post

Universität bezahlt Lösegeld für verschlüsselte Daten

Cyberkriminelle haben den E-Mail-Server der University of Calgary in Kanada verschlüsselt. Die Universität gab bekannt, dass man Hackern 20’000 kanadische Dollar (ca. CHF 15’100.-) bezahlte, für die Herausgabe des Wiederherstellungsschlüssels.

Ransomware-Angriffe

Es handelt sich um den jüngsten Angriff in einer Abfolge sogenannter Ransomware-Attacken gegen öffentliche Einrichtungen in den USA und Kanada. Die Hacker dringen dabei in einen fremden Computer oder ein Netzwerk ein und verschlüsseln anschliessend das gesamte System, so dass den Nutzern der Zugriff auf ihre Daten verwehrt bleibt. Die Kriminellen verlangen von den Opfern vielfach ein Lösegeld für den Schlüssel. Ob der Schlüssel tatsächlich herausgegeben wird und funktioniert kann nicht gewährleistet werden. Die Anwender des infizierten Systems sind vollkommen abhängig, da auf keine Daten mehr zugegriffen werden kann. Im Fall der Universität von Calgary hatten die Studierenden, Professoren und anderen Mitarbeitende während 10 Tagen keinen E-Mail-Zugriff, bevor die Daten wieder entschlüsselt wurden.

Zahlung sorgt für Empörung

Laut der Universitätsleitung gibt es keine Hinweis darauf, dass persönliche oder geschäftliche Daten öffentlich gemacht worden seien. Dass man der Lösegeldforderung nachgibt und die Kriminellen bezahlt, stösst auf Kritik. Damit habe die Universität die Bedrohung für andere Einrichtungen erhöht, kommentierte ein IT-Verantwortlicher einer weiteren kanadischen Universität in New Brunswick.

E-Mailanhänge und Links immer zuerst hinterfragen

Fast immer werden solche Verschlüsselungstrojaner über gefälschte E-Mails oder Links eingeschleust. Als beste Präventivmassnahme gilt neben der kritischen Hinterfragung sämtlicher Links und Dateianhänge, eine regelmässige und vollständige externe Datensicherung, welche bei einem solchen Angriff eingesetzt werden kann. Ebenfalls ist eine Firewall und ein aktueller Virenschutz Pflicht für IT-Infrastrukturen von Unternehmen und Organisationen.

Quelle: www.cbc.ca (8. Juni 2016)
post

«Rechnungen» mit Ransomware im Umlauf

Gemäss dem Bundesamt für Polizei (fedpol) sind vermehrt Meldungen zu betrügerischen E-Mails, die angebliche Rechnungen und ein Word-Attachement eingegangen. Es handelt sich bei diesen angeblichen Rechnungen um den Versuch Ransomware zu verbreiten. Das Öffnen der Datei erzeugt automatisch den Download einer Schadsoftware. Der Inhalt der E-Mail ist immer unterschiedlich. Die beiden Beispiele ähneln echten Nachrichten sehr stark. Es wird eine angemessene Ansprache, ein korrektes Deutsch, täuschend echte Firmennamen und Rechtsformen und Schweizer Franken verwendet. Die erwähnten Firmen haben jeweils andere Bezeichnungen und der Rechnungsbetrag ist ebenfalls unterschiedlich. Diese Ransomware verschlüsselt sowohl Dateien des lokalen Computers, wie auch Dateien, die sich möglicherweise im Netzwerk befinden.

Fedpol empfiehlt den Anwendern dringend, die E-Mail zu löschen und auf keinen Fall den Anhang zu öffnen. Wer das Attachement bereits geöffnet hat und dadurch einen Schaden erlitt, kann dies bei der Kantonspolizei zur Anzeige bringen.

Screenshots von Beispielen

Wir unterstützen Sie!

Ist Ihr Unternehmen gut gerüstet gegen Trojaner, Ransomware und Virenangriffe? InfoSoft Systems analysiert die Schwachstellen in Ihrem Netzwerk und hilft Ihnen dabei sich optimal zu schützen. Kontaktieren Sie uns.

Quelle und weitere Informationen: https://www.fedpol.admin.ch (31.05.2016)
post

IT-Bedrohungen im Q1 2016

Das Jahr 2016 ist noch nicht einmal in der Hälfte, doch im Bereich Cyberverbrechen ist in den ersten drei Monaten so viel passiert, wie vor ein paar Jahren während dem ganzen Jahr. Die Tendenzen im Zusammenhang mit der traditionellen Cyberkriminalität, insbesondere in den Bereichen Bedrohungen für mobile Geräte und globale Epidemien von Erpresserprogrammen, haben sich deutlich verstärkt. Weitere Trends blieben unverändert.

Somit war Ransomware auch das Kernthema dieser Periode. Aufgrund der Ergebnisse wird sich die Situation auch weiterhin in diese Richtung entwickeln. Diese Erpressungsversuche werden im Jahr 2016 vermutlich zur grössten Herausforderung.

Das erste Quartal 2016 in Zahlen

Kaspersky Lab Produkte wehrten laut den Daten des Kaspersky Security Network (KSN) 228 Mio. Attacken von Internet-Ressourcen ab. Diese befinden sich in insgesamt 195 Ländern.

Ergebnisbericht von Kaspersky Anti-Virus

  • Alarmmeldung bei 74 Mio. individuellen URLs
  • 18 Mio. individuelle Schadobjekte aufgespürt (Skripte, Exploits, ausführbare Dateien und andere)
  • Abwehr von Infektionsversuchen durch Malware bei fast 460’00 Nutzern (insbesondere Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten)
  • Abwehr durch Ransomware-Angriffe bei 372’000 individuellen Anwendern
  • Registrierung von 174 Mio. individuellen schädlichen und potenziell unerwünschten Objekten

Auswertung Kaspersky-Lab-Produkte zum Schutz mobiler Geräte

  • 2 Mio. schädliche Installationspakete
  • 4’000 mobile Banktrojaner
  • 2’900 mobile Erpresser-Trojaner

CYBERKRIMINALITÄT

Ransomware

Verschlüsselungstrojaner sind das Hauptthema des Quartals und es wird vermutet, dass dies bis zum Ende des Jahres so bleibt.

Zunehmend Sorge bereitet den Experten auch, dass der Quellcode von Verschlüsselungsschädlingen allen interessierten Personen zugänglich gemacht wurde. Das hat zur Folge, dass sich sogar Amateure (bspw. Script-Kiddies) ihre eigene Trojaner-Version zusammenbasteln können. Zusammen mit der Verwendung von Bitcoin zur Lösegeldzahlung wird die Organisation von Attacken erheblich erleichtert und erhöht die Wahrscheinlichkeit, dass solche Handlungen straffrei ausgehen.

Des Weiteren wird bereits vom Begriff RaaS – Ransomware-as-a-Service – gesprochen. Er beschreibt den Vorgang, bei dem Cyberkriminelle die Verbreitung eines Trojaners gegen Bezahlung anbieten und im Gegenzug versprechen, einen entsprechenden Anteil der Einnahmen abzugeben. Grösstenteils sind Webmaster von Porno-Webseiten Kunden solcher Angebote. Weitere Geschäftsmodelle sind ebenfalls gesichtet worden.

