.com tun, wie z.B. dem online Apple Store. Sie erkennen legitime Seiten an diesem Symol in der Adressleiste:
        (im Internet Explorer ist die ganze Adressleiste grün)
    • Nur für Englisch sprechende Benutzer: Falsche E-Mails sind meistens in schlechtem Englisch geschrieben. In unserem Beispiel enthält die E-Mail Grammatikfehler wie z.B. «has been expired» im Betreff.


    Was Sie tun sollen, wenn Sie eine solche  E-Mail erhalten

    Klicken Sie auf keine Links und löschen Sie die E-Mail.

  • 31.03.2015

    Kunden von Schweizer KMUs: Ziel von massgeschneiderten Phishing-Angriffen

    Nach wie vor versuchen Betrüger an sensible Daten wie Passwörter, Kreditkartendaten usw. zu gelangen. Zu diesem Zweck werden meist Webseiten kreiert, welche derjenigen einer Firma täuschend ähnlich sehen (beispielsweise werden gerne Internetauftritte von Banken oder Kreditkarteninstituten missbraucht). MELANI interveniert täglich, um solche betrügerische Webseiten vom Netz zu nehmen und so die Internetnutzer zu schützen.

    Schon seit einiger Zeit missbrauchen die Betrüger allerdings nicht mehr ausschliesslich nur die Namen von grossen und bekannten Unternehmen, sondern verüben auch sehr gezielte Phishingangriffe mit dem Namen kleinerer Firmen. Diese Tendenz scheint sich zu akzentuieren: verschiedene Fälle, welche MELANI kürzlich zur Kenntnis gebracht wurden, zeugen von einer zunehmenden Professionalität dieser Angriffe. Betroffen sind KMUs in den verschiedensten Tätigkeitsbereichen, welche eine Website betreiben, die in irgendeiner Weise Kunden-E-Mail-Adressen verwenden respektive gespeichert haben, beispielsweise für den Versand eines Newsletters.

    Angriffsablauf

    In einer ersten Phase des Angriffs versuchen die Kriminellen, über die Firmenwebsite an eine Datenbank mit Kunden-E-Mail-Adressen zu gelangen. Meist wird dabei eine Schwachstelle auf der Website ausgenutzt (beispielsweise Angriffe mit SQL-Injections). Danach werden im Namen dieser Firma gefälschte Mail-Nachrichten an die entwendeten Adressen gesendet. Absender und Inhalt werden perfekt imitiert, so dass es aussieht, als stammten diese Mails tatsächlich von der Firma. In den aktuellen Fällen geben die E-Mails vor, dass das Opfer eine Kostenrückerstattung beantragen kann. Zu diesem Zweck soll ein Link angeklickt werden (siehe untenstehendes Beispiel).

    Screenshot: Beispiel einer gefälschten Firmen-E-Mail
    Beispiel einer gefälschten Firmen-E-Mail

    Hinter diesem angegebenen Link versteckt sich eine gefälschte Website, die identisch zur entsprechenden Firmenwebsite ist und ebenfalls eine URL verwendet, die einen zum Verwechseln ähnlichen Namen verwendet. Das Opfer wird darauf gebeten, Details seiner Kreditkarte anzugeben (Nummer, Ablaufdatum, Sicherheitscode), so wie es auch bei klassischen Phishingseiten üblich ist.
    Da die gestohlenen E-Mail-Adressen im Zusammenhang mit der Firma stehen, erhöhen die Betrüger die Chancen, dass ein Opfer auf den Betrug hereinfällt.

