post

Kaspersky Security Bulletin 2017

Die Experten von Kaspersky rufen im aktuellen Security Bulletin die wichtigsten Ereignisse in Erinnerung. Gleichzeitig wird ein Blick in die Zukunft geworfen und versucht die Cyberbedrohungen des Jahres 2017 vorauszusagen.

Die Bilanz 2016

Die Prognosen aus dem letzten Jahr sind mehrheitlich eingetroffen, wobei einige Punkte noch früher als erwartet Realität geworden sind. Die Zusammenfassung der wichtigsten Vorhersagen für das Jahr 2016:

APTs: Kaspersky prognostizierte einen abnehmenden Fokus auf die Nachhaltigkeit der Advanced Persistent Threats (Hartnäckige Bedrohungen). Es wurde angenommen, dass sich Angreifer zunehmend unsichtbar machen wollen mit dem Einsatz bekannter Malware. Diese Vermutungen haben sich zweifach bestätigt:

  1. durch eine Zunahme von im Speicher aktiver Malware und dateiloser Schädlinge
  2. durch die Unmenge bekannter zielgerichteter Attacken auf Aktivisten und Unternehmen, die auf Remote-Access-Trojanern basieren, wie zum Beispiel NJRat und Alienspy/Adwind.

Ransomware: 2016 kann als das Jahr der Ransomware bezeichnet werden. Das Spektrum von Finanz-Malware, die darauf abzielt, Nutzer zu täuschen und zu betrügen, hat sich praktisch vollständig in ein reines Ransomware-Universum verwandelt. Dabei werden vermehrt effizientere Erpressungsabläufe entwickelt.

Mehr Bankraube: Überlegungen zum Höhepunkt der Finanzkriminalität waren Angriffe auf Institutionen wie beispielsweise die Börse. Real wurden diese Vorhersagen mit den Attacken auf das SWIFT-Netzwerk. Intelligente und exakt platzierte Malware konnte Abflüsse von Millionenbeträgen ermöglichen.

Internet-Attacken: Das Internet der Dinge (IoT) wird immer populärer.  Aufgrund tiefer Kosten und schnellerer Produktion wurde die Sicherheit vielfach vernachlässigt. So konnten Hacker riesige IoT-Botnetze erzeugen. Das Botnetz war der Grund für Ausfälle bei grossen Internet-Services.

Blossstellungen: Mobbing und Erpressungen setzten sich im grossen Stil fort. Diverse Datenoffenlegungen sorgten für Rufschädigungen und persönliche, sowie politische Probleme. Vom Ausmass dieser Tatsache war auch Kaspersky überrascht.

Prognosen für das Jahr 2017

Indikatoren von Cyberangriffen fraglich
Lange Zeit konnten über Indikatoren einer Cyberinfizierung (Indicators of Compromise, IoCs) Erkenntnisse über bekannte Malware gewinnen und so aktive Infektionen erkennen. Diese Methode war mit der Entdeckung von ProjectSauron nicht mehr anwendbar. Denn die dahinterstehende APT-Gruppe nutzte eine massgeschneiderte Malware-Plattform, über die jede eingesetzte Funktion für jedes anvisierte Opfer verändert wurde. Erkenntnisse über andere Opfer mittels bisher verwendeter Indikatoren waren damit unzuverlässig. Als einzige Chance wird derzeit die Kombination verschiedener Massnahmen wie YARA-Regeln angesehen.

Passive Implantate und Kurzfristige Infektionen hinterlassen kaum Spuren
Bei «passiven Implantaten» handelt es sich um eine Netzwerk-gesteuerte Backdoor, die im Speicher sitzt oder als ein Hintertür-Treiber in einem Internet-Gateway oder einem Internet-zugewandten Server läuft. Diese Implantate warten still darauf, dass entsprechender Code ihre Funktionalität zum Leben erweckt. Währenddessen zeigen Sie kaum Anzeichen einer Infizierung und werden kaum entdeckt. Somit ist es das bevorzugte Tool für die meisten vorsichtigen Angreifer.

Ein ähnliches Mittel, das vermehrt erwartet werden kann, sind vorübergehende Infektionen. Speicherresidente Malware, die einzig für allgemeines Auskundschaften und den Diebstahl von Anmeldedaten erzeugt wurde. In sensiblen Umgebungen könnten Angreifer in Ruhe operieren, bis ein Neustart ihre Infektion aus dem Speicher löscht. Das bedeutet, dass damit keine Spuren hinterlassen werden.

Spionage wird mehr und mehr mobil
In der Vergangenheit wurden diverse mobile Malware-Implantate verbreitet. (Z.B. Sofacy, Roter Oktober und CloudAtlas usw.) Die Kampagnen basierten jeweils hauptsächlich auf Desktop-Toolkits. Da die Nutzung sämtlicher digitaler Dienste immer mehr in Richtung Mobilgeräte geht, wird davon ausgegangen, dass mobile Spionage-Kampagnen auf dem Vormarsch sein werden.

Finanzattacken durch professionelle Untergrundorganisationen
Als sich die Nachricht über die Angriffe auf das Bezahlsystem SWIFT verbreitete, versetzte allein die Kühnheit dieser Tat die Finanzbranche in Aufruhr. Die Schadenssumme erreichte eine Grössenordnung von Millionen von US-Dollar. Cybercrime-Playern wie die Carbanak-Gang haben sich weiterentwickelt und sich höhere Ziele gesetzt.

Kaspersky erwartet eine Zunahme der Zwischenhändler bei SWIFT-Angriffen, die sich in die bewährte kriminelle Untergrundstruktur einfügen. Um einen derartigen Bankraub durchzuführen, benötigt man Erstzugriff, spezialisierte Software, Geduld und ein Geldwäschelösung. Einzelne Schritt können bereits heute einige Cyberkriminelle ausführen. Kaspersky erwartet eine Kommerzialisierung dieser Angriffe mit spezialisierten Lösungen zum Verkauf oder “As-a-Service”.

Stabile Bezahlsysteme
Da Bezahlsysteme immer populärer werden, erwartete Kaspersky ein grösseres kriminelles Interesse an diesen Diensten. Aktuell erscheinen die Systeme besonders widerstandsfähig und es wurden keine Attacken registriert. Doch was für die Kunden eine Erleichterung sein mag, könnte den Anbietern von Bezahlsystemen selbst Kopfschmerzen bereiten. Kaspersky erwartet, dass sich Cyberverbrecher zunehmend mit diesen Systemen befassen werden, um weitere Einnahmequellen zu generieren.

Ransomware Geschäftsmodell auf dem Prüfstand
Die meisten Erpresserprogramme basieren auf einer merkwürdigen Vertrauensbeziehung zwischen Opfer und Angreifern. Eine stillschweigende Vereinbarung suggeriert, dass das Opfer, nach der Zahlung, die blockierten Dateien zurückerhält. Die Cyberkriminellen haben dabei ein erstaunliches Mass an Professionalität bei der Erfüllung dieses Versprechens, so dass dieses Geschäftsmodell gedeihen kann. Doch mit der zunehmenden Popularität werden auch Trittbrettfahrer mitmischen. Kaspersky sieht eine Art von «Skiddie»-Ransomware, die das Opfer dazu bringt Lösegeld zu bezahlen, ohne irgendeine Gegenleistung zu erbringen. Dann wird sich Ransomware nicht mehr von Attacken unterscheiden, bei denen Daten gelöscht werden. Dies hilft dabei, dass Opfer kein Lösegeld überweisen.

