post

Warnung vor Phishing E-Mails

Die Melde- und Analysestelle Informationssicherung (Melani) warnt erneut vor Phishing-Mails die angeben, von Behörden und Schweizer Grossunternehmen zu stammen.

Ein Phishing-Versuch im Namen einer Steuerverwaltung © Melani

Die Mails beginnen beispielsweise mit «Guten Tag, ich bin Steuerprüfer von Ihrem Bezirk. Es haben sich einige Fragen zu Ihrer Steuererklärung ergeben.» Ebenfalls verwendet eine gefälschte offiziell klingende Absenderadresse mit der Bezeichnung «Eidgenössische Steuerverwaltung», wie Melani mitteilte. Dabei versuchen die Betrüger, dem Angegriffenen Dienstleistungen anzubieten.

Kriminelle wollen Schadsoftware verbreiten

Beim Öffnen des Dokuments wird eine Schadsoftware in den Computer eingeschleust. Die E-Mails werden zu Hunderttausenden in Umlauf gesetzt. Gemäss Melani ist es diesesmal besonders, dass neben dem Betriebssystem Windows auch Mac OSX betroffen war.

Die Kriminellen missbrauchen regelmässig bekannte Firmennamen. Paketzusteller, wie etwa die Post, DHL und weitere werden vielfach benutzt. Zudem dienen Zahlungsanweisungen oder gefälschte Swisscom-Rechnungen als Köder. Mit solchen Rechnungen versuchten Betrüger im Februar, die Schadsoftware Dridex zu verbreiten.

Auch bekannte Unternehmen, wie die Swisscom werden als Tarnung fürs Phishing missbraucht. © Melani

Daneben gelangen gefälschte Gerichtseinladungen oder E-Mails, die angeblich von der Kantonspolizei kommen, in Umlauf. Ziel der Betrüger ist es, Benutzer zu verwirren und zu spontanen unüberlegten Aktionen zu verleiten. In den meisten Fällen lässt sich schnell erkennen, dass es sich um Betrüger handelt.

Auf Echtheit überprüfen

Melani erinnert daran, dass etwa die Eidgenössische Steuerverwaltung Rechnungen, Veranlagungen und dergleichen nur per Post verschickt und nie per E-Mail. Bei dubiosen Rechnungen sollte eine Echtheitsüberprüfung beim Absender erfolgen. Ein Indiz für eine korrekte Rechnung ist die Anrede mit Vor- und Nachnamen. Bei Fake-Rechnungen ist das immer noch die Ausnahme.

Weitere Empfehlungen von Melani

Firmen, deren Namen missbraucht wird, empfiehlt Melani, dies auf der Startseite gut sichtbar bekannt zu machen. Ebenfalls sollte im Newsletter darauf aufmerksam gemacht werden. Bei Kundenkontakten via Mail sollten Links sparsam verwendet werden und wenn möglich nur auf gesicherte Seiten.

Versteckte Links sollten nicht verwendet werden. Eine Verlinkung zu einer Loginseite, die Benutzername und Passwort verlangt, sollte ebenfalls unterbleiben. Kunden sind möglichst mit Vor- und Nachnamen anzusprechen. Wichtige Informationen zu persönlichen Daten sollten wenn immer möglich per Brief versandt werden.

Quelle: 
www.computerworld.ch (5.10.17)

 

post

Erpressungstrojaner «Wanna Cry» nutzt bekannte Sicherheitslücke

Ransomware «Wanna Cry» deckt auf, wie anfällig Spitäler und Unternehmen sind.

Grossbritannien traf es besonders hart. Vielerorts war in den Spitälern seit Freitagabend kein Betrieb mehr möglich: Keine Operationen, keine Röntgen- oder Laborbefunde und auch die Telefone blieben stumm. Patienten wurden kurz vor dem vereinbarten Operationstermin wieder heimgeschickt, Ambulanzen auf lange Wege umgeleitet, auf der Suche nach einem funktionierenden Spital. Die Neugeborenen durften nicht nach Hause, weil keine Registrierung möglich war. Das Personal hatte keinen Zugriff mehr auf die Computer. Die Erpresser-Software «Wanna Cry» hat die Systeme abgeriegelt. Allein in England waren rund ein Fünftel der Arztpraxen und Spitäler des nationalen Gesundheitsdienstes NHS betroffen. Ärzte gaben gaben in den Medien bekannt, dass die umfassende Computerpanne wohl auch Menschenleben kosten werde – wegen nicht oder zu spät erfolgter Behandlung von Patienten.

Bekannter Vorgang mit zusätzlicher Verbreitung

Neben Grossbritannien waren auch rund 100 weitere Ländern von der Ransomware Wanna Cry betroffen. Der Ablauf entspricht dem einer typischen Erpresser-Software: Opfer klicken einen Link in einer E-Mail an, der den Trojaner auf den Rechner lädt. Die  Schadsoftware verschlüsselt den Computer und verlangt umgerechnet mehrere hundert Franken in der virtuellen Währung Bitcoin. Wer zahlt, erhält einen Entschlüsselungscode, der den Zugriff auf die gesperrten Daten wiederherstellen soll.

Diese Schadsoftware ist besonders dreist. Wenn der Schädling ein System infiziert hat, versucht er auch, wie ein Wurm andere Rechner im gleichen Netz zu infizieren. Insbesondere für Unternehmen und KMU mit einer älteren Infrastruktur stellt dies ein signifikantes Sicherheitsrisiko dar! Der weltweite Cyberangriff hatte nach Einschätzung der europäischen Ermittlungsbehörde Europol ein bisher beispielloses Ausmass. Es seien komplexe internationale Ermittlungen nötig, um die Hintermänner zu finden, erklärte Europol am Samstag.

Microsoft erkennt Ernst der Lage

Wie ernst die Lage ist, zeigt sich auch daran, dass Microsoft nun für alte Versionen wie Windows XP eigens ein Sicherheits-Update bereitgestellt hat, das die von Wanna Cry ausgenutzte Lücke schliesst. Das 16  Jahre alte Betriebssystem wird vom grössten Softwarehersteller seit 2014 gar nicht mehr gepflegt. Für seine aktuellen Windows-Versionen hatte Microsoft hingegen bereits im März Sicherheits-Updates herausgegeben.