    Präventionsmassnahmen für Unternehmen

    • Eine Anleitung zum Schutz von Content Management Systemen (CMS) finden Sie auf der MELANI Webseite: http://www.melani.admin.ch/dienstleistungen/00132/01556/index.html?lang=de

    • Zum Schutz von Site und Webapplikationen empfiehlt MELANI, sowohl die Vorschläge von OWASP bezüglich der Verwendung von Applikation-Firewalls (Web Application Firewall) https://www.owasp.org/index.php/Category:OWASP_Best_Practices:_Use_of_Web_Application_Firewalls wie auch diejenigen von Microsoft (Microsoft: Basic Security Practices for Web Applications) umzusetzen http://msdn.microsoft.com/en-us/library/zdh19h94%28v=vs.140%29.aspx
    • Wird bemerkt, dass E-Mail Adressen von Kunden entwendet wurden, ist eine rasche Information angezeigt. Diese kann entweder direkt per E-Mail und/oder als Information auf der Firmenwebsite erfolgen und sollte Anweisungen über das weitere Vorgehen enthalten.
    • Zudem sollte überprüft werden, ob die Angreifer ebenfalls andere Daten entwendet haben und ob zusätzliche Massnahmen getroffen werden müssen (beispielsweise das Ändern der Passwörter, wenn die Angreifer ebenfalls darauf Zugriff hatten).
    • Überlegen Sie sich zudem, bei der Kantonspolizei Ihres Firmensitzes eine Strafanzeige einzureichen.



    Präventionsmassnahmen für Benutzer

    • Löschen Sie E-Mails dieses Typs! Keine seriöse Firma wird sie per E-Mail auffordern, Kreditkartendaten anzugeben.

    • Besonders vertrauenswürdige Firmen werden gerne missbraucht, um Empfänger zu täuschen. Die Betrüger fälschen auch Absender-E-Mail Adressen und Webseiten von Firmen, mit denen Sie tatsächlich in Kontakt stehen.

    • Seien Sie vorsichtig, wenn Sie E-Mails erhalten, die eine Aktion von Ihnen verlangen und ansonsten mit Konsequenzen drohen (Geldverlust, Strafanzeige, Konto- oder Kartensperrung, Verpasste Chance, Unglück).

    • Überprüfen Sie immer die Internetadresse (URL), auf welche man Sie via Link weiterleitet. Dazu führen Sie die Maus über den Link, ohne zu klicken. In einem über dem Mauszeiger erscheinenden Fenster sehen Sie, ob der Link wirklich auf die gewünschte Seite führt. Achtung: Schauen Sie genau hin, denn die gefälschte URL unterscheidet sich oft nur minimal von der seriösen URL, die Sie kennen.

    • Befolgen Sie jeweils bei unerwarteten verdächtigen Mail-Nachrichten oder Nachrichten von unbekannten Absendern keinesfalls die Anweisung im Text. Öffnen Sie keine Attachments und folgen Sie keinen Links, sondern löschen Sie die Nachricht.

    • Wenn Sie bei einer E-Mail nicht sicher sind, ob sie echt oder gefälscht ist, löschen Sie die Mail. War es eine seriöse Nachricht, wird der Absender bei Ihnen nachfragen, wenn er innerhalb einer angemessenen Frist keine Antwort von Ihnen erhält.

    • Beachten Sie auch im Allgemeinen die MELANI-Verhaltensregeln: http://www.melani.admin.ch/themen/00166/00172/index.html?lang=de



    Quelle: Newsletter MELANI

  • 14.04.2014

    Halbjahresbericht 2013/2 der Melde und Analysestelle des Bundes

    Auch das zweite Halbjahr 2013 war durch die Berichterstattung über die Machenschaften der NSA und anderer Nachrichtendienste geprägt. Der vorliegende Halbjahresbericht fasst die Erkenntnisse zusammen, mit denen sich das Bild einer flächendeckenden und vollumfassenden Datensammlung durch diese ausländischen Nachrichtendienste weiter konkretisiert hat.

    Ransomware weit verbreitet
    Erpresserische Schadsoftware, so genannte Ransomware, ist seit geraumer Zeit in Umlauf. Bei der in den letzten Jahren verbreitetsten Ransomware werden am Bildschirm Mitteilungen unter anderem von fingierten Polizeibehörden eingeblendet, die suggerieren, dass sich auf dem Computer illegale Dateien befinden. Der Benutzer soll dadurch verleitet werden, ein drohendes Strafverfahren mittels einer Zahlung abzuwenden. Noch weitaus schlimmer sind die Auswirkungen des im letzten Halbjahr neu aufgetretenen Schädlings «Cryptolocker»: Dieser verschlüsselt alle auf der Festplatte und auf angeschlossenen externen Datenträgern befindlichen Dateien und macht diese für den Benutzer unzugänglich.