Die Kryptotrojaner erweiterten ihren Schädigungsbereich. Im ersten Quartal 2016 waren auch Webserver Angriffsobjekte von CTB-Locker. Die neue Version des CTB-Locker mit dem Namen Onion verschlüsselt Webserver. Es wird ein Lösegeld von rund einem halben Bitcoin gefordert (ca. 150 US-Dollar). Verstreicht die Frist ohne Bezahlung, verdoppelt sich das Lösegeld auf rund 300 US-Dollar. Wenn die Forderung beglichen wird, versprechen die Erpresser einen Schlüssel zur Dechiffrierung der Dateien auf dem Webserver zu generieren.

Früher nutzte der Schädling das anonyme Netzwerk Tor, um sich vor der Abschaltung seiner Steuerungsserver zu schützen, und hob sich dadurch von anderer Ransomware ab. Die Nutzung von Tor ermöglichte das der Schädling unentdeckt blieb und allenfalls blockiert würde. Des Weiteren schützte die dezentralisierte, anonyme Kryptowährung Bitcoin die Betreiber solcher Schädlinge.

Grösste Epidemie “Locky”

Der Verschlüsselungsschädling Locky erzeugte im ersten Quartal am meisten Infektionen (von Kaspersky als Trojan-Ransom.Win32.Locky erkannt). Der Schädling verbreitet sich immernoch rasant. Gemäss Kaspersky Lab wurde in 114 Ländern versucht Rechner mit diesem Trojaner zu infizieren. Um den Schädling in Umlauf zu bringen, versenden die Cyberverbrecher massenhaft Spam schädlichen Ladeprogrammen im Anhang. In der ersten Phase war die Ursache eine Word-Datei (.doc) mit Makros im Anhang, welche den Trojaner Locky herunterlud und ausführte. In der Zwischenzeit wird anstelle  der DOC-Datei ein ZIP-Archiv mit schädlichen Skripten angehängt. Die E-Mail ist meist auf Englisch verfasst, es existieren jedoch auch mehrsprachige Varianten.

Die bedeutendste technische Neuerung heutiger Ransomware besteht darin, nicht nur Dateien als solche, sondern die gesamte Festplatte, insbesondere die Master File Table, zu verschlüsseln. Der  Trojaner „Petya“ hat diesen Vorgang angewandt. Nach der Chiffrierung wird ein Totenschädel aus ASCII-Zeichen angezeigt. Darauf folgt der Teil, der für alle Verschlüsselungstrojaner typisch ist: Eine Lösegeldforderung von dem Opfer. Im entsprechenden Fall beträgt dies 0,9 Bitcoin (ungefähr 380 US-Dollar). „Petya“ arbeitet in dieser Phase, im Gegensatz zu anderer Erpressersoftware, ohne Verbindung zum Netz. Weitere Informationen dazu haben wir in diesem Beitrag beschrieben. Da das Betriebssystem zusammen mit der Möglichkeit, eine Verbindung zum Internet herzustellen, blockiert wurde, muss der Nutzer einen anderen Computer benutzen, um Lösegeld zu bezahlen.

An dieser Stelle möchten wir nochmals darauf hinweisen, dass wir nicht empfehlen den Lösegeldforderungen nachzukommen. Eine aktuelle Anti-Viren-Lösung mit Firewall, kombiniert mit einer regelmässigen Datensicherung ist der wirksamste Schutz. Wir unterstützen Sie gerne bei der Implementierung von solchen Lösungen.

Für das Mac Betriebssystem OS X wurde ebenfalls ein Verschlüsselungstrojaner entdeckt: Trojan-Ransom.OSX.KeRanger. In diesem Artikel wird darauf nicht näher eingegangen.

Verschlüsselungstrojaner: Kennzahlen Q1 2016

Die Verschlüsselungsschädlinge gehören zu den Erpressertrojanern (Klassifizierung Trojan-Ransom). Derzeit sind neben ihnen in dieser Klasse auch die so genannten Browser-Erpresser vertreten. Die Auswertung des ersten Quartals bringt folgende Zahlen hervor:

  • Zahl neuer Verschlüsselungstrojaner: 2’900
  • Zahl der von Verschlüsselungstrojanern angegriffenen Anwender: 345’900 (+30% im Vergleich zum Vorjahr)
  • Top 3 der von Verschlüsselungstrojanern angegriffenen Länder: 1.) Italien 2.) Niederlande 3.) Belgien

 Top 10 der am meisten verbreitetsten Verschlüsselungstrojaner

Auf die bedeutendsten Trojaner wird nachfolgend näher eingegangen.

1. Teslacrypt

Den Spitzenplatz belegte mit grossem Abstand die Familie Teslacrypt, die in zwei Varianten aufgetreten sind: Trojan-Ransom.Win32.Bitman und Trojan-Ransom.JS.Cryptoload. Genauer Informationen über die Verbreitung und Funktionsweise finden Sie im Beitrag.

 2. CTB-Locker

Auf Rang zwei befindet sich die Verschlüsseler-Familie CTB-Locker (Trojan-Ransom.Win32/NSIS.Onion). Für die Vertreter dieser Familie ist die Verbreitung mittels Partnerprogramm typisch sowie die Unterstützung zahlreicher Sprachen. Es wurden CTB-Locker für Server entdeckt (oben beschrieben). Diese Variante hat Dateien auf über 70 Servern in 10 Ländern angegriffen und verschlüsselt.

3. Cryptowall / Cryptodef

Platz drei belegt die Familie Trojan-Ransom.Win32.Cryptodef, welche auch unter dem Namen Cryptowall bekannt wurde. Verbreitet werden diese Schädlinge, wie auch Teslacrypt über Spam-Versendungen.

5. Scatter

Den fünften Platz besetzt die Verschlüsseler-Familie Scatter. Zum Jahresanfang wurde eine neue Verbreitungswelle dieses Schädlings mittels Spam-Mails beobachtet. Die E-Mails enthielten einen Link auf das JS-Skript JavascripT. Diese war getarnt, dass der Nutzer es herunterlud und lokal startete. Zusätzlich wurde beim Skriptausführen nicht nur Scatter gespeichert, sondern auch zwei weitere Schädlinge: Nitol ( DDoS-Bot) und Pony (Trojaner, der Informationen stiehlt, insbesondere Kennwörter).

7. Locky

Die Verschlüsselungstrojaner-Familie Locky, die den siebten Platz belegt, hebt sich durch eine weite geografische Verbreitung hervor, insbesondere in Europa. Die im Tor-Netzwerk untergebrachte Webseite der Cyberkriminellen, auf der ihre Forderungen stehen, unterstützt 24 Sprachen. Da keine Sprache der Gemeinschaft unabhängiger Staaten (GUS) benutzt wird, wird vom Kaspersky Security Network vermutet, dass der Ursprung von Locky aus diesen Kreisen stammt. Genauer Informationen zur Verbreitung von Locky finden Sie in diesem Beitrag.