Probleme sind hausgemacht

Die Sicherheitsprobleme sind vielfach selbstverschuldet. Viele öffentliche Einrichtungen setzen zwangsläufig auf veraltete Software wie Windows XP oder Windwos Server 2003 um Kosten zu sparen.

Erschwerend kommt hinzu, dass in Industriebetrieben, einem Spitälern oder bei der Armee häufig ältere Programme in Gebrauch sind, die sich bewährt haben. Dafür gibt es meistens auch keine Updates mehr für die Kompatibilität mit neueren Windows-Versionen. Das Risiko, dass diese auf einem neuen Betriebssystem nicht laufen, will man nicht eingehen. Die Geräte werden zum Teil offline eingesetzt, um das Risiko zu minimieren. Das gewährt jedoch auch keine hundertprozentige Sicherheit, denn Erpresser-Software könnte beispielsweise auch per USB-Stick auf einen Rechner gebracht werden.

Bei einem Update auf neuere Windows-Versionen müssen die Geräte bzw. die Software von Drittanbietern wieder zertifiziert werden. Das ist teuer. Daher sparen sich viele öffentliche Einrichtungen die Aktualisierungen ihrer Systeme. Das bedeutet, sie bleiben für lange Zeit ungesichert.

Tipps gegen Cyberangriffe

  • Bei verdächtigen E-Mails, sollten Anhänge und Links auf keinen Fall geöffnet werden.
  • Durchführen regelmässiger Datensicherung auf einen externen Speicher (getrennt aufbewahren) oder in eine Cloud.
  • Sicherheitssoftware (Anti-Virus) installieren und  regelmässig aktualisieren.
  • Firewall konfigurieren
  • Betriebssystem und Software auf dem Computer sollte alle Updates umgehend und automatisch erhalten.
  • Wer unsicher ist, ob eine Website vertrauenswürdig ist, sollte sie nicht besuchen.

InfoSoft Systems ist ihr Partner für IT-Lösungen. Gerne beraten wir Sie konkret, wie Sie ihre Infrastruktur kostengünstig, effizient und vor allem sicher betreiben können. Kontaktieren Sie uns!

Soll man zahlen, wenn man gehackt wurde?

Die Schweizer Melde- und Analysestelle Informationssicherung (Melani) rät davon ab, ebenso das deutsche Bundesamt für Sicherheit in der Informationstechnik. Denn man habe keine Gewähr, dass man nach dem Überweisen der Bitcoins wieder Zugriff auf die eigenen Daten erhalte. Ausserdem wird man dadurch zu einem interessanten “Kunden” für einen Wiederholungsversuch. Die Opfer sehen das scheinbar anders. Viele sind bereit einige hundert Franken zu überweisen, um die Systeme wieder zugänglich zu machen.

Nur durch Zufall gestoppt

Dass die Verbreitung der Erpresser-Software vorerst gestoppt werden konnte, ist einem Zufall zu verdanken. Zwei Sicherheitsexperten haben im Quellcode eine Art Notausschalter entdeckt und diesen aktiviert. Eine Entwarnung ist das nicht: Erstens bleiben befallene Rechner verschlüsselt.

Zweitens dürften die Cyberkriminellen die Software bereits so umprogrammiert haben, dass der Notausschalter nicht mehr funktioniert. Zudem könnten Dritte bereits Anpassungen an der Software vornehmen und einen nächsten Angriff planen.

Die Rolle der Geheimdienste

Unabhängig davon dürfte Wanna Cry auch eine erneute Diskussion über das Gebaren der Geheimdienste auslösen. Denn Microsoft schloss die ausgenutzte Lücke erst, nachdem bekannt wurde, dass eine Hackergruppe diese Informationen von der NSA erbeutet hatte. Das heisst, dass die NSA vermutlich schon lange über die Lücken Bescheid gewusst hat. Darauf wies der Whistleblower Edward Snowden hin.

Der amerikanische Geheimdienst ist mit diesem Vorgehen nicht allein: Spione rund um den Globus kaufen von Hackern IT-Sicherheitslücken und behalten das Wissen so lange wie möglich für sich, anstatt etwa Google, Microsoft oder Facebook über die Fehler zu informieren. Denn so können Personen und Organisationen mitunter jahrelang relativ leicht ausspioniert werden. Das Risiko dieses Vorgehens ist mit Wanna Cry erneut deutlich zum Vorschein gekommen.

Quelle
  • «Diese Cyber-Attacke ist erst der Anfang» Neue Zürcher Zeitung, 13.05.2017 https://nzz.ch
post

Gefälschte DHL E-Mails mit Viren

Eine besonders gefährliche E-Mail im Namen von DHL wird derzeit von Cyberkriminellen in Umlauf gebracht. Es handelt sich um eine täuschend echt wirkende Sendungsbenachrichtigung im DHL Erscheinungsbild. Die Links sehen harmlos aus, zeigen jedoch auf eine fremde URL, die einen Javascript-Virus herunterlädt.

Betrügerische Nachrichten im Namen von DHL wurden auch in anderen Fällen versendet. Die aktuelle E-Mail im Namen des Logistikkonzerns DHL ist besonders perfide. Die Nachricht wurde den Sicherheitskriterien von DHL angepasst, sodass ahnungslose Empfänger den Betrug schlechter erkennen können.

DHL ist jedoch weder der Versender der E-Mail, noch stehen sie damit in einem Zusammenhang! Das Unternehmen ist selbst geschädigt, da der Markenname DHL für kriminelle Zwecke missbraucht wird. Öffnen Sie die E-Mail nicht und klicken Sie insbesondere die Links nicht an! Die Nachricht lädt einen Trojaner auf Ihren Computer.

Aussehen der gefälschten DHL-Mail

Optisch macht die E-Mail im Namen von DHL zunächst einen authentischen Eindruck. Für die Gestaltung wurden typische DHL-Farben verwendet. Einzig gewisse Kleinigkeiten lassen Zweifel an der Echtheit aufkommen: Als Absendername wird DHL, DHL Team, DHL.de, DHL Paket, DHL Logistik-Spezialist, DHL Support, Kundenservice DHL Express, DHL Logistik-Team, Kundenservice DHL Logistik oder DHL Express verwendet. Die dahinterstehende E-Mail-Adresse zeigt jedoch eine beliebige Adresse. Nach dieser Erkenntnis sollten Empfänger genauer hinschauen. Des Weiteren sind Betreff und Text widersprüchlich. Im Betreff steht „Ihr DHL Paket kommt am …“ und im Text werden Sie über eine Änderung des Zustelltermins informiert.