Die Angst vor Industriesabotage
Die Stuxnet-Malware hat viel Wirbel ausgelöst und Verschwörungstheorien entwickelt. Es wurde klar, welches Potenzial Angriffe auf industrielle Steuerungssysteme haben. Diese Kampagne wurde sorgfältig geplant und auf langfristige, konkrete Ziele ausgerichtet. Solange kritische Infrastrukturen und Fertigungssysteme mit dem Internet verbunden bleiben, sind Angriffe ein mögliches Szenario. Doch solche Attacken setzen entsprechende Fähigkeiten und bösartige Absichten voraus. Ein Cybersabotage-Angriff wird insbesondere zusammen mit geopolitischen Spannungen vermutet.

Schwache Sicherheit im Internet der Dinge
Kaspersky bemängelte schon früh die schwache Sicherheit des Internets der Dinge, welche Kriminelle nun beispielsweise mit dem Mirai-Botnetz ausnützten. Grundsätzlich werden bekannte Sicherheitslücken mit einem Patch geschlossen. Da diverse Hersteller weiterhin unsichere IoT-Geräte vermarkten, könnten Internet-Vigilanten die Kontrolle übernehmen. Das könnte die Hersteller zum Handeln zwingen. Eine natürliche Abwehrreaktion dieser Geräte durch DDoS-Angriffe oder Spam könnte darin bestehen, alle miteinander ausser Gefecht zu setzen.

Meinungsmache mit Enthüllungen unter falscher Flagge
Bei der Erstellung gefälschter Shops, die dazu dienen, Daten zu stehlen und die Opfer zu erpressen, haben Kriminelle wie Lazarus und Sofacy Vorarbeit geleistet. Kaspersky erwartet, dass die Informationskriege zunehmen werden, damit relevante Prozesse beeinflusst und Unsicherheit gestiftet werden kann. Die Akteure  selbst wollen ihre Daten verkaufen und haben kaum etwas zu verlieren, da der Inhalt der Enthüllung meist von der Attacke ablenkt.

Die Gefährlichkeit liegt dabei nicht im Eindringen in die Privatsphäre, sondern vielmehr darin, dass gestohlene Datenbanken als nachrichtentaugliche Fakten mehr und mehr akzeptiert werden. Clevere Akteure versuchen, die Auswirkungen zu manipulieren, beispielsweise durch Datenmanipulation oder durch Unterlassung.

Die wertvollen personenbezogenen Daten
Werbetreibende nutzen insbesondere Cookies für ihre Zwecke. Diese Verwendung wird sich wahrscheinlich weiter ausbreiten, und zwar in Kombination mit Widgets und anderen Erweiterungen. Damit wollen Unternehmen das komplette Surfverhalten der Nutzer individuell verfolgen können, um ein zusammenhängendes Bild zu erstellen.

In gewissen Teilen der Welt werden raffinierte Angriffe auf Aktivisten, Oppositionelle und Andersdenkende erfolgen und sämtliche Aktivitäten in Sozialen Medien beobachtet. Möglicherweise werden Akteure sogar versuchen in ein Soziales Netzwerk einzubrechen, um dort das wertvolle Gut der gesamten personenbezogenen Daten zu entwenden.

Das Spionage-Werbenetz
Werbenetzwerke werden gerne ausgenutzt, um bestimmte Zielgruppen anzugreifen. Werbeplatzierungen sind bereits monetär gesteuert. Regulierungen sind kaum vorhanden. Regelmässige Malvertising-Attacken unterstreichen dies. Werbenetzwerke bieten ein exzellentes Ziel-Profiling, mittels einer Kombination aus IPs, Browser-Fingerabdrücken, Surfinteressen und Login-Verhalten. Diese Art von Nutzerdaten ermöglicht es einem Angreifer, ein Opfer selektiv zu infizieren. Grossflächige kollaterale Infektionen können vermieden werden, um nicht auf den Radarschirm der Sicherheitsforschern zu geraten. Kaspersky erwartet, dass Cyberspionage-Akteure nur kleine Investitionen in Werbenetzwerke planen, um Ziele zu exakt zu treffen, insbesondere aber die neuesten Toolkits zu schützen.

Der Aufstieg des Selbstjustiz-Hackers
Leitfaden für aufstrebende Hacker, die ungerechte Organisationen oder Unternehmen behindern oder sabotieren wollen sind veröffentlicht worden. Verschwörungstheorien, Fakenews, und den Glauben daran, dass Datenlecks ausschlaggebend z.B. für Wahlkampf sein können, beeinflussen massgeblich die Hackerszene. So werden Angreifer vermehrt zur Selbstjustiz greifen.

Genauere Details entnehmen Sie bitte dem Kaspersky Security Bulletin. Prognosen für das Jahr 2017

post

IT-Bedrohungen Q3 2016

Das Jahr 2016 ist in etwas mehr als einem Monat vorüber. Eine gute Gelegenheit, die IT-Bedrohungen im vergangenen Quartal hervorzuheben. Im ersten und zweiten Quartal 2016 konnten Höchstwerte bei vielen statistischen Werten gemessen werden. Glücklicherweise konnte eine Entspannung festgestellt werden. Viele Kennzahlen sind im Vergleich zum Sommer rückläufig.

Das bekannte Thema Ransomware, welches zu Beginn dieses Jahres als grösste Bedrohung aufgefasst wurde, bewegt sich auch zunehmend in Richtung Mobile.

Das dritte Quartal 2016 in Zahlen

Das Kaspersky Security Network (KSN) registrierte 172 Mio. Attacken von Internet-Ressourcen, die abgewehrt werden konnten. Die Angriffe erfolgten aus 190 Ländern weltweit.

Ergebnisbericht von Kaspersky Anti-Virus

  • Alarmmeldung bei 45 Mio. individuellen URLs
  • 13 Mio. individuelle Schadobjekte aufgespürt (Skripte, Exploits, ausführbare Dateien und andere)
  • Abwehr von Infektionsversuchen durch Malware bei mehr als 1 Mio. Nutzern (insbesondere Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten)
  • Abwehr durch Ransomware-Angriffe bei 821’000 individuellen Anwendern
  • Registrierung von 116 Mio. individuellen schädlichen und potenziell unerwünschten Objekten

Auswertung Kaspersky-Lab-Produkte zum Schutz mobiler Geräte

  • 1,5 Mio. schädliche Installationspakete
  • 30’000 mobile Banktrojaner
  • 37’000 mobile Erpresser-Trojaner

Wichtigste Ereignisse des Quartals

Pokémon GO: Kriminelle nutzen Hype um beliebtes Spiel

Das Handyspiel Pokémon GO hat weltweit innert kurzer Zeit eine grosse Fangemeinde aufgebaut. Auch Cyberkriminelle wollten die populäre Neuheit nutzen und haben Schadcode im Originalspiel hinzugefügt und dieses über Dritt-Stores verbreitet. So wurde beispielsweise der Bank-Trojaner Trojan-Banker.AndroidOS.Tordow verbreitet, der Sicherheitslücken im System ausnutzt, um die Berechtigungen eines Superusers zu erhalten. Somit kann sich der Trojaner schützen gelöscht zu werden und die im Browser gespeicherten Passwörter stehlen.