Quelle: Securelist.com , 19. Mai 2016

 

post

Petya: Neuer Trojaner via Dropbox

Petya: Neuer Erpressungs-Trojaner verschlüsselt gesamten Rechner

Eine neue Ransomware hat es aktuell auf deutschsprachige Windows-Nutzer abgesehen. Petya wird über Dropbox verteilt und manipuliert die Festplatte, wodurch das Betriebssystem nicht mehr ausgeführt werden kann.

Der Erpressungs-Trojaner Petya verbreitet sich seit letzter Woche in deutschsprachigen Ländern und geht dabei einen ungewöhnlichen Weg: Statt nur bestimmte Dateitypen zu verschlüsseln, manipuliert er den Master-Boot-Record (MBR) der Festplatte, wodurch der gesamte Rechner blockiert wird. Die installierten Betriebssysteme werden nicht mehr ausgeführt.

Petya blockiert Betriebssystem

Nach der Manipulation erzeugt der Schädling einen Bluescreen, um den Rechner zu einem Neustart zu zwingen. Statt mit dem Windows-Startbildschirm, erscheint ein Totenkopfschädel in ASCII-Art. Die Erpresser behaupten, sämtliche Festplatten verschlüsselt zu haben und fordern das Opfer auf, Lösegeld auf einer Seite im Tor-Netz zu bezahlen. Zusätzlich wird das Opfer unter zeitlichen Druck gesetzt, indem ein Countdownzähler die Verdopplung des Preises ankündigt.

Petya hat es derzeit auf Windows-Nutzer abgesehen. Um die MBR-Manipulation durchführen zu können, fordert die Ransomware erhöhte Rechte an, was in der Windows-Standardkonfiguration zu einer Abfrage der Benutzerkontensteuerung (User Account Control, UAC) führt. Als Täuschungsversuch wird dabei als Icon der Trojaner-Datei das UAC-Logo (Windows Schutzschild) benutzt.

Details zur Verschlüsselung

Phase Eins: Simple Verschlüsselung des MBR
Zunächst verschlüsselt Petya nur den Master Boot Record (MBR) über ein einfaches XOR mit einem festen Wert. An dieser Stelle lässt sich der Schaden noch begrenzen. Unter anderem kann man die Festplatten extern einbinden und Daten sichern. Betroffene Nutzer berichten auch, dass sich an diesem Punkt der MBR mit Wiederherstellungs-Tools reparieren lässt. Danach bootet das System wieder normal. Allerdings muss man dazu wissen, dass man sich gerade infiziert hat und einen Neustart verhindern. Erscheinen solche Warnungen, sollte das System nur noch mit Rettungs-Medium gestartet werden.

Phase Zwei: Verschlüsselung der Daten
Im nächsten Schritt erzeugt der Trojaner einen Bluescreen, um das Opfer zum Neustart seines Systems zu zwingen. Nach dem Neustart läuft ein vorgetäuschtes “chkdsk”, welches die Dateisysteme verschlüsselt. Danach kann man nicht mehr direkt auf die Partitionen der Festplatte zugreifen. Allerdings scheint auch hier nicht gesamte Festplatte verschlüsselt zu sein. Gemäss heise lassen sich mit Hilfe von speziellen Forensik-Tools eventuell noch Daten retten.

Verbreitung über E-Mail und Dropbox

Nicht nur die Vorgehensweise, sondern auch der Verbreitungsweg von Petya ist ungewöhnlich. Die Erpresser verschicken E-Mails, die vermeintlich von einem Bewerber stammen, der sich für einen Job im Unternehmen bewirbt. Die Erscheinung wirkt täuschend echt! Die Mails sind in grammatikalisch korrektem Deutsch verfasst. Die angeblichen Bewerbungsunterlagen sind bei dem Cloud-Speicherdienst Dropbox hinterlegt, “weil die Datei für die Email zu gross war”.

Dropbox-Ordner heisst im untersuchten Fall “Bewerbungsmappe” und ist mit einem Bewerbungsfoto ausgestattet. Der Trojaner verbirgt sich in der Datei “Bewerbungsmappe-gepackt.exe”, die sich als ein selbstextrahierendes Archiv ausgibt. Als Programm-Symbol haben die Täter das Icon eines bekannten Pack-Programms gewählt.

Eine vollständige Analyse der Petya-Aktivitäten durch verschiedenste Sicherheitsforscher ist noch im Gange. Auf www.heise.de werden aktuelle Erkenntnisse publiziert und in diesem Beitrag eingefügt.

Wenn Sie von einem Verschlüsselungstrojaner betroffen sind, können Sie uns umgehend kontaktieren. Wir unterstützen Sie!

post

Gefälschte Warnung enthält Virus

Cyberkriminelle verschicken im Namen des deutschen Bundeskriminalamt (BKA) E-Mails mit dem Betreff “Offizielle Warnung vor Computervirus Locky”. Das angebliche Entfernungs-Tool im Mailanhang enthält einen Trojaner.

Aktuell kursieren Mails mit dem Betreff “Offizielle Warnung vor Computervirus Locky”, die vermeintlich vom Bundeskriminalamt stammt, wie die Internationale Koordinationsstelle zur Bekämpfung von Internetmissbrauch (www.mimikama.at) berichtet. In den Mails wird behauptet, dass das BKA in Kooperation mit Herstellern von Antiviren-Software einen Sicherheitsratsgeber publiziert hat, der erklärt, wie man sich vor dem Erpressungs-Trojaner Locky schützen kann.

Die E-Mail erscheint wie folgt:

Betreff: Offizielle Warnung vor Computervirus Locky

Offizielle Warnung vor Computervirus Locky

Aufgrund wiederholter Email mit Nachfragen wie man sich im Falle einer Infektion mit dem Computervirus „Locky“ zu verhalten hat, haben Wir uns dazu entschieden in Kooperation mit Anti Virensoftware Herstellern einen Sicherheitsratgeber zu Verfügungzu stellen in dem ihnen erklärt wird wie sie eine Infektion mit dem Virus vermeiden können und sich im Falle einer Infektion richtig zu verhalten haben. Sofern Sie noch nicht darüber informiert worden sind was der Locky Virus anrichtet haben wir für Sie alles noch einmal kurz zusammengefasst. Bei dem Locky Virus handelt es sich um einen sogenannten Kryptolocker der gezielt wichtige Dateien auf ihrem Computer verschlüsselt und für Sie unbrauchbar macht. Die Dateien können Sie nur wieder gegen eine Zahlung brauchbar machen. Das Problematische an diesem Virus besteht darin, dass es sich nicht um einen gewöhnlichen Virus handelt und wir deswegen noch mit Hochdruck in Kooperation mit Anti Virenhersteller an einer Lösung arbeiten um diesen Virus zu entfernen Den oben erwähnte Sicherheitsratgeber sowie ein eigenhändig durch das Bundeskriminalamt entwickelte Analyse Tool können Sie sich aus dem Anhang herunterladen
Mit freundlichen Grüßen

Steven Braun (IT Beauftragter)
Bundeskriminalamt
65173 Wiesbaden
Tel.: +49 (0)611 55 – 0
Fax: +49 (0)611 55 – 12141
E-Mail: impressum-bka-internetauftritt@bka.de

Locky Removal Kit infiziert den Computer

Ein “Analyse-Tool” namens “BKA Locky Removal Kit.exe” ist der entsprechenden E-Mail angehängt. Die Datei sollte auf keinen Fall ausgeführt werden: Es handelt sich nicht um ein Schutzprogramm, sondern um einen Trojaner. Die in der Signatur angegebene Mail-Adresse (impressum-bka-internetauftritt@bka.de) haben die Kriminellen offenbar von der Website des BKA übernommen.

