Zur Zeit ist eine SMS mit einer angeblichen Benachrichtigung des Mobilfunkproviders im Umlauf, dass eine «Voice Nachricht» verfügbar sei. Um die ganze Nachricht zu hören, soll man einen Link anklicken. Nach dem Anklicken des Links öffnet sich eine Seite mit dem Logo des Mobilfunkfunkproviders und der Aufforderung, eine sogenannte «apk-Datei» herunterzuladen. Dabei handelt es sich um Schadsoftware. Installieren Sie diese Datei auf keinen Fall!
Präparierte Office-Dokumente nutzen Windows-Schwachstelle aus
Angreifer bringen zurzeit gezielt präparierte Microsoft Office Dokumente in Umlauf, die nach dem Öffnen Computer mit Schadcode infizieren. Anders als bisherige Infizierungsversuche, benötigt dieser Angriff keine Makros, um Schadsoftware auszuführen, stattdessen wird eine Sicherheitslücke in Windows missbraucht. Betroffen sind die Versionen Windows 7 bis 10 sowie Windows Server 2008 bis 2019.
Infizierung ohne Makros
Die präparierten Office-Dokumente enthalten speziellen Code, der auf Grund einer Sicherheitslücke in Windows automatisch ausgeführt wird. Das heisst das blosse Öffnen eines präparierten Office-Dokumentes reicht aus, um sich zu infizieren.
Standardmässig ist Office so konfiguriert, dass Dokumente, die aus dem Internet geladen wurden, zuerst in einer geschützten Ansicht angezeigt werden. In diesem Modus kann das Dokument gemäss Microsoft nur gelesen werden, es findet noch keine Infizierung statt. Sobald aber die Bearbeitung aktiviert wird, wird Schadsoftware ausgeführt.
Ausstehender Patch und Sicherheitsmassnahmen
Zurzeit ist noch kein Patch verfügbar. Microsoft arbeitet aber daran und stellt in Aussicht, dass er zum nächsten Patchday bereitsteht.
Es ist auf Grund der einfachen Angriffsmöglichkeit davon auszugehen, dass in nächster Zeit Angriffe mit dieser Methode zunehmen werden. Seien Sie deshalb besonders vorsichtig, wenn Sie Office-Dokumente per Mail erhalten:
Öffnen Sie nur Office-Dokumente, wenn Sie den Absender kennen und auch eine E-Mail mit Office-Anhang erwartet haben.
Aktivieren Sie das automatische Windows Update.
Fragen Sie im Zweifelsfall per Telefon beim Absender nach, bevor sie ein Dokument öffnen.
Global System Kunden können sich im Zweifelsfall bei unserem Support melden.
Der erste Halbjahresbericht des NCSC befasst sich mit den wichtigsten Cybervorfällen der zweiten Jahreshälfte 2020 in der Schweiz und international. Er löst den bisherigen Halbjahresbericht MELANI ab. Das Schwerpunktthema bildet die Digitalisierung im Gesundheitswesen und deren Herausforderungen bei den aktuellen Cyberbedrohungen.
Die Digitalisierung schreitet auch im Gesundheitswesen unaufhaltsam voran. Globalisierte Lieferketten, computergesteuerte Logistik oder elektronische Patientendossiers bestätigen dies. Doch die zunehmende Digitalisierung bietet auch potentielle Angriffsflächen für Cyberkriminelle. Erfolgreiche Angriffe im Gesundheitswesen haben weitreichende Konsequenzen. Ein Datenabfluss kann besonders schützenswerte Personendaten betreffen. Ausserdem können Funktionsausfälle von IT-Systemen oder eine auch nur temporäre Nichtverfügbarkeit von Daten die Gesundheit oder sogar das Leben von Menschen gefährden. Im Halbjahresbericht werden aktuelle Fälle sowie die erforderlichen Schutzmassnahmen beleuchtet.