    Millionen von gestohlenen Kreditkarten- und Kundendaten
    Gestohlene Kreditkarten- und Kundendaten können durch die Angreifer weiter verkauft und zu Geld gemacht werden. Im zweiten Halbjahr 2013 wurde unter anderem ein grosser Angriff auf die US-Firma Adobe bekannt. Gemäss Informationen von Adobe wurden 38 Millionen Kundendaten, Passwörter und Kreditkartendaten entwendet. Die Ladenkette Target gab ihrerseits bekannt, dass im Weihnachtsgeschäft 2013 insgesamt rund 70 Millionen Kundendaten gestohlen wurden.

    Bitcoin: Der Preis des Erfolgs
    Digitale Währungen wie beispielsweise Bitcoin sind auf dem Vormarsch. Der zweite Halbjahresbericht 2013 beleuchtet nicht nur die Funktionsweise von Bitcoin, sondern gibt auch Antworten zu Themen wie Sicherheit, Rechtsstatus und Regulierung.

    Vernetzte Industrieanlagen und ferngesteuerte Hausanlagen
    Der technische Fortschritt erlaubt es, Anlagen für Industrie- oder Privatgebäude, so genannte Industrielle Kontrollsysteme, über Fernzugriff zu steuern. Nachdem MELANI bereits mit dem letzten Halbjahresbericht eine Checkliste veröffentlicht hat, enthält der vorliegende Jahresbericht ein Update zu diesem Thema. So werden beispielsweise die «Good Practices» der OSZE zur Reduzierung von Cyber-Risiken im Energiesektor näher umschrieben.

    Halbjahresbericht 2013/2


    Quelle: Halbjahresbericht 2013/2

  • 24.10.2013

    Halbjahresbericht 2013/1 der Melde und Analysestelle des Bundes

    Das erste Halbjahr 2013 war vor allem durch die Berichterstattung über die Internetüberwachung einzelner Nachrichtendienste geprägt, die durch den Informanten Edward Snowden bekannt gemacht wurden. Doch auch andere Ereignisse rund ums Internet, welche MELANI in ihrem heutigen Halbjahresbericht aufführt, waren in den letzten Monaten von Bedeutung.

    Massive DDoS-Angriffe auch in der Schweiz
    Bereits in den letzten Jahren wurde eine stetige Zunahme an DDoS-Angriffen (Distributed Denial of Service) beobachtet. Bei DDoS-Attacken werden von einer Vielzahl von Rechnern Anfragen auf eine Website mit dem Ziel versendet, diese lahmzulegen. Im Vergleich zu den Vorjahren hat die Intensität dieser Angriffe jedoch deutlich zugenommen. So erlitt die in der Schweiz ansässige Non-Profit-Organisation Spamhaus einen der grössten DDoS-Angriffe in der Geschichte des Internets. Bei einem weiteren Angriff auf Dritte wurden die DNS-Server (Domain Name System) der Stiftung SWITCH missbräuchlich für DDoS-Attacken eingesetzt. Im aktuellen Halbjahresbericht werden Massnahmen zum Schutz der eigenen DNS-Infrastruktur vor Missbrauch aufgezeigt.

    Smartphone-Trojaner auf dem Vormarsch
    Mit der stetigen Zunahme von Smartphones setzt sich auch der Trend zur Verbreitung von Schadsoftware auf diesen Geräten fort. Im Fokus der Angreifer steht dabei vor allem das Betriebssystem Android. Bei den Ermittlungen wurde auch ein Smartphone-Trojaner gegen Schweizer E-Banking-Kunden entdeckt. Der Bericht analysiert diesen Trojaner und gibt einfache Tipps, wie sich Smartphones davor schützen lassen.