Was Anwender gegen den Erpressungs-Trojaner Locky tun können, wird in diesem Beitrag aufgezeigt.

post

Krypto-Trojaner Locky im Vormarsch

 

Die erpresserische Schadsoftware Locky verbreitet sich auch in Deutschland. Sicherheitsforscher zählen bis zu 5’000 Infektionen pro Stunde. Bei Locky handelt es sich um einen Trojaner, der beim Befall die Daten des Nutzers verschlüsselt und sie erst nach Zahlung eines Lösegelds wieder freigeben soll. 

Unternehmen sind besonders gefährdet. Vielfach wird die Schadsoftware über E-Mailanhänge eingeschleust und kann sämtliche Dateien und verbundene Laufwerke chiffrieren. Essentiell ist deshalb ein entsprechender Schutz, um bei einer Infektion keine Dateien zu verlieren. Gemäss Bericht von heise.de hat Locky nicht nur viele Privatnutzer befallen, sondern auch die Daten auf einem Server des Fraunhofer-Instituts in Bayreuth unzugänglich gemacht. Offenbar sind auch Cloud-Speicher nicht vor der Schadsoftware sicher.

Betriebsausfälle in Spitälern

Wie heise.de berichtet, wurde vergangene Woche ein Krankenhaus in Los Angeles vom Verschlüsselungstrojaner heimgesucht. Das Krankenhaus entschied sich für eine Zahlung mit Bitcoins im Wert von 15’000 Euro. Der Klinik-Chef musste sich auf die Versprechen der Erpresser verlassen und sprach von der schnellsten und effizientesten Methode die nicht mehr funktionale IT wiederherzustellen!

In Deutschland hat sich anfangs Februar ein ähnlicher Fall ereignet, wo Ransomware die IT-Infrastruktur infiziert hat. Auslöser war ein angeklickter Dateianhang. Mehrere Operationen mussten verschoben werden. Eine Lösegeldzahlung konnte jedoch verhindert werden. Dank dem zeitnahen Backup konnten sämtliche Daten in Kürze wiederhergestellt werden.

Empfehlung

Planen Sie voraus! Schauen Sie, dass Sie im Ernstfall eine saubere Datensicherung zur Hand haben und nicht abhängig sind von Erpressern. Führen Sie regelmässige Datensicherungen aus und entfernen Sie den Datenträger nach dem Backup vom Computer. Einen solchen Datenträger, wie beispielsweise eine externe Festplatte, kann der Trojaner nicht verschlüsseln. Ausserdem sollte das Betriebssystem, der Internetbrowser und notwendige Drittkomponenten immer aktuell gehalten werden. Ein Virenscanner muss ebenfalls zwingend aktiv und aktuell sein.

Insbesondere E-Mails mit Links und Dateianhängen sollten immer mit Vorsicht behandelt werden. Tipps zum korrekten Umgang mit Dateianhängen in E-Mails sind in diesem Beitrag aufgeführt.

InfoSoft Systems unterstützt Sie gerne beim Schutz Ihrer IT-Infrastruktur und der Planung und Durchführung von Datensicherungen. Nehmen Sie mit uns Kontakt auf.

Makroausführungen deaktivieren

Da sich diese Schadsoftware offenbar über Office-Dokumente einschleust, sollte Microsoft Office so konfiguriert werden, dass Makros nicht automatisch ausgeführt werden.

Dazu gehen Sie wie folgt vor. Klicken Sie auf «Datei > Optionen», öffnen Sie «Trust Center» und dann «Einstellungen für das Trust Center» und stellen Sie sicher, dass die Option «Alle Makros mit Benachrichtigung deaktivieren» eingeschaltet ist. Vermeiden Sie auf jeden Fall, dass die unterste Option aktiv ist, welche alle Makros aktiviert.

Weitere Tipps zur Vorsorge sind im Beitrag zum Trojaner TeslaCrypt beschrieben.

 

post

IT-Security: Voraussagen 2016

Cyber-Sicherheit: Die Kaspersky-Voraussagen für 2016

Das Internet verändert sich von Jahr zu Jahr und auch die Bedrohungen halten damit Schritt. Zum Ende des Jahres blickt der Sicherheitslösungsentwickler Kaspersky Lab in die Kristallkugel und prophezeit, welche Cyber-Bedrohungen auf Heimanwender und Firmen im nächsten Jahr zukommen werden könnten.

Bedrohungen für Heimanwender

Im Jahr 2015 hatten viele Nutzer mit Ransomware-Angriffen (Schadsoftware) zu kämpfen. Das wird sich im nächsten Jahr fortsetzen und verschärfen. Denn Cyberkriminelle können mit diesen Schädlingen viel Profit erzielen. Massenhafte Infizierungen sind relativ günstig und bringen direkte Monetarisierung, da die Opfer vielfach ein Lösegeld bezahlen. (Siehe Beitrag Verschlüsselungstrojaner TeslaCrypt)

Im nächsten Jahr könnten sich die Ransomware-Entwickler auch auf neue Plattformen konzentrieren. Ein Angriff auf Linux-Geräte wurde bereits entdeckt. Noch interessanter für Hacker könnte Mac OS X sein, da die Besitzer teurer Apple-Geräte potenziell auch mehr Lösegeld bezahlen können. Zudem ist es gut möglich, dass neue Ransomware-Varianten verschiedene Geräte des Internet der Dinge (IoT) sperren werden. Kühlschrank, Smartwatch oder Fernseher könnten deaktiviert werden und an eine Lösegeldforderung gekoppelt sein.

ransomware-pay-loesegeld

Ein weiterer Trend dreht sich um Erpressung mit gestohlenen Fotos und gehackten Konten. Datendiebstähle, veröffentlichte Nacktfotos verschiedener Stars, sowie die persönlichen Daten von Ashley-Madison-Anwendern sind prominente Beispiele dafür. Datenbanken werden von verschiedenen Personen und aus unterschiedlichen Gründen veröffentlicht. Manche verlangen ein Lösegeld, andere wollen sich nur profilieren. Und manchmal veröffentlichen Hacker solche Daten, um bestimmte Personen und Organisationen zu diskreditieren. Egal, welche Ziele die Täter verfolgen, im Jahr 2016 kann mit einer Steigerung solcher Angriffe gerechnet werden.

