Internetwarnungen

30.07.20

Trojaner Emotet wieder aktiv

Der Trojaner Emotet der 2018 und 2019 weltweit Computer von Unternehmen und Privatkunden infiziert hatte, ist nach einer halbjährigen Pause wieder aktiv.

 

Vorgehen

Wie bereits in den letzten Jahren werden von den Kriminellen Mails versendet, die einen Link zu einer gefährlichen Webseite enthalten oder einen infizierten Anhang. Falls man den Link/Anhang öffnet, wird Schadsoftware heruntergeladen und ausgeführt, meistens ein Verschlüsselungstrojaner.

 

Gelingt es Emotet ein System zu infizieren, versucht es E-Mails und Kontaktdaten aus Outlook zu stehlen. Mit den Daten werden weitere gefälschte Mails erzeugt. Indem auf eine laufende E-Mailunterhaltung zwischen dem Opfer und einer anderen Person geantwortet wird, versucht er die vermeintliche Echtheit einer E-Mail zu erhöhen, denn ein Mitarbeitender kontrolliert einen Dateianhang weniger gründlich, wenn es sich um einen bekannten E-Mailbetreff handelt.

 

Neu ist, dass Emotet auch kleine E-Mailanhänge der Opfer kopiert und sie in neuen E-Mails mitsendet. Es wurden E-Mails gemeldet, die 5 Dateianhänge besassen. Dies ist ein weiterer Versuch die Authentizität der Mails zu erhöhen.

Die Meldung versucht den Benutzer zu überlisten Makros zu aktivieren, in dem sie behauptet, das Dokument sei auf einem Apple-Gerät erstellt worden und man müsse den «Inhalt aktivieren».

Die Erklärungen in der Meldung eines infizierten Worddokumentes variieren, aber die Anweisungen an das Opfer sind immer gleich: In der Sicherheitswarnung auf «Bearbeitung aktivieren» klicken, als zweites auf «Inhalt aktivieren» klicken. Danach sind Makros im Dokument aktiviert und Emotet lädt weitere Schadsoftware aus dem Internet nach. Meistens ein Verschlüsselungstrojaner und eine Wurmkomponente, die es der Schadsoftware erlaub sich im Netzwerk auszubreiten und weitere Geräte zu infizieren, je nach Konfiguration des Netzwerkes.

 

Erpressungsversuche

Emotet wird aktiv dazu verwendet, um gezielt Computer und Server in Unternehmensnetzwerken zu infizieren. Die Ransomware fordert nach erfolgter Verschlüsselung vom betroffenen Unternehmen eine erhebliche Summe an Lösegeld. Betroffen sind ausschliesslich Geräte wie Computer und Server, welche mit einem Windows Betriebssystem laufen.

 

Wenn Sie bei einer E-Mail unsicher sind, rufen Sie den Absender an und fragen Sie nach, ob die Mail von ihm ist.


Immer auf dem laufenden sein

Wir warnen vor aktuellen Viren, Trojanern sowie den neusten Betrugsmaschen, Scam-Mails, Verschlüsselungsprogramme und mehr.

Unsere Internetwarnungen abonnieren

18.05.20

MELANI: 2. Halbjahresbericht 2019

Der 30. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cybervorfällen der zweiten Jahreshälfte 2019 in der Schweiz wie auch international. Schwerpunktthema im aktuellen Bericht bildet der Umgang und die Problematik von Personendaten im Netz.  

Auf der Webseite von MELANI können Sie den ausführlichen Berichts als PDF herunterladen.

 

Quelle: Melde- und Analysestelle Informationssicherheit MELANI


27.04.20

Phishing gegen Schweizer Webmaster

Zurzeit wird eine Zunahme von Phishing-Angriffen im Namen von verschiedenen Hosting-Providern gegen Schweizer Webmaster und Domäneninhaber festgestellt. Ignorieren Sie diese E-Mails. Hosting-Provider fordern Sie niemals per E-Mail zur Eingabe Ihrer Zugangsdaten auf.

