Internet­warnungen

Der kürzlich veröffentlichte 23. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) zeigt die wichtigsten Cyber-Vorfälle der ersten Jahreshälfte 2016 national und international auf. Der Bericht widmet sich im Schwerpunktthema den vermehrten Angriffen durch Cyber-Erpressung. Ausserdem stehen verschiedene Daten­ab­flüsse im Fokus.

Seit Januar 2016 stellt MELANI eine markante Zunahme von Cyber-Angriffen fest, die von erpresserischen Forderungen begleitet sind. Ziel dieser Angriffe ist, die Daten für die Opfer unbrauchbar zu machen. Dies geschieht meist durch das Verschlüsseln der Daten mittels Trojaner oder durch Überlastung des Servers durch mutwillige Angriffe, sogenannte DDoS-Angriffe. Anschliessend wird vom Opfer die Bezahlung eines Lösegeldes gefordert. Im Visier der Angreifer stehen diejenigen Daten oder Systeme, die für eine Privatperson oder ein Unternehmen einen Wert haben und wichtig genug sind, dass die Opfer bereit sind zu bezahlen. Im Halbjahresbericht wird die Strategie aufgezeigt, die hinter diesen Angriffen steht, wie man sich verhalten soll, wenn man betroffen ist, und wie man vorbeugen kann. Im ersten Halbjahr 2016 wurden MELANI 6000 gehackte E-Mail- und Passwortkombinationen zugespielt. Diese Konten hätten für illegale Zwecke wie beispielsweise Betrügereien oder Erpressung missbraucht werden können, sofern das Passwort vom Inhaber nicht umgehend geändert wurde. Um allfällige Opfer zu unterstützen, publizierte MELANI ein Online-Tool, mit dem sich überprüfen liess, ob die eigene E-Mail-Adresse betroffen war.

Der 23. Halbjahresbericht MELANI ist publiziert unter: Halbjahresbericht 2016/1

Massnahmen

• Grundsätzlich ist festzuhalten, dass Microsoft und andere Softwarefirmen nie unangemeldete oder unaufgefordert Support-Anrufe tätigt um Computerprobleme zu beheben. Entsprechende Anrufe sollten Sie unverzüglich beenden.

Quelle: Melde- und Analysestelle Informationssicherung (MELANI)

fedpol erreichen zurzeit Meldungen von Nutzern, die im Namen von Apple betrügerische E-Mails erhalten haben. Dahinter verbirgt sich eine angebliche Bestellung, die man via Link stornieren kann. Dieser Link führt zu einer Phishing Seite, die auf persönliche Daten, Kreditkarte und in einem zweiten Schritt auf die Apple-ID zugreift.

Das Opfer erhält eine E-Mail mit einer täuschend echt gemachten Rechnung von iTunes. In einem vorliegenden Fall handelt es sich um einen angeblichen Einkauf von PokéPièces im Wert von CHF 39.00. Dem Kunden wird die Möglichkeit geboten, den Artikel via Link zu stornieren. Klickt er auf diesen Link, kommt er auf die Phishing Seite. Dort wird er aufgefordert, seine persönlichen Daten einzugeben und auf den Knopf „Artikel stornieren“ zu drücken. Damit wird er weitergeleitet und aufgefordert, seine Apple-ID anzugeben.

Nebst den sensiblen Daten wie den Angaben zur Kreditkarte haben die Täter die Möglichkeit, mit der Apple-ID auf Clouddaten (Dateien, Bilder etc.) sowie auf Sicherheitsfunktionen zuzugreifen (z.B. Lokalisierung, Sperrung etc.).

fedpol empfiehlt:

1. Nicht auf empfohlene Links klicken.
2. Keine persönlichen Daten eingeben.
3. Weiterleiten der E-Mail an www.cybercrime.ch zu Analysezwecken.
4. Sollten bereits Daten preisgegeben worden sein, Apple-Support kontaktieren, um die Zugangsdaten zu ändern.
5. Die Echtheit der Mail kann ggf. auf den echten Apple-Webseiten überprüft werden.