Eine weit grössere Ausnutzung der Beliebtheit von Pokémon GO war die Veröffentlichung einer schädlichen Anleitung für das Spiel im Google Play Store. Bei dieser App handelte es sich in Wirklichkeit um einen Werbetrojaner, der sich Superuser-Rechte auf dem Gerät aneignet, indem er Sicherheitslücken im System ausnutzt.

Werbung mit Trojaner

Innerhalb des Quartals hat sich die Zahl der von Trojan-Banker.AndroidOS.Svpeng.q angegriffenen User praktisch verachtfacht. Die Opfer befanden sich fast ausschliesslich in Russland. Der Trojaner war unter den Online-Verbrechern derart beliebt, da er über das Werbenetz Google AdSense beworben wurde. Das ist eins der populärsten Werbenetzwerke im Runet und wird von vielen beliebten Webseiten genutzt, um den Anwendern zielgerichtet Werbung anzuzeigen.

«Im Q3 2016 wurde auf Computern von 1,2 Mio. Usern versuchte Infizierungen von Finanzmalware registriert.»

Android 6: Umgehen von Schutzmechanismen 

In diesem Quartal ist die Banktrojaner-Familie Trojan-Banker.AndroidOS.Gugi hervorzuheben. Sie ist in der Lage einige Schutzmechanismen unter Android 6 zu umgehen. Es beginnt mit der Anfrage nach dem Recht zum Überdecken anderer Apps. Basierend auf den neuen Berechtigungen wird der Anwender irritiert und genötigt weitere Anfragen anzunehmen.

Erpressungstrojaner bei Google Play

Im dritten Quartal registrierte Kaspersky die Verbreitung einer mobilen Ransomware über den offiziellen App-Store von Google. Der Trojaner Trojan-Ransom.AndroidOS.Pletor.d gab sich als App zur Wartung von Geräten aus inklusive Säuberung von überflüssigen Daten, die Beschleunigung des Geräts und sogar Viren-Schutz.

IT-Infrastruktur regelmässig prüfen

Es lohnt sich, Systeme auf dem neusten Stand zu halten. In den Beiträgen «Ransomware Satana» oder «Betrügerische Worddateien sperren ihr System» finden Sie genauere Hinweise dazu. Gerne stehen wir für Ihr Unternehmen auch für eine persönliche IT-Beratung zur Seite.

Quelle
Securelist (10.11.16): Entwicklung der IT-Bedrohungen im dritten Quartal 2016

 

post

Phishingangriff auf PayPal-Daten

Eine betrügerische E-Mail zielt derzeit auf PayPal-Kunden ab. Die Cyberkriminellen wollen an die Accountdaten gelangen, denn damit können Zahlungen vorgenommen werden. Der Name PayPal wird missbräuchlich bei dem Betrugsversuch verwendet. Die illegale Verwendung von Name und Logo eines bekannten Unternehmens bzw. Zahlungsdienstleisters will den Nutzern eine Echtheit vortäuschen.

Die betrügerische E-Mail

Guten Tag, geehrter Kunde!
Bitte helfen Sie uns ein dabei, Ihr PayPal-Account wieder neu zu schalten.
Bis Wiederaufführung haben wir den unvollständigen Verbindungsgang zu Ihrem PayPal Account überbrückunghalber.
Woraus besteht das Problem?
Wir haben vor geraumer Zeit von einer womöglichen nicht zulässigen Kreditkartennutzung mit diesem PayPal-Konto erfahren. Um Sie unter Schutz zu halten, haben wir den Zugang zu Ihrem Konto einschränkt.
Verhandlungsnummer: PP-816-610-027-381
Was sollen Sie jetzt unternehmen?
Wegen verdächtiger Tätigkeiten in Ihrem PayPal Account sollen Sie sich als rechtmäßiger Halter beglaubigen. Nachdem Sie reagiert haben, können Sie Ihren PayPal Account wie bisher ergänzen.
Viel Spas beim Kauf mit sicheren Kosten wünscht PayPal!
Einloggen Paypal

Achtung Phishing

Die Verfasser wollen die Empfänger irritieren und hoffen darauf, dass PayPal-Nutzer auf den entsprechenden Link klicken. Dieser Link führt auf eine Phishingwebseite. Schutzsoftware wie Kaspersky erkennen den Phishingangriff und blockieren den Zugriff. Ohne Blockade zeigt sich an dieser Stelle eine Webseite, welche dem Login von PayPal sehr ähnlich sieht mit der URL«infodatacheckacc.com». Vorsicht: Das ist eine Fälschung und handelt sich nicht um PayPal! Geben Sie auf keinen Fall ihre echten Anmeldedaten bekannt.

paypal_phishing_loginseite_704x404

 

kaspersky_phishing_alarm_paypal

Grundsätzliche Hinweise zu Phishing

  • Phishing E-Mails versuchen immer so auszusehen, als stammen sie vom richtigen Unternehmen. Damit wollen Betrüger an persönliche Daten (Kreditkarte etc.) gelangen, um Transaktionen zu tätigen.
  • Benutzen Sie eine Schutzsoftware! Aktuelle Datenbanken und entsprechende Heuristiken erkennen und blockieren schädliche Seiten. Aktuell empfehlen wir unseren Kunden die Produkte von Kaspersky Lab für den besten Schutz.
  • Die eigentliche «Kunst» dieser Mails ist die Geschichte, mit der eine Vertrautheit vermittelt wird und eine Aufforderung den eingefügten Link zu öffnen. Achten Sie genau auf Ausdruck, Grammatik und Rechtschreibung, sowie Plausibilität und auch Individualität. Hohe Individualität ist kein Echtheitszertifikat, auch wenn der Empfänger mit korrektem Namen angesprochen wird und  Adress- und Personendaten stimmen. Eine generische Anrede ist zwar immer ein Indiz für Phishing, eine vorhandene korrekte Anrede jedoch nicht der Beweis für die Echtheit einer Mail.
  • Generell gilt: Banken, Zahl- und Kaufportale fordern nie mit einem eingebauten Link im E-Mail zum Einloggen auf!
  • Nie über einen Link einloggen, der per Mail verschickt wird. Rufen Sie die Seite eigenständig via Adresszeile des Browsers auf.
  • Tipp: Positionieren Sie den Cursor vorgängig auf einem Hyperlink, um zu sehen wohin er führt.
  • Zusätzlich sollten Sie E-Banking und Online-Zahlungen über öffentliche und fremde WLAN-Netzwerke unterlassen.
  • Unter keinen Umständen reale Daten in die Formularfelder eintragen! Möglicherweise werden die Daten bereits während des Tippens an die Betrügerdatenbank weitergeleitet.
Quelle:
Zuerst denken-dann klicken, http://www.mimikama.at/ (13.10.2016)
post

IT-Bedrohungen im Q1 2016

Das Jahr 2016 ist noch nicht einmal in der Hälfte, doch im Bereich Cyberverbrechen ist in den ersten drei Monaten so viel passiert, wie vor ein paar Jahren während dem ganzen Jahr. Die Tendenzen im Zusammenhang mit der traditionellen Cyberkriminalität, insbesondere in den Bereichen Bedrohungen für mobile Geräte und globale Epidemien von Erpresserprogrammen, haben sich deutlich verstärkt. Weitere Trends blieben unverändert.