Um die gefährlichen Links zu verschleiern, waren die Betrüger besonders trickreich. In der Spam-Mail zeigt der Linktext „https://nolb.dhl.de“, wie die echten DHL-URLs. Wenn man mit der Maus über den Link fährt, kommt jedoch ein anderes, betrügerisches Linkziel zum Vorschein. Dies ist ein weiteres starkes Zeichen für eine Fälschung.

Der Klick auf den Link

Diese E-Mail gehört nicht zu den üblichen Phishing-Mails, die nach einem Klick auf einen Link eine Webseite öffnen. In diesem Fall soll Schadsoftware verbreitet werden. Nach dem Klick auf einen der Links wird der Virus sofort und ohne nochmalige Nachfrage heruntergeladen. Nochmals: Klicken Sie keinen Link in dieser E-Mail an!

Der Download alleine ist nach bisheriger Erkenntnis noch nicht schädlich. Vielmehr muss die Datei noch ausgeführt werden. Es handelt sich bei der heruntergeladenen Datei um eine Javascript-Datei mit der Bezeichnung „DHL_Report_…js“. Der Dateiname enthält dazu noch Zufallszahlen, die sich ständig ändern.

Sollten Sie die Datei versehentlich heruntergeladen haben, löschen Sie diese sofort und leeren Sie gleich den Papierkorb. Öffnen Sie die Datei unter keinen Umständen, da dadurch die Malware aktiv wird.

Welche Gefahr geht von dem Virus aus?

Nach bisherigen Erkenntnissen handelt es sich um ein Downloadprogramm. Diese Applikation ist in der Lage weitere schädliche Software herunterzuladen. Über solche Malware können Angreifer ihr System einsehen und steuern. Beispielsweise kann der Computer für den weiteren Versand von Virus-E-Mails verwendet oder persönliche Daten ausgespäht werden. Ebenfalls wahrscheinlich ist, dass auf diesem Weg Ransomware, auch Erpressungstrojaner genannt, auf den Computer eingeschleust werden.

Aktuell ist dieser Trojaner nur für Computer mit dem Betriebssystem Windows gefährlich. Allerdings könnten künftig auch andere Betriebssysteme wie Android oder OS X gefährdet sein.

Folgende Virenscanner sollten den Virus gemäss virustotal.com erkennen können (Stand: 05.04.2017):

  • AegisLab
  • Arcabit
  • Cyren
  • DrWeb
  • F-Prot
  • Kaspersky
  • NANO-Antivirus
  • Qihoo-360
  • TheHacker
  • TrendMicro
  • TrendMicro-HouseCall
  • ZoneAlarm by Check Point

Datei geöffnet – und nun?

Falls Sie die die schädliche JS-Datei versehentlich geöffnet haben, sollten Sie einige Vorsichtsmassnahmen einleiten. Laien wird empfohlen den Computer sofort ausschalten und immer vom Netzwerk (WLAN/LAN) zu trennen. Es besteht die Möglichkeit, dass über das interne Netzwerk auch andere Computer infiziert werden.

Anschliessend sollten Sie zur Sicherheit auf einem anderen Computer alle Passwörter für Onlinedienste ändern, die auf dem PC installiert sind oder die Sie nach dem Ausführen der JS-Datei verwendet haben. Am Besten veranlassen Sie eine Virenentfernung durch Spezialisten.

Agieren Sie präventiv und schützen Sie ihren PC

Achten Sie auf grundsätzliche Sicherheitsvorkehrungen. Damit können Sie bereits sehr viele Schäden abwenden:

  • Vorsicht bei E-Mails von unbekannten Absendern (insbesondere Links und Dateianhänge)
  • Verwenden Sie immer einen aktuellen Virenschutz
  • Erstellen Sie eine regelmässige Datensicherung und prüfen Sie diese auch
  • Achten Sie darauf, dass das Betriebssystem und die Programme aktuell sind

Quelle: http://www.onlinewarnungen.de

post

Clutter priorisiert ihre E-Mails

Haben Sie den Überblick über die E-Mails in ihrem Posteingang?

Manchmal hat man das Gefühl der Posteingang sei überflutet mit Spam und unwichtigen E-Mails. Clutter ist eine Erweiterung für Outlook, die sich darauf spezialisiert, dass sich der User auf das Wesentliche konzentrieren kann und keine kostbare Zeit verliert. Das neue Feature für Office 365 will den E-Mailverkehr durch eine intelligente Sortierung erleichtern. Der Aufräumdienst nutzt dazu den selbstlernenden Algorithmus Office Graph.

Inhalte nach Wichtigkeit gruppiert

Bei Gmail werden Inbox wird eine ähnliche Funktion eingesetzt, die Nachrichten gruppiert oder Inhalte hervorgehebt. Microsoft Clutter (auf Deutsch «Durcheinander, Gerümpel») setzt den Fokus darauf, das Unwesentliche in den Hintergrund zu drängen. Die Funktion will dem Nutzer damit helfen, sich auf die wichtigsten eingehenden Nachrichten zu konzentrieren. Durch die Integration mit Outlook Web App (OWA) kann der Service mit jedem Betriebssystem und Browser genutzt werden.

Lernverhalten

Der Dienst ergänzt das bisherige regelbasierte Verschieben von E-Mails mit maschinellem Lernen. Clutter lernt vom Verhalten des Anwenders und merkt sich beispielsweise, inwieweit bestimmte E-Mails von bestimmten Absendern gelesen werden. Das gleiche gilt auch für das Ignorieren von Nachrichten. Elemente die als irrelevant eingeschätzt werden, verschiebt Clutter in das Verzeichnis „Unwichtige Elemente“. Grundlage dafür ist der selbstlernende Algorithmus Office Graph. Diese Funktion soll in Zukunft für weitere Office-365-Dienste eingesetzt werden können. Clutter ist standardmässig nicht aktiviert. Die Funktion wird aktiviert unter Einstellungen > Optionen > E-Mail > Automatische Verarbeitung > Clutter.

