Artikel von Cyber Crime Police.ch 11.12.2020 Update 11.02.2022
https://www.cybercrimepolice.ch/de/fall/achtung-kmu-anruf-von-zustellservice-mit-ankuendigung-von-liefer-mail-ist-ein-ebanking-trojaner/
Achtung KMU - Anruf von Zustellservice mit Ankündigung
von Liefer Mail ist ein eBanking Trojaner
Das Telefon läutet. Eine Dame mit Ostblockakzent erklärt, dass sie eine Lieferung disponiere. Ansprechsperson sei der Geschäftsführer des KMU. Ob jemand anwesend sei. Wegen Corona habe sie den Lieferschein per Mail geschickt. Man müsse diesen nur ausdrucken, unterschreiben und dem Fahrer übergeben.
In der französischen Version ertönt eine automatische Roboterstimme, die auffordert, die Emailadresse zu bestätigen. Anschliessend kommt umgehend das Mail mit dem angeblichen Lieferschein.
Neuerdings ertönt auch in der deutschsprachigen Version eine Stimme vom Band.
Die Betrugsmasche
Klickt man auf den Link im Mail, so wird eine Malware heruntergeladen, die einen eBanking Trojaner ausführt. Einmal installiert, werden die künftigen eBanking Aktivitäten des KMU an die Täter umgeleitet, die die Zahlungen modifizieren und die Überweisung zu ihren Gunsten umleiten. Besonders perfide ist, dass aktuelle Antivirensoftware keine Schadsoftware auf dem infizierten PC findet und die 3D SMS Verfikation ausgehebelt wird.
Seit kurzen werden auch Daten in grossem Stil entwendet. Nach mehreren Wochen werden die Daten verschlüsselt und das KMU erpresst.
Weiterlesen
Warnung vor falschem Microsoft- oder Adobe Support!
Seit einiger Zeit werden User / Kunden wahllos telefonisch von angeblichen Mitarbeitern vom technischen Support von Microsoft, Adobe und anderen grossen Firmen kontaktiert und erzählen, dass Sie Computerprobleme haben.
Wir weisen darauf hin, dass der technische Support von Microsoft, Google, Apple und anderen seriösen Firmen nie unangemeldet und unaufgefordert anrufen, um irgendwelche Computerprobleme zu beheben!
Das Wichtigste zusammengefasst:
Die vermeintlichen Betrüger geben vor, dass Ihr Gerät von Viren befallen sei oder Sicherheitsprobleme bestehen. Eine weitere Behauptung ist, dass sie das Betriebssystem vor Schäden schützen oder beim Umstieg auf neuere Windows-Versionen helfen wollen. Die falschen Support-Betrüger versuchen Sie am Telefon zu überreden, unter Ihrer Anleitung bestimmte Schritte am PC auszuführen und beschaffen sich so den Zugriff auf Ihr Gerät sowie Ihre Daten.
Deshalb empfehlen wir:
- Werden Sie von einem vermeintlichen Betrüger angerufen, beenden Sie das Gespräch sofort.
- Die Betrüger haben die Möglichkeit echte Telefonnummern von Unternehmen als Absender zu fälschen und missbrauchen (Spoofing). Lassen Sie sich dadurch nicht beirren.
- Geben Sie auf keinen Fall irgendwelche persönlichen Daten bekannt.
- Reagieren Sie nicht auf vermeintliche Warnhinweise, die auf dem Bildschirm erscheinen und laden Sie keine Anhänge herunter.
- Installieren Sie beim Telefonat keine Fremdsoftware auf Ihrem Computer, Tablet oder Smartphone.
- Lassen Sie sich nicht von Drohungen irritieren, wonach der Anrufer Ihre Windows-Version löscht, wenn Sie das Programm nicht installieren.
- Haben Sie bereits mit einem falschen Microsoft-Betrüger gesprochen, trennen Sie Ihren PC vom Netz, sperren Sie Ihre Karten und nehmen Sie umgehend Kontakt mit uns auf.
Erklärungen zu Spoofing:
Was ist Spoofing? Spoofing im digitalen Sinne tritt auf, wenn sich ein böswilliger Aussenstehender als legitime Ressource wie eine Website, ein E-Mail-Kontakt, ein Netzwerkbenutzer, eine Ressource oder ein Gerät ausgibt, um Zugriff auf Systeme und Netzwerke zu erhalten, um Angriffe durchzuführen, wertvolle Informationen zu stehlen, Operationen zu sabotieren oder Malware verteilen.
Es ist eine beliebte Taktik bei Cyberkriminellen und nimmt verschiedene Formen an.
Spoofing von IP-Adressen
Auch als IP-Adressfälschung, IP-Spoofing oder Host-Datei-Hijacking bezeichnet.
ARP-Spoofing
ARP-Spoofing wird durchgeführt, wenn ein Angreifer gefälschte ARP-Kommunikation über ein lokales Netzwerk (LAN) überträgt, um seine MAC-Adresse mit der IP-Adresse eines legitimen Netzwerkbenutzers zu verknüpfen. Alle Informationen, die für die IP-Adresse dieses Benutzers bestimmt sind, werden stattdessen an den Angreifer übertragen.