Somit war Ransomware auch das Kernthema dieser Periode. Aufgrund der Ergebnisse wird sich die Situation auch weiterhin in diese Richtung entwickeln. Diese Erpressungsversuche werden im Jahr 2016 vermutlich zur grössten Herausforderung.

Das erste Quartal 2016 in Zahlen

Kaspersky Lab Produkte wehrten laut den Daten des Kaspersky Security Network (KSN) 228 Mio. Attacken von Internet-Ressourcen ab. Diese befinden sich in insgesamt 195 Ländern.

Ergebnisbericht von Kaspersky Anti-Virus

  • Alarmmeldung bei 74 Mio. individuellen URLs
  • 18 Mio. individuelle Schadobjekte aufgespürt (Skripte, Exploits, ausführbare Dateien und andere)
  • Abwehr von Infektionsversuchen durch Malware bei fast 460’00 Nutzern (insbesondere Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten)
  • Abwehr durch Ransomware-Angriffe bei 372’000 individuellen Anwendern
  • Registrierung von 174 Mio. individuellen schädlichen und potenziell unerwünschten Objekten

Auswertung Kaspersky-Lab-Produkte zum Schutz mobiler Geräte

  • 2 Mio. schädliche Installationspakete
  • 4’000 mobile Banktrojaner
  • 2’900 mobile Erpresser-Trojaner

CYBERKRIMINALITÄT

Ransomware

Verschlüsselungstrojaner sind das Hauptthema des Quartals und es wird vermutet, dass dies bis zum Ende des Jahres so bleibt.

Zunehmend Sorge bereitet den Experten auch, dass der Quellcode von Verschlüsselungsschädlingen allen interessierten Personen zugänglich gemacht wurde. Das hat zur Folge, dass sich sogar Amateure (bspw. Script-Kiddies) ihre eigene Trojaner-Version zusammenbasteln können. Zusammen mit der Verwendung von Bitcoin zur Lösegeldzahlung wird die Organisation von Attacken erheblich erleichtert und erhöht die Wahrscheinlichkeit, dass solche Handlungen straffrei ausgehen.

Des Weiteren wird bereits vom Begriff RaaS – Ransomware-as-a-Service – gesprochen. Er beschreibt den Vorgang, bei dem Cyberkriminelle die Verbreitung eines Trojaners gegen Bezahlung anbieten und im Gegenzug versprechen, einen entsprechenden Anteil der Einnahmen abzugeben. Grösstenteils sind Webmaster von Porno-Webseiten Kunden solcher Angebote. Weitere Geschäftsmodelle sind ebenfalls gesichtet worden.

Die Kryptotrojaner erweiterten ihren Schädigungsbereich. Im ersten Quartal 2016 waren auch Webserver Angriffsobjekte von CTB-Locker. Die neue Version des CTB-Locker mit dem Namen Onion verschlüsselt Webserver. Es wird ein Lösegeld von rund einem halben Bitcoin gefordert (ca. 150 US-Dollar). Verstreicht die Frist ohne Bezahlung, verdoppelt sich das Lösegeld auf rund 300 US-Dollar. Wenn die Forderung beglichen wird, versprechen die Erpresser einen Schlüssel zur Dechiffrierung der Dateien auf dem Webserver zu generieren.

Früher nutzte der Schädling das anonyme Netzwerk Tor, um sich vor der Abschaltung seiner Steuerungsserver zu schützen, und hob sich dadurch von anderer Ransomware ab. Die Nutzung von Tor ermöglichte das der Schädling unentdeckt blieb und allenfalls blockiert würde. Des Weiteren schützte die dezentralisierte, anonyme Kryptowährung Bitcoin die Betreiber solcher Schädlinge.

Grösste Epidemie “Locky”

Der Verschlüsselungsschädling Locky erzeugte im ersten Quartal am meisten Infektionen (von Kaspersky als Trojan-Ransom.Win32.Locky erkannt). Der Schädling verbreitet sich immernoch rasant. Gemäss Kaspersky Lab wurde in 114 Ländern versucht Rechner mit diesem Trojaner zu infizieren. Um den Schädling in Umlauf zu bringen, versenden die Cyberverbrecher massenhaft Spam schädlichen Ladeprogrammen im Anhang. In der ersten Phase war die Ursache eine Word-Datei (.doc) mit Makros im Anhang, welche den Trojaner Locky herunterlud und ausführte. In der Zwischenzeit wird anstelle  der DOC-Datei ein ZIP-Archiv mit schädlichen Skripten angehängt. Die E-Mail ist meist auf Englisch verfasst, es existieren jedoch auch mehrsprachige Varianten.

Die bedeutendste technische Neuerung heutiger Ransomware besteht darin, nicht nur Dateien als solche, sondern die gesamte Festplatte, insbesondere die Master File Table, zu verschlüsseln. Der  Trojaner „Petya“ hat diesen Vorgang angewandt. Nach der Chiffrierung wird ein Totenschädel aus ASCII-Zeichen angezeigt. Darauf folgt der Teil, der für alle Verschlüsselungstrojaner typisch ist: Eine Lösegeldforderung von dem Opfer. Im entsprechenden Fall beträgt dies 0,9 Bitcoin (ungefähr 380 US-Dollar). „Petya“ arbeitet in dieser Phase, im Gegensatz zu anderer Erpressersoftware, ohne Verbindung zum Netz. Weitere Informationen dazu haben wir in diesem Beitrag beschrieben. Da das Betriebssystem zusammen mit der Möglichkeit, eine Verbindung zum Internet herzustellen, blockiert wurde, muss der Nutzer einen anderen Computer benutzen, um Lösegeld zu bezahlen.

An dieser Stelle möchten wir nochmals darauf hinweisen, dass wir nicht empfehlen den Lösegeldforderungen nachzukommen. Eine aktuelle Anti-Viren-Lösung mit Firewall, kombiniert mit einer regelmässigen Datensicherung ist der wirksamste Schutz. Wir unterstützen Sie gerne bei der Implementierung von solchen Lösungen.

Für das Mac Betriebssystem OS X wurde ebenfalls ein Verschlüsselungstrojaner entdeckt: Trojan-Ransom.OSX.KeRanger. In diesem Artikel wird darauf nicht näher eingegangen.