    Gezielte Spionageangriffe – zahlreiche Fälle veröffentlicht
    Im ersten Halbjahr 2013 jagte eine Meldung über professionelle gezielte Spionageangriffe die andere. Da meist staatliche Akteure hinter den Angriffen vermutet wurden, hatten diese Attacken auch zahlreiche politische Stellungnahmen zur Folge. Bei diesen Spionageangriffen handelt es sich längst nicht mehr um Einzelereignisse. Das Interesse an fremden Daten  besteht permanent, und demzufolge steigt auch der Druck, sensible Daten ständig zu schützen.

    Sicherheitsempfehlungen zu industriellen Kontrollsystemen
    Industrielle Kontroll- und Steuerungssysteme finden seit einiger Zeit vermehrt auch ausserhalb der Industrie Anwendung, zum Beispiel bei der Hausautomation. Untersuchungen weisen darauf hin, dass diese Systeme oftmals schlecht geschützt sind und man relativ ungehindert in der einen oder anderen Form via Internet darauf zugreifen kann. Um Unterstützung zu bieten, publiziert MELANI heute elf Sicherheitsempfehlungen, wie diese Kontrollsysteme besser geschützt werden können.

    Problemzone Content Management System
    Dank einfachen Hilfsmitteln lässt sich heutzutage auch ohne grosses technisches Wissen eine eigene Website erstellen. Dazu werden oft so genannte Content Management Systeme (CMS) verwendet. Der verbreitete Einsatz solcher Systeme macht diese auch für Cyberkriminelle interessant. Schwachstellen werden gesucht und leider auch gefunden. Im Halbjahresbericht werden die wichtigsten Massnahmen aufgeführt, die ein Webseitenadministrator befolgen kann, um ein CMS möglichst sicher zu betreiben.

    Halbjahresbericht 2013/1


    Quelle: Halbjahresbericht 2013/1

  • 14.05.2013

    Bundesrat mahnt zur Vorsicht in der «Cloud»

    Wer Daten in einer Datenwolke speichert, muss damit rechnen, dass diese an ausländische Behörden gelangen. Das hält der Bundesrat fest. Die Datenbeschaffung ohne das Wissen der betroffenen Personen gehöre zum üblichen Vorgehen von Nachrichtendiensten.

    In der sogenannten «Cloud» gespeicherte Daten sind nicht sicher. Das hält der Bundesrat in seiner Antwort auf einen parlamentarischen Vorstoss fest.

    Nationalrat Jean Christophe Schwaab (SP/VD) erkundigte sich über das US-Gesetz Fisa (Foreign Intelligence and Surveillance Act). Dieses erlaubt US-Behörden, von Unternehmen wie Google, Facebook oder Twitter die Herausgabe von Personendaten aus der Datenwolke von Bürgern anderer Staaten zu verlangen.

    Verantwortung liegt beim User
    Der Bundesrat erinnert daran, dass eine Datenbeschaffung ohne das Wissen der betroffenen Personen zum Modus Operandi von Nachrichtendiensten gehöre. Es treffe aber zu, dass sich durch neue Technologien Überwachungsmöglichkeiten «in grossem Ausmass» ergäben, namentlich durch das dezentrale, ortsunabhängige Speichern und Bearbeiten von grossen Datenmengen beim «Cloud Computing».

    «Wer soziale Netzwerke benutzt, muss sich der damit verbundenen Risiken bewusst sein», schreibt der Bundesrat. Dazu gehörten der Kontrollverlust über einmal ins Netz gestellte Informationen sowie die fehlenden Einflussmöglichkeiten der Schweizerischen Behörden.

    Quelle: SRF Nachrichten

  • 07.05.2013

    Halbjahresbericht2012/2 der Melde und Analysestelle des Bundes warnt erneut

    Immer raffinierter werdende Phishing-Methoden für Angriffe auf E-Banking-Konten, massive DDoS-Attacken auf US-Banken, Aktuelles zum Cyber-Konflikt in Nahost und das unbewusste Preisgeben von Daten beim Surfen im Internet: Dies sind die Schwerpunkte des zweiten Halbjahresberichts 2012 der Melde- und Analysestelle Informationssicherung MELANI, welcher heute publiziert worden ist.