Ransomware birgt grösstes Schadenspotenzial
Vorfälle mit Verschlüsselungstrojanern (Ransomware) zählen zu den Ereignissen mit dem grössten Schadenspotential, denn Betriebsausfälle und Wiederherstellung verursachen grosse Kosten und führen im schlimmsten Fall zu einem kompletten Datenverlust. Für die in Aussicht gestellte Entschlüsselung der Daten werden von den Angreifern hohe Lösegelder gefordert. In der zweiten Jahreshälfte 2020 sind beim NCSC 34 Meldungen dazu aus verschiedenen Wirtschaftssektoren in der Schweiz eingegangen. Rund 80 Prozent der Meldungen betrafen kleine und mittlere Unternehmen (KMU). Eine weitere Schadsoftware sorgte im letzten Jahr weltweit für Schlagzeilen. Nach mehrmonatigem Unterbruch beobachtete das NCSC seit Juli 2020 erneut verschiedene Spam-Wellen der «Emotet»-Schadsoftware. Ursprünglich als E-Banking-Trojaner bekannt, wurde «Emotet» zuletzt vor allem für den Versand von Spam sowie das Nachladen von weiterer Schadsoftware verwendet, bis dann am 27. Januar 2021 Europol bekannt gab, dass das «Emotet-Botnet» durch eine koordinierte Aktion internationaler Strafverfolgungs- und Justizbehörden deaktiviert worden war. Der Halbjahresbericht gibt Einblick in die Funktionsweise von «Emotet».
Betrugsfälle weit verbreitet
Im zweiten Halbjahr 2020 sind bei der Anlaufstelle des NCSC insgesamt 5’542 Meldungen zu Cybervorfällen von Privatpersonen und Unternehmen eingegangen. Davon machen die 2’917 Meldungen zu Betrug weiterhin den grössten Anteil aus. Am häufigsten gemeldet werden dabei Vorschussbetrug, Fake-Sextortion und Gebührenfallen.
Auf der Webseite des NCSC können Sie den ausführlichen Berichts als PDF herunterladen (1MB).
In der Schweiz werden KMU Opfer einer neuen Betrugsmasche. Kriminelle versenden gefälschte Paketzustellungsmails mit Links zu Schadsoftware. Das besonders gefährliche ist, dass die Mail mit einem Telefonanruf angekündigt wird, man solle die Lieferung bestätigen.
Inhalt eines möglichen Anrufes
Die Stimme meint Ihre Ansprechperson sei der Geschäftsführer des KMU. Ob jemand anwesend sei. Wegen Corona habe sie den Lieferschein per Mail geschickt. Man müsse diesen nur ausdrucken, unterschreiben und dem Fahrer übergeben.
In einer französischen Version ertönt eine automatische Roboterstimme, die auffordert, die Emailadresse zu bestätigen. Anschliessend komme umgehend das Mail mit dem angeblichen Lieferschein.
E-Banking-Trojaner und Verschlüsselungstrojaner
Im Hintergrund wird ein E-Banking-Trojaner heruntergeladen. Einmal installiert, werden die künftigen eBanking-Aktivitäten des KMU an die Täter umgeleitet, die die Zahlungen modifizieren und die Überweisung zu ihren Gunsten umleiten.
Immer häufiger entwenden die Täter auch im grossen Stil Daten, verschlüsseln anschliessend die Daten und Systeme des betroffenen Unternehmens und fordern dann ein entsprechendes Lösegeld. Häufig passiert dies 2-3 Wochen nach der Erstinfektion.
Screenshot einer gefälschten Zustellungsmail mit Link zu einer bösartigen Datei.
Was ist zu tun
Klicken Sie auf keinen Fall auf Links in solchen E-Mails!
Sollten Sie bereits auf einen solchen Link geklickt haben:
Melden Sie sich umgehend bei Ihrer Bank und erwähnen Sie die mögliche Infektion mit einem eBanking Trojaner.
Benutzen Sie Ihren Computer nicht weiter.
Informieren Sie Ihren Administrator oder melden Sie sich bei Ihrem IT-Dienstleister.
Erstatten Sie Strafanzeige beim örtlichen Polizeiposten.