 

 

Drei bekannte Varianten

Bis lang sind 3 Mail-Varianten bekannt. Alle enthalten einen Link der auf eine gefälschte Anmeldeseite führt. Die E-Mails werden von gehackten E-Mailkonten oder von gekapperten Servern aus gesendet.

 

 

AbsenderBetreff
<Name des Hostingproviders> <xy@domain-des-opfers>Service-Aufhängung - <Opfer-Domain>
<Name des Hostingproviders> <support@domain-des-hosting-providers>ACTION REQUISE
<Name des Hostingproviders> <support@domain-des-hosting-providers>Rappel: veuillez renouveler votre commande : 9.43 CHF
Beispiel einer Phishing-Mail. Die angebliche E-Mail von Hostpoint behauptet, dass eine Webseite gesperrt wurde oder bald gesperrt wird. Der angegebene Link führt auf eine Phishingseite und nicht auf die angezeigte Webseite.

 


30.03.20

Coronavirus: Betrugsmaschen im Internet

Wie wir in den letzten Wochen berichtet haben, nutzen Kriminelle die momentane Angst und Unsicherheit in der Bevölkerung aus. Derzeit werden vermehrt die folgenden 7 Betrugsvarianten im Internet festgestellt:

 

  • Phishing-E-Mails: Die Täter verschicken vor allem E-Mails, die angeblich von der World Health Organisation (WHO) oder dem Bundesamt für Gesundheit (BAG) stammen.
  • Voice Phishing: Anrufe im Namen des Bundesamtes für Gesundheit (BAG), um an persönliche Informationen zu gelangen.
  • Coronavirus Maps: Interaktive Karten auf Webseiten, welche die Virusverbreitung aufzeigen, können von Cyberkriminellen manipuliert werden und einen Download mit Malware auslösen.
  • Betrügerische Spendenaufrufe: Vermeintliche Wohltätigkeitsorganisationen rufen zu Spenden auf, um einen Impfstoff für COVID-19 zu entwickeln.
  • Fake-Shops für medizinische Produkte: Online-Shops, auf denen medizinische Produkte (Atemschutzmasken usw.) angeboten werden. Die Waren werden trotz Bezahlung nicht geliefert.
  • Money Mules: Mit interessanten Angeboten versuchen Betrüger, im Namen einer angeblichen Firma unbescholtene Bürger als Finanzagenten (Moneymules) anzuwerben.
  • Fake-Sextortion: Per E-Mail wird den Opfern gedroht, bei Nichtzahlung die Familie des Geschädigten mit dem Coronavirus zu infizieren.

 

Auch zu Corona-Zeiten gelten diese generellen Tipps:

  • Öffnen Sie keine Mails von unbekannten Absendern oder Anhänge und klicken Sie keinesfalls auf Links.
  • Gehen Sie nicht auf die Forderung der Erpresser ein und reagieren Sie nicht auf solche E-Mails. Meistens handelt es sich um Spam.
  • Implementieren Sie Antiviren-Software zur Erkennung und Vermeidung einer Infektion durch Schadsoftware und halten Sie Ihre Systeme auf dem aktuellsten Stand.
  • Lassen Sie sich von unbekannten Personen am Telefon nicht unter Druck setzen. Legen Sie im Zweifelsfall das Telefon auf.
  • Teilen Sie Passwörter, Zugangsdaten oder Kontoinformationen niemals per Telefon oder E-Mail mit.
  • Vorauszahlungen bei Online-Shops sollten Sie nur bei kleineren Beträgen leisten. Grössere Beträge sollten über ein von den Plattformen empfohlenes Zwischenkonto bzw. Online-Treuhandkonto bezahlt werden. Alternativ empfiehlt sich, die Ware direkt bei der Abholung zu bezahlen.
  • Ihre Bankkonten sollten Sie nie Dritten zur Verfügung stellen.

 

Quelle: Melde- und Analysestelle Informationssicherung MELANI


18.03.20

Gefälschte Telefonanrufe im Namen des BAG

Aktuell gibt es Meldungen zu gefälschten Telefonanrufen, die vorgeben im Namen des Bundesamts für Gesundheit (BAG) Umfragen durchzuführen und sich nach Gesundheitszustand und weiteren persönlichen Angaben erkundigen.