Die Aktivierung des Aufräumdienstes macht sich jedoch nicht sofort bemerkbar. Das Feature analysiert zuerst das Verhalten des Nutzers. Am einfachsten lässt sich Clutter daher trainieren, indem man wie gewohnt seine Arbeit erledigt. Die Lernenphase kann beschleunigt werden, indem Sie Nachrichten in den Clutter-Ordner verschieben oder wieder entfernen.

Erfahren Sie mehr über die Office Lösung von Microsoft auf unserer Office 365 Seite.

Links

Microsoft Outlook (8.11.16): Verwenden der Funktion “Clutter” zum Sortieren von Nachrichten

post

Phishingangriff auf PayPal-Daten

Eine betrügerische E-Mail zielt derzeit auf PayPal-Kunden ab. Die Cyberkriminellen wollen an die Accountdaten gelangen, denn damit können Zahlungen vorgenommen werden. Der Name PayPal wird missbräuchlich bei dem Betrugsversuch verwendet. Die illegale Verwendung von Name und Logo eines bekannten Unternehmens bzw. Zahlungsdienstleisters will den Nutzern eine Echtheit vortäuschen.

Die betrügerische E-Mail

Guten Tag, geehrter Kunde!
Bitte helfen Sie uns ein dabei, Ihr PayPal-Account wieder neu zu schalten.
Bis Wiederaufführung haben wir den unvollständigen Verbindungsgang zu Ihrem PayPal Account überbrückunghalber.
Woraus besteht das Problem?
Wir haben vor geraumer Zeit von einer womöglichen nicht zulässigen Kreditkartennutzung mit diesem PayPal-Konto erfahren. Um Sie unter Schutz zu halten, haben wir den Zugang zu Ihrem Konto einschränkt.
Verhandlungsnummer: PP-816-610-027-381
Was sollen Sie jetzt unternehmen?
Wegen verdächtiger Tätigkeiten in Ihrem PayPal Account sollen Sie sich als rechtmäßiger Halter beglaubigen. Nachdem Sie reagiert haben, können Sie Ihren PayPal Account wie bisher ergänzen.
Viel Spas beim Kauf mit sicheren Kosten wünscht PayPal!
Einloggen Paypal

Achtung Phishing

Die Verfasser wollen die Empfänger irritieren und hoffen darauf, dass PayPal-Nutzer auf den entsprechenden Link klicken. Dieser Link führt auf eine Phishingwebseite. Schutzsoftware wie Kaspersky erkennen den Phishingangriff und blockieren den Zugriff. Ohne Blockade zeigt sich an dieser Stelle eine Webseite, welche dem Login von PayPal sehr ähnlich sieht mit der URL«infodatacheckacc.com». Vorsicht: Das ist eine Fälschung und handelt sich nicht um PayPal! Geben Sie auf keinen Fall ihre echten Anmeldedaten bekannt.

paypal_phishing_loginseite_704x404

 

kaspersky_phishing_alarm_paypal

Grundsätzliche Hinweise zu Phishing

  • Phishing E-Mails versuchen immer so auszusehen, als stammen sie vom richtigen Unternehmen. Damit wollen Betrüger an persönliche Daten (Kreditkarte etc.) gelangen, um Transaktionen zu tätigen.
  • Benutzen Sie eine Schutzsoftware! Aktuelle Datenbanken und entsprechende Heuristiken erkennen und blockieren schädliche Seiten. Aktuell empfehlen wir unseren Kunden die Produkte von Kaspersky Lab für den besten Schutz.
  • Die eigentliche «Kunst» dieser Mails ist die Geschichte, mit der eine Vertrautheit vermittelt wird und eine Aufforderung den eingefügten Link zu öffnen. Achten Sie genau auf Ausdruck, Grammatik und Rechtschreibung, sowie Plausibilität und auch Individualität. Hohe Individualität ist kein Echtheitszertifikat, auch wenn der Empfänger mit korrektem Namen angesprochen wird und  Adress- und Personendaten stimmen. Eine generische Anrede ist zwar immer ein Indiz für Phishing, eine vorhandene korrekte Anrede jedoch nicht der Beweis für die Echtheit einer Mail.
  • Generell gilt: Banken, Zahl- und Kaufportale fordern nie mit einem eingebauten Link im E-Mail zum Einloggen auf!
  • Nie über einen Link einloggen, der per Mail verschickt wird. Rufen Sie die Seite eigenständig via Adresszeile des Browsers auf.
  • Tipp: Positionieren Sie den Cursor vorgängig auf einem Hyperlink, um zu sehen wohin er führt.
  • Zusätzlich sollten Sie E-Banking und Online-Zahlungen über öffentliche und fremde WLAN-Netzwerke unterlassen.
  • Unter keinen Umständen reale Daten in die Formularfelder eintragen! Möglicherweise werden die Daten bereits während des Tippens an die Betrügerdatenbank weitergeleitet.
Quelle:
Zuerst denken-dann klicken, http://www.mimikama.at/ (13.10.2016)
post

IT-Bedrohungen im Q1 2016

Das Jahr 2016 ist noch nicht einmal in der Hälfte, doch im Bereich Cyberverbrechen ist in den ersten drei Monaten so viel passiert, wie vor ein paar Jahren während dem ganzen Jahr. Die Tendenzen im Zusammenhang mit der traditionellen Cyberkriminalität, insbesondere in den Bereichen Bedrohungen für mobile Geräte und globale Epidemien von Erpresserprogrammen, haben sich deutlich verstärkt. Weitere Trends blieben unverändert.

Somit war Ransomware auch das Kernthema dieser Periode. Aufgrund der Ergebnisse wird sich die Situation auch weiterhin in diese Richtung entwickeln. Diese Erpressungsversuche werden im Jahr 2016 vermutlich zur grössten Herausforderung.

Das erste Quartal 2016 in Zahlen

Kaspersky Lab Produkte wehrten laut den Daten des Kaspersky Security Network (KSN) 228 Mio. Attacken von Internet-Ressourcen ab. Diese befinden sich in insgesamt 195 Ländern.