Quelle: Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK)

Der Computer-Schädling RAA soll nicht nur Daten als Geisel nehmen und ein Lösegeld verlangen, sondern auch einen Trojaner mitbringen, der Passwörter abgreift.

Die Sicherheitsforscher mit den Pseudonymen JAMESWT_MHT und benkow_ haben den Verschlüsselungs-Trojaner RAA entdeckt und herausgefunden, dass der Schädling zusätzlich einen Trojaner zum Stehlen von Passwörtern auf infizierte Rechner installiert. Davor warnen die Ransomware-Experten von Bleepingcomputer.com.

RAA soll zudem der erste Erpressungs-Trojaner sein, der komplett auf JavaScript basiert. Dabei tarnt sich der Schädling als Word-Datei, die die unbekannten Angreifer per Mail-Anhang verbreiten, berichten die Kryptologen. Öffnet man die Datei, taucht auf den ersten Blick nur ein Word-Dokument auf dem Bildschirm auf, welches beschädigt aussieht. Doch im Hintergrund beginnt bereits das Zerstörungswerk und RAA verschlüsselt Daten mithilfe der CryptoJS-Bibliothek. Chiffrierte Dateien weisen die Namenserweiterung .locked auf.

Zusätzlich löscht der Schädling noch die Schattenkopien von Windows. Anschließend haben Opfer keine Möglichkeit mehr, unverschlüsselte Versionen von Dateien wiederherzustellen. Damit Opfer wieder Zugriff auf ihre Daten erhalten, fordern die Kriminellen ein Lösegeld von 0.39 Bitcoin (rund 260 Euro) ein.

Passwort-Dieb mit an Bord

Nutzerdaten als Geisel zu nehmen reicht den Kriminellen aber nicht aus: Der Erpressungs-Trojaner bringt den Sicherheitsforschern zufolge noch die Malware Pony mit, die Passwörter abgreifen kann. Der zweite Schädling soll sich als Base64-String in der JavaScript-Datei verstecken. Wird diese ausgeführt, findet eine Konvertierung in eine ausführbare Datei statt, die sich anschließend im Auto-Start von Windows einnistet, erläutern die Kryptologen.

Wir raten darum wieder: Öffnen Sie NIE Dateianhänge von denen Sie nicht 100% wissen, dass sie direkt für Sie sind. Im Zweifelsfall immer nachfragen.

Quelle: heise.de

Viele Internutzer erschrecken, wenn sie ihre Mails derzeit öffnen: Der Computer ist angeblich von einer Polizeibehörde gescannt worden. Man habe sich des Konsums verbotener Pornographie schuldig gemacht und müsse nun eine Busse zahlen. Das Geld sei über MoneyGram oder Western Union zu überweisen, sonst werde das Arbeitsumfeld und weitere offizielle Behörden über das Delikt ins Bild gesetzt und das verwerfliche Material der Presse übermittelt. Um glaubwürdig zu wirken, werden (falsche) Gesetzesartikel angegeben und eine Absenderadresse gewählt, die auf den ersten Blick wie diejenige einer Polizeibehörde aussieht.

Die E-Mails sind ein Schwindel. Wir raten dringend davon ab, auf die Erpressung einzugehen.

Wir empfehlen:

1. Schicken Sie die verdächtige Korrespondenz via Meldeformular an fedpol zur Analyse.
2. Reagieren Sie nicht auf die E-Mail.
3. Leisten Sie keine Zahlungen.
4. Sie haben die Möglichkeit, bei Ihrer nächsten Polizeidienststelle Anzeige wegen versuchter Erpressung zu erstatten.

Quelle: Bundesamt für Polizei (fedpol)

Wieder ist ein gefälschtes Mail mit dem vermeintlichen Absender Post.ch im Umlauf. Als Virusträger ist diesmal nicht ein Word-Dokument beigelegt, sondern eine Excel-Datei. Deshalb gilt: Nie ein Office Dokument öffnen, dass von einer vermeintlich bekannten Stelle kommt!