Verschlüsselungstrojaner: Kennzahlen Q1 2016

Die Verschlüsselungsschädlinge gehören zu den Erpressertrojanern (Klassifizierung Trojan-Ransom). Derzeit sind neben ihnen in dieser Klasse auch die so genannten Browser-Erpresser vertreten. Die Auswertung des ersten Quartals bringt folgende Zahlen hervor:

  • Zahl neuer Verschlüsselungstrojaner: 2’900
  • Zahl der von Verschlüsselungstrojanern angegriffenen Anwender: 345’900 (+30% im Vergleich zum Vorjahr)
  • Top 3 der von Verschlüsselungstrojanern angegriffenen Länder: 1.) Italien 2.) Niederlande 3.) Belgien

 Top 10 der am meisten verbreitetsten Verschlüsselungstrojaner

Auf die bedeutendsten Trojaner wird nachfolgend näher eingegangen.

1. Teslacrypt

Den Spitzenplatz belegte mit grossem Abstand die Familie Teslacrypt, die in zwei Varianten aufgetreten sind: Trojan-Ransom.Win32.Bitman und Trojan-Ransom.JS.Cryptoload. Genauer Informationen über die Verbreitung und Funktionsweise finden Sie im Beitrag.

 2. CTB-Locker

Auf Rang zwei befindet sich die Verschlüsseler-Familie CTB-Locker (Trojan-Ransom.Win32/NSIS.Onion). Für die Vertreter dieser Familie ist die Verbreitung mittels Partnerprogramm typisch sowie die Unterstützung zahlreicher Sprachen. Es wurden CTB-Locker für Server entdeckt (oben beschrieben). Diese Variante hat Dateien auf über 70 Servern in 10 Ländern angegriffen und verschlüsselt.

3. Cryptowall / Cryptodef

Platz drei belegt die Familie Trojan-Ransom.Win32.Cryptodef, welche auch unter dem Namen Cryptowall bekannt wurde. Verbreitet werden diese Schädlinge, wie auch Teslacrypt über Spam-Versendungen.

5. Scatter

Den fünften Platz besetzt die Verschlüsseler-Familie Scatter. Zum Jahresanfang wurde eine neue Verbreitungswelle dieses Schädlings mittels Spam-Mails beobachtet. Die E-Mails enthielten einen Link auf das JS-Skript JavascripT. Diese war getarnt, dass der Nutzer es herunterlud und lokal startete. Zusätzlich wurde beim Skriptausführen nicht nur Scatter gespeichert, sondern auch zwei weitere Schädlinge: Nitol ( DDoS-Bot) und Pony (Trojaner, der Informationen stiehlt, insbesondere Kennwörter).

7. Locky

Die Verschlüsselungstrojaner-Familie Locky, die den siebten Platz belegt, hebt sich durch eine weite geografische Verbreitung hervor, insbesondere in Europa. Die im Tor-Netzwerk untergebrachte Webseite der Cyberkriminellen, auf der ihre Forderungen stehen, unterstützt 24 Sprachen. Da keine Sprache der Gemeinschaft unabhängiger Staaten (GUS) benutzt wird, wird vom Kaspersky Security Network vermutet, dass der Ursprung von Locky aus diesen Kreisen stammt. Genauer Informationen zur Verbreitung von Locky finden Sie in diesem Beitrag.

Quelle: Securelist.com , 19. Mai 2016

 

post

Passwörter von 6‘000 E-Mail-Konten bekannt

Die Melde- und Analysestelle Informationssicherung MELANI hat 6000 Adressen zu E-Mail Konten erhalten, die offenbar gehackt wurden. Diese Daten könnten möglicherweise für illegale Zwecke missbraucht werden. Die entsprechenden Zugangsdaten könnten für Betrug, Erpressung, Phishing usw. unrechtmässig verwendet werden.

Ist meine E-Mailadresse davon betroffen?

MELANI hat aufgrund dessen ein Online-Tool publiziert, mit dem umgehend überprüft werden kann, ob eine E-Mail Adresse davon betroffen ist. Das Tool kann unter https://www.checktool.ch aufgerufen werden. MELANI rät allen Personen und Unternehmen, diesen Check durchzuführen. Sollte ein E-Mail-Konto betroffen sein, gibt das Online-Tool eine entsprechende Meldung aus.

Ist Ihre E-Mailadresse davon betroffen, empfiehlt MELANI folgende Massnahmen:

  • Ändern Sie das Passwort des E-Mail-Kontos sofort.
  • Auch alle anderen online verwendeten Passwörter sollten unverzüglich geändert werden. Insbesondere, wenn Sie das für das E-Mail-Konto verwendete Passwort auch für andere Dienste (Online-Shops, E-Banking usw.) verwendet haben.
  • Alle in den E-Mail-Kontakten aufgeführten Personen dahingehend informieren, dass sie beim Empfang von E-Mails mit Ihrem Absender vorsichtig sein und im Zweifelsfall bei Ihnen rückfragen sollen.
  • Überprüfen Sie in den nächsten Wochen jegliche Art von Kontoauszügen, iTunes-Belastungen usw. Sollten Sie Unregelmässigkeiten feststellen, setzen Sie sich bitte sofort mit Ihrer Bank respektive dem entsprechenden Unternehmen in Verbindung.

MELANI empfiehlt zusätzlich folgende Links zu konsultieren für den sicheren Umgang im Internet und mit Online-Diensten:

post

IT-Security: Voraussagen 2016

Cyber-Sicherheit: Die Kaspersky-Voraussagen für 2016

Das Internet verändert sich von Jahr zu Jahr und auch die Bedrohungen halten damit Schritt. Zum Ende des Jahres blickt der Sicherheitslösungsentwickler Kaspersky Lab in die Kristallkugel und prophezeit, welche Cyber-Bedrohungen auf Heimanwender und Firmen im nächsten Jahr zukommen werden könnten.

Bedrohungen für Heimanwender

Im Jahr 2015 hatten viele Nutzer mit Ransomware-Angriffen (Schadsoftware) zu kämpfen. Das wird sich im nächsten Jahr fortsetzen und verschärfen. Denn Cyberkriminelle können mit diesen Schädlingen viel Profit erzielen. Massenhafte Infizierungen sind relativ günstig und bringen direkte Monetarisierung, da die Opfer vielfach ein Lösegeld bezahlen. (Siehe Beitrag Verschlüsselungstrojaner TeslaCrypt)

Im nächsten Jahr könnten sich die Ransomware-Entwickler auch auf neue Plattformen konzentrieren. Ein Angriff auf Linux-Geräte wurde bereits entdeckt. Noch interessanter für Hacker könnte Mac OS X sein, da die Besitzer teurer Apple-Geräte potenziell auch mehr Lösegeld bezahlen können. Zudem ist es gut möglich, dass neue Ransomware-Varianten verschiedene Geräte des Internet der Dinge (IoT) sperren werden. Kühlschrank, Smartwatch oder Fernseher könnten deaktiviert werden und an eine Lösegeldforderung gekoppelt sein.

ransomware-pay-loesegeld

Ein weiterer Trend dreht sich um Erpressung mit gestohlenen Fotos und gehackten Konten. Datendiebstähle, veröffentlichte Nacktfotos verschiedener Stars, sowie die persönlichen Daten von Ashley-Madison-Anwendern sind prominente Beispiele dafür. Datenbanken werden von verschiedenen Personen und aus unterschiedlichen Gründen veröffentlicht. Manche verlangen ein Lösegeld, andere wollen sich nur profilieren. Und manchmal veröffentlichen Hacker solche Daten, um bestimmte Personen und Organisationen zu diskreditieren. Egal, welche Ziele die Täter verfolgen, im Jahr 2016 kann mit einer Steigerung solcher Angriffe gerechnet werden.

