post

Schadsoftware durch Spotify Werbung

Der Musik-Streaming-Dienst Spotify Free hat Nutzern verseuchte Werbeanzeigen ausgeliefert. Gemäss aktuellen Erkenntnissen sind User von Windows, Linux und Mac OS X betroffen. Bei den Opfern werden regelmässig und selbstständig störende Browserfenster bzw. Pop-ups mit schadhafter Werbung geöffnet. Die kostenfreie Version der Plattform wird über Online-Werbung finanziert und von einem Grossteil der Nutzer verwendet.

Spotify hat eine Entschuldigung an ihre Kundschaft verfasst und bestätigt den Vorfall, dass Malware über Ihre Werbung verbreitet wurde. Die schädliche Werbung wurde entfernt und eine Untersuchung wurde eingeleitet. Das genaue Ausmass der entstandenen Schäden könne aber aufgrund der hohen Verbreitung der Spotify Free-Version noch nicht genau eruiert werden.

Ursache

Spotify und andere digitale Dienstleister nutzen ein Freemium Geschäftsmodell. Es basiert auf einem kostenfreien Basisangebot, das durch Werbung finanziert wird. Diese Werbung wird von Drittanbietern bereitgestellt ohne Einfluss von Spotify.

Schadhafte Werbung wird auch als Malvertising (Malicious Advertising) bezeichnet. Es ist ein grundsätzliches Problem der Online-Werbung und tritt heutzutage vermehrt auch bei seriösen Internetdiensten auf. Auch globale Unternehmen mit hundertausenden Besuchern, wie beispielsweise AOL, BBC, ebay, MSN, Yahoo, Youtube,  T-Online, oder die New York Times waren schon davon betroffen. Malvertising erhält in der Online-Kriminalität wenig Berichterstattung, obwohl es nach Emails der zweithäufigste Weg zur Verbreitung von Schadsoftware ist.

Massnahmen für Betroffene

Spotify hat reagiert und die schädliche Werbung entfernt. Um auf Nummer sicher zu gehen, sollten Sie den Spotify-Client deinstallieren und den Computer mit einem Antiviren-Programm einer Überprüfung unterziehen.

Schützen Sie ihr System 

Wir haben in vielen Beiträgen (Mangelnde IT-Sicherheit bei Ärzten, Ransomware Weiterentwicklung usw.) auf die Wichtigkeit von Sicherheitsmassnahmen hingewiesen. Wichtige Massnahmen für den Schutz gegen Malware sind hier aufgelistet:

  • Verwenden Sie eine professionelle und aktuelle Anti-Viren-Software (InfoSoft Systems ist Partner renommierter Hersteller).
  • Installieren Sie regelmässige empfohlene Updates (insbesondere Betriebssystem, Anti-Viren- und Sicherheits-Patches)
  • Halten Sie ihre Programme auf dem Rechner aktuell
  • Arbeiten Sie am Computer mit Admin-Rechten? Beschränken Sie die Berechtigungen des Benutzers auf ein Minimum.

Möchten Sie die Betreuung ihrer IT-Infrastruktur einem professionellen Servicepartner überlassen?

InfoSoft Systems unterstützt Sie gerne! Nehmen Sie mit uns Kontakt auf.

 

Quelle
Botfrei Blog, https://blog.botfrei.de (7. Oktober 2016)
post

Getestet: Mangelnde IT-Sicherheit in Arztpraxen

Der Tagesanzeiger hat in Zusammenarbeit mit First Security Technology AG im Mai 2016 eine IT-Sicherheitsüberprüfung durchgeführt, die aufzeigt wie anfällig Arztpraxen für Cyberangriffe sind. Die IT-Netzwerke von Arztpraxen wiesen in dem Test zum Teil gravierende Sicherheitslücken auf. Das kann auch Patienten gefährden.

Schwachstelle Mensch
Viele Cyberangriffe beginnen vielfach mit einer betrügerischen E-Mail. Im Dateianhang befindet sich meistens ein PDF-Dokument oder eine Worddatei, welche beim Öffnen ein Schadprogramm ausführt. Dieses kann beispielsweise Daten verschlüsseln, Daten ausspionieren oder grundsätzlich die IT-Sicherheit ausschalten. Deshalb ist ein zentraler Grundsatz: Das grösste Einfallstor in ein IT-Netzwerk ist immer der Anwender oder die Anwenderin.

Alarmierende Resultate: Keine Updates, Passwortschutz und Firewall

Sämtliche der sieben getesteten Arztpraxen wiesen diverse Sicherheitsprobleme auf:

  • Einer der Ärzte benutzte einen veralteten, ohne Passwort gesicherten WLAN-Router. Mit wenig Aufwand könnte man so den Datenverkehr ausspionieren, um Passwörter oder E-Mails zu stehlen.
  • In einer Praxis war es möglich, von extern die Firewall auszuschalten. So könnten unbemerkt Viren in die ­Praxis eingeschleust werden.

Grobfahrlässige Handhabung mit NAS
In zwei der sieben Arztpraxen stiess die Firma auf schwerwiegende Lücken beim Network Attached Storage (NAS), einem netzgebundenen Speicher. NAS sind bei Privatnutzern sehr beliebt als zentraler Speicher für Fotos, Videos oder Musik. Weil NAS günstig und einfach zu bedienen sind, wurden sie auch von einigen KMU eingesetzt. Im Test gehörten auch Arztpraxen zu den Anwendern, welche das NAS für sensible Patientendaten verwendeten.