Auch nie ein Office-Dokument öffnen, wenn das Mail vermeintlich von einem Vorgesetzten kommt. Selbst dieses kann gefälscht sein, bitte rückfragen!

Im Zweifelsfall den Absender anrufen. Verwenden Sie dafür aber nichtdie Telefonnummer im fraglichen Mail, verifizieren Sie die Nummer über einen Telefoneintrag der Webseite (z.B. post.ch). Am Besten ist, wenn man in der Firma abmacht, keine Office-Dokumente intern per Mail zu versenden, stattdessen kann man sie im Dateisystem eines Servers speichern, wo andere auch Zugang haben.

Es werden vermehrt Meldungen zu betrügerischen E-Mails gemeldet, die angebliche Rechnungen und einen Word-Anhang enthalten.

Gemäss fedpol handelt es sich bei diesen angeblichen Rechnungen um den Versuch, sogenannte Ransomware zu verbreiten. Beim Öffnen der Rechnung wird automatisch eine Schadsoftware heruntergeladen. Der Inhalt der E-Mail ist immer anders, die angeblichen Unternehmen heissen unterschiedlich und der Rechnungsbetrag variiert ebenso. Damit werden sowohl Dateien des lokalen Computers wie auch Dateien, die sich allenfalls im gleichen Netzwerk befinden, verschlüsselt.

Wir empfehlen Internetnutzern dringend, die Nachricht zu löschen und auf gar keinen Fall den Anhang zu öffnen. Wer bereits den Anhang geöffnet und dadurch einen Schaden erlitten hat, kann dies bei der Kantonspolizei zur Anzeige bringen.  

 

 

Quelle: fedpol

Seit Anfang Februar 2016 erreichen die Melde- und Analysestelle Informationssicherung MELANI sowie die Koordinationsstelle zur Bekämpfung der Internetkriminalität KOBIK vermehrt Meldungen aus der Bevölkerung betreffend betrügerischen Telefonanrufen, welche das Ziel haben, eBanking Betrug zu ermöglichen.

Die Masche ist neu: Die Täterschaft ruft KMUs in der Schweiz unter einem Vorwand an, um eine E-Mail Adresse zu erhalten (z.B. die anstehende Übergabe eines Paketes). Wird eine solche bekannt gegeben, versendet die Täterschaft innert kurzer Zeit ein plausibel klingendes, auf das Telefonat bezugnehmendes E-Mail mit einem Link zu einem bekannten Cloud-Anbieter. Hinter dem Link befindet sich ein ZIP-Archiv, welches ein bösartiges Java-Script oder eine ausführbare Datei enthält. Die durch Anklicken dieser Datei durchgeführten Änderungen am Betriebssystem des Opfers (namentlich das ändern der Web-Proxy Einstellungen von Internet Explorer und Firefox, sowie das Hinzufügen einer bösartigen Certificate Authority zum vertrauenswürdigen Zertifikatsspeicher), erlauben es dem Angreifer auf das eBanking des Opfers zuzugreifen, sobald dieses sich das nächste Mal auf seinem eBanking-Konto anmeldet.

Die Täterschaft verwendet für die betrügerischen Anrufe Schweizer Telefonnummern und versendet die E-Mails mit Absenderadressen, welche den Adressen von legitimen Unternehmen täuschend ähnlich sehen. Unter anderem folgende Domain-Namen wurden bei den Absenderadressen beobachtet:

• yurist-plus.com
• betost-law.com
• cva-swisskurier.com
• advokaturburo.com
• cva-swisskurier.com
• grischamodellbau.com
• steuershop.com
• swiss-courier.com

Beispiel einer solchen E-Mail

Aufgrund der von den Angreifern verwendeten technischen Infrastruktur und dem verwendeten Schadcode gehen MELANI und KOBIK davon aus, dass der Angriff im Zusammenhang mit den durch die Schadsoftware „Retefe“ durchgeführten Angriffen vom letzten Jahr steht.