Im Internet sind seit etwa einer Woche die Daten von 1,6 Mio. Schweizer Facebook-Nutzern aufgetaucht. Sie enthalten die Telefonnummer des Nutzers, den Namen, Vornamen und das Geschlecht. Wenn der Nutzer weitere Daten angegeben hat, dann sind allenfalls auch der Wohnort, der Arbeitgeber, der Beziehungsstatus und in seltenen Fällen die Emailadresse betroffen.
Die Daten wurden vermutlich bereits 2019 gestohlen. Damals wurden die Daten noch für viel Geld auf Hackerforen verkauft. Nun sind sie kostenlos ins Internet gestellt worden, wahrscheinlich weil Sie veraltet und damit nicht mehr so wertvoll sind.
Mögliche Betrugsmaschen
Die nun öffentlich zugänglichen Daten werden von Betrügern genutzt, um Phishing-SMS zu versenden. Je nachdem welche zusätzlichen Informationen zur Telefonnummer vorhanden sind, können sehr persönliche und damit vertrauenswürdige Nachrichten verfasst werden. Es werden ausserdem betrügerische Anrufe oder Phishing-E-Mails versucht.
Folgende Betrugsversuche wurden bereits festgestellt:
SMS mit Links auf Fake-Webseiten
Aufwändig gefälschte E-Mails, in deren Anhängen Schadsoftware versteckt ist
Fake-Anrufe mit versteckten Kostenfallen. (Es klingelt einmal, bei einem Rückruf landet man bei einer teuren «Service»-Nummer)
Bin ich betroffen?
Auf der Webseite Have I been pwned? des australischen Sicherheitsforschers Troy Hunt können Sie Ihre Handynummer eingeben und erhalten dann den Hinweis, ob Sie betroffen sind oder nicht (sie müssen die Telefonnummer im internationalen Format eingeben, also mit Ländervorwahl). Alternativ gibt es für Benutzer aus der DACH-Region eine deutsche Webseite von Freddy Greve, wo Sie den Link zu Ihrem Facebook-Profil eingeben können, um zu erfahren, ob Sie betroffen sind.
Was kann ich tun, wenn ich betroffen bin?
Leider können Sie nicht mehr viel machen, wenn Daten einmal im Internet sind, lassen Se sich nicht mehr entfernen. Ausserdem handelt es sich bei den Daten um Informationen, die Sie gar nicht (Name, Geburtsdatum) oder nur mit viel Aufwand ändern können (Wohnort, Telefonnummer).
Bleiben Sie in nächster Zeit besonders wachsam. Seien Sie bei unerwarteten, aber vertrauenswürdig klingenden SMS misstrauisch. Klicken Sie nie auf Links in solchen Nachrichten.
07.01.21
Schadsoftware Emotet ist wieder aktiv
Seit Dienstagmittag ist die Schweiz Ziel einer breit angelegten Malware E-Mailkampagne. Die Schadmail enthält ein Passwort für das Öffnen der im Anhang beiliegenden verschlüsselten ZIP-Datei.
Die E-Mail gibt vor von einer offiziellen oder öffentlichen Organisation wie einer Bank oder der Polizei zu stammen. In der verschlüsselten ZIP-Datei steckt ein Office-Dokument. Dieses Dokument enthält ausführbare Makros. Öffnet der Benutzer das Dokument und erteilt die Erlaubnis, Makros auszuführen, infiziert sich der PC mit dem Trojaner Emotet.
Beispiel einer gefälschten E-Mail mit verschlüsseltem Anhang und Passwort.
Bei vielen dieser Mails handelt es sich um wirklich verschickte Mails, die den Betrügern in die Hände gefallen sind und nun durch sie erneut verschickt werden. Die Fälschung kann erkannt werden, wenn der angezeigte Name nicht dem wirklichen Namen entspricht.
Die E-Mailadresse entspricht nicht dem Anzeigenamen.