Ergebnisbericht von Kaspersky Anti-Virus

  • Alarmmeldung bei 74 Mio. individuellen URLs
  • 18 Mio. individuelle Schadobjekte aufgespürt (Skripte, Exploits, ausführbare Dateien und andere)
  • Abwehr von Infektionsversuchen durch Malware bei fast 460’00 Nutzern (insbesondere Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten)
  • Abwehr durch Ransomware-Angriffe bei 372’000 individuellen Anwendern
  • Registrierung von 174 Mio. individuellen schädlichen und potenziell unerwünschten Objekten

Auswertung Kaspersky-Lab-Produkte zum Schutz mobiler Geräte

  • 2 Mio. schädliche Installationspakete
  • 4’000 mobile Banktrojaner
  • 2’900 mobile Erpresser-Trojaner

CYBERKRIMINALITÄT

Ransomware

Verschlüsselungstrojaner sind das Hauptthema des Quartals und es wird vermutet, dass dies bis zum Ende des Jahres so bleibt.

Zunehmend Sorge bereitet den Experten auch, dass der Quellcode von Verschlüsselungsschädlingen allen interessierten Personen zugänglich gemacht wurde. Das hat zur Folge, dass sich sogar Amateure (bspw. Script-Kiddies) ihre eigene Trojaner-Version zusammenbasteln können. Zusammen mit der Verwendung von Bitcoin zur Lösegeldzahlung wird die Organisation von Attacken erheblich erleichtert und erhöht die Wahrscheinlichkeit, dass solche Handlungen straffrei ausgehen.

Des Weiteren wird bereits vom Begriff RaaS – Ransomware-as-a-Service – gesprochen. Er beschreibt den Vorgang, bei dem Cyberkriminelle die Verbreitung eines Trojaners gegen Bezahlung anbieten und im Gegenzug versprechen, einen entsprechenden Anteil der Einnahmen abzugeben. Grösstenteils sind Webmaster von Porno-Webseiten Kunden solcher Angebote. Weitere Geschäftsmodelle sind ebenfalls gesichtet worden.

Die Kryptotrojaner erweiterten ihren Schädigungsbereich. Im ersten Quartal 2016 waren auch Webserver Angriffsobjekte von CTB-Locker. Die neue Version des CTB-Locker mit dem Namen Onion verschlüsselt Webserver. Es wird ein Lösegeld von rund einem halben Bitcoin gefordert (ca. 150 US-Dollar). Verstreicht die Frist ohne Bezahlung, verdoppelt sich das Lösegeld auf rund 300 US-Dollar. Wenn die Forderung beglichen wird, versprechen die Erpresser einen Schlüssel zur Dechiffrierung der Dateien auf dem Webserver zu generieren.

Früher nutzte der Schädling das anonyme Netzwerk Tor, um sich vor der Abschaltung seiner Steuerungsserver zu schützen, und hob sich dadurch von anderer Ransomware ab. Die Nutzung von Tor ermöglichte das der Schädling unentdeckt blieb und allenfalls blockiert würde. Des Weiteren schützte die dezentralisierte, anonyme Kryptowährung Bitcoin die Betreiber solcher Schädlinge.

Grösste Epidemie “Locky”

Der Verschlüsselungsschädling Locky erzeugte im ersten Quartal am meisten Infektionen (von Kaspersky als Trojan-Ransom.Win32.Locky erkannt). Der Schädling verbreitet sich immernoch rasant. Gemäss Kaspersky Lab wurde in 114 Ländern versucht Rechner mit diesem Trojaner zu infizieren. Um den Schädling in Umlauf zu bringen, versenden die Cyberverbrecher massenhaft Spam schädlichen Ladeprogrammen im Anhang. In der ersten Phase war die Ursache eine Word-Datei (.doc) mit Makros im Anhang, welche den Trojaner Locky herunterlud und ausführte. In der Zwischenzeit wird anstelle  der DOC-Datei ein ZIP-Archiv mit schädlichen Skripten angehängt. Die E-Mail ist meist auf Englisch verfasst, es existieren jedoch auch mehrsprachige Varianten.

Die bedeutendste technische Neuerung heutiger Ransomware besteht darin, nicht nur Dateien als solche, sondern die gesamte Festplatte, insbesondere die Master File Table, zu verschlüsseln. Der  Trojaner „Petya“ hat diesen Vorgang angewandt. Nach der Chiffrierung wird ein Totenschädel aus ASCII-Zeichen angezeigt. Darauf folgt der Teil, der für alle Verschlüsselungstrojaner typisch ist: Eine Lösegeldforderung von dem Opfer. Im entsprechenden Fall beträgt dies 0,9 Bitcoin (ungefähr 380 US-Dollar). „Petya“ arbeitet in dieser Phase, im Gegensatz zu anderer Erpressersoftware, ohne Verbindung zum Netz. Weitere Informationen dazu haben wir in diesem Beitrag beschrieben. Da das Betriebssystem zusammen mit der Möglichkeit, eine Verbindung zum Internet herzustellen, blockiert wurde, muss der Nutzer einen anderen Computer benutzen, um Lösegeld zu bezahlen.

An dieser Stelle möchten wir nochmals darauf hinweisen, dass wir nicht empfehlen den Lösegeldforderungen nachzukommen. Eine aktuelle Anti-Viren-Lösung mit Firewall, kombiniert mit einer regelmässigen Datensicherung ist der wirksamste Schutz. Wir unterstützen Sie gerne bei der Implementierung von solchen Lösungen.

Für das Mac Betriebssystem OS X wurde ebenfalls ein Verschlüsselungstrojaner entdeckt: Trojan-Ransom.OSX.KeRanger. In diesem Artikel wird darauf nicht näher eingegangen.

Verschlüsselungstrojaner: Kennzahlen Q1 2016

Die Verschlüsselungsschädlinge gehören zu den Erpressertrojanern (Klassifizierung Trojan-Ransom). Derzeit sind neben ihnen in dieser Klasse auch die so genannten Browser-Erpresser vertreten. Die Auswertung des ersten Quartals bringt folgende Zahlen hervor:

  • Zahl neuer Verschlüsselungstrojaner: 2’900
  • Zahl der von Verschlüsselungstrojanern angegriffenen Anwender: 345’900 (+30% im Vergleich zum Vorjahr)
  • Top 3 der von Verschlüsselungstrojanern angegriffenen Länder: 1.) Italien 2.) Niederlande 3.) Belgien

 Top 10 der am meisten verbreitetsten Verschlüsselungstrojaner

Auf die bedeutendsten Trojaner wird nachfolgend näher eingegangen.