MELANI und KOBIK empfehlen:

• Seien Sie misstrauisch gegenüber Anrufen von Unbekannten
• Seien Sie vorsichtig bei Emails mit Links, welche nicht sofort ersichtlich bzw. ausgeschrieben sind (z.B. „Klicken Sie hier“), auch wenn diese von vermeintlich vertrauenswürdigen Absendern stammen
• Wenn Sie beim Login ins e-Banking nach Eingabe der Anmeldeinformationen (Passwort, mTAN/Token) einen Sperrbildschirm erhalten, z.B. „Das e-Banking steht derzeit nicht zur Verfügung", kontaktieren Sie umgehend Ihre Bank
• Falls beim Login-Prozess andere aussergewöhnliche Vorkommnisse auftreten (z.B. Anzeige von Minuten-Timer, usw.), sollte ebenfalls die Bank kontaktiert werden
• Falls Sie Opfer von Betrug geworden sind, melden Sie dies der KOBIK via dem KOBIK Meldeformular (https://www.cybercrime.admin.ch/kobik/de/home/meldeformular/meldeformular.html) und erstatten Sie Anzeige bei Ihrer kantonalen Polizeidienststelle.

Für die IT-Sicherheit in KMUs hat MELANI sowie das KMU Portal des Bundes je ein Merkblatt veröffentlicht:

• Merkblatt IT Sicherheit für KMUs: https://www.melani.admin.ch/melani/de/home/dokumentation/checklisten-und-anleitungen/merkblatt-it-sicherheit-fuer-kmus.html
• 10-Punkte Programm zur Erhöhung der IT-Sicherheit: http://www.kmu.admin.ch/kmu-betreiben/03710/03712/03715/index.html?lang=de

Weitere Informationen zu Retefe finden Sie hier:

• https://www.melani.admin.ch/melani/de/home/dokumentation/newsletter/retefe--angriff-auf-schweizer-bankkunden---praezisierung-durch-m.html
• http://www.govcert.admin.ch/blog/5/e-banking-trojan-retefe-still-spreading-in-switzerland

Quelle: MELANI

FEDPOL warnt vor einer Ransomware im Namen von fedpol/KOBIK.

Die Schadsoftware, die in ähnlichen Varianten bereits in den letzten Jahren kursierte, zeigt nach Befall des Computers ein behördenähnliches Logo. Dem Benutzer wird vorgeworfen, sich illegaler Aktivitäten auf dem Internet schuldig gemacht zu haben, was zu einer Sperrung des Browsers geführt habe. Mit einer Geldbusse in der Höhe von CHF 150 (der Betrag kann variieren), zahlbar mit PaySafeCard, könne der Browser wieder entsperrt und eine Strafverfolgung umgangen werden.  

Je nach Betriebssystem und Browser lässt sich das gesperrte Browser-Fenster wieder schliessen und es kann verhindert werden, dass die zuletzt besuchten Seiten automatisch wieder geöffnet werden (damit sich der Vorgang nicht wiederholt). Bitte konsultieren Sie hierzu die Anleitung der betroffenen Software. Bei Windows beispielsweise erfolgt die Schliessung über den Task-Manager (Ctrl-Alt-Del).

fedpol empfiehlt

1. Leisten Sie keine Zahlung. Sollten Sie schon bezahlt haben, haben Sie die Möglichkeit, bei der nächsten Polizeistelle Anzeige zu erstatten.
2. Schützen Sie Ihren Computer. Führen Sie regelmässige Software-Updates durch und halten Sie insbesondere Ihr Antivirenprogramm auf dem aktuellsten Stand, damit potentielle Gefährdungen erkannt und Sie gewarnt werden.
3. Melden Sie fedpol verdächtige Inhalte über das Meldeformular.