Da der Anhang verschlüsselt ist, kann der Inhalt von Antivirusprogrammen nicht überprüft werden. Wird das Office-Dokument geöffnet, versuchen die Betrüger den Benutzer zur Ausführung der Makros zu bringen, indem sie vorgeben, das Dokument sei mit einer anderen Windows-, Office-, Android-Version erstellt worden und müsse zuerst umgewandelt werden.
Der 31. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cybervorfällen der ersten Jahreshälfte 2020 in der Schweiz und international. Im aktuellen Bericht wird als Schwerpunktthema die Corona-Pandemie beleuchtet, die als Lockmittel für zahlreiche Cyberangriffe gedient hat.
Schwerpunktthema: COVID-19
Cyberakteure passen ihre Angriffe regelmässig an aktuelle Grossereignisse an, die eine grosse Medienpräsenz haben, wie beispielsweise Naturkatastrophen. Dies war auch bei der aktuellen Covid19-Pandemie im ersten Halbjahr 2020 der Fall. Ob mit falschen Versprechungen für Informationen zum Virus, zu Bestellmöglichkeiten von Masken während tiefer Lagebestände oder Mitteilungen zu Online-Bestellungen – die Angreifer nutzten die verschiedensten Themen, um die Opfer zu betrügen oder Schadsoftware zu verbreiten. Im Halbjahresbericht werden die verschiedensten Arten von Cyberangriffen aufgezeigt, die in Zusammenhang mit der Pandemie erfolgt sind.
Industrielle Kontrollsysteme (ICS) im Visier von Ransomware
Doch nicht alle Cyberangriffe stehen in Zusammenhang mit Corona. Im ersten Halbjahr konnte wiederum eine Zunahme von Angriffen mit Ransomware verzeichnet werden. Dabei verschlüsseln die Angreifer Daten und fordern vom Opfer entsprechendes Lösegeld für die Freigabe der Daten. Bisher hatten es Angriffe mit Kryptotrojaner auf die IT-Infrastruktur der Opfer abgesehen und Kontrollsysteme meist nur kollateral in Mitleidenschaft gezogen. Im ersten Halbjahr 2020 wurde nun eine Ransomware beobachtet, die eigens dazu entworfen worden war, Prozesssteuerungen bei Industriekontrollsystemen zu treffen. Solche Angriffe können verheerende Folgen für Unternehmen und Bevölkerung haben.
Nationale Anlaufstelle ist operativ
Seit Anfang dieses Jahres ist das Nationale Zentrum für Cybersicherheit (NCSC) zentrale Anlaufstelle für Wirtschaft, Bevölkerung, Behörden und Bildungsinstitutionen, wenn es um Cyberthemen geht. Die Anlaufstelle nimmt Meldungen über Vorfälle einheitlich entgegen, prüft diese und leitet sie an die entsprechende Stelle weiter. Im ersten Halbjahr 2020 wurden insgesamt 5'152 Meldungen registriert. Mit über der Hälfte Meldungen machten Betrugsversuche den grössten Anteil aus, davon betrafen alleine 825 Fälle E-Mails mit Vorschussbetrug. Die Statistik der eingegangenen Meldungen wird wöchentlich auf der Website des NCSC publiziert.
Der Halbjahresbericht MELANI erscheint zum letzten Mal in dieser Aufmachung und wird neu unter dem Label des Nationalen Zentrums für Cybersicherheit (NCSC) erscheinen.
Auf der Webseite des NCSC können Sie den ausführlichen Bericht herunterladen (PDF 3,8 MB).
Es werden im Moment gefährliche Phishingmails versendet, die vorgeben von Microsoft Outlook Web App (OWA) zu sein. Darin heisst es, dass das Passwort des Kontos bald ablaufen würde. Man könne ein neues Passwort setzen oder das bestehende weiterbenutzen, wenn man auf den Link klickt.
Der Benutzer wird im Phishingmail mit Namen angesprochen, ausserdem wird mehrmals die Firmendomain verwendet, um den Anschein von Authentizität zu erwecken. Wer auf den Link klickt, wird zu einer gefälschten Seite geleitet mit einer Anmeldemaske. Meldet man sich dort mit seinem OWA-Zugangsdaten an, werden diese an die Kriminellen gesendet.