 

Ignorieren Sie diese Anrufe. Phishing- und Malware-Angriffe haben seit Beginn der Coronavirus-Epidemie massiv zugenommen. Die Kriminellen spekulieren darauf, dass Mitarbeiter im Moment weniger achtsam sind, besonders wenn Anfragen scheinbar von staatlichen Gesundheitsbehörden kommen.

 

 

Quelle: Melde- und Analysestelle Informationssicherung (MELANI)


16.03.20

Warnung vor gefälschten E-Mails im Namen des BAG

Seit Freitagmittag (13. März 2020) versuchen Cyberkriminelle die Verunsicherung der Bevölkerung aufgrund der Situation um das Coronavirus auszunutzen. Mittels gefälschten E-Mails und Posts zum Thema Coronavirus versuchen Cyberkriminelle zurzeit, Geräte zu infizieren und die Schadsoftware namens AgentTesla zu verbreiten. Als Absender der verschickten E-Mails wird das Bundesamt für Gesundheit (BAG) angegeben.

 

Beispiel einer gefälschten E-Mai im Namen des BAG:

 

Ignorieren Sie solche E-Mails, öffnen Sie keine Anhänge und klicken Sie niemals auf Links.

 

 

Beispiel eines geöffneten Anhangs:

 

Werden dennoch Anhänge geöffnet oder Links angeklickt, wird Malware platziert. Diese ermöglicht den Angreifern den vollen Fernzugriff auf den Computer und Passwörter können ausgelesen werden. Falls Sie versehentlich eine solche E-Mail geöffnet haben sollten, schalten Sie umgehend Ihren Computer aus. Kontaktieren Sie Global System oder ihren eigenen IT-Dienstleister, wenn Sie kein Kunde von uns sind. Wechseln Sie anschliessend umgehend Ihre Passwörter.

 

 

Quelle: Melde- und Analysestelle Informationssicherung MELANI

 


20.01.20

Internet Explorer mit kritischer Sicherheitslücke

Microsoft hat über eine kritische Sicherheitslücke in Internet Explorer (IE) informiert. Gelingt es einem Angreifer die Sicherheitslücke auszunutzen, erhält er dieselben Rechte wie der gerade aktive Benutzer. Er könnte so also die Kontrolle über den Computer erhalten. Die Sicherheitslücke wird bereits in einzelnen Fällen aktiv ausgenutzt.

 

Betroffen Sind die IE Versionen 9-11 auf den Windows Versionen 7-10 sowie Windows Server 2008 - 2019. Ein Sicherheitsupdate ist in Arbeit, aber noch nicht erhältlich. Für Windows 7 und Windows Server 2008 wird es voraussichtlich keine Patchs geben, da diese offiziell nicht mehr von Microsoft unterstützt werden.

 

Was Sie tun sollten

Wir raten allen Benutzern dringend einen anderen Browser zu verwenden, mindestens bis Microsoft das Sicherheitsupdate veröffentlicht hat. Besser wäre jedoch ganz auf einen neuen Browser zu wechseln, denn Internet Explorer 11 wird schon seit Jahren nicht mehr weiterentwickelt und erhält lediglich noch Sicherheitsupdates.

 

Wir empfehlen Ihnen Microsoft Edge (seit Windows 10 standardmässig in Windows dabei), Mozilla Firefox oder Google Chrome zu verwenden.

 

 

Quelle: Microsoft

 


09.01.20

Falsche Gewinnbenachrichtigung im Namen von Coop

Zurzeit werden von Kriminellen vermeintliche Gewinnbenachrichtigungen im Namen von Coop versendet. Diese SMS führen auf ein falsches Gewinnspiel. Klicken Sie auf keinen Fall auf den Link. Falls Sie Kreditkartendaten angegeben haben, nehmen Sie umgehend mit Ihrem Kreditkarteninstitut Kontakt auf.

 

Quelle: Melde- und Analysestelle Informationssicherung (MELANI)


29.10.19

MELANI: 1. Halbjahresbericht 2019

Der 29. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cybervorfällen der ersten Jahreshälfte 2019 in der Schweiz wie auch international. Im aktuellen Bericht werden als Schwerpunktthema die Cyberangriffe mit Verschlüsselungstrojanern beleuchtet, welche im ersten Halbjahr 2019 weltweit grossen Schaden angerichtet haben.