Quelle: KOBIK

Diverse Meldungen über die Schadsoftware TeslaCrypt an die Melde- und Analysestelle Informationssicherung MELANI zeugen von einer steigenden Verbreitung dieser neuen Variante von erpresserischer Schadsoftware (Ransomware). Nach den seit längerem aktiven Kampagnen von Cryptolocker, Synolocker, Cryptowall etc. scheint sich die neue Variante fast ausschliesslich über infizierte E-Mail Anhänge (Ein Anhang des Typs „.zip“, der eine Datei des Typs „.js“ beinhaltet) zu verbreiten. Einmal installiert, verschlüsselt TeslaCrypt die Dateien, welche sich auf dem Computer befinden (beispielsweise Fotos, Excel- oder Word-Dateien). Dem Opfer wird anschliessend eine Meldung präsentiert, in der die Kriminellen eine Geldforderung stellen. Im Gegenzug soll das Opfer den Schlüssel erhalten mit dem die Dateien wiederhergestellt werden können (Erpressung).$

Beispiel eines Erpresserschreibens:

Verschiedene Antiviren Produkte können die Schadsoftware finden und zerstören. Dann ist es aber meistens zu spät, weil die auf dem Computer vorhandenen Dateien bereits verschlüsselt wurden. In diesem Fall ist deshalb nicht die Entfernung der Schadsoftware das Problem, sondern die Wiederherstellung der ursprünglichen Daten. Im Moment scheint es keine Methode zu geben, die Daten ohne den Schlüssel, der nur den Erpressern bekannt ist, zu entschlüsseln. MELANI rät hier trotzdem davon ab, auf die Forderungen der Erpresser einzugehen und eine Zahlung zu leisten. Es gibt keine Garantie, dass die Kriminellen auch wirklich Wort halten und den für das Entschlüsseln der Dateien benötigten Schlüssel dem Opfer tatsächlich zu-senden. Sie finanzieren gleichzeitig die Weiterentwicklung der Angreifer, welche einen nächsten noch wirksameren Angriff ermöglicht.

Massnahmen

• Auf dem Computer abgelegte Daten sollten regelmässig auf externe Datenträger kopiert werden (Backup). Dieser soll nur während des Backupvorgangs am Computer angeschlossen sein.
• Seien Sie immer vorsichtig bei verdächtigen E-Mails, bei E-Mails, welche Sie unerwartet bekommen, oder welche von einem unbekannten Absender stammen. Befolgen Sie hier keine Anweisungen im Text, öffnen Sie keinen Anhang und folgen Sie keinen Links.
• Sowohl Betriebssystem als auch installierte Applikationen (z.B. Browser, PDF Reader) müssen immer aktuell gehalten werden. Falls vorhanden, am besten mit der automatischen Update Funktion.
• Ein Antivirenprogramm muss installiert sein und aktuell gehalten werden.
• Eine Personal Firewall muss installiert sein und aktuell gehalten werden.

Detaillierte Empfehlungen finden Sie auf der MELANI Webseite unter der Rubrik «Wie schütze ich mich?».

Im Falle einer Infektion empfehlen wir den Computer sofort von allen Netzwerken zu trennen. Eine Säuberung des Computers ist natürlich notwendig. Grundsätzlich ist eine Neuinstallation des Systems und das Ändern aller Passwörter ratsam. Wir empfehlen, diese Massnahme zusammen mit einem Computerspezialisten durchzuführen. Nachdem diese Massnahmen erledigt wurden, können dann, sofern vorhanden, die Backup-Daten wieder zurückgespielt werden. Wenn kein Backup der Daten vorliegt, ist es empfehlenswert, die verschlüsselten Daten zu behalten und zu sichern, damit Sie sie allenfalls später noch entschlüsseln können, sollte hierzu eine Lösung gefunden werden.

Quelle: MELANI

In den letzten Tagen wurden  mehrere unserer Kunden Opfer von Kryptolocker-Schadsoftware. Kryptolocker sind Programme die wichtige Systemdateien oder persönliche Daten auf einem Computer verschlüsseln, so dass sie nicht mehr verwenderbar sind. Meist wird danach ein Lösegeld für die Entschlüsselung gefordert (die nach der Zahlung natürlich nicht durchgeführt wird).