DNS Server Spoofing
Beim Spoofing von DNS-Servern können Angreifer einen DNS-Server gefährden und einen bestimmten Domänennamen an eine bestimmte IP-Adresse umleiten - normalerweise die eines Servers - der von den Angreifern selbst ausgeführt wird. Benutzer, die diesen Domainnamen eingeben, werden auf einen Server umgeleitet, der normalerweise mit Malware, Viren und Würmern übersät ist.
Pharming
Bei Pharma-Aktivitäten leiten Betrüger legitime URLs zu gefälschten Websites weiter, die genau so aussehen, wie die Echten. In den meisten Fällen handelt es sich dabei um eine seriöse offizielle Stelle wie eine Bank, eine Strafverfolgungsbehörde oder ein Versorgungsunternehmen.
Phishing
E-Mail-Spoofing oder Phishing können für verschiedene Zwecke eingesetzt werden - unter anderem - um ahnungslose Empfänger dazu zu bringen, auf Links zu Pharming-Websites zu klicken. Der Name des Absenders in der gefälschten E-Mail und in den Textnachrichten ist normalerweise jemand, der dem Empfänger bekannt ist, oder der Name einer Organisation, mit der er vertraut ist. Betreffzeilen und Textkörper können einschüchternd oder verlockend sein - welcher Ansatz auch immer als bester Köder dient.
Ziel ist es, den Empfänger dazu zu bringen, vertrauliche oder sensible Informationen in einer direkten Antwort oder an einem mit Köder versehenen Ziel preiszugeben, wenn er auf einen eingebetteten Link klickt. Diese Links können auch zu Websites führen, auf denen Malware auf das System des Benutzers portiert werden kann.
Angriffe verhindern
Zum Schutz vor Spoofing-Angriffen können Einzelpersonen und Organisationen die folgenden Empfehlungen verwenden:
- Verwenden Sie aktuelle Antivirensoftware auf Ihren Systemen und halten Sie diese regelmässig auf dem neuesten Stand.
- Installieren Sie Firewalls in allen Netzwerken und legen Sie Richtlinien fest, die den Datenverkehr von und zu Ihrem System einschränken.
- Gehen Sie mit E-Mail-Kontaktlisten vorsichtig um und legen Sie E-Mail-Filter (Spam) fest, um eingehende Nachrichten basierend auf den von Ihnen definierten Bedingungen zu verwalten.
- Öffnen Sie keine Anhänge in unerwünschten E-Mails und lassen Sie sich vom Absender (persönlich oder telefonisch) auf fragwürdige Nachrichten und Anfragen überprüfen.
- Verwenden Sie die Paketfilterung um Daten zu überprüfen, die über Ihr Netzwerk übertragen werden. Diese Tools können Pakete blockieren, deren Quelladressinformationen widersprüchliche Nachrichten enthalten.
- Verwenden Sie eine spezielle Software zur Erkennung von Spoofs um Informationen zu überprüfen und zu validieren, bevor sie übertragen werden und um alle Daten zu blockieren, welche gefälscht wurden.
- Verwenden Sie sichere Netzwerkprotokolle mit Verschlüsselung, z.B. HTTP Secure (HTTPS), Secure Shell (SSH) und Transport Level Security (TLS).
- Vermeiden Sie sogenannte „Vertrauensbeziehungen“, bei denen Datenübertragungsprotokolle mit Dritten nur IP-Adressen zur Authentifizierung benötigen. Intensive IP-Spoofing-Techniken können verwendet werden, um sich als System mit Zugriffsrechten auszugeben und diese vertrauensbasierten Kontrollen zu umgehen.
Neuste Udates von Itunes und Malwarebyte verhindern Synchronisation 16.02.2020
Malwarebyte hat mit einen Neuen Eintrag die Kommunikation zwischen iPad / iPhone für Backup und Synchronisation lahmgelegt und unterbunden. Schaltet man bei Malwarebyte den Punkt Schutz vor Ransomware aus, funktioniert ITunes wieder ordnungsgemäss. Foren berichten, dass es bei einem Neuen Update Abhilfe geben soll. Weiter wird berichtet, dass Apple in ITunes und ICloud ein Leck hat, das warscheinlich bei Malwarebyte dazu führte zu handeln.
Installations Versionen:
- Win 10 Pro 64
- Malwarebyte 4.0.4
- Itunes 12.10.4.2
Möglichkeit 1: Temporär:
Man schaltet bei Malwarebyte den Punkt Ransomware solange aus, bis die Zusammenarbeit mit ITunes erledigt ist. Unbedingt nachher wieder einschalten.
Möglichkeit 2: Fix:
Malwarebyte öffnen und unter [Einstellungen / zulässige Liste] folgende Ordner eintragen. (WhyteList)
Schritte: Hinzufügen / Dateien Ordner / anklicken "Ordner auswählen nur von der Erkennung von Ransomware ausschliessen" und den folgend Ordner suchen:
C: \ Programme (x86) \ Gemeinsame Dateien \ Apple
oder
C: \ Programme (x86) \ Common Files \ Apple
Das gleiche nochmals mit dem Ordner
C: \ Programme \ Gemeinsame Dateien \ Apple)
oder
C: \ Programme \ Common Files \ Apple)
Nach Schritt 1 oder Schritt 2 Fix sollte Itunes wieder normal arbeiten.
Für Schäden, die durch diese Anleitung und Ausschlüsse entstehen könnten, können wir als HP-Kommunikationsdesign keine Garantie übernehmen.