Lange Zeit hatten Transportmittel keine Verbindung zum Internet. Das ist bei heutigen Neuwagen anders und und bringt neue Gefahren mit sich. Es wurden bereits erfolgreiche Cyberangriffe registriert, mit dem Ziel, bestimmte Automodelle zu hacken und die Kontrolle über deren Systeme zu übernehmen. Dank selbstfahrender Autos werden Fernsteuerungssysteme immer verbreiteter und werden früher oder später auf jeden Fall die Aufmerksamkeit von Hackern auf sich ziehen. Die Täter werden sich wahrscheinlich nicht auf die Systeme selbst konzentrieren, sondern eher auf spezielle Protokolle, die für die Kommunikation zwischen den Autos zuständig sind. Wenn sie es schaffen, diese zu kompromittieren, können sie gefälschte Befehle an die Autos senden.

Was sind die grössten Gefahren für Firmen?

Wenn man vom Jahr 2015 ausgeht, werden grossangelegte Advanced Persistent Threats (APT) gegen Länder und Organisationen, so wie wir sie heute kennen, fast vollständig verschwinden. Aber es ist mit neuen Varianten zu rechnen: Hacker sind gerade dabei, von massgefertigten Schadprogrammen auf die Verbesserung existierender serienmässig produzierter Entwicklungen umzusteigen, so dass sie weniger Spuren hinterlassen. Dieser Ansatz macht es für Sicherheits-Experten schwerer, die Kriminellen aufzuspüren. Und es ist günstiger: Hoher Profit bei geringer Investition wartet auf die Kunden der Hacker.

Heute ist jede kriminelle Cyber-Kampagne einzigartig und wird von Grund auf entwickelt. Aber es ist gut möglich, dass wir das bald als angebotenen Service sehen werden. Kriminelle könnten sogar damit beginnen, nicht die Kampagne selbst, sondern das Ergebnis eines Einbruchs zu vermarkten: Zugriff auf Daten und Systeme von Opfern, die vorher gehackt wurden.

Im Jahr 2015 griffen Hacker erfolgreich Banken und Finanzdienstleister an, im Jahr 2016 werden sich diese und ähnliche Angriffe noch erhöhen. Und auch wenn der Grossteil dieser Attacken gegen Geldautomaten gerichtet war, so gab es doch auch Täter wie die Carbanak-Gruppe, die weltweit von dutzenden Banken etwa eine Milliarde Dollar gestohlen hat. Apple Pay, Samsung Pay und Android Pay könnten zu den nächsten Zielen der Kriminellen gehören, zusammen mit anderen neuen, noch ungetesteten Finanzdiensten.

carbanak-bank-diebstahl-1-milliarde-usd-kaspersky-security_stories_de_1024

Was ist sonst noch möglich?

Das Internet ist noch relativ jung, entwickelt sich aber so schnell weiter, dass manche Technologien, die tief im Internet liegen, bereits veraltet sind. Oder sie können einfach nicht mehr mit dem modernen Design des Internet mithalten. Verschiedene Probleme tauchen vereinzelt auf: Botnetze werden in Routern gefunden, BGP — das wichtigste Routing-Protokoll des Internet — kann kompromittiert werden, zahlreiche Angriffe auf DNS-Einstellungen von Routern werden durchgeführt. Das Internet verändert sich, insbesondere wenn Regierungen immer mehr Kontrolle darüber übernehmen. In diesem Fall wird das Internet in Anlehnung an die Ländergrenzen aufgeteilt werden. Das Internet ist bereits heute in China ganz anders als das, was die Anwender in Deutschland, den USA oder in Russland sehen.

Ein Ergebnis ist, dass viele Seiten und Dienste in den Untergrund gehen. Anwender werden für den Zugriff auf spezifische Informationen zahlen müssen. Diesem Markt wird ein konstantes Wachstum vorausgesagt. Gleichzeitig werden auch Anonymisierungstechniken weiterentwickelt werden.

Ein weiteres globales Problem könnte sogar noch grösser sein: Bisher unhackbare Dinge könnten hackbar werden. Moderne Verschlüsselungsstandards wurden so entwickelt, dass sie mit den existierenden Computern nicht geknackt werden können, doch der Rechenleistung von Quantencomputern und anderer kommender Technologien können sie nicht standhalten. Sollten Kriminelle in naher Zukunft in den Besitz von Quantencomputern gelangen, müssen Experten die heutigen Verschlüsselungstechnologien komplett neu entwickeln.

Weitere Voraussagen für das kommende Jahr finden Sie im ausführlichen Bericht von Securelist.

 

post

Verschlüsselungstrojaner TeslaCrypt im Umlauf

Diverse Meldungen in den letzten Tagen über die Schadsoftware TeslaCrypt an die Schweizerische Melde- und Analysestelle Informationssicherung MELANI zeugen von einer steigenden Verbreitung dieser Variante von Schadsoftware. Diese Schadsoftware (auch Ransomware genannt) verschlüsselt Daten und fordert anschliessend ein Lösegeld für die Wiederherstellung.

TeslaCrypt scheint sich fast ausschliesslich über infizierte E-Mail Anhänge (Ein Anhang des Typs „.zip“, der eine Datei des Typs „.js“ beinhaltet) zu verbreiten. Einmal installiert, verschlüsselt TeslaCrypt die Dateien, welche sich auf dem Computer befinden (beispielsweise Fotos, Excel- oder Word-Dateien). Dem Opfer wird anschliessend eine Meldung präsentiert, in der die Kriminellen eine Geldforderung stellen. Im Gegenzug soll das Opfer den Schlüssel erhalten mit dem die Dateien wiederhergestellt werden können (Erpressung). Ähnliche Vorgänge sind durch Schadsoftware Cryptolocker, Synolocker, Cryptowall etc. bekannt.

Schwierigkeit: Dateiwiederherstellung

Verschiedene Antiviren Produkte können die Schadsoftware finden und zerstören. Dann ist es aber meistens zu spät, weil die auf dem Computer vorhandenen Dateien bereits verschlüsselt wurden. In diesem Fall ist deshalb nicht die Entfernung der Schadsoftware das Problem, sondern die Wiederherstellung der ursprünglichen Daten. Im Moment scheint es keine Methode zu geben, die Daten ohne den Schlüssel, der nur den Erpressern bekannt ist, zu entschlüsseln. MELANI rät hier trotzdem davon ab, auf die Forderungen der Erpresser einzugehen und eine Zahlung zu leisten. Es gibt keine Garantie, dass die Kriminellen auch wirklich Wort halten und den für das Entschlüsseln der Dateien benötigten Schlüssel dem Opfer tatsächlich zusenden. Sie finanzieren gleichzeitig die Weiterentwicklung der Angreifer, welche einen nächsten noch wirksameren Angriff ermöglicht.