Klicken Sie auf keine Links und löschen Sie solche E-Mails.
Beachten Sie
Passwörter für das OWA müssen nie verlängert werden und laufen nicht ab.
Klicken Sie allgemein nicht auf Links, die Sie zu Login-Seiten führen. Öffnen Sie Ihren Browser und navigieren Sie selber dorthin. So stellen Sie sicher, dass Sie auch auf der offiziellen Seite sind und nicht auf einer Fälschung.
Wenn Sie nicht sicher sind, ob es sich um eine echte Mail handelt, kontaktieren Sie Ihren IT-Verantwortlichen oder Administrator und fragen Sie nach.
Aktivieren Sie 2-Faktor-Authentifzierung (2FA), um die Sicherheit Ihres Kontos zu erhöhen. Mehr über 2FA können Sie in unserem Ratgeberartikel nachlesen: Was ist 2FA und warum ist es so wichtig?
10.09.20
Betrügerische SMS im Namen der Steuerverwaltung
Im Moment sind SMS im Umlauf, welche angeblich von der Eidgenössischen Steuerverwaltung (ESTV) stammen. Sie geben vor, dass die letzte Rechnung zweimal bezahlt wurde und ein Betrag zurückerstattet werde. Es handelt sich hierbei um eine betrügerische SMS! Klicken Sie nicht auf den Link und löschen Sie die SMS umgehend.
Betrügerische Mails im Namen der Zollverwaltung und anderen Dienstleistern
In letzter Zeit erhalten Schweizerinnen und Schweizer Nachrichten, die angeblich von Dienstleistern wie der Post, DHL oder der Eidgenössischen Zollverwaltung stammen und irgendwelche Gebühren verlangen. In einigen Fällen sollen Kreditkartendaten eingegeben werden, in anderen Fällen soll man die Gebühr via Mobiltelefon bezahlen. Es gibt ebenfalls die Variante, wo der Betrag mit einer Paysafecard bezahlt werden soll. Es handelt sich hierbei um betrügerische E-Mails.
Bitte die Absender genau prüfen. Beim Absender notification@ezv.admin.ch z.B., handelt es sich um eine Betrugs-E-Mail. Nicht öffnen!
Der Trojaner Emotet der 2018 und 2019 weltweit Computer von Unternehmen und Privatkunden infiziert hatte, ist nach einer halbjährigen Pause wieder aktiv.
Vorgehen
Wie bereits in den letzten Jahren werden von den Kriminellen Mails versendet, die einen Link zu einer gefährlichen Webseite enthalten oder einen infizierten Anhang. Falls man den Link/Anhang öffnet, wird Schadsoftware heruntergeladen und ausgeführt, meistens ein Verschlüsselungstrojaner.
Gelingt es Emotet ein System zu infizieren, versucht es E-Mails und Kontaktdaten aus Outlook zu stehlen. Mit den Daten werden weitere gefälschte Mails erzeugt. Indem auf eine laufende E-Mailunterhaltung zwischen dem Opfer und einer anderen Person geantwortet wird, versucht er die vermeintliche Echtheit einer E-Mail zu erhöhen, denn ein Mitarbeitender kontrolliert einen Dateianhang weniger gründlich, wenn es sich um einen bekannten E-Mailbetreff handelt.
Neu ist, dass Emotet auch kleine E-Mailanhänge der Opfer kopiert und sie in neuen E-Mails mitsendet. Es wurden E-Mails gemeldet, die 5 Dateianhänge besassen. Dies ist ein weiterer Versuch die Authentizität der Mails zu erhöhen.
Die Meldung versucht den Benutzer zu überlisten Makros zu aktivieren, in dem sie behauptet, das Dokument sei auf einem Apple-Gerät erstellt worden und man müsse den «Inhalt aktivieren».