1. Teslacrypt

Den Spitzenplatz belegte mit grossem Abstand die Familie Teslacrypt, die in zwei Varianten aufgetreten sind: Trojan-Ransom.Win32.Bitman und Trojan-Ransom.JS.Cryptoload. Genauer Informationen über die Verbreitung und Funktionsweise finden Sie im Beitrag.

 2. CTB-Locker

Auf Rang zwei befindet sich die Verschlüsseler-Familie CTB-Locker (Trojan-Ransom.Win32/NSIS.Onion). Für die Vertreter dieser Familie ist die Verbreitung mittels Partnerprogramm typisch sowie die Unterstützung zahlreicher Sprachen. Es wurden CTB-Locker für Server entdeckt (oben beschrieben). Diese Variante hat Dateien auf über 70 Servern in 10 Ländern angegriffen und verschlüsselt.

3. Cryptowall / Cryptodef

Platz drei belegt die Familie Trojan-Ransom.Win32.Cryptodef, welche auch unter dem Namen Cryptowall bekannt wurde. Verbreitet werden diese Schädlinge, wie auch Teslacrypt über Spam-Versendungen.

5. Scatter

Den fünften Platz besetzt die Verschlüsseler-Familie Scatter. Zum Jahresanfang wurde eine neue Verbreitungswelle dieses Schädlings mittels Spam-Mails beobachtet. Die E-Mails enthielten einen Link auf das JS-Skript JavascripT. Diese war getarnt, dass der Nutzer es herunterlud und lokal startete. Zusätzlich wurde beim Skriptausführen nicht nur Scatter gespeichert, sondern auch zwei weitere Schädlinge: Nitol ( DDoS-Bot) und Pony (Trojaner, der Informationen stiehlt, insbesondere Kennwörter).

7. Locky

Die Verschlüsselungstrojaner-Familie Locky, die den siebten Platz belegt, hebt sich durch eine weite geografische Verbreitung hervor, insbesondere in Europa. Die im Tor-Netzwerk untergebrachte Webseite der Cyberkriminellen, auf der ihre Forderungen stehen, unterstützt 24 Sprachen. Da keine Sprache der Gemeinschaft unabhängiger Staaten (GUS) benutzt wird, wird vom Kaspersky Security Network vermutet, dass der Ursprung von Locky aus diesen Kreisen stammt. Genauer Informationen zur Verbreitung von Locky finden Sie in diesem Beitrag.

Quelle: Securelist.com , 19. Mai 2016

 

post

EM 2016: Spam und Betrugsversuche

Grossveranstaltungen, wie die olympischen Spiele oder eine Fussball-Weltmeisterschaft sind ein Highlight für Viele. Auch Internet-Betrüger und Spammer versprechen sich viel von solchen Events und nutzen diese Anlässe immer wieder aus. Securelist vermutet, dass dies auch an der kommenden Europameisterschaft 2016 in Frankreich der Fall sein wird. So werden beispielsweise gefälschte Benachrichtigungen über den Gewinn des Jackpots einer EM-Lotterie oder Matchtickets aufgeführt. Solche E-Mails enthalten typischerweise Dokumente im Anhang, die wie ein offizielles Dokument wirken sollen. Darin werden unerlaubterweise Logos, Embleme und Slogans von echten Unternehmen verwendet.

spam_mails_beispiele_uefa2016_gewinn_verlosung
“Spammer bereit für die EM!”, https://de.securelist.com/, 4.05.2016

Eine bekannte Geschichte

Die Vorgehensweise ist nichts neues. Im Text wird erwähnt, dass die Lotterie von einer bevollmächtigten Organisation durchgeführt werde. Der E-Mailempfänger sei aus einer grossen Zahl von E-Mail-Adressen zufällig auserwählt worden. Für die Entgegennahme des Gewinnes muss der E-Mailempfänger auf die Nachricht antworten und die notwendigen persönlichen Daten übermitteln.

Securelist hat Fälle beobachtet, wo unterschiedliche Texte immer mit dem gleichen Anhang verschickt wurden. Die Internet-Betrüger verwenden unterschiedliche E-Mail-Adressen. Diese sind jeweils auch im Text und Anhang angepasst. Grundsätzlich geht es jedoch immer um dieselbe Thematik.  Die Sprache ist vielfach in Englisch gehalten, was bei einer internationalen Organisation, wie der UEFA nichts aussergewöhnliches wäre. Es wurden auch Betrugsversuche in weiteren Sprachen registriert. Auf holländisch kursiert eine E-Mail mit dem Angebot eine EM-Gedenkmünze mit dem Nominalwert von 2 Euro zu erwerben.

Ausblick

Da die Fussball-Europameisterschaft bald eröffnet wird, besteht Grund zur Annahme, dass auch der Fussball-Spam steigen wird. Cyberkriminelle werden vermutlich neue kreative E-Mails verschicken, um ihre betrügerischen Absichten durchzusetzen. Insbesondere angebliche EM-Ticket-Verlosungen, wie es auch schon an der WM in Brasilien der Fall war, könnten sich verbreiten. Das höchste Spampotenzial wird für französischsprechende Anwender erwartet, da das Turnier in Frankreich stattfindet. Aber auch deutschsprachige Anwender sollten bei angeblichen Lotteriegewinnen immer misstrauisch sein.

Quelle: https://de.securelist.com/

post

Spam und Phishing Attacken im 3. Quartal 2015

Der Spam-Anteil im E-Mail-Traffic von Sicherheitssoftwareentwickler Kaspersky betrug im dritten Quartal 2015 durchschnittlich 54,2 %. Im Bereich Phishing wehrten die Lösungen von Kaspersky Lab im dritten Quartal mehr als 36 Millionen Versuche ab, auf eine Phishing-Website zu gelangen. Das ist ein um sechs Millionen höherer Wert als im vorangegangenen Quartal.