 

 

Verschlüsselungstrojaner, sogenannte Ransomeware, gehören aktuell zu den gefährlichsten Cyberbedrohungen für Unternehmen, Organisationen und Verwaltungen. Ein erfolgreicher Angriff erfordert nicht nur den Einsatz von Zeit, Personal sowie Geld für die Bereinigung der Systeme und zur Wiederherstellung verlorener Daten. Er kann auch den Ruf eines Unternehmens schädigen oder einen temporären Produktivitätsverlust bedeuten. Um ein umfassendes Bild eines solchen Verschlüsselungsangriffs zu bieten, schildert die Stadt Bern, wie sie mit einem Ransomware-Vorfall umgegangen ist. Zudem erläutert die Kantonspolizei Zürich die Problematik aus Ermittlersicht. Weiter gibt MELANI Empfehlungen ab, wie man sich vor solchen Angriffen schützen kann.

 

 

Unterstützung für kleine und mittlere Elektrizitätsversorgungsunternehmen bei der Cybersicherheit

Im Fokus von Cyberangriffen stehen auch industrielle Kontrollsysteme wie etwa bei der Stromversorgung. Wie es um die Cybersicherheit von kleinen und mittleren Elektrizitätsversorgern (EVU) in der Schweiz steht, hat der Fachverband Electrosuisse in einer im Frühjahr 2019 veröffentlichen Studie aufgezeigt. Gemäss dieser findet die Cybersicherheit bei allen Unternehmen Beachtung. Bei der Gewährleistung der Informationssicherheit sind speziell bei kleineren Unternehmen verstärkte Massnahmen nötig. Um die Informatiksicherheit auszubauen, wurde eine Kooperation für Cybersecurity für die Stadtwerke ins Leben gerufen. Dank diesem Netzwerk können alle Kooperationspartner von den Erfahrungen der anderen profitieren und gemeinsam das Niveau der Informationssicherheit ständig anheben.

 

 

Erpressung mittels Fake-Sextortion nach wie vor aktuell

Im ersten Halbjahr 2019 gab es vermehrt Fake-Sextortion-E-Mails, in welchen die Angreifer die Opfer erpressen und behaupten, den Computer des Empfängers gehackt zu haben und über Bildmaterial zu verfügen, das sie beim Konsum pornografischer Inhalte im Internet zeige. Leider bezahlen immer noch viele Personen das verlangte Lösegeld. Deshalb hat MELANI in Zusammenarbeit mit verschiedenen Partnern im Frühjahr 2019 die Website www.stop-sextortion.ch ins Leben gerufen, um die Bevölkerung für dieses Thema zu sensibilisieren. Auf dieser Seite finden betroffene Personen Ratschläge, wie vorgegangen werden soll, sollten die Erpresser tatsächlich kompromittierendes Material besitzen.

 

 

Auf der Webseite von MELANI können Sie den ausführlichen Berichts als PDF herunterladen.

 

Quelle: Melde- und Analysestelle Informationssicherheit MELANI


31.07.19

Update Verschlüsselungs-Trojaner: Neue Vorgehensweise

Seit Anfang Juli wurden der Melde- Analysestelle Informationssicherung (MELANI) des Bundes vermehrt Cyber-Angriffe vermeldet, bei denen die Angreifer eine neue Vorgehensweise gewählt haben. Dabei werden Schweizer Unternehmen gezielt mittels schädlichen E-Mails angegriffen (sogenanntes Spear-Phishing).