Lange Zeit hatten Transportmittel keine Verbindung zum Internet. Das ist bei heutigen Neuwagen anders und und bringt neue Gefahren mit sich. Es wurden bereits erfolgreiche Cyberangriffe registriert, mit dem Ziel, bestimmte Automodelle zu hacken und die Kontrolle über deren Systeme zu übernehmen. Dank selbstfahrender Autos werden Fernsteuerungssysteme immer verbreiteter und werden früher oder später auf jeden Fall die Aufmerksamkeit von Hackern auf sich ziehen. Die Täter werden sich wahrscheinlich nicht auf die Systeme selbst konzentrieren, sondern eher auf spezielle Protokolle, die für die Kommunikation zwischen den Autos zuständig sind. Wenn sie es schaffen, diese zu kompromittieren, können sie gefälschte Befehle an die Autos senden.

Was sind die grössten Gefahren für Firmen?

Wenn man vom Jahr 2015 ausgeht, werden grossangelegte Advanced Persistent Threats (APT) gegen Länder und Organisationen, so wie wir sie heute kennen, fast vollständig verschwinden. Aber es ist mit neuen Varianten zu rechnen: Hacker sind gerade dabei, von massgefertigten Schadprogrammen auf die Verbesserung existierender serienmässig produzierter Entwicklungen umzusteigen, so dass sie weniger Spuren hinterlassen. Dieser Ansatz macht es für Sicherheits-Experten schwerer, die Kriminellen aufzuspüren. Und es ist günstiger: Hoher Profit bei geringer Investition wartet auf die Kunden der Hacker.

Heute ist jede kriminelle Cyber-Kampagne einzigartig und wird von Grund auf entwickelt. Aber es ist gut möglich, dass wir das bald als angebotenen Service sehen werden. Kriminelle könnten sogar damit beginnen, nicht die Kampagne selbst, sondern das Ergebnis eines Einbruchs zu vermarkten: Zugriff auf Daten und Systeme von Opfern, die vorher gehackt wurden.

Im Jahr 2015 griffen Hacker erfolgreich Banken und Finanzdienstleister an, im Jahr 2016 werden sich diese und ähnliche Angriffe noch erhöhen. Und auch wenn der Grossteil dieser Attacken gegen Geldautomaten gerichtet war, so gab es doch auch Täter wie die Carbanak-Gruppe, die weltweit von dutzenden Banken etwa eine Milliarde Dollar gestohlen hat. Apple Pay, Samsung Pay und Android Pay könnten zu den nächsten Zielen der Kriminellen gehören, zusammen mit anderen neuen, noch ungetesteten Finanzdiensten.

carbanak-bank-diebstahl-1-milliarde-usd-kaspersky-security_stories_de_1024

Was ist sonst noch möglich?

Das Internet ist noch relativ jung, entwickelt sich aber so schnell weiter, dass manche Technologien, die tief im Internet liegen, bereits veraltet sind. Oder sie können einfach nicht mehr mit dem modernen Design des Internet mithalten. Verschiedene Probleme tauchen vereinzelt auf: Botnetze werden in Routern gefunden, BGP — das wichtigste Routing-Protokoll des Internet — kann kompromittiert werden, zahlreiche Angriffe auf DNS-Einstellungen von Routern werden durchgeführt. Das Internet verändert sich, insbesondere wenn Regierungen immer mehr Kontrolle darüber übernehmen. In diesem Fall wird das Internet in Anlehnung an die Ländergrenzen aufgeteilt werden. Das Internet ist bereits heute in China ganz anders als das, was die Anwender in Deutschland, den USA oder in Russland sehen.

Ein Ergebnis ist, dass viele Seiten und Dienste in den Untergrund gehen. Anwender werden für den Zugriff auf spezifische Informationen zahlen müssen. Diesem Markt wird ein konstantes Wachstum vorausgesagt. Gleichzeitig werden auch Anonymisierungstechniken weiterentwickelt werden.

Ein weiteres globales Problem könnte sogar noch grösser sein: Bisher unhackbare Dinge könnten hackbar werden. Moderne Verschlüsselungsstandards wurden so entwickelt, dass sie mit den existierenden Computern nicht geknackt werden können, doch der Rechenleistung von Quantencomputern und anderer kommender Technologien können sie nicht standhalten. Sollten Kriminelle in naher Zukunft in den Besitz von Quantencomputern gelangen, müssen Experten die heutigen Verschlüsselungstechnologien komplett neu entwickeln.

Weitere Voraussagen für das kommende Jahr finden Sie im ausführlichen Bericht von Securelist.

 

post

Spam und Phishing Attacken im 3. Quartal 2015

Der Spam-Anteil im E-Mail-Traffic von Sicherheitssoftwareentwickler Kaspersky betrug im dritten Quartal 2015 durchschnittlich 54,2 %. Im Bereich Phishing wehrten die Lösungen von Kaspersky Lab im dritten Quartal mehr als 36 Millionen Versuche ab, auf eine Phishing-Website zu gelangen. Das ist ein um sechs Millionen höherer Wert als im vorangegangenen Quartal.

Das Thema Bekanntschaften und Dates ist typisch für Spam und die Firma Kaspersky hat ständig damit zu tun. Im dritten Quartal 2015 waren die E-Mails dieser Art jedoch besonders vielseitig und dreist. Im Folgenden wird deshalb Spam zum Thema Dates, saisonaler Spam und Phishing genauer unter die Lupe genommen.

Online-Bekanntschaften

Der analysierte Spam zum Thema Bekanntschaften und Dates lässt sich grob in drei Kategorien einteilen:

  1. Schnelle Bekanntheit von unbekannten Websites erreichen
  2. Irreführung und monetäre Absichten
  3. Betrügerische Absicht mit Schadsoftware

spam1-frauen-dates

1.) Schnelle Bekanntheit von unbekannten Websites erreichen

Der Sinn solcher Versendungen liegt üblicherweise in der Verbreitung von Werbung für erst kürzlich erstellte und noch nicht häufig angeklickte Kontakt-Websites. Die Inhaber solcher Sites wollen mit Hilfe von Spam ein möglichst grosses Publikum auf ihre Seite locken. Solche Mitteilungen wenden sich an bestimmte Zielgruppen, so wird beispielsweise für Kontaktwebsites für Senioren, Verheiratete oder Gläubige geworben.