Die Tricks der Betrüger werden immer ausgereifter und können selbst erfahrende Nutzer täuschen. Wir haben darum in unserer Wissensdatenbank einen Artikel geschrieben mit den wichtigsten Verhaltensregeln. Einen 100%  Schutz hat man allerdings nie, darum ist es unerlässlich regelmässig Sicherheitskopien aller wichtigen Daten zu erstellen.

Zur Artikel

Im Moment kommt es wieder häufig vor, dass der Verschlüsselungs-Virus versendet wird.
Das Mail suggeriert, dass Ihnen ein Packet nicht zugestellt werden kann. Um weitere Informationen zu erhalten soll man auf einen Link klicken, siehe Bild:

Der Virus wird von den Antiviren-Softwares meist nicht erkannt!
Ein Klick auf den Link verschlüsselt alle Daten, ini-Dateien und Systemeinstellungen.

Klicken Sie auf keinen Fall auf einen solchen Link und löschen Sie die E-Mail. Informieren Sie ausserdem Ihre Mitarbeiter.

Es sind Phishing-Emails im Umlauf die Benutzer von iTunes im Visier haben. Ähnlich wie die E-Mails aus dem Jahre 2013 versuchen auch diese E-Mails die Benutzer dazu zu bringen Ihre Anmeldedaten auf einer falschen Apple-ähnlichen Seite einzugeben. Unten sehen Sie eine solche E-Mail:

Dem Empfänger wir gesagt, dass er auf Grund eines Problems bei Apple seine Rechungsdaten innert 48 Stunden neu eingeben muss. Dazu soll er auf den Link klicken und auf der neuen Seite seine Kontoinformationen eingeben.

Wie Sie diese falschen Apple-E-Mails erkennen

• Der Absender hat eine verdächtige E-Mailendung «@mail.com» ist keine Appleadresse.
• Die im Betreff erwähnte ID iTunes gibt es gar nicht, Benutzer haben nur eine Apple-ID. Eine E-Mail die solche Fehler enthält ist 100% nicht echt.
• Fahren Sie mit der Maus über den Link ohne diesen anzuklicken, nach einem Moment erscheint eine Box mit der Adresse der verlinkten Webseite. In unserem Beispiel ist es «http://secure-apple-login-account-inc.mr-yasmin.co.li » keine offizielle Appleseite => die E-Mail ist zu 100% falsch.
• Generell werden bei iTunes alle kontobezogenen Aktivitäten direkt im iTunes-Programm vorgenommen, nicht über einen Web-Browser. Wenn Sie gefragt werden Ihre Kontoinformationen zu aktualiseren, stellen Sie sicher, dass Sie das nur innerhalb von iTunes oder auf einer legitimen Seite auf Apple.com tun, wie z.B. dem online Apple Store. Sie erkennen legitime Seiten an diesem Symol in der Adressleiste:
    (im Internet Explorer ist die ganze Adressleiste grün)
• Nur für Englisch sprechende Benutzer: Falsche E-Mails sind meistens in schlechtem Englisch geschrieben. In unserem Beispiel enthält die E-Mail Grammatikfehler wie z.B. «has been expired» im Betreff.

Was Sie tun sollen, wenn Sie eine solche  E-Mail erhalten

Klicken Sie auf keine Links und löschen Sie die E-Mail.

Nach wie vor versuchen Betrüger an sensible Daten wie Passwörter, Kreditkartendaten usw. zu gelangen. Zu diesem Zweck werden meist Webseiten kreiert, welche derjenigen einer Firma täuschend ähnlich sehen (beispielsweise werden gerne Internetauftritte von Banken oder Kreditkarteninstituten missbraucht). MELANI interveniert täglich, um solche betrügerische Webseiten vom Netz zu nehmen und so die Internetnutzer zu schützen.

Schon seit einiger Zeit missbrauchen die Betrüger allerdings nicht mehr ausschliesslich nur die Namen von grossen und bekannten Unternehmen, sondern verüben auch sehr gezielte Phishingangriffe mit dem Namen kleinerer Firmen. Diese Tendenz scheint sich zu akzentuieren: verschiedene Fälle, welche MELANI kürzlich zur Kenntnis gebracht wurden, zeugen von einer zunehmenden Professionalität dieser Angriffe. Betroffen sind KMUs in den verschiedensten Tätigkeitsbereichen, welche eine Website betreiben, die in irgendeiner Weise Kunden-E-Mail-Adressen verwenden respektive gespeichert haben, beispielsweise für den Versand eines Newsletters.