Massnahmen:

  • Wichtige Dateien sollten regelmässig auf externe Datenträger kopiert werden (Backup) und anschliessend getrennt aufbewahrt werden.
  • Seien Sie immer vorsichtig bei verdächtigen E-Mails, bei E-Mails, welche Sie unerwartet bekommen, oder welche von einem unbekannten Absender stammen. Befolgen Sie hier keine Anweisungen im Text, öffnen Sie keinen Anhang und folgen Sie keinen Links.
  • Sowohl Betriebssystem als auch installierte Applikationen (z.B. Browser, PDF Reader) müssen immer aktuell gehalten werden. Falls vorhanden, am besten mit der automatischen Update Funktion.
  • Ein Antivirenprogramm muss installiert sein und aktuell gehalten werden.
  • Eine Personal Firewall muss installiert sein und aktuell gehalten werden.
  • Detaillierte Empfehlungen finden Sie auf der MELANI Webseite unter der Rubrik „Wie schütze ich mich?“.

Im Falle einer Infektion

MELANI empfiehlt den Computer sofort von allen Netzwerken zu trennen. Eine Säuberung des Computers ist notwendig. Grundsätzlich ist eine Neuinstallation des Systems und das Ändern aller Passwörter ratsam. Diese Massnahme sollte zusammen mit einem Computerspezialisten durchgeführt werden. Nachdem diese Massnahmen erledigt wurden, können dann die Backup-Daten wieder zurückgespielt werden. Wenn kein Backup der Daten vorliegt, ist es empfehlenswert, die verschlüsselten Daten zu behalten und zu sichern, damit sie allenfalls später noch entschlüsselt werden können.

Folgende Dateitypen können von der Schadsoftware TeslaCrypt verschlüsselt werden:

.7z;.rar;.m4a;.wma;.avi;.wmv;.csv;.d3dbsp;.sc2save;.sie;.sum;.ibank;.t13;.t12;.qdf;.gdb;.tax;
.pkpass;.bc6;.bc7;.bkp;.qic;.bkf;.sidn;.sidd;.mddata;.itl;.itdb;.icxs;.hvpl;.hplg;.hkdb;
.mdbackup;.syncdb;.gho;.cas;.svg;.map;.wmo;.itm;.sb;.fos;.mcgame;.vdf;.ztmp;.sis;.sid;.ncf;
.menu;.layout;.dmp;.blob;.esm;.001;.vtf;.dazip;.fpk;.mlx;.kf;.iwd;.vpk;.tor;.psk;.rim;.w3x;.fsh;
.ntl;.arch00;.lvl;.snx;.cfr;.ff;.vpp_pc;.lrf;.m2;.mcmeta;.vfs0;.mpqge;.kdb;.db0;.DayZProfile;
.rofl;.hkx;.bar;.upk;.das;.iwi;.litemod;.asset;.forge;.ltx;.bsa;.apk;.re4;.sav;.lbf;.slm;.bik;.epk;
.rgss3a;.pak;.big;.unity3d;.wotreplay;.xxx;.desc;.py;.m3u;.flv;.js;.css;.rb;.png;.jpeg;.txt;.p7c;
.p7b;.p12;.pfx;.pem;.crt;.cer;.der;.x3f;.srw;.pef;.ptx;.r3d;.rw2;.rwl;.raw;.raf;.orf;.nrw;.mrwref;
.mef;.erf;.kdc;.dcr;.cr2;.crw;.bay;.sr2;.srf;.arw;.3fr;.dng;.jpe;.jpg;.cdr;.indd;.ai;.eps;.pdf;.pdd;
.psd;.dbfv;.mdf;.wb2;.rtf;.wpd;.dxg;.xf;.dwg;.pst;.accdb;.mdb;.pptm;.pptx;.ppt;.xlk;.xlsb;.xlsm;
.xlsx;.xls;.wps;.docm;.docx;.doc;.odb;.odc;.odm;.odp;.ods;.odt;

Nach der Verschlüsselung werden die ursprünglichen Dateierweiterungen durch die Erweiterung .ecc ersetzt. Ausserdem löscht die Ransomware alle Schattenkopien und sogar Wiederherstellungspunkte, damit Sie keine Systemwiederherstellung durchführen können.

Der Desktop-Hintergrund wird danach durch eine Nachricht von TeslaCrypt ersetzt und es erscheint eine neue Datei mit dem Namen „HELP_TO_DECRYPT_YOUR_FILES.txt“ auf dem Desktop. Dabei handelt es sich um eine Anleitung, wie das Lösegeld bezahlt werden kann und wie der Entschlüssler funktioniert. Ausserdem erhalten Sie eine Entschlüsselungsbestätigung, die besagt, dass Ihre Dateien entschlüsselt werden, nachdem Sie den geforderten Geldbetrag bezahlt haben.

Kunden

Wenn Ihnen ein Anhang verdächtig vorkommt oder Sie etwas ungewöhnliches feststellen, können Sie unseren technischen Support kontaktieren.

Weitere Informationen erhalten Sie auf www.melani.admin.ch

 

post

Spam und Phishing Attacken im 3. Quartal 2015

Der Spam-Anteil im E-Mail-Traffic von Sicherheitssoftwareentwickler Kaspersky betrug im dritten Quartal 2015 durchschnittlich 54,2 %. Im Bereich Phishing wehrten die Lösungen von Kaspersky Lab im dritten Quartal mehr als 36 Millionen Versuche ab, auf eine Phishing-Website zu gelangen. Das ist ein um sechs Millionen höherer Wert als im vorangegangenen Quartal.

Das Thema Bekanntschaften und Dates ist typisch für Spam und die Firma Kaspersky hat ständig damit zu tun. Im dritten Quartal 2015 waren die E-Mails dieser Art jedoch besonders vielseitig und dreist. Im Folgenden wird deshalb Spam zum Thema Dates, saisonaler Spam und Phishing genauer unter die Lupe genommen.

Online-Bekanntschaften

Der analysierte Spam zum Thema Bekanntschaften und Dates lässt sich grob in drei Kategorien einteilen:

  1. Schnelle Bekanntheit von unbekannten Websites erreichen
  2. Irreführung und monetäre Absichten
  3. Betrügerische Absicht mit Schadsoftware

spam1-frauen-dates

1.) Schnelle Bekanntheit von unbekannten Websites erreichen

Der Sinn solcher Versendungen liegt üblicherweise in der Verbreitung von Werbung für erst kürzlich erstellte und noch nicht häufig angeklickte Kontakt-Websites. Die Inhaber solcher Sites wollen mit Hilfe von Spam ein möglichst grosses Publikum auf ihre Seite locken. Solche Mitteilungen wenden sich an bestimmte Zielgruppen, so wird beispielsweise für Kontaktwebsites für Senioren, Verheiratete oder Gläubige geworben.

Derartige E-E-Mails laden dazu ein, sich auf den entsprechenden Ressourcen zu registrieren. Ausserdem enthalten einen kurzen Text mit dem Versprechen, die ideale Lebensgefährtin zu finden, und einen Link, der auf die beworbene Website führt.