Beide betroffenen Arztpraxen hatten NAS von Synology im Einsatz. Wichtige, vom Hersteller empfohlene Sicherheitsupdates wurden von den Ärzten nicht durchgeführt. Grobfahrlässig war insbesondere, dass die beiden NAS der Praxen nicht mit einer Firewall geschützt waren. Daten von Röntgenaufnahmen, Laborberichte oder Gesundheitschecks sind dadurch ungesichert und für Unberechtigte zugänglich.

Auszug Eidgenössischer Datenschutzbeauftragter (EDÖB)

“Die Personendaten, die in Arztpraxen bearbeitet werden, gehören zur Kategorie der besonders schützenswerten Daten. Details über den Gesundheitszustand sind äusserst vertraulich, und der Umgang mit diesen Daten muss entsprechend verantwortungsbewusst geschehen. Dabei ist insbesondere auch auf adäquate technische Installationen zu achten.”
Datenschutz: Erläuterungen zum Datenschutz in der Arztpraxis

Einfaches Spiel für Hacker
Via Internet kann das Passwort der Geräte zurückgesetzt werden. Das automatisch generierte E-Mail wird abgefangen, indem das offene WLAN der Praxen ausspioniert wird. Einfachere Methoden existieren ebenfalls. Eine Software prüft automatisch alle Passwortkombinationen. Bei längeren Passwörtern kann dies mehrere Wochen dauern. Doch auch dieser Weg kann zum Ziel führen. Eine professionell konfigurierte Firewall verhindert natürlich solche Passworteingaben. Des Weiteren gilt es zu beachten, dass Betroffene, wie im Fall der beiden Ärzte, nicht merken, dass sie bestohlen werden. Die Originaldaten auf dem Computer oder Netzwerkspeicher können noch unbeschädigt vorhanden sein.

Schwerwiegende Hackerangriffe
Wie hoch ist das Risiko für kleine Privatpraxen überhaupt? Im vergangenen Januar hat sich ein spektakulärer Fall ereignet. Das Hollywood Presbyterian Medical Center in Los Angeles wurde Opfer von Cyberkriminellen. Die Ärzte des Luxusspitals mussten umgerechnet SFr. 3,7 Mio. an Cyberkriminelle bezahlen, um Zugang zu gestohlenen Patientendaten zurückzuerhalten. Die Hacker waren in das Spitalsystem eingedrungen und umgehend waren sämtliche Krankenakten von den Ärzten nicht mehr einsehbar. Wenn Ärzte oder Pflegepersonal nicht wissen welche Behandlung erfolgte bzw. bevorsteht und welche Medikamente in welcher Dosis verabreicht werden müssen wird es schnell lebensbedrohlich. Davon abgesehen, könnten die Hacker die Patientendaten an Unbefugte weiterverkaufen.

Cyberangriffe auch im deutschen Sprachraum
Cyber-Gangster verschlüsselten ebenfalls Patientendaten des Neusser ­Lukaskrankenhauses bei Düsseldorf. Dasselbe ereignete sich im Klinikum Arnsberg bei Dortmund. Hier erschienen Lösegeld­forderungen auf den Bildschirmen, als die Server gehackt wurden. Auch kleine Arztpraxen rücken ins Visier der Hacker, wie der Fall eines Arztes aus Freiburg im Breisgau 2015 zeigte. In der Schweiz gab es vereinzelte Fälle, wie die FMH auf Anfrage bekannt gab. Details sind jedoch nicht bekannt.

Swiss Vulnerability Report
«Es gibt kein Allheilmittel gegen Cyberangriffe, genauso wie es kein Allheilmittel dagegen gibt, zu Hause ausgeraubt zu werden.» erklärt Pascal Mittner, Chef von First Security. Auch in vielen andere Branchen sind Firmen, die sorglos mit vernetzten Speichersystemen umgehen. Dies zeigte der alljährliche Swiss Vulnerability Report. In der Untersuchung wurden mehrere Tausend NAS-Geräte entdeckt, die schutzlos im Internet erreichbar waren. Unter ihnen befinden sich auch die Datenspeicher von Anwälten und Treuhändern.

Vorbeugende Massnahmen zwingend nötig

Der Experte hält fest, dass Ärzte zu sensiblen Berufsgruppen gehörten, die es besonders nötig hätten, ihr Sicherheitsbewusstsein zu IT-Infrastruktur und Netzwerk zu überprüfen. Das Unternehmen empfiehlt stets aktuelle Daten-Backups an einem sicheren Ort zu führen. Dies kann beispielsweise im internen Netzwerk, einer separaten und geschützten Netzwerkzone für Backups oder bei einer auf Backups spezialisierten Firma erfolgen. Mindestens so wichtig ist die Kontrolle der Firewall-Einstellungen: «Eigentlich sollten die Ärzte ihre IT-Systeme regelmässig überprüfen, um überhaupt zu wissen, wo es Löcher gibt.» Das ist vergleichbar mit dem regelmässigen Gesundheitscheck, der Auskunft über den aktuellen Zustand gibt und auf künftige Probleme hinweisen kann. Auch Unternehmen ausserhalb der Gesundheitsbranche sind gefährdet und sollten regelmässige Sicherheitsüberprüfungen durchführen.

Lehnen Sie sich zurück! Wir betreuen ihre IT-Infrastruktur

Mit dem Managed Service von InfoSoft Systems ist ihre IT in guten Händen. Fokussieren Sie sich auf Ihre Kernaufgaben. Automatisierte Backups schützen Sie im Notfall. Unsere renommierten Überwachungstools melden kritische Situationen, damit wir rechtzeitig reagieren können. Kontaktieren Sie uns!