Das Thema Bekanntschaften und Dates ist typisch für Spam und die Firma Kaspersky hat ständig damit zu tun. Im dritten Quartal 2015 waren die E-Mails dieser Art jedoch besonders vielseitig und dreist. Im Folgenden wird deshalb Spam zum Thema Dates, saisonaler Spam und Phishing genauer unter die Lupe genommen.

Online-Bekanntschaften

Der analysierte Spam zum Thema Bekanntschaften und Dates lässt sich grob in drei Kategorien einteilen:

  1. Schnelle Bekanntheit von unbekannten Websites erreichen
  2. Irreführung und monetäre Absichten
  3. Betrügerische Absicht mit Schadsoftware

spam1-frauen-dates

1.) Schnelle Bekanntheit von unbekannten Websites erreichen

Der Sinn solcher Versendungen liegt üblicherweise in der Verbreitung von Werbung für erst kürzlich erstellte und noch nicht häufig angeklickte Kontakt-Websites. Die Inhaber solcher Sites wollen mit Hilfe von Spam ein möglichst grosses Publikum auf ihre Seite locken. Solche Mitteilungen wenden sich an bestimmte Zielgruppen, so wird beispielsweise für Kontaktwebsites für Senioren, Verheiratete oder Gläubige geworben.

Derartige E-E-Mails laden dazu ein, sich auf den entsprechenden Ressourcen zu registrieren. Ausserdem enthalten einen kurzen Text mit dem Versprechen, die ideale Lebensgefährtin zu finden, und einen Link, der auf die beworbene Website führt.

2.) Irreführung und monetäre Absichten

Dem Wesen nach ähnliche E-Mails können auch im Namen einer heiratswilligen Dame selbst verschickt werden. Diese Art von Spam ist nicht mehr weit von Betrug entfernt – das Schema erinnert stark an “nigerianisches” Spam. Die E-Mails werden im Namen eines Mädchens abgesendet, das kurz über sich selbst erzählt – ihr nicht einfaches Leben in der russischen Provinz und ihre Träume vom Märchenprinzen. Häufig ist ein Foto angehängt, auf der nicht unbedingt die Dame selbst abgebildet sein muss – das Foto kann auch von fremden Seiten aus Sozialen Netzwerken stammen und mitgeschickt werden, um der Mitteilung zu grösserer Glaubwürdigkeit zu verhelfen. Daher kann selbst in verschiedenen Nachrichten, die im Namen verschiedener Mädchen verschickt werden, immer ein und dasselbe Foto auftauchen. Der Text der E-Mails wird allerdings verändert: Um die Filter zu umgehen, verwenden die Spammer immer wieder Synonyme. Für die Kontaktaufnahme geben die Spammer in solchen Schreiben normalerweise eine E-Mail-Adresse an, die sich allerdings von Mail zu Mail ändert.

Antwortet der Nutzer an eine solche Adresse, so erhält er im besten Fall eine Benachrichtigung darüber, dass dieser E-Mail-Account nicht existiert. Im schlimmsten Fall gibt er damit seine Adresse für weitere Spam-Versendungen preis oder wird zum Opfer eines Betrugsschemas. Meist wird dabei der Empfänger aufgefordert Geld zu schicken, damit man sich treffen kann.

3.) Betrügerische Absicht mit Schadsoftware

Eine weitere Art von Spam-Versendungen, die Kaspersky im dritten Quartal aufdeckte, ist eindeutig der Kategorie Betrug zuzuordnen. Im Verlauf des Quartals wurden Versendungen entdeckt, deren Inhalt zum Ziel hatte, den Empfänger dazu zu bringen, eine SMS an die in der E-Mail angegebene Telefonnummer zu senden. Im Gegenzug versprach eine angebliche junge Frau, offenherzige Fotos von sich zu schicken. Der Text der Versendung wurde ständig geändert und verrauscht, ebenso wie die in der E-Mail angegebenen Telefonnummern. Bei einem Test stellte sich heraus, dass es sich nicht um kostenpflichtige Nummern handelte, wie man auf den ersten Blick hätte meinen können. Es wurde stattdessen ein SMS-Kontakt zu einer jungen Frau inszeniert. Bereits nach wenigen Antworten wird klar, dass es sich hier um einen Roboter handelt, der von der Notwendigkeit überzeugen will, eine gewisse App herunterzuladen, um weitere Chats und den Versand der versprochenen Fotos zu ermöglichen.

Im Test erhielten die Kaspersky-Ingenieure von der “jungen Frau” mehrere SMS mit verschiedenen Kurzlinks, die auf einen Artikel einer bekannten amerikanischen Zeitung führten zum Thema nützliche mobile Apps. Während der Umleitung auf diesen Artikel wurde auf das Telefon des Nutzers ein Archiv mit mobiler Schadsoftware geladen.

Saisonaler Spam

flight-info-spam2

In den Sommermonaten nimmt die Spam-Menge mit saisonalen Themen traditionell zu. Das betrifft nicht nur unerwünschte Werbung, sondern auch schädlichen Spam. In der vergangenen Urlaubssaison war touristischer Spam am häufigsten: Betrüger setzten gefälschte Benachrichtigungen im Namen von Buchungsservices, Luftfahrgesellschaften und Hotels ein, um schädliche Programme in Umlauf zu bringen. Unter den gefälschten Mitteilungen im Namen grosser internationaler Fluggesellschaften und Buchungsdienste wie Air France oder Booking.com entdeckte Kaspersky auch trojanische Downloader (Trojan-Downloader.JS.Agent.hhy und Trojan-Downloader.Win32.Upatre).

PHISHING

Die Tricks der Spammer

In einer Standard-Phishing-E-Mail befindet sich der Mitteilungstext im E-Mail-Körper, und die persönlichen Informationen des Anwenders sollen auf einer Webseite eingegeben werden, auf die man nach einem Klick auf den im Text angegebenen betrügerischen Link gelangt, oder in die Felder einer HTML-Seite, die an den Brief angehängt ist. Oder man soll seine privaten Angaben in einer Antwort-E-Mail versenden. Letztgenannter Ansatz ist charakteristisch für E-Mails, in denen die Empfänger aufgefordert werden, ihre E-Mail-Adresse und ihr Passwort zu bestätigen.