2.) Irreführung und monetäre Absichten

Dem Wesen nach ähnliche E-Mails können auch im Namen einer heiratswilligen Dame selbst verschickt werden. Diese Art von Spam ist nicht mehr weit von Betrug entfernt – das Schema erinnert stark an “nigerianisches” Spam. Die E-Mails werden im Namen eines Mädchens abgesendet, das kurz über sich selbst erzählt – ihr nicht einfaches Leben in der russischen Provinz und ihre Träume vom Märchenprinzen. Häufig ist ein Foto angehängt, auf der nicht unbedingt die Dame selbst abgebildet sein muss – das Foto kann auch von fremden Seiten aus Sozialen Netzwerken stammen und mitgeschickt werden, um der Mitteilung zu grösserer Glaubwürdigkeit zu verhelfen. Daher kann selbst in verschiedenen Nachrichten, die im Namen verschiedener Mädchen verschickt werden, immer ein und dasselbe Foto auftauchen. Der Text der E-Mails wird allerdings verändert: Um die Filter zu umgehen, verwenden die Spammer immer wieder Synonyme. Für die Kontaktaufnahme geben die Spammer in solchen Schreiben normalerweise eine E-Mail-Adresse an, die sich allerdings von Mail zu Mail ändert.

Antwortet der Nutzer an eine solche Adresse, so erhält er im besten Fall eine Benachrichtigung darüber, dass dieser E-Mail-Account nicht existiert. Im schlimmsten Fall gibt er damit seine Adresse für weitere Spam-Versendungen preis oder wird zum Opfer eines Betrugsschemas. Meist wird dabei der Empfänger aufgefordert Geld zu schicken, damit man sich treffen kann.

3.) Betrügerische Absicht mit Schadsoftware

Eine weitere Art von Spam-Versendungen, die Kaspersky im dritten Quartal aufdeckte, ist eindeutig der Kategorie Betrug zuzuordnen. Im Verlauf des Quartals wurden Versendungen entdeckt, deren Inhalt zum Ziel hatte, den Empfänger dazu zu bringen, eine SMS an die in der E-Mail angegebene Telefonnummer zu senden. Im Gegenzug versprach eine angebliche junge Frau, offenherzige Fotos von sich zu schicken. Der Text der Versendung wurde ständig geändert und verrauscht, ebenso wie die in der E-Mail angegebenen Telefonnummern. Bei einem Test stellte sich heraus, dass es sich nicht um kostenpflichtige Nummern handelte, wie man auf den ersten Blick hätte meinen können. Es wurde stattdessen ein SMS-Kontakt zu einer jungen Frau inszeniert. Bereits nach wenigen Antworten wird klar, dass es sich hier um einen Roboter handelt, der von der Notwendigkeit überzeugen will, eine gewisse App herunterzuladen, um weitere Chats und den Versand der versprochenen Fotos zu ermöglichen.

Im Test erhielten die Kaspersky-Ingenieure von der “jungen Frau” mehrere SMS mit verschiedenen Kurzlinks, die auf einen Artikel einer bekannten amerikanischen Zeitung führten zum Thema nützliche mobile Apps. Während der Umleitung auf diesen Artikel wurde auf das Telefon des Nutzers ein Archiv mit mobiler Schadsoftware geladen.

Saisonaler Spam

flight-info-spam2

In den Sommermonaten nimmt die Spam-Menge mit saisonalen Themen traditionell zu. Das betrifft nicht nur unerwünschte Werbung, sondern auch schädlichen Spam. In der vergangenen Urlaubssaison war touristischer Spam am häufigsten: Betrüger setzten gefälschte Benachrichtigungen im Namen von Buchungsservices, Luftfahrgesellschaften und Hotels ein, um schädliche Programme in Umlauf zu bringen. Unter den gefälschten Mitteilungen im Namen grosser internationaler Fluggesellschaften und Buchungsdienste wie Air France oder Booking.com entdeckte Kaspersky auch trojanische Downloader (Trojan-Downloader.JS.Agent.hhy und Trojan-Downloader.Win32.Upatre).

PHISHING

Die Tricks der Spammer

In einer Standard-Phishing-E-Mail befindet sich der Mitteilungstext im E-Mail-Körper, und die persönlichen Informationen des Anwenders sollen auf einer Webseite eingegeben werden, auf die man nach einem Klick auf den im Text angegebenen betrügerischen Link gelangt, oder in die Felder einer HTML-Seite, die an den Brief angehängt ist. Oder man soll seine privaten Angaben in einer Antwort-E-Mail versenden. Letztgenannter Ansatz ist charakteristisch für E-Mails, in denen die Empfänger aufgefordert werden, ihre E-Mail-Adresse und ihr Passwort zu bestätigen.

Im dritten Quartal ersannen die Cybergangster eine neue Methode, Phishing-E-Mails zu platzieren und die Spam-Filter zu umgehen. Der Text der Phishing-E-Mail und der gefälschte Link waren in einem PDF-Dokument untergebracht, das an die E-Mail angehängt war. Beim Klick auf den Link öffnete sich eine gewöhnliche Phishing-Seite, auf der der Anwender seine persönlichen Informationen eingeben sollte. Die meisten der entdeckten E-Mails, in denen die neue Methode zum Einsatz kam, kopierten Benachrichtigungen von Banken. Der Körper solcher Mitteilungen enthielt zumeist einen absolut kurzen Text mit einer Beschreibung des Problems, manchmal fehlte der Text komplett.

spam3-phising-pdf-links

Im Text der entdeckten E-Mails benutzten die Spammer meistens bekannte Phrasen und Tricks:

  • Mitteilungen über die Blockierung des Accounts
  • Aufforderungen, Account-Daten zu bestätigen
  • Sicherheitserinnerungen
  • Benachrichtigungen über Ermittlungen in einem Phishing-Fall usw.

Die betrügerischen Links werden durch legitime Links und Textfragmente getarnt. Darüber hinaus wurde eine neue Variante von Phishing-E-Mails unter Verwendung von Mediabox-Objekten in PDF-Dateien, die an die E-Mail angehängt waren entdeckt.

Ziel der Phishing-Attacken und Alarmauslösung der heuristischen Komponente

Die Statistik zu den von Phishern angegriffenen Zielen wird auf Grundlage der Alarme der heuristischen Komponente des Systems Antiphishing auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Die heuristische Komponente des Antiphishing-Systems schlägt dann Alarm, wenn der Anwender über einen Link auf eine Phishing-Seite gelangt, aber noch keine Informationen über diese Seite in den Datenbanken von Kaspersky Lab vorhanden sind. Dabei spielt es keine Rolle, auf welche Weise sich der Übergang auf diese Seite vollzieht: infolge eines Klicks auf einen Link in einer Phishing-E-Mail, in einer Mitteilung in einem Sozialen Netzwerk oder beispielsweise aufgrund der Aktivität eines Schadprogramms. Hat das Schutzsystem angeschlagen, so wird dem Nutzer im Browser eine Warnmitteilung über eine mögliche Bedrohung angezeigt.