Die Erklärungen in der Meldung eines infizierten Worddokumentes variieren, aber die Anweisungen an das Opfer sind immer gleich: In der Sicherheitswarnung auf «Bearbeitung aktivieren» klicken, als zweites auf «Inhalt aktivieren» klicken. Danach sind Makros im Dokument aktiviert und Emotet lädt weitere Schadsoftware aus dem Internet nach. Meistens ein Verschlüsselungstrojaner und eine Wurmkomponente, die es der Schadsoftware erlaub sich im Netzwerk auszubreiten und weitere Geräte zu infizieren, je nach Konfiguration des Netzwerkes.
Erpressungsversuche
Emotet wird aktiv dazu verwendet, um gezielt Computer und Server in Unternehmensnetzwerken zu infizieren. Die Ransomware fordert nach erfolgter Verschlüsselung vom betroffenen Unternehmen eine erhebliche Summe an Lösegeld. Betroffen sind ausschliesslich Geräte wie Computer und Server, welche mit einem Windows Betriebssystem laufen.
Wenn Sie bei einer E-Mail unsicher sind, rufen Sie den Absender an und fragen Sie nach, ob die Mail von ihm ist.
18.05.20
MELANI: 2. Halbjahresbericht 2019
Der 30. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cybervorfällen der zweiten Jahreshälfte 2019 in der Schweiz wie auch international. Schwerpunktthema im aktuellen Bericht bildet der Umgang und die Problematik von Personendaten im Netz.
Auf der Webseite von MELANI können Sie den ausführlichen Berichts als PDF herunterladen.
Zurzeit wird eine Zunahme von Phishing-Angriffen im Namen von verschiedenen Hosting-Providern gegen Schweizer Webmaster und Domäneninhaber festgestellt. Ignorieren Sie diese E-Mails. Hosting-Provider fordern Sie niemals per E-Mail zur Eingabe Ihrer Zugangsdaten auf.
Drei bekannte Varianten
Bis lang sind 3 Mail-Varianten bekannt. Alle enthalten einen Link der auf eine gefälschte Anmeldeseite führt. Die E-Mails werden von gehackten E-Mailkonten oder von gekapperten Servern aus gesendet.
Absender
Betreff
<Name des Hostingproviders> <xy@domain-des-opfers>
Service-Aufhängung - <Opfer-Domain>
<Name des Hostingproviders> <support@domain-des-hosting-providers>
ACTION REQUISE
<Name des Hostingproviders> <support@domain-des-hosting-providers>
Beispiel einer Phishing-Mail. Die angebliche E-Mail von Hostpoint behauptet, dass eine Webseite gesperrt wurde oder bald gesperrt wird. Der angegebene Link führt auf eine Phishingseite und nicht auf die angezeigte Webseite.
Im Internet sind seit etwa einer Woche die Daten von 1,6 Mio. Schweizer Facebook-Nutzern aufgetaucht. Sie enthalten die Telefonnummer des Nutzers, den Namen, Vornamen und das Geschlecht. Wenn der Nutzer weitere Daten angegeben hat, dann sind allenfalls auch der Wohnort, der Arbeitgeber, der Beziehungsstatus und in seltenen Fällen die Emailadresse betroffen.
Im Moment sind SMS im Umlauf, welche angeblich von der Eidgenössischen Steuerverwaltung (ESTV) stammen. Sie geben vor, dass die letzte Rechnung zweimal bezahlt wurde und ein Betrag zurückerstattet werde. Es handelt sich hierbei um eine betrügerische SMS! Klicken Sie nicht auf den Link und löschen Sie die SMS umgehend.
In letzter Zeit erhalten Schweizerinnen und Schweizer Nachrichten, die angeblich von Dienstleistern wie der Post, DHL oder der Eidgenössischen Zollverwaltung stammen und irgendwelche Gebühren verlangen. In einigen Fällen sollen Kreditkartendaten eingegeben werden, in anderen Fällen soll man die Gebühr via Mobiltelefon bezahlen. Es gibt ebenfalls die Variante, wo der Betrag mit einer Paysafecard bezahlt werden soll. Es handelt sich hierbei um betrügerische E-Mails.