Methodik und Quelle
Der Tagesanzeiger hat Ende Mai eine Umfrage bei 256 Ärzten durchgeführt. 110  Empfänger haben das Interesse an einer IT-Sicherheitsüberprüfung signalisiert. Die Firma First Security Technology AG führte die Analyse durch. Die Testergebnisse von sieben Arztpraxen konnten für die Auswertung verwendet werden.
http://www.tagesanzeiger.ch (28.05.2016)

 

post

Betrügerische Worddateien sperren Ihr System

Ransomware breitet sich weiterhin aus. Am häufigsten wird der Verschlüsselungstrojaner immernoch per E-Mail gestreut. Mit einem cleveren und perfiden Manöver werden zurzeit die Empfänger getäuscht. Im derzeitigen Fall ist dem E-Mail ein Worddokument angefügt. Die Worddatei enthält ein Schadprogramm, welches beim Öffnen ausgeführt wird. Danach beginnt die bekannte Vorgehensweise der Cyberkriminellen. Dateien werden gesamthaft oder teilweise verschlüsselt. Anschliessend erscheint eine Lösegeldforderung auf dem Bildschirm. Die Cyberkriminellen versprechen den Entschlüsselungscode herauszugeben wenn der Betrag fristgerecht überwiesen wird. Die Opfer können in diesem Fall nur auf eine saubere und aktuelle Datensicherung hoffen.

Inhalt der schädlichen E-Mails

  • Plausibler Absendername
  • Sinnvoller Betreff
  • Korrektes Deutsch
  • Echte Firmenbezeichnungen mit Rechtsform und Ortschaft
  • Plausible Beträge mit Schweizer Franken Währung
  • Begrüssung und Mailsignatur

Im untersuchten Beispiel war einzig die E-Mailadresse suspekt, welche auf eine polnische Domain referenziert (Endung .pl). Dies könnte jedoch in einem nächsten Schritt ebenfalls angepasst werden. Der E-Mailinhalt wird von den Kriminellen ständig verändert, wie die Erfahrung zeigt.

Mensch als Schwachstelle

Der Aufhänger mit dem ausstehenden Betrag weckt zusätzlich die Neugier der Empfänger. Keine Firma will eine Betreibung riskieren. Der Mensch stellt in diesen Fällen die grösste Schwachstelle dar. Anwender müssen extrem aufpassen, um richtige E-Mails von betrügerischen E-Mails zu unterscheiden. In der Zwischenzeit haben Organisationen begonnen Worddateien komplett für den Mailversand zu sperren. Ebenso werden weitere Officedateien mit Skripten (z.B. Makros) gefiltert und gar nicht erst zugestellt.

e-mail-risiko_worddateianhang4

Ransomware kann KMU enorm schädigen

Diese Massnahme scheint bei solch durchdachten Täuschungsversuchen zunehmend sinnvoll. Denn das Risiko ist hoch! Die Eintrittswahrscheinlichkeit ist jederzeit möglich und die Auswirkungen des Schaden sehr hoch! Denn, wenn die Ransomware einmal aktiv wird, kann nicht mehr auf Daten zugegriffen werden. Zudem ist es enorm schwierig festzustellen was zu welchem Zeitpunkt genau befallen wurde. Ausserdem wurden Fälle registriert, wo die Opfer den Kriminellen die Lösegeldforderung überweist haben. Die Cyberkriminellen wussten das man nachgibt. Die Daten wurden entsperrt, enthielten jedoch eine eingebaute Hintertür für den Trojaner. Anschliessend wurde nach einigen Monaten das gleiche Spiel wiederholt und alle Daten erneut verschlüsselt.

Unsere Empfehlung

Worddateien (.doc, .docx etc.) sollten für den geschäftlichen E-Mailverkehr gesperrt werden. Es wird immer schwieriger, betrügerische E-Mails als solche zu erkennen. Schützen Sie ihre Mitarbeitenden und die geschäftlichen Daten.

Unsere Lösung

Arbeiten Sie mit Microsoft Exchange Server? Im Exchange Server lassen sich genau einstellen, welche Dateianhänge abgefangen werden sollen. Wir bieten Ihnen Unterstützung. Wir konfigurieren Ihren Mailserver, dass die grössten Risiken eliminiert werden.

Wenn Sie keinen Exchange Server eingerichtet haben, gibt es natürlich trotzdem eine Lösung für Sie! Wir arbeiten mit Tools von renommierten Herstellern zusammen. GFI Mail Essentials ist ein professionelle Software die E-Mails mit der Antiviren-Engine von fünf verschiedenen Herstellern scannt. Es lässt sich genau einstellen, welche Anhänge erlaubt sind. Sollte ein Mitarbeiter eine wichtige E-Mail mit einem unerlaubten Dateianhang erhalten, wird die Nachricht ohne Anhang zugestellt.

Sind Sie oft auf den Empfang oder Versand von Worddateien angewiesen, möchten aber gleichwohl den E-Mailverkehr sicherer gestalten? Auch dafür haben wir eine Lösung bereit.

Kontaktieren Sie uns!

Eine hundertprozentige Sicherheit ist nicht möglich. Die Risiken können jedoch mit entsprechenden Massnahmen  massiv minimiert werden.