Angriffsablauf

In einer ersten Phase des Angriffs versuchen die Kriminellen, über die Firmenwebsite an eine Datenbank mit Kunden-E-Mail-Adressen zu gelangen. Meist wird dabei eine Schwachstelle auf der Website ausgenutzt (beispielsweise Angriffe mit SQL-Injections). Danach werden im Namen dieser Firma gefälschte Mail-Nachrichten an die entwendeten Adressen gesendet. Absender und Inhalt werden perfekt imitiert, so dass es aussieht, als stammten diese Mails tatsächlich von der Firma. In den aktuellen Fällen geben die E-Mails vor, dass das Opfer eine Kostenrückerstattung beantragen kann. Zu diesem Zweck soll ein Link angeklickt werden (siehe untenstehendes Beispiel).

Hinter diesem angegebenen Link versteckt sich eine gefälschte Website, die identisch zur entsprechenden Firmenwebsite ist und ebenfalls eine URL verwendet, die einen zum Verwechseln ähnlichen Namen verwendet. Das Opfer wird darauf gebeten, Details seiner Kreditkarte anzugeben (Nummer, Ablaufdatum, Sicherheitscode), so wie es auch bei klassischen Phishingseiten üblich ist.
Da die gestohlenen E-Mail-Adressen im Zusammenhang mit der Firma stehen, erhöhen die Betrüger die Chancen, dass ein Opfer auf den Betrug hereinfällt.

Präventionsmassnahmen für Unternehmen

• Eine Anleitung zum Schutz von Content Management Systemen (CMS) finden Sie auf der MELANI Webseite: http://www.melani.admin.ch/dienstleistungen/00132/01556/index.html?lang=de

• Zum Schutz von Site und Webapplikationen empfiehlt MELANI, sowohl die Vorschläge von OWASP bezüglich der Verwendung von Applikation-Firewalls (Web Application Firewall) https://www.owasp.org/index.php/Category:OWASP_Best_Practices:_Use_of_Web_Application_Firewalls wie auch diejenigen von Microsoft (Microsoft: Basic Security Practices for Web Applications) umzusetzen http://msdn.microsoft.com/en-us/library/zdh19h94%28v=vs.140%29.aspx
• Wird bemerkt, dass E-Mail Adressen von Kunden entwendet wurden, ist eine rasche Information angezeigt. Diese kann entweder direkt per E-Mail und/oder als Information auf der Firmenwebsite erfolgen und sollte Anweisungen über das weitere Vorgehen enthalten.
• Zudem sollte überprüft werden, ob die Angreifer ebenfalls andere Daten entwendet haben und ob zusätzliche Massnahmen getroffen werden müssen (beispielsweise das Ändern der Passwörter, wenn die Angreifer ebenfalls darauf Zugriff hatten).
• Überlegen Sie sich zudem, bei der Kantonspolizei Ihres Firmensitzes eine Strafanzeige einzureichen.

Präventionsmassnahmen für Benutzer

• Löschen Sie E-Mails dieses Typs! Keine seriöse Firma wird sie per E-Mail auffordern, Kreditkartendaten anzugeben.

• Besonders vertrauenswürdige Firmen werden gerne missbraucht, um Empfänger zu täuschen. Die Betrüger fälschen auch Absender-E-Mail Adressen und Webseiten von Firmen, mit denen Sie tatsächlich in Kontakt stehen.

• Seien Sie vorsichtig, wenn Sie E-Mails erhalten, die eine Aktion von Ihnen verlangen und ansonsten mit Konsequenzen drohen (Geldverlust, Strafanzeige, Konto- oder Kartensperrung, Verpasste Chance, Unglück).