    Das zweite Halbjahr 2012 war von zahlreichen, teilweise spektakulären Cyber-Angriffen auf Unternehmen und Regierungsstellen im In- und Ausland geprägt.

    Spuren im Internet - Welche Daten Benutzer beim Besuch einer Website preisgeben
    Es ist hinlänglich bekannt, dass viele Benutzer von Facebook, XING oder ähnlichen sozialen Netzwerken freiwillig und wissentlich Daten preisgeben. Unbekannt ist jedoch, welche Daten im Internet gesammelt werden. Im vorliegenden Halbjahresbericht werden einige Massnahmen und Werkzeuge erläutert, mit denen sich zumindest teilweise einschränken lässt, dass beispielsweise Werbefirmen Profile über unser Surfverhalten erstellen.

    Phishing wird immer raffinierter
    Vielen Angriffen aus der Cyber-Welt liegt die Motivation zugrunde, damit Geld zu verdienen. Dementsprechend beliebt sind Phishing-Angriffe auf Nutzende von E-Banking-Anwendungen. Da Sicherheitsmassnahmen es für die Kriminellen schwieriger machen, Online-Konten technisch anzugreifen, setzen sie vermehrt auf raffiniertere Phishing-Methoden. So erhalten potenzielle Opfer beispielsweise Anrufe von angeblichen Bankangestellten und werden gebeten, zur Verbesserung der Sicherheit ihre Zugangsdaten wie Login und Passwort bekannt zu geben. Des Weiteren wurden im zweiten Halbjahr 2012 auch Phishing-Webseiten mit https:// beobachtet, also Internetseiten, welche die Daten verschlüsselt und deshalb vermeintlich sicher übermitteln.

    Massive DDoS-Angriffe auf US-Banken
    Angriffe, um Websites lahmzulegen, so genannte Distributed Denial of Service (DDoS) Attacken, galten lange als Vandalenakt und blieben oftmals für einen Grossteil der Bevölkerung unbemerkt. Die Situation hat sich gewandelt: Immer öfter werden DDoS-Angriffe für erpresserische Zwecke, Konkurrenzschädigung, als Rachewerkzeug oder für politische Aktionen eingesetzt. So gibt es immer wieder DDoS-Angriffe, welche darauf abzielen, eine grosse Aufmerksamkeit zu erreichen. Im zweiten Halbjahr 2012 gab es zum Teil massive Angriffe auf US-Banken. Auch wenn eine islamische Hackergruppe die Veröffentlichung des Mohammed-Videos als Grund angab, wurde von verschiedener Seite auch das Wirtschaftsembargo der USA gegen den Iran als mögliche Ursache genannt.

    Cyber-Konflikt in Nahost
    Erstmals ist mit «Gauss» eine mutmasslich staatliche Spionagesoftware aufgetaucht, die typische Charakteristiken eines Online-Trojaners aufgewiesen hat. Während rund neun Monaten wurden damit vornehmlich in libanesischen Banken Transaktionen ausspioniert und an die Angreifer gemeldet.

    Eine auf den Namen «Shamoon» getaufte Schadsoftware legte am 15. August 2012 das Büronetzwerk der staatlichen saudischen Ölgesellschaft Aramco lahm. Westliche Experten spekulieren, dass der Iran, dessen Energieexporte infolge internationaler Sanktionen stark unter Druck geraten waren, hinter dem Angriff stehen könnte. Dies, um eine erhöhte Gas- und Öl-Produktion in den saudischen Staaten zu verhindern.