Das könnte Sie ebenfalls interessieren:

Die E-Mail im Wortlaut*

Betreff: Sehr geehrte Damen und Herren, Die Fälligkeit Ihrer Rechnung 0805762 für [Firmenname Muster AG Zürich]
Dateianhang[Firmenname Muster AG Zürich].doc
Text: Sehr geehrte Damen und Herren
Wir kontaktieren Sie mit Bezug auf die Rechnung #0616-18120804 für [Firmenname Muster AG Zürich]. Ihre Rechnung ist seit dem 29. Mai 2016 offen und der ausstehende Betrag beträgt 2,754.00 SFr. Wir möchten Sie freundlich bitten, den ausstehenden Betrag schnellstmöglich zu begleichen.
Wir sind dankbar für Ihre prompte Begleichung des Betrages. Bitte schreiben Sie uns, wenn unsere Unterstützung benötigen.
Freundliche Grüsse,
[Vorname Name Funktion]
[Firmenname Muster II AG]
[Telefonnummer]

. * Um das betroffene Unternehmen zu schützen, wurden die Firmenbezeichnungen entfernt und Platzhalter [ ] eingefügt.

post

Swiss Vulnerability Report 2016

Der Swiss Vulnerability Report (SVR) der Firma First Security Technology AG (FST) informiert jährlich über die Sicherheit der Schweizer Internet-Landschaft. Die Schweizer Firma spezialisiert sich auf die Herstellung von IT-Schwachstellen-Analysesysteme und das entsprechende Management.

Mehrere Schwachstellen bieten ein Einfallstor in kleinen und grossen Unternehmen

Die Meldungen von gehackten Unternehmungen steigen kontinuierlich und ein Ende ist momentan nicht in Sicht. Sämtliche Branchen sind davon betroffen. Vermeintlich gut geschützte Unternehmen genauso wie KMU, die der Meinung sind, bei ihnen sei nichts zu holen. Für den erfolgreichen Einbruch in IT Systeme und Datenmissbrauch nutzen Cyberkriminelle wie auch Geheimdienste Schwachstellen aus. Viele sind der überzeugt, dass sich diese aufgrund der Softwareinstallationen ergeben. Jedoch sind unprofessionelle Konfigurationen von IT Systemen, wie beispielsweise Standard Passwörter oder das Aktivieren von unnötigen Diensten sehr verbreitet.

Aktuelle Erkenntnisse

Der Report zeigt die Angriffsfläche aus Sicht des Internets auf Schweizer Unternehmen und Privatpersonen. Die durchgeführte Inventarisierung auf über 19 Millionen IP-Adressen, gibt genaue Auskunft über die sichtbaren Systeme im Schweizer Internet:

• Viele Consumer Electronics und Hausautomationssysteme sind sichtbar und wenig geschützt
Diese Systeme wurden meist nicht mit Bezug auf Sicherheit entwickelt. Solche Geräte wie z.B. Smart TVs findet man immer öfters in Firmen und bietet ein Einfallstor, wenn diese direkt aus dem Internet ansprechbar sind.

• Verschlüsselte Protokolle nehmen stark zu
Die letzten zwei Jahre haben gezeigt, dass in SSL und TLS Verschlüsselungen einige Schwachstellen mit teils gravierenden Auswirkungen vorhanden sind. Bei über 26‘000 Diensten ist der Private Key mittels Cyberangriff auslesbar. Eine codierte Verbindung muss also nicht zwingend sicher sein.

• Weniger Datenbanken sind direkt erreichbar als die Jahre zuvor
Das Sicherheitsbewusstsein hat auch bei den Datenbanken Einzug gehalten.

• Web und E-Mail sind die am häufigsten angebotenen Dienste
Die Web Services sind die mit Abstand am Meisten angebotenen Dienste. Zugenommen hat dieses Jahr die Anzahl von HTTPS Diensten. Die verschlüsselte Variante findet sich über 225‘000 mal im Schweizer Internet. Die unverschlüsselte Variante findet sich dagegen nur noch 180‘000. Der Trend zeigt, dass Verbindungen über das Internet mit Verschlüsselung sicherer gestaltet werden.

• Viele Firewall Administrations-Logins sind direkt aus dem Internet erreichbar
Passwörter und sensitive Informationen dürfen nie unverschlüsselt übermittelt werden. Der Report zeigt jedoch, dass noch immer viele Remote- und Administrationszugänge nicht oder nur ungenügend verschlüsselt sind. Aber auch via E-Mail wird oft unverschlüsselt kommuniziert. Damit ist nicht nur die unverschlüsselte E-Mail gemeint, sondern auch die unverschlüsselte Authentifizierung beim Empfangen und Versenden von E-Mails. Passwörter für den E-Mail-Zugang, die als Text übermittelt werden, lassen sich sehr simpel abfangen.

Gefährdungspotenzial

NAS Geräte und das Internet der Dinge (IoT) zeigen viele Schwachstellen und sollten nicht ungeschützt via Internet erreichbar sein

• Web-Dienste weisen die meisten Schwachstellen auf und bieten die grösste Angriffsfläche für eine IT-Infrastruktur

Neue Schwachstellen in Verschlüsselungstechniken wie SSL und TLS sind im Swiss Vulnerability Report 2016 in einem eigenen Kapitel thematisiert. Ein besonderes Augenmerk wurde auf die Falschkonfiguration von Systemen gelenkt. Die Untersuchung zeigt, dass immer wieder Dienste aktiv sind, welche der IT unbekannt oder nicht dokumentiert sind. Meistens handelt es sich dabei um Systeme oder Dienste, welche nicht für diesen Zweck entwickelt wurden.