 

 

Angriffsszenarien

Bislang sind folgende Angriffsszenarien bekannt:

  • Angreifer versenden gezielt schädliche E-Mails an Schweizer Unternehmen, um diese mit Ransomware zu infizieren. Diese beinhalten in der Regel einen Link auf eine bösartige Webseite oder einen schädlichen Dateianhang.
  • In einschlägigen Internet-Foren werden Zugänge zu infizierten Computern in Schweizer Unternehmen zum Verkauf angeboten. Diese sind in der Regel mit der Schadsoftware «Emotet», «TrickBot» oder vereinzelt auch «Qbot» infiziert. Kriminelle Gruppierungen «kaufen» die infizierten Computer, um das Netzwerk des Opfers grossflächig zu infiltrieren.
  • Angreifer scannen das Internet nach offenen VPN- und Terminal-Servern ab und versuchen mittels Brute-Forcing-Angriffen Zugriff auf diese zu erhalten.

Bei allen genannten Vorgehensweisen verwenden die Angreifer weitere Angriffswerkzeuge, um an die nötigen Zugriffsrechte des Unternehmens zu kommen. Ist dies erfolgreich, wird eine Ransomware auf den Systemen platziert welche die Daten vollständig verschlüsselt.

 

 

Empfohlene Schutzmassnahmen

Aufgrund der aktuellen Gefahrenlage sowie der neuen Vorgehensweise warnt MELANI Schweizer Unternehmen erneut eindringlich vor Ransomware und empfiehlt dringend, folgende Massnahmen, falls nicht bereits geschehen, schnellstmöglich umzusetzen:

  • Erstellen Sie regelmässig Sicherungskopien (Backups) Ihrer Daten zum Beispiel auf einer externen Festplatte. Nutzen Sie dabei das Generationenprinzip (täglich, wöchentlich, monatlich / mindestens 2 Generationen). Stellen Sie jeweils sicher, dass Sie das Medium, auf welchem Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer bzw. Netzwerk physisch trennen. Ansonsten besteht die Gefahr, dass die Angreifer auch auf die Daten des Backups Zugriff erhalten und verschlüsseln oder löschen können.
  • Bei Cloud-basierten Backup-Lösungen sollten Sie sicherstellen, dass der Provider analog zum klassischen Backup mindestens über zwei Generationen verfügt und dass diese für eine Ransomware nicht zugreifbar sind, indem man für kritische Operationen beispielsweise eine Zweifaktor-Authentifizierung verlangt.
  • Prüfen Sie die Qualität der Backups und üben Sie das Einspielen von Backups, damit Sie im Notfall keine unnötige Zeit verlieren.
  • Sowohl Betriebssysteme als auch alle auf den Computern oder Servern installierte Applikationen (z. B. Adobe Acrobat Reader, Adobe Flash, Java usw.) müssen konsequent und unverzüglich auf den neuesten Stand gebracht werden. Falls vorhanden, am besten mit der automatischen Update-Funktion.
  • Schützen Sie auch alle vom Internet erreichbaren Ressourcen (insbesondere Terminal-Server, RAS- und VPN-Zugänge) mit einem zweiten Faktor. Stellen sie Terminal-Server hinter ein VPN-Portal.
  • Blockieren Sie den Empfang von gefährlichen E-Mail-Anhängen auf Ihrem E-Mail-Gateway. Dazu zählen auch Office-Dokumente mit Makros.
  • Beobachten Sie die Logfiles Ihrer Antivirus-Lösung auf Unregelmässigkeiten.

 

Global System Kunden

Global System Kunden mit einem Server- und Network-SLA, haben alle genannten und weitere Schutzmassnahmen standardmässig umgesetzt. Mitarbeiter die nicht auf einem Terminal Server sondern lokal arbeiten, sind für die Software-Updates Ihrer Geräte und den darauf verwendeten Programmen selber zuständig. Kontrollieren Sie in einem solchen Fall dass:

  • Automatische Windows-Updates aktiviert ist (Geräte von Global System werden standardmässig so ausgeliefert).
  • Automatisches Office-Updates aktiviert ist (Geräte von Global System werden standardmässig so ausgeliefert).
  • Sonstige installierte Software auf dem neusten Stand ist.

 

Quelle: Melde- und Analysestelle Informationssicherung MELANI


02.07.19

Neuartiger Ansatz: Phishing-Mails mit QR-Code

Derzeit sollen im Finanzbereich Phishing-Mails unterwegs sein, die erfolgreich Spam-Filter umgehen. Betrüger betten URLs in Form von QR-Codes in die Mail ein. Die QR-Codes werden von Mail-Scannern offensichtlich nicht als gefährliche URLs erkannt und landen im Postfach des Opfers. Die Betrüger sind auf der Jagd nach Log-in-Daten von beispielsweise AOL und Microsoft.