Im dritten Quartal ersannen die Cybergangster eine neue Methode, Phishing-E-Mails zu platzieren und die Spam-Filter zu umgehen. Der Text der Phishing-E-Mail und der gefälschte Link waren in einem PDF-Dokument untergebracht, das an die E-Mail angehängt war. Beim Klick auf den Link öffnete sich eine gewöhnliche Phishing-Seite, auf der der Anwender seine persönlichen Informationen eingeben sollte. Die meisten der entdeckten E-Mails, in denen die neue Methode zum Einsatz kam, kopierten Benachrichtigungen von Banken. Der Körper solcher Mitteilungen enthielt zumeist einen absolut kurzen Text mit einer Beschreibung des Problems, manchmal fehlte der Text komplett.

spam3-phising-pdf-links

Im Text der entdeckten E-Mails benutzten die Spammer meistens bekannte Phrasen und Tricks:

  • Mitteilungen über die Blockierung des Accounts
  • Aufforderungen, Account-Daten zu bestätigen
  • Sicherheitserinnerungen
  • Benachrichtigungen über Ermittlungen in einem Phishing-Fall usw.

Die betrügerischen Links werden durch legitime Links und Textfragmente getarnt. Darüber hinaus wurde eine neue Variante von Phishing-E-Mails unter Verwendung von Mediabox-Objekten in PDF-Dateien, die an die E-Mail angehängt waren entdeckt.

Ziel der Phishing-Attacken und Alarmauslösung der heuristischen Komponente

Die Statistik zu den von Phishern angegriffenen Zielen wird auf Grundlage der Alarme der heuristischen Komponente des Systems Antiphishing auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Die heuristische Komponente des Antiphishing-Systems schlägt dann Alarm, wenn der Anwender über einen Link auf eine Phishing-Seite gelangt, aber noch keine Informationen über diese Seite in den Datenbanken von Kaspersky Lab vorhanden sind. Dabei spielt es keine Rolle, auf welche Weise sich der Übergang auf diese Seite vollzieht: infolge eines Klicks auf einen Link in einer Phishing-E-Mail, in einer Mitteilung in einem Sozialen Netzwerk oder beispielsweise aufgrund der Aktivität eines Schadprogramms. Hat das Schutzsystem angeschlagen, so wird dem Nutzer im Browser eine Warnmitteilung über eine mögliche Bedrohung angezeigt.

Top 3 der angegriffenen Organisationen

Die Betrüger konzentrieren ihre Kräfte weiterhin auf die populärsten Marken, gegen die sich der grösste Teil des zielgerichteten Phishings richtet. Auf diese Weise erhoffen Sie sich grössere Erfolgschancen ihrer Phishing-Attacken. Mehr als die Hälfte aller Alarme der heuristischen Komponente des Kaspersky “Antiphishing”-Systems entfällt auf Phishing-Seiten, die sich unter den Namen von weniger als 30 bekannten Unternehmen verbergen. Auf die Top 3 der von Phishern angegriffenen Organisationen entfielen im dritten Quartal 26,39 Prozent aller Alarme der heuristischen Komponente.

  1. Yahoo! 15,4%
  2. VKontakte 9,4%
  3. Facebook 9%

Angriffe auf Benutzerdaten populärer Cloud-Dienste

Immer mehr User nutzen die Technologie der Cloud-Datenspeicher. Das wissen Betrüger ebenfalls. Gestohlene Informationen werden von Cyberkriminellen genutzt, um deren Besitzer zu erpressen, zielgerichtete Attacken zu organisieren oder sie werden an Dritte verkauft. Häufig wird diese Art von Phishing-Schreiben via E-Mail oder über Soziale Netzwerke in Form von Mitteilungen mit der Aufforderung verbreitet, irgendein Dokument herunterzuladen, das angeblich bei einem populären Cloud-Service hinterlegt wurde. Die Mitteilungen können von einem kompromittierten Account aus der Freundesliste stammen oder – im Fall von E-Mails – im Namen der Administration des Cloud-Dienstes verschickt werden.

Über Phishing-Seiten, die die Websites bekannter Cloud-Speicher imitieren, werden auch verschiedene Schadprogramme verbreitet. In solchen Fällen lädt der Anwender mit einem Klick auf die Seite selbstständig Malware auf seinen Computer. Nachfolgend ist ein Beispiel für eine Attacke dargestellt, bei der der Nutzer aufgefordert wird, ein wichtiges PDF-Dokument zu laden. Der Link aus der E-Mail führt auf eine Phishing-Seite, die der Aufmachung des populären Dienstes Dropbox nachempfunden ist.

spam-phishing-clouddienste-dropbox-pdf-dokument

Ein weiteres Beispiel einer Phishing-Attacke mit iCloud: Die Betrüger versuchen in diesem Fall die Apple ID des Nutzers und das Passwort für den Cloud-Datenspeicher iCloud abzugreifen. Während das Design und Loginfenster praktisch identisch kopiert wurden, ist das Logo im Browsertab, die URL und das Sicherheitszertifikat (https-Verbindung) unterschiedlich bzw. nicht vorhanden.

phising-daten-apple-icloud

 

Wie kann ich einen Schaden verhindern?

Seien Sie vorsichtig und agieren Sie mit einem gesunden Misstrauen beim Öffnen von E-Mailanhängen und Internetlinks. Weitere Tipps und Tricks finden Sie in diesem Beitrag.

Weitere Details zum Report finden Sie hier: Kaspersky Lab – Quartalsreport 2015 – Q3

Kaspersky Lab

Kaspersky Lab ist ein russisches Softwareunternehmen, das 1997 gegründet wurde. Das auf die Entwicklung von Sicherheitssoftware spezialisierte Unternehmen hat seinen Hauptsitz in Moskau mit nationalen Vertrieben auf der ganzen Welt. Die DACH-Region wird von einem deutschen Tochterunternehmen in Ingolstadt betreut. Das Unternehmen wurde durch hohe Erkennungsleistung seiner Virenscanner bekannt und hierfür mehrfach preisgekrönt. Die von Kaspersky Lab entwickelten Technologien werden von einigen anderen Unternehmen lizenziert und als Engine (Kerneinheit) in ihren Antivirenprogrammen eingesetzt.