IT-Schwachstellen durch falsche oder fehlende Konfigurationen

• FTP Zugang ohne Passwort (z.B. NAS)

• Standard Passwörter der Gerätehersteller von Firewall und Routern

• Informationen über interne Netzwerkinformationen durch Windows Dienste SMB und NTLM sichtbar

Die genauen Erkenntnisse und weitere Informationen zur Untersuchung der 19 Millionen Schweizer IP-Adressen sind im Swiss Vulnerability Report 2016 der Firma First Security Technology AG aufgeführt.

Benötigen Sie Unterstützung?

Ist Ihre IT-Infrastruktur aktuell und sicher? InfoSoft Systems ist Ihr Partner für IT-Lösungen. Kontaktieren Sie uns.

Quelle: https://www.first-security.com (22. Juni 2016)
post

Universität bezahlt Lösegeld für verschlüsselte Daten

Cyberkriminelle haben den E-Mail-Server der University of Calgary in Kanada verschlüsselt. Die Universität gab bekannt, dass man Hackern 20’000 kanadische Dollar (ca. CHF 15’100.-) bezahlte, für die Herausgabe des Wiederherstellungsschlüssels.

Ransomware-Angriffe

Es handelt sich um den jüngsten Angriff in einer Abfolge sogenannter Ransomware-Attacken gegen öffentliche Einrichtungen in den USA und Kanada. Die Hacker dringen dabei in einen fremden Computer oder ein Netzwerk ein und verschlüsseln anschliessend das gesamte System, so dass den Nutzern der Zugriff auf ihre Daten verwehrt bleibt. Die Kriminellen verlangen von den Opfern vielfach ein Lösegeld für den Schlüssel. Ob der Schlüssel tatsächlich herausgegeben wird und funktioniert kann nicht gewährleistet werden. Die Anwender des infizierten Systems sind vollkommen abhängig, da auf keine Daten mehr zugegriffen werden kann. Im Fall der Universität von Calgary hatten die Studierenden, Professoren und anderen Mitarbeitende während 10 Tagen keinen E-Mail-Zugriff, bevor die Daten wieder entschlüsselt wurden.

Zahlung sorgt für Empörung

Laut der Universitätsleitung gibt es keine Hinweis darauf, dass persönliche oder geschäftliche Daten öffentlich gemacht worden seien. Dass man der Lösegeldforderung nachgibt und die Kriminellen bezahlt, stösst auf Kritik. Damit habe die Universität die Bedrohung für andere Einrichtungen erhöht, kommentierte ein IT-Verantwortlicher einer weiteren kanadischen Universität in New Brunswick.

E-Mailanhänge und Links immer zuerst hinterfragen

Fast immer werden solche Verschlüsselungstrojaner über gefälschte E-Mails oder Links eingeschleust. Als beste Präventivmassnahme gilt neben der kritischen Hinterfragung sämtlicher Links und Dateianhänge, eine regelmässige und vollständige externe Datensicherung, welche bei einem solchen Angriff eingesetzt werden kann. Ebenfalls ist eine Firewall und ein aktueller Virenschutz Pflicht für IT-Infrastrukturen von Unternehmen und Organisationen.

Quelle: www.cbc.ca (8. Juni 2016)
post

Banking-Trojaner Retefe ist wieder aktiv

Eine neue Ausbreitung des Banking-Trojaners Retefe ist derzeit im Gang. Das Internet Storm Center (ISC) beobachtet insbesondere in der Schweiz, Österreich, Schweden und Japan ein Anstieg solcher Computer-Infektionen. Retefe hat Windows-Anwender im Visier und verteilt sich hauptsächlich über schädliche E-Mail-Anhänge.

Installation von gefälschtem Zertifikat auf dem Computer

In Windows erfasst Retefe einen neuen DNS-Server und installiert ein Zertifikat. Das Opfer landet daher auf einer Seite der Cyberkriminellen, wenn die Website der Bank aufgerufen wird. Diese Verbindung ist sogar verschlüsselt und wird vom Webbrowser als vertrauenswürdig eingestuft, weil das Zertifikat von dem Trojaner beglaubigt wurde. Was Retefe besonders raffiniert und gefährlich macht: Der Trojaner löscht sich selbst und bleibt dem Virenscanner dadurch unbemerkt.

Der nächste Schritt des Angriffs geschieht auf dem Smartphone: In Android wird dem Nutzer ein Trojaner untergeschoben, welcher den von der Bank per SMS versandten Token abfängt und damit die Zwei-Faktor-Authentifizierung aushebelt.

Wie die betrügerischen E-Mails daherkommen, ist derzeit nicht bekannt. Aktuell werden hauptsächlich Zip-Dateien mit schädlichem JavaScript als Verursacher eruiert. Die Akteure hinter Erpressungs-Trojanern wie Petya haben in vergangenen Fällen auf gefälschte Bewerbungs- und Rechnungsschreiben als Verbreitungsweg gesetzt.

Retefe ist seit 2013 bekannt und verbreitete sich in der Schweiz erstmals 2014. Gemäss der Melde- und Analysestelle Informationssicherung (Melani) haben die meisten Schweizer Banken damals Massnahmen gegen den Trojaner getroffen.

Vorsichtsmassnahmen

Für solche Bedrohungen sollten insbesondere Betriebssystem und Software immer auf dem aktuellsten Stand gehalten werden. Das Öffnen von Attachments sollte nur mit höchster Vorsicht durchgeführt werden. Des Weiteren ist ein aktueller Antivirenschutz und eine regelmässige Datensicherung Pflicht. Unter Android sollten keine Applikationen aus inoffiziellen Quellen installiert werden. Benutzen Sie nur den offiziellen Google Play Store. Genauere Präventionsmassnahmen haben wir im Beitrag zum Krypto-Trojaner Locky und E-Mail mit infizierter Zip-Datei beschrieben.