• Überprüfen Sie immer die Internetadresse (URL), auf welche man Sie via Link weiterleitet. Dazu führen Sie die Maus über den Link, ohne zu klicken. In einem über dem Mauszeiger erscheinenden Fenster sehen Sie, ob der Link wirklich auf die gewünschte Seite führt. Achtung: Schauen Sie genau hin, denn die gefälschte URL unterscheidet sich oft nur minimal von der seriösen URL, die Sie kennen.

• Befolgen Sie jeweils bei unerwarteten verdächtigen Mail-Nachrichten oder Nachrichten von unbekannten Absendern keinesfalls die Anweisung im Text. Öffnen Sie keine Attachments und folgen Sie keinen Links, sondern löschen Sie die Nachricht.

• Wenn Sie bei einer E-Mail nicht sicher sind, ob sie echt oder gefälscht ist, löschen Sie die Mail. War es eine seriöse Nachricht, wird der Absender bei Ihnen nachfragen, wenn er innerhalb einer angemessenen Frist keine Antwort von Ihnen erhält.

• Beachten Sie auch im Allgemeinen die MELANI-Verhaltensregeln: http://www.melani.admin.ch/themen/00166/00172/index.html?lang=de

Quelle: Newsletter MELANI

Auch das zweite Halbjahr 2013 war durch die Berichterstattung über die Machenschaften der NSA und anderer Nachrichtendienste geprägt. Der vorliegende Halbjahresbericht fasst die Erkenntnisse zusammen, mit denen sich das Bild einer flächendeckenden und vollumfassenden Datensammlung durch diese ausländischen Nachrichtendienste weiter konkretisiert hat.

Ransomware weit verbreitet
Erpresserische Schadsoftware, so genannte Ransomware, ist seit geraumer Zeit in Umlauf. Bei der in den letzten Jahren verbreitetsten Ransomware werden am Bildschirm Mitteilungen unter anderem von fingierten Polizeibehörden eingeblendet, die suggerieren, dass sich auf dem Computer illegale Dateien befinden. Der Benutzer soll dadurch verleitet werden, ein drohendes Strafverfahren mittels einer Zahlung abzuwenden. Noch weitaus schlimmer sind die Auswirkungen des im letzten Halbjahr neu aufgetretenen Schädlings «Cryptolocker»: Dieser verschlüsselt alle auf der Festplatte und auf angeschlossenen externen Datenträgern befindlichen Dateien und macht diese für den Benutzer unzugänglich.

Millionen von gestohlenen Kreditkarten- und Kundendaten
Gestohlene Kreditkarten- und Kundendaten können durch die Angreifer weiter verkauft und zu Geld gemacht werden. Im zweiten Halbjahr 2013 wurde unter anderem ein grosser Angriff auf die US-Firma Adobe bekannt. Gemäss Informationen von Adobe wurden 38 Millionen Kundendaten, Passwörter und Kreditkartendaten entwendet. Die Ladenkette Target gab ihrerseits bekannt, dass im Weihnachtsgeschäft 2013 insgesamt rund 70 Millionen Kundendaten gestohlen wurden.

Bitcoin: Der Preis des Erfolgs
Digitale Währungen wie beispielsweise Bitcoin sind auf dem Vormarsch. Der zweite Halbjahresbericht 2013 beleuchtet nicht nur die Funktionsweise von Bitcoin, sondern gibt auch Antworten zu Themen wie Sicherheit, Rechtsstatus und Regulierung.

Vernetzte Industrieanlagen und ferngesteuerte Hausanlagen
Der technische Fortschritt erlaubt es, Anlagen für Industrie- oder Privatgebäude, so genannte Industrielle Kontrollsysteme, über Fernzugriff zu steuern. Nachdem MELANI bereits mit dem letzten Halbjahresbericht eine Checkliste veröffentlicht hat, enthält der vorliegende Jahresbericht ein Update zu diesem Thema. So werden beispielsweise die «Good Practices» der OSZE zur Reduzierung von Cyber-Risiken im Energiesektor näher umschrieben.

Halbjahresbericht 2013/2


Quelle: Halbjahresbericht 2013/2