    Der 16. Halbjahresbericht MELANI ist publiziert unter:

    Halbjahresbericht 2012/2


    Quelle: Halbjahresbericht 2012/2

  • 13.03.2013

    Melde- und Analysestelle des Bundes warnt vor Angriffen auf Online-Banking mit SMS

    Bei dieser Angriffsart wird eine Schadsoftware auf dem Computer installiert. Loggt sich ein Kunde in sein E-Banking-Konto ein, erscheint eine Meldung, wonach ein neues E-Security-Zertifikat installiert werden müsse. Der Kunde wird aufgefordert, den Typ seines Smartphones sowie die mobile Telefonnummer anzugeben. Danach wird der Kunde per SMS aufgefordert, das neue Zertifikat auf dem Smartphone zu installieren.

    Tatsächlich wird auf dem Gerät jedoch eine Schadsoftware installiert, die es den Angreifern erlaubt, die für die Transaktionssignierung notwendige SMS abzufangen und missbräuchliche Zahlungen vorzunehmen.

    MELANI empfiehlt allen E-Banking-Kunden, die während der E-Banking Sitzung aufgefordert werden, ein Zertifikat (siehe Bild) oder etwas ähnliches auf dem Smartphone zu installieren folgendes zu unternehmen

    • den E-Banking-Vorgang keinesfalls fortzusetzen.
    • die Verbindung zum E-Banking zu schliessen (Logout-Button).
    • unverzüglich mit der Bank in Kontakt zu treten.


    Schweizer Banken fordern ihre Kunden niemals durch Bildschirmeinblendungen oder per SMS dazu auf, neue Sicherheitselemente auf Geräten zu installieren!

    Quelle: MELANI

  • 22.01.2013

    Melde- und Analysestelle des Bundes warnt vor hölländischen E-Mails

    Die Melde- und Analysestelle Informationssicherung MELANI wurde darauf aufmerksam gemacht, dass am Dienstag 22. Januar 2013 E-Mails in holländischer Sprache in Umlauf gesetzt wurden, welche vermeintlich von einer öffentlichen Stelle des Kantons Aargau stammen. Beim Anklicken des Links wird im Hintergrund versucht, Schwachstellen auf dem Computer zu finden, um Schadsoftware zu installieren.

    Der Kanton Aargau war nicht Opfer eines Hackerangriffs, es wurden lediglich gefälschte E-Mail-Adressen "ag.ch" als Absender benutzt.

    Die Melde- und Analysestelle zur Informationssicherung MELANI rät dringlich vor dem Anklicken der Links in diesen E-Mails ab und empfiehlt solche E-Mails unbesehen zu löschen.

    Generell gilt:

    • Klicken Sie auf keine Links, welche Sie von unbekannten Absendern oder unaufgefordert erhalten; diese können zu mit Schadsoftware präparierten Webseiten führen.
    • Stellen Sie sicher, dass Ihr Betriebssystem und Ihre Anwendungen auf dem neuesten Stand sind und aktivieren Sie die automatische Update-Funktion, so wird ein allfälliger Patch, welcher die Sicherheitslücke schliesst, schnellstmöglich eingespielt.
    • Benutzen Sie eine aktuelle Antivirensoftware und einen Firewall.


    Quelle:  MELANI

  • 18.01.2013

    Postfinance-Phishing mit Faxformularen

    Zur Zeit tauchen in der Schweiz Phishing E-Mails auf, die das Opfer dazu verleiten, seine Angaben per Fax anzugeben. Anschliessend werden die Opfer von den Betrügern angerufen und unter dem Vorwand einer Sicherheitsverbesserung dazu bewegt, das Passwort und das zweite Sicherheitselement anzugeben.

    Die Betrüger können sich so in das Bankkonto des Opfers einloggen. Achten Sie sich auf den Absender des E-Mails wenn Sie solche Mails bekommen. Aber auch die können gefälscht werden!

    Kein Finanzinstitut versendet solche E-Mails! Im Zweifelsfall rufen Sie direkt bei Ihrer Bank an. Auch Telefonanrufe der Bank können sie getrost ignorieren! Rufen Sie nie einer Nummer zurück, die Ihnen per Mail oder Telefon angegeben wurde. Rufen Sie immer auf der öffentlichen Telefonnummer an!

Nach oben