Möchten Sie Ihr Unternehmensnetzwerk gegen Bedrohungen sichern und professionell schützen? InfoSoft Systems ist Ihr Partner für IT-Lösungen. Nehmen Sie mit uns Kontakt auf.

Quelle: heise.de

 

post

Passwörter von 6‘000 E-Mail-Konten bekannt

Die Melde- und Analysestelle Informationssicherung MELANI hat 6000 Adressen zu E-Mail Konten erhalten, die offenbar gehackt wurden. Diese Daten könnten möglicherweise für illegale Zwecke missbraucht werden. Die entsprechenden Zugangsdaten könnten für Betrug, Erpressung, Phishing usw. unrechtmässig verwendet werden.

Ist meine E-Mailadresse davon betroffen?

MELANI hat aufgrund dessen ein Online-Tool publiziert, mit dem umgehend überprüft werden kann, ob eine E-Mail Adresse davon betroffen ist. Das Tool kann unter https://www.checktool.ch aufgerufen werden. MELANI rät allen Personen und Unternehmen, diesen Check durchzuführen. Sollte ein E-Mail-Konto betroffen sein, gibt das Online-Tool eine entsprechende Meldung aus.

Ist Ihre E-Mailadresse davon betroffen, empfiehlt MELANI folgende Massnahmen:

  • Ändern Sie das Passwort des E-Mail-Kontos sofort.
  • Auch alle anderen online verwendeten Passwörter sollten unverzüglich geändert werden. Insbesondere, wenn Sie das für das E-Mail-Konto verwendete Passwort auch für andere Dienste (Online-Shops, E-Banking usw.) verwendet haben.
  • Alle in den E-Mail-Kontakten aufgeführten Personen dahingehend informieren, dass sie beim Empfang von E-Mails mit Ihrem Absender vorsichtig sein und im Zweifelsfall bei Ihnen rückfragen sollen.
  • Überprüfen Sie in den nächsten Wochen jegliche Art von Kontoauszügen, iTunes-Belastungen usw. Sollten Sie Unregelmässigkeiten feststellen, setzen Sie sich bitte sofort mit Ihrer Bank respektive dem entsprechenden Unternehmen in Verbindung.

MELANI empfiehlt zusätzlich folgende Links zu konsultieren für den sicheren Umgang im Internet und mit Online-Diensten:

post

Gefälschte Warnung enthält Virus

Cyberkriminelle verschicken im Namen des deutschen Bundeskriminalamt (BKA) E-Mails mit dem Betreff “Offizielle Warnung vor Computervirus Locky”. Das angebliche Entfernungs-Tool im Mailanhang enthält einen Trojaner.

Aktuell kursieren Mails mit dem Betreff “Offizielle Warnung vor Computervirus Locky”, die vermeintlich vom Bundeskriminalamt stammt, wie die Internationale Koordinationsstelle zur Bekämpfung von Internetmissbrauch (www.mimikama.at) berichtet. In den Mails wird behauptet, dass das BKA in Kooperation mit Herstellern von Antiviren-Software einen Sicherheitsratsgeber publiziert hat, der erklärt, wie man sich vor dem Erpressungs-Trojaner Locky schützen kann.

Die E-Mail erscheint wie folgt:

Betreff: Offizielle Warnung vor Computervirus Locky

Offizielle Warnung vor Computervirus Locky

Aufgrund wiederholter Email mit Nachfragen wie man sich im Falle einer Infektion mit dem Computervirus „Locky“ zu verhalten hat, haben Wir uns dazu entschieden in Kooperation mit Anti Virensoftware Herstellern einen Sicherheitsratgeber zu Verfügungzu stellen in dem ihnen erklärt wird wie sie eine Infektion mit dem Virus vermeiden können und sich im Falle einer Infektion richtig zu verhalten haben. Sofern Sie noch nicht darüber informiert worden sind was der Locky Virus anrichtet haben wir für Sie alles noch einmal kurz zusammengefasst. Bei dem Locky Virus handelt es sich um einen sogenannten Kryptolocker der gezielt wichtige Dateien auf ihrem Computer verschlüsselt und für Sie unbrauchbar macht. Die Dateien können Sie nur wieder gegen eine Zahlung brauchbar machen. Das Problematische an diesem Virus besteht darin, dass es sich nicht um einen gewöhnlichen Virus handelt und wir deswegen noch mit Hochdruck in Kooperation mit Anti Virenhersteller an einer Lösung arbeiten um diesen Virus zu entfernen Den oben erwähnte Sicherheitsratgeber sowie ein eigenhändig durch das Bundeskriminalamt entwickelte Analyse Tool können Sie sich aus dem Anhang herunterladen
Mit freundlichen Grüßen

Steven Braun (IT Beauftragter)
Bundeskriminalamt
65173 Wiesbaden
Tel.: +49 (0)611 55 – 0
Fax: +49 (0)611 55 – 12141
E-Mail: impressum-bka-internetauftritt@bka.de

Locky Removal Kit infiziert den Computer

Ein “Analyse-Tool” namens “BKA Locky Removal Kit.exe” ist der entsprechenden E-Mail angehängt. Die Datei sollte auf keinen Fall ausgeführt werden: Es handelt sich nicht um ein Schutzprogramm, sondern um einen Trojaner. Die in der Signatur angegebene Mail-Adresse (impressum-bka-internetauftritt@bka.de) haben die Kriminellen offenbar von der Website des BKA übernommen.