Top 3 der angegriffenen Organisationen

Die Betrüger konzentrieren ihre Kräfte weiterhin auf die populärsten Marken, gegen die sich der grösste Teil des zielgerichteten Phishings richtet. Auf diese Weise erhoffen Sie sich grössere Erfolgschancen ihrer Phishing-Attacken. Mehr als die Hälfte aller Alarme der heuristischen Komponente des Kaspersky “Antiphishing”-Systems entfällt auf Phishing-Seiten, die sich unter den Namen von weniger als 30 bekannten Unternehmen verbergen. Auf die Top 3 der von Phishern angegriffenen Organisationen entfielen im dritten Quartal 26,39 Prozent aller Alarme der heuristischen Komponente.

  1. Yahoo! 15,4%
  2. VKontakte 9,4%
  3. Facebook 9%

Angriffe auf Benutzerdaten populärer Cloud-Dienste

Immer mehr User nutzen die Technologie der Cloud-Datenspeicher. Das wissen Betrüger ebenfalls. Gestohlene Informationen werden von Cyberkriminellen genutzt, um deren Besitzer zu erpressen, zielgerichtete Attacken zu organisieren oder sie werden an Dritte verkauft. Häufig wird diese Art von Phishing-Schreiben via E-Mail oder über Soziale Netzwerke in Form von Mitteilungen mit der Aufforderung verbreitet, irgendein Dokument herunterzuladen, das angeblich bei einem populären Cloud-Service hinterlegt wurde. Die Mitteilungen können von einem kompromittierten Account aus der Freundesliste stammen oder – im Fall von E-Mails – im Namen der Administration des Cloud-Dienstes verschickt werden.

Über Phishing-Seiten, die die Websites bekannter Cloud-Speicher imitieren, werden auch verschiedene Schadprogramme verbreitet. In solchen Fällen lädt der Anwender mit einem Klick auf die Seite selbstständig Malware auf seinen Computer. Nachfolgend ist ein Beispiel für eine Attacke dargestellt, bei der der Nutzer aufgefordert wird, ein wichtiges PDF-Dokument zu laden. Der Link aus der E-Mail führt auf eine Phishing-Seite, die der Aufmachung des populären Dienstes Dropbox nachempfunden ist.

spam-phishing-clouddienste-dropbox-pdf-dokument

Ein weiteres Beispiel einer Phishing-Attacke mit iCloud: Die Betrüger versuchen in diesem Fall die Apple ID des Nutzers und das Passwort für den Cloud-Datenspeicher iCloud abzugreifen. Während das Design und Loginfenster praktisch identisch kopiert wurden, ist das Logo im Browsertab, die URL und das Sicherheitszertifikat (https-Verbindung) unterschiedlich bzw. nicht vorhanden.

phising-daten-apple-icloud

 

Wie kann ich einen Schaden verhindern?

Seien Sie vorsichtig und agieren Sie mit einem gesunden Misstrauen beim Öffnen von E-Mailanhängen und Internetlinks. Weitere Tipps und Tricks finden Sie in diesem Beitrag.

Weitere Details zum Report finden Sie hier: Kaspersky Lab – Quartalsreport 2015 – Q3

Kaspersky Lab

Kaspersky Lab ist ein russisches Softwareunternehmen, das 1997 gegründet wurde. Das auf die Entwicklung von Sicherheitssoftware spezialisierte Unternehmen hat seinen Hauptsitz in Moskau mit nationalen Vertrieben auf der ganzen Welt. Die DACH-Region wird von einem deutschen Tochterunternehmen in Ingolstadt betreut. Das Unternehmen wurde durch hohe Erkennungsleistung seiner Virenscanner bekannt und hierfür mehrfach preisgekrönt. Die von Kaspersky Lab entwickelten Technologien werden von einigen anderen Unternehmen lizenziert und als Engine (Kerneinheit) in ihren Antivirenprogrammen eingesetzt.

post

E-Mail mit infizierter Zip-Datei von bekannten Kontakten

Zurzeit sind E-Mails im Umlauf mit Verdacht auf Viren. Sie wollen dem Empfänger eine Echtheit suggerieren, indem Absenderinformationen von bekannten Kontakten angezeigt werden. Die E-Mail erscheint mit unterschiedlichem Betreff, Text und Zip-Dateien im Anhang. Der Text ist meistens in Englisch.

Was alle diese E-Mails gemeinsam haben ist, dass sie von bekannten Absendern stammen. Sobald die Zip-Datei im Anhang geöffnet wird, nistet sich ein Programm ein, welches die E-Mail an sämtliche Kontakte in Ihrem Outlook-Adressbuch weiterleitet. Ausserdem kann es auch die Signatur des Absenders übernehmen und wirkt dadurch noch echter. Folgende Beispiele sind uns bekannt:

E-Mail Betreff:

  • Draft of the contract
  • Files to be executed
  • invoice

Nachrichtentext:

  • Please see attached the executed document from our side. You can send us a scan-copy after signing. Paul Sifer, Attorney
  • Check invoices

Dateianhänge:

  • tax.zip
  • invoices.zip
  • FAX_75295358_518.zip
  • scans.zip

Andere Varianten sind möglich,  zukünftig ist wahrscheinlich noch mit raffinierteren Varianten zu rechnen, vielleicht sogar in deutsch. Wenn Sie eine solche E-Mail erhalten, sollten Sie sie umgehend löschen und den Absender benachrichtigen. Neben dem potenziellen Reputationsverlust sind weitere Bedrohungen für den Computer möglich. Was das konkret sein könnte ist zurzeit nicht bekannt. Die Rücksprache mit bekannten Virenschutzherstellern hat zu keinen Ergebnissen geführt.

Unsere Empfehlung im Mailverkehr

Vor dem Öffnen von Dateianhängen immer Vorsicht walten lassen:

  • Erwarten Sie einen Dateianhang von diesem Absender?
  • Ist der Dateiname sinnvoll? (Z. B.: Schickt mir Max Muster aus Dagmersellen eine Datei mit dem Namen tax.zip?)
  • Ergibt der Betreff Sinn? (Z.B.: Schickt mein Lieferant mir eine Mail mit dem Titel”invoice”?)
  • Ergibt der Mailinhalt Sinn? (Z.B.: Schickt mein Verwandter mir eine Mail mit dem Text “Your Delivery”?)
  • Ergibt das Gesamtbild des E-Mails Sinn?
  • Im Zweifelsfall: Absender kontaktieren und nachfragen

Grundsätzliches

  • Stets einen aktuellen Virenschutz pflegen
  • Meldungen vom Virenschutzprogramm nicht ignorieren
  • Immer Absender, Betreff und Text überprüfen bevor Anhänge oder Links angeklickt werden
  • Auch bei bekannten Absendern kritisch sein
  • Bei E-Mails in Fremdsprache (insbesondere Englisch) kritisch sein

Im Zweifelsfall:

  • Lokale IT-Systemadministration benachrichtigen

Haben Sie weitere Fragen?

Wir unterstützen Sie gerne im Bereich IT-Security, E-Mailkommunikation und Virenschutz. Nehmen Sie mit uns Kontakt auf!