Derartige E-E-Mails laden dazu ein, sich auf den entsprechenden Ressourcen zu registrieren. Ausserdem enthalten einen kurzen Text mit dem Versprechen, die ideale Lebensgefährtin zu finden, und einen Link, der auf die beworbene Website führt.

2.) Irreführung und monetäre Absichten

Dem Wesen nach ähnliche E-Mails können auch im Namen einer heiratswilligen Dame selbst verschickt werden. Diese Art von Spam ist nicht mehr weit von Betrug entfernt – das Schema erinnert stark an “nigerianisches” Spam. Die E-Mails werden im Namen eines Mädchens abgesendet, das kurz über sich selbst erzählt – ihr nicht einfaches Leben in der russischen Provinz und ihre Träume vom Märchenprinzen. Häufig ist ein Foto angehängt, auf der nicht unbedingt die Dame selbst abgebildet sein muss – das Foto kann auch von fremden Seiten aus Sozialen Netzwerken stammen und mitgeschickt werden, um der Mitteilung zu grösserer Glaubwürdigkeit zu verhelfen. Daher kann selbst in verschiedenen Nachrichten, die im Namen verschiedener Mädchen verschickt werden, immer ein und dasselbe Foto auftauchen. Der Text der E-Mails wird allerdings verändert: Um die Filter zu umgehen, verwenden die Spammer immer wieder Synonyme. Für die Kontaktaufnahme geben die Spammer in solchen Schreiben normalerweise eine E-Mail-Adresse an, die sich allerdings von Mail zu Mail ändert.

Antwortet der Nutzer an eine solche Adresse, so erhält er im besten Fall eine Benachrichtigung darüber, dass dieser E-Mail-Account nicht existiert. Im schlimmsten Fall gibt er damit seine Adresse für weitere Spam-Versendungen preis oder wird zum Opfer eines Betrugsschemas. Meist wird dabei der Empfänger aufgefordert Geld zu schicken, damit man sich treffen kann.

3.) Betrügerische Absicht mit Schadsoftware

Eine weitere Art von Spam-Versendungen, die Kaspersky im dritten Quartal aufdeckte, ist eindeutig der Kategorie Betrug zuzuordnen. Im Verlauf des Quartals wurden Versendungen entdeckt, deren Inhalt zum Ziel hatte, den Empfänger dazu zu bringen, eine SMS an die in der E-Mail angegebene Telefonnummer zu senden. Im Gegenzug versprach eine angebliche junge Frau, offenherzige Fotos von sich zu schicken. Der Text der Versendung wurde ständig geändert und verrauscht, ebenso wie die in der E-Mail angegebenen Telefonnummern. Bei einem Test stellte sich heraus, dass es sich nicht um kostenpflichtige Nummern handelte, wie man auf den ersten Blick hätte meinen können. Es wurde stattdessen ein SMS-Kontakt zu einer jungen Frau inszeniert. Bereits nach wenigen Antworten wird klar, dass es sich hier um einen Roboter handelt, der von der Notwendigkeit überzeugen will, eine gewisse App herunterzuladen, um weitere Chats und den Versand der versprochenen Fotos zu ermöglichen.

Im Test erhielten die Kaspersky-Ingenieure von der “jungen Frau” mehrere SMS mit verschiedenen Kurzlinks, die auf einen Artikel einer bekannten amerikanischen Zeitung führten zum Thema nützliche mobile Apps. Während der Umleitung auf diesen Artikel wurde auf das Telefon des Nutzers ein Archiv mit mobiler Schadsoftware geladen.

Saisonaler Spam

flight-info-spam2

In den Sommermonaten nimmt die Spam-Menge mit saisonalen Themen traditionell zu. Das betrifft nicht nur unerwünschte Werbung, sondern auch schädlichen Spam. In der vergangenen Urlaubssaison war touristischer Spam am häufigsten: Betrüger setzten gefälschte Benachrichtigungen im Namen von Buchungsservices, Luftfahrgesellschaften und Hotels ein, um schädliche Programme in Umlauf zu bringen. Unter den gefälschten Mitteilungen im Namen grosser internationaler Fluggesellschaften und Buchungsdienste wie Air France oder Booking.com entdeckte Kaspersky auch trojanische Downloader (Trojan-Downloader.JS.Agent.hhy und Trojan-Downloader.Win32.Upatre).

PHISHING

Die Tricks der Spammer

In einer Standard-Phishing-E-Mail befindet sich der Mitteilungstext im E-Mail-Körper, und die persönlichen Informationen des Anwenders sollen auf einer Webseite eingegeben werden, auf die man nach einem Klick auf den im Text angegebenen betrügerischen Link gelangt, oder in die Felder einer HTML-Seite, die an den Brief angehängt ist. Oder man soll seine privaten Angaben in einer Antwort-E-Mail versenden. Letztgenannter Ansatz ist charakteristisch für E-Mails, in denen die Empfänger aufgefordert werden, ihre E-Mail-Adresse und ihr Passwort zu bestätigen.

Im dritten Quartal ersannen die Cybergangster eine neue Methode, Phishing-E-Mails zu platzieren und die Spam-Filter zu umgehen. Der Text der Phishing-E-Mail und der gefälschte Link waren in einem PDF-Dokument untergebracht, das an die E-Mail angehängt war. Beim Klick auf den Link öffnete sich eine gewöhnliche Phishing-Seite, auf der der Anwender seine persönlichen Informationen eingeben sollte. Die meisten der entdeckten E-Mails, in denen die neue Methode zum Einsatz kam, kopierten Benachrichtigungen von Banken. Der Körper solcher Mitteilungen enthielt zumeist einen absolut kurzen Text mit einer Beschreibung des Problems, manchmal fehlte der Text komplett.

spam3-phising-pdf-links

Im Text der entdeckten E-Mails benutzten die Spammer meistens bekannte Phrasen und Tricks:

  • Mitteilungen über die Blockierung des Accounts
  • Aufforderungen, Account-Daten zu bestätigen
  • Sicherheitserinnerungen
  • Benachrichtigungen über Ermittlungen in einem Phishing-Fall usw.

Die betrügerischen Links werden durch legitime Links und Textfragmente getarnt. Darüber hinaus wurde eine neue Variante von Phishing-E-Mails unter Verwendung von Mediabox-Objekten in PDF-Dateien, die an die E-Mail angehängt waren entdeckt.

Ziel der Phishing-Attacken und Alarmauslösung der heuristischen Komponente

Die Statistik zu den von Phishern angegriffenen Zielen wird auf Grundlage der Alarme der heuristischen Komponente des Systems Antiphishing auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Die heuristische Komponente des Antiphishing-Systems schlägt dann Alarm, wenn der Anwender über einen Link auf eine Phishing-Seite gelangt, aber noch keine Informationen über diese Seite in den Datenbanken von Kaspersky Lab vorhanden sind. Dabei spielt es keine Rolle, auf welche Weise sich der Übergang auf diese Seite vollzieht: infolge eines Klicks auf einen Link in einer Phishing-E-Mail, in einer Mitteilung in einem Sozialen Netzwerk oder beispielsweise aufgrund der Aktivität eines Schadprogramms. Hat das Schutzsystem angeschlagen, so wird dem Nutzer im Browser eine Warnmitteilung über eine mögliche Bedrohung angezeigt.