Was Anwender gegen den Erpressungs-Trojaner Locky tun können, wird in diesem Beitrag aufgezeigt.

post

Krypto-Trojaner Locky im Vormarsch

 

Die erpresserische Schadsoftware Locky verbreitet sich auch in Deutschland. Sicherheitsforscher zählen bis zu 5’000 Infektionen pro Stunde. Bei Locky handelt es sich um einen Trojaner, der beim Befall die Daten des Nutzers verschlüsselt und sie erst nach Zahlung eines Lösegelds wieder freigeben soll. 

Unternehmen sind besonders gefährdet. Vielfach wird die Schadsoftware über E-Mailanhänge eingeschleust und kann sämtliche Dateien und verbundene Laufwerke chiffrieren. Essentiell ist deshalb ein entsprechender Schutz, um bei einer Infektion keine Dateien zu verlieren. Gemäss Bericht von heise.de hat Locky nicht nur viele Privatnutzer befallen, sondern auch die Daten auf einem Server des Fraunhofer-Instituts in Bayreuth unzugänglich gemacht. Offenbar sind auch Cloud-Speicher nicht vor der Schadsoftware sicher.

Betriebsausfälle in Spitälern

Wie heise.de berichtet, wurde vergangene Woche ein Krankenhaus in Los Angeles vom Verschlüsselungstrojaner heimgesucht. Das Krankenhaus entschied sich für eine Zahlung mit Bitcoins im Wert von 15’000 Euro. Der Klinik-Chef musste sich auf die Versprechen der Erpresser verlassen und sprach von der schnellsten und effizientesten Methode die nicht mehr funktionale IT wiederherzustellen!

In Deutschland hat sich anfangs Februar ein ähnlicher Fall ereignet, wo Ransomware die IT-Infrastruktur infiziert hat. Auslöser war ein angeklickter Dateianhang. Mehrere Operationen mussten verschoben werden. Eine Lösegeldzahlung konnte jedoch verhindert werden. Dank dem zeitnahen Backup konnten sämtliche Daten in Kürze wiederhergestellt werden.

Empfehlung

Planen Sie voraus! Schauen Sie, dass Sie im Ernstfall eine saubere Datensicherung zur Hand haben und nicht abhängig sind von Erpressern. Führen Sie regelmässige Datensicherungen aus und entfernen Sie den Datenträger nach dem Backup vom Computer. Einen solchen Datenträger, wie beispielsweise eine externe Festplatte, kann der Trojaner nicht verschlüsseln. Ausserdem sollte das Betriebssystem, der Internetbrowser und notwendige Drittkomponenten immer aktuell gehalten werden. Ein Virenscanner muss ebenfalls zwingend aktiv und aktuell sein.

Insbesondere E-Mails mit Links und Dateianhängen sollten immer mit Vorsicht behandelt werden. Tipps zum korrekten Umgang mit Dateianhängen in E-Mails sind in diesem Beitrag aufgeführt.

InfoSoft Systems unterstützt Sie gerne beim Schutz Ihrer IT-Infrastruktur und der Planung und Durchführung von Datensicherungen. Nehmen Sie mit uns Kontakt auf.

Makroausführungen deaktivieren

Da sich diese Schadsoftware offenbar über Office-Dokumente einschleust, sollte Microsoft Office so konfiguriert werden, dass Makros nicht automatisch ausgeführt werden.

Dazu gehen Sie wie folgt vor. Klicken Sie auf «Datei > Optionen», öffnen Sie «Trust Center» und dann «Einstellungen für das Trust Center» und stellen Sie sicher, dass die Option «Alle Makros mit Benachrichtigung deaktivieren» eingeschaltet ist. Vermeiden Sie auf jeden Fall, dass die unterste Option aktiv ist, welche alle Makros aktiviert.

Weitere Tipps zur Vorsorge sind im Beitrag zum Trojaner TeslaCrypt beschrieben.

 

post

IT-Security: Voraussagen 2016

Cyber-Sicherheit: Die Kaspersky-Voraussagen für 2016

Das Internet verändert sich von Jahr zu Jahr und auch die Bedrohungen halten damit Schritt. Zum Ende des Jahres blickt der Sicherheitslösungsentwickler Kaspersky Lab in die Kristallkugel und prophezeit, welche Cyber-Bedrohungen auf Heimanwender und Firmen im nächsten Jahr zukommen werden könnten.

Bedrohungen für Heimanwender

Im Jahr 2015 hatten viele Nutzer mit Ransomware-Angriffen (Schadsoftware) zu kämpfen. Das wird sich im nächsten Jahr fortsetzen und verschärfen. Denn Cyberkriminelle können mit diesen Schädlingen viel Profit erzielen. Massenhafte Infizierungen sind relativ günstig und bringen direkte Monetarisierung, da die Opfer vielfach ein Lösegeld bezahlen. (Siehe Beitrag Verschlüsselungstrojaner TeslaCrypt)

Im nächsten Jahr könnten sich die Ransomware-Entwickler auch auf neue Plattformen konzentrieren. Ein Angriff auf Linux-Geräte wurde bereits entdeckt. Noch interessanter für Hacker könnte Mac OS X sein, da die Besitzer teurer Apple-Geräte potenziell auch mehr Lösegeld bezahlen können. Zudem ist es gut möglich, dass neue Ransomware-Varianten verschiedene Geräte des Internet der Dinge (IoT) sperren werden. Kühlschrank, Smartwatch oder Fernseher könnten deaktiviert werden und an eine Lösegeldforderung gekoppelt sein.