 

Ungeschützt auf mobilen Geräten

Die Phishing-Mails behaupten ein wichtiges SharePoint-Dokument bereitzuhalten. Um dieses zu bekommen, muss das Opfer den QR-Code mit seinem Smartphone scannen. Ist das Opfer mit seinem Gerät im mobilen Internet angemeldet (und nicht im Firmen-WLAN), verlässt es so die abgesicherte Infrastruktur des Unternehmens. In diesem Fall greifen die Sicherheitslösungen und anderweitige Filter des Firmennetzwerkes nicht.

Nach dem Scannen des QR-Codes. landet das Opfer auf der Phishing-Site. Um das Dokument anschauen zu können, müsse man sich noch anmelden. Gibt man seine Login-Daten ein, werden diese direkt an die Betrüger gesendet.

 

Untypische Methode

QR-Codes sind in Europa kaum verbreitet, besonders im Geschäftsbereich trifft man sie wenig an. Darum kann man davon ausgehen, dass diese Methode sich nicht etablieren wird. Gefährlich ist sie dennoch, denn in der Regel erkennen mittlerweile viele Standardkameras auf Smartphones die Codes und leiten Nutzer auf Websites weiter.

 

 

Quelle: heise.de


24.06.19

Neue Fake-Sextortion-Welle

Zurzeit erhalten zahlreiche Bluewin-Kunden Sextortion-Spam-E-Mails mit dem Betreff: «48 Stunden zu zahlen».

 

Inhalt der E-Mail:

Guten Tag, Masturbieren ist natürlich normal, aber wenn deine Familie und Freunde davon zeugen, ist es natürlich eine große Schande. Ich habe dich eine Weile beobachtet, weil ich dich in einer Werbung auf einer Porno-Website durch einen Virus gehackt habe. […]

 

Es handelt sich um Spam-E-Mails, die ungezielt versendet werden! Wir empfehlen, diese E-Mails zu ignorieren und zu löschen. Weitere Informationen finden Sie hier: https://www.stop-sextortion.ch/ und in unserem Ratgeberartikel Fake Sextortion – Wie die Pornomail-Falle funktioniert.

 

 

Quelle: Melde- und Analysestelle Informationssicherung MELANI


03.06.19

Kritische RDP-Sicherheitslücke

Eine Sicherheitslücke in RDP mit dem Namen BlueKeep macht es möglich Geräte mit älteren Windows-Versionen über das Internet zu kapern. RDP wird verwendet um Fernverbindungen auf Windowsgeräte herzustellen (Remote Desktop).

 

Der mögliche Schaden dieser Sicherheitslücke ist ähnlich gross wie der der Schadsoftware WannaCry. Sie hat vor 2 Jahren weltweit hunderttausende Geräte infiziert und Millionenschäden verursacht.

 

Die RDP-Sicherheitslücke erlaubt es Code aus der Ferne auszuführen, damit können Verschlüsselungstrojaner oder andere Schadsoftware auf dem Zielgerät und unter Umständen auch auf anderen Geräten des Netzwerks ausgeführt werden. Besonders Geräte die direkt ans Internet angeschlossen sind, müssen dringend gepatchet werden.

 

Unbedingt patchen!

Microsoft hat Patches für alle betroffenen Windows-Versionen veröffentlicht. Betroffen sind Windows 7 und ältere Versionen:

Wenn Sie Windows 7 verwenden und Automatische Updates aktiviert haben, wird der Patch automatisch installiert. Bei anderen Betriebssystemen müssen Sie ihn manuell installieren. Die Sicherheitslücke ist so gefährlich, dass auch Patches für Vista und XP bereitstehen, für die eigentlich keine Patches mehr veröffentlicht werden.

 

Unsere SLA-Kunden sind abgedeckt

Global System Kunden mit einem SLA inklusive Server Updates und Workstations können sich zurücklehnen, wir kümmern uns um alles.