Top 3 der angegriffenen Organisationen

Die Betrüger konzentrieren ihre Kräfte weiterhin auf die populärsten Marken, gegen die sich der grösste Teil des zielgerichteten Phishings richtet. Auf diese Weise erhoffen Sie sich grössere Erfolgschancen ihrer Phishing-Attacken. Mehr als die Hälfte aller Alarme der heuristischen Komponente des Kaspersky “Antiphishing”-Systems entfällt auf Phishing-Seiten, die sich unter den Namen von weniger als 30 bekannten Unternehmen verbergen. Auf die Top 3 der von Phishern angegriffenen Organisationen entfielen im dritten Quartal 26,39 Prozent aller Alarme der heuristischen Komponente.

  1. Yahoo! 15,4%
  2. VKontakte 9,4%
  3. Facebook 9%

Angriffe auf Benutzerdaten populärer Cloud-Dienste

Immer mehr User nutzen die Technologie der Cloud-Datenspeicher. Das wissen Betrüger ebenfalls. Gestohlene Informationen werden von Cyberkriminellen genutzt, um deren Besitzer zu erpressen, zielgerichtete Attacken zu organisieren oder sie werden an Dritte verkauft. Häufig wird diese Art von Phishing-Schreiben via E-Mail oder über Soziale Netzwerke in Form von Mitteilungen mit der Aufforderung verbreitet, irgendein Dokument herunterzuladen, das angeblich bei einem populären Cloud-Service hinterlegt wurde. Die Mitteilungen können von einem kompromittierten Account aus der Freundesliste stammen oder – im Fall von E-Mails – im Namen der Administration des Cloud-Dienstes verschickt werden.

Über Phishing-Seiten, die die Websites bekannter Cloud-Speicher imitieren, werden auch verschiedene Schadprogramme verbreitet. In solchen Fällen lädt der Anwender mit einem Klick auf die Seite selbstständig Malware auf seinen Computer. Nachfolgend ist ein Beispiel für eine Attacke dargestellt, bei der der Nutzer aufgefordert wird, ein wichtiges PDF-Dokument zu laden. Der Link aus der E-Mail führt auf eine Phishing-Seite, die der Aufmachung des populären Dienstes Dropbox nachempfunden ist.

spam-phishing-clouddienste-dropbox-pdf-dokument

Ein weiteres Beispiel einer Phishing-Attacke mit iCloud: Die Betrüger versuchen in diesem Fall die Apple ID des Nutzers und das Passwort für den Cloud-Datenspeicher iCloud abzugreifen. Während das Design und Loginfenster praktisch identisch kopiert wurden, ist das Logo im Browsertab, die URL und das Sicherheitszertifikat (https-Verbindung) unterschiedlich bzw. nicht vorhanden.

phising-daten-apple-icloud

 

Wie kann ich einen Schaden verhindern?

Seien Sie vorsichtig und agieren Sie mit einem gesunden Misstrauen beim Öffnen von E-Mailanhängen und Internetlinks. Weitere Tipps und Tricks finden Sie in diesem Beitrag.

Weitere Details zum Report finden Sie hier: Kaspersky Lab – Quartalsreport 2015 – Q3

Kaspersky Lab

Kaspersky Lab ist ein russisches Softwareunternehmen, das 1997 gegründet wurde. Das auf die Entwicklung von Sicherheitssoftware spezialisierte Unternehmen hat seinen Hauptsitz in Moskau mit nationalen Vertrieben auf der ganzen Welt. Die DACH-Region wird von einem deutschen Tochterunternehmen in Ingolstadt betreut. Das Unternehmen wurde durch hohe Erkennungsleistung seiner Virenscanner bekannt und hierfür mehrfach preisgekrönt. Die von Kaspersky Lab entwickelten Technologien werden von einigen anderen Unternehmen lizenziert und als Engine (Kerneinheit) in ihren Antivirenprogrammen eingesetzt.

post

Phishing-Nachrichten von Migros im Umlauf

Achtung: Es sind aktuell Phishing-Nachrichten auf Mobiltelefonen im Umlauf, welche den falschen Eindruck vermitteln, sie seien von Migros. Migros bittet die Betroffenen, die Nachricht zu löschen und nicht weiterzuleiten. Insbesondere sollte darauf geachtet werden, keine Handy-Nummer anzugeben.

In der Nachricht wird behauptet, die Migros expandiere an den Wohnort des Nachrichtenempfängers und fordert zur Teilnahme an einer 1-minütigen Umfrage auf. Als Belohnung werden fälschlicherweise Geschenkkarten im Wert von 500 Franken versprochen. Bei einem Klick auf die Links, landet der User auf einer Webseite, wo durch die Eingabe der Handy-Nummer ungewollt ein Abo abgeschlossen wird.

Diese Nachrichten werden nicht von der Migros verschickt und haben nichts mit dem Unternehmen zu tun.

post

Achtung: Neue Betrugsversuche via iTunes store

Zurzeit sind sogenannte Phishing E-Mails mit dem vermeintlichen Absender  store@itunes.ch im Umlauf. Die E-Mails sind in der Apple-Optik gestaltet und erwecken auf den ersten Blick einen vertrauenswürdigen Anschein. Der Empfänger wird nach einem Klick auf eine Webseite geführt, die versucht auf betrügerische Weise Informationen zu entlocken. Dies können zum Beispiel Passwörter, Nachrichten oder Kreditkartendaten sein.

Wenn Sie ein solches Mail erhalten, sollten Sie es umgehend löschen.

Wie erkennen Sie betrügerische “Phishing”-E-Mails?

  1. Ermitteln Sie woher die E-Mail wirklich stammt
    Oftmals wird eine falsche Absenderadresse angegeben beziehungsweise eine Ähnliche wie z.B. eine bekannte Marke.
  2. Vorsicht vor Links in E-Mails
    Diese sind vielfach anders als im Text dargestellt. Wenn Sie mit der Maus über den Link fahren sehen Sie die richtige URL.
  3. Besuchte Websites auf Echtheit überprüfen
    Moderne Browser zeigen den Unternehmensnamen in grüner Farbe an, wenn für die Website ein gültiges Zertifikat vorliegt, was beispielsweise bei Apple der Fall ist.
  4. E-Mail-Anrede prüfen
    Die Begrüssung in Phishing-E-Mails ist in der Regel allgemein gehalten und nicht personenbezogen.
  5. Bisherige Korrespondenz
    Wenn Sie mit dem vermeintlichen Absender bereits Korrespondenz geführt haben, vergleichen Sie die Nachricht mit dem bisherigen Schriftverkehr.
  6. Vorsicht vor Anhängen
    Wenn Sie verdächtige Nachrichten mit einem Anhang erhalten, öffnen Sie diesen nicht.

 

Weitere Informationen erhalten Sie im Supportforum von Apple.