ransomware-pay-loesegeld

Ein weiterer Trend dreht sich um Erpressung mit gestohlenen Fotos und gehackten Konten. Datendiebstähle, veröffentlichte Nacktfotos verschiedener Stars, sowie die persönlichen Daten von Ashley-Madison-Anwendern sind prominente Beispiele dafür. Datenbanken werden von verschiedenen Personen und aus unterschiedlichen Gründen veröffentlicht. Manche verlangen ein Lösegeld, andere wollen sich nur profilieren. Und manchmal veröffentlichen Hacker solche Daten, um bestimmte Personen und Organisationen zu diskreditieren. Egal, welche Ziele die Täter verfolgen, im Jahr 2016 kann mit einer Steigerung solcher Angriffe gerechnet werden.

Lange Zeit hatten Transportmittel keine Verbindung zum Internet. Das ist bei heutigen Neuwagen anders und und bringt neue Gefahren mit sich. Es wurden bereits erfolgreiche Cyberangriffe registriert, mit dem Ziel, bestimmte Automodelle zu hacken und die Kontrolle über deren Systeme zu übernehmen. Dank selbstfahrender Autos werden Fernsteuerungssysteme immer verbreiteter und werden früher oder später auf jeden Fall die Aufmerksamkeit von Hackern auf sich ziehen. Die Täter werden sich wahrscheinlich nicht auf die Systeme selbst konzentrieren, sondern eher auf spezielle Protokolle, die für die Kommunikation zwischen den Autos zuständig sind. Wenn sie es schaffen, diese zu kompromittieren, können sie gefälschte Befehle an die Autos senden.

Was sind die grössten Gefahren für Firmen?

Wenn man vom Jahr 2015 ausgeht, werden grossangelegte Advanced Persistent Threats (APT) gegen Länder und Organisationen, so wie wir sie heute kennen, fast vollständig verschwinden. Aber es ist mit neuen Varianten zu rechnen: Hacker sind gerade dabei, von massgefertigten Schadprogrammen auf die Verbesserung existierender serienmässig produzierter Entwicklungen umzusteigen, so dass sie weniger Spuren hinterlassen. Dieser Ansatz macht es für Sicherheits-Experten schwerer, die Kriminellen aufzuspüren. Und es ist günstiger: Hoher Profit bei geringer Investition wartet auf die Kunden der Hacker.

Heute ist jede kriminelle Cyber-Kampagne einzigartig und wird von Grund auf entwickelt. Aber es ist gut möglich, dass wir das bald als angebotenen Service sehen werden. Kriminelle könnten sogar damit beginnen, nicht die Kampagne selbst, sondern das Ergebnis eines Einbruchs zu vermarkten: Zugriff auf Daten und Systeme von Opfern, die vorher gehackt wurden.

Im Jahr 2015 griffen Hacker erfolgreich Banken und Finanzdienstleister an, im Jahr 2016 werden sich diese und ähnliche Angriffe noch erhöhen. Und auch wenn der Grossteil dieser Attacken gegen Geldautomaten gerichtet war, so gab es doch auch Täter wie die Carbanak-Gruppe, die weltweit von dutzenden Banken etwa eine Milliarde Dollar gestohlen hat. Apple Pay, Samsung Pay und Android Pay könnten zu den nächsten Zielen der Kriminellen gehören, zusammen mit anderen neuen, noch ungetesteten Finanzdiensten.

carbanak-bank-diebstahl-1-milliarde-usd-kaspersky-security_stories_de_1024

Was ist sonst noch möglich?

Das Internet ist noch relativ jung, entwickelt sich aber so schnell weiter, dass manche Technologien, die tief im Internet liegen, bereits veraltet sind. Oder sie können einfach nicht mehr mit dem modernen Design des Internet mithalten. Verschiedene Probleme tauchen vereinzelt auf: Botnetze werden in Routern gefunden, BGP — das wichtigste Routing-Protokoll des Internet — kann kompromittiert werden, zahlreiche Angriffe auf DNS-Einstellungen von Routern werden durchgeführt. Das Internet verändert sich, insbesondere wenn Regierungen immer mehr Kontrolle darüber übernehmen. In diesem Fall wird das Internet in Anlehnung an die Ländergrenzen aufgeteilt werden. Das Internet ist bereits heute in China ganz anders als das, was die Anwender in Deutschland, den USA oder in Russland sehen.

Ein Ergebnis ist, dass viele Seiten und Dienste in den Untergrund gehen. Anwender werden für den Zugriff auf spezifische Informationen zahlen müssen. Diesem Markt wird ein konstantes Wachstum vorausgesagt. Gleichzeitig werden auch Anonymisierungstechniken weiterentwickelt werden.

Ein weiteres globales Problem könnte sogar noch grösser sein: Bisher unhackbare Dinge könnten hackbar werden. Moderne Verschlüsselungsstandards wurden so entwickelt, dass sie mit den existierenden Computern nicht geknackt werden können, doch der Rechenleistung von Quantencomputern und anderer kommender Technologien können sie nicht standhalten. Sollten Kriminelle in naher Zukunft in den Besitz von Quantencomputern gelangen, müssen Experten die heutigen Verschlüsselungstechnologien komplett neu entwickeln.

Weitere Voraussagen für das kommende Jahr finden Sie im ausführlichen Bericht von Securelist.