eBanking Trojaner RETEFE

Artikel von Cyber Crime Police.ch  11.12.2020 Update 11.02.2022
https://www.cybercrimepolice.ch/de/fall/achtung-kmu-anruf-von-zustellservice-mit-ankuendigung-von-liefer-mail-ist-ein-ebanking-trojaner/

Achtung KMU - Anruf von Zustellservice mit Ankündigung
von Liefer Mail ist ein eBanking Trojaner

Das Telefon läutet. Eine Dame mit Ostblockakzent erklärt, dass sie eine Lieferung disponiere. Ansprechsperson sei der Geschäftsführer des KMU. Ob jemand anwesend sei. Wegen Corona habe sie den Lieferschein per Mail geschickt. Man müsse diesen nur ausdrucken, unterschreiben und dem Fahrer übergeben.

In der französischen Version ertönt eine automatische Roboterstimme, die auffordert, die Emailadresse zu bestätigen. Anschliessend kommt umgehend das Mail mit dem angeblichen Lieferschein.

Neuerdings ertönt auch in der deutschsprachigen Version eine Stimme vom Band.

Die Betrugsmasche

Klickt man auf den Link im Mail, so wird eine Malware heruntergeladen, die einen eBanking Trojaner ausführt. Einmal installiert, werden die künftigen eBanking Aktivitäten des KMU an die Täter umgeleitet, die die Zahlungen modifizieren und die Überweisung zu ihren Gunsten umleiten. Besonders perfide ist, dass aktuelle Antivirensoftware keine Schadsoftware auf dem infizierten PC findet und die 3D SMS Verfikation ausgehebelt wird.

Seit kurzen werden auch Daten in grossem Stil entwendet. Nach mehreren Wochen werden die Daten verschlüsselt und das KMU erpresst.

Weiterlesen

Spoofing Angriffe

Warnung vor falschem Microsoft- oder Adobe Support!

Seit einiger Zeit werden User / Kunden wahllos telefonisch von angeblichen Mitarbeitern vom technischen Support von Microsoft, Adobe und anderen grossen Firmen kontaktiert und erzählen, dass Sie Computerprobleme haben.

Wir weisen darauf hin, dass der technische Support von Microsoft, Google, Apple und anderen seriösen Firmen nie unangemeldet und unaufgefordert anrufen, um irgendwelche Computerprobleme zu beheben!

Das Wichtigste zusammengefasst:
Die vermeintlichen Betrüger geben vor, dass Ihr Gerät von Viren befallen sei oder Sicherheitsprobleme bestehen. Eine weitere Behauptung ist, dass sie das Betriebssystem vor Schäden schützen oder beim Umstieg auf neuere Windows-Versionen helfen wollen. Die falschen Support-Betrüger versuchen Sie am Telefon zu überreden, unter Ihrer Anleitung bestimmte Schritte am PC auszuführen und beschaffen sich so den Zugriff auf Ihr Gerät sowie Ihre Daten.

Deshalb empfehlen wir:

• Werden Sie von einem vermeintlichen Betrüger angerufen, beenden Sie das Gespräch sofort.
• Die Betrüger haben die Möglichkeit echte Telefonnummern von Unternehmen als Absender zu fälschen und missbrauchen (Spoofing). Lassen Sie sich dadurch nicht beirren.
• Geben Sie auf keinen Fall irgendwelche persönlichen Daten bekannt.
• Reagieren Sie nicht auf vermeintliche Warnhinweise, die auf dem Bildschirm erscheinen und laden Sie keine Anhänge herunter.
• Installieren Sie beim Telefonat keine Fremdsoftware auf Ihrem Computer, Tablet oder Smartphone.
• Lassen Sie sich nicht von Drohungen irritieren, wonach der Anrufer Ihre Windows-Version löscht, wenn Sie das Programm nicht installieren.
• Haben Sie bereits mit einem falschen Microsoft-Betrüger gesprochen, trennen Sie Ihren PC vom Netz, sperren Sie Ihre Karten und nehmen Sie umgehend Kontakt mit uns auf.

Erklärungen zu Spoofing:

Was ist Spoofing? Spoofing im digitalen Sinne tritt auf, wenn sich ein böswilliger Aussenstehender als legitime Ressource wie eine Website, ein E-Mail-Kontakt, ein Netzwerkbenutzer, eine Ressource oder ein Gerät ausgibt, um Zugriff auf Systeme und Netzwerke zu erhalten, um Angriffe durchzuführen, wertvolle Informationen zu stehlen, Operationen zu sabotieren oder Malware verteilen.

Es ist eine beliebte Taktik bei Cyberkriminellen und nimmt verschiedene Formen an.

Spoofing von IP-Adressen
Auch als IP-Adressfälschung, IP-Spoofing oder Host-Datei-Hijacking bezeichnet.

ARP-Spoofing
ARP-Spoofing wird durchgeführt, wenn ein Angreifer gefälschte ARP-Kommunikation über ein lokales Netzwerk (LAN) überträgt, um seine MAC-Adresse mit der IP-Adresse eines legitimen Netzwerkbenutzers zu verknüpfen. Alle Informationen, die für die IP-Adresse dieses Benutzers bestimmt sind, werden stattdessen an den Angreifer übertragen.

DNS Server Spoofing
Beim Spoofing von DNS-Servern können Angreifer einen DNS-Server gefährden und einen bestimmten Domänennamen an eine bestimmte IP-Adresse umleiten - normalerweise die eines Servers - der von den Angreifern selbst ausgeführt wird. Benutzer, die diesen Domainnamen eingeben, werden auf einen Server umgeleitet, der normalerweise mit Malware, Viren und Würmern übersät ist.

Pharming
Bei Pharma-Aktivitäten leiten Betrüger legitime URLs zu gefälschten Websites weiter, die genau so aussehen, wie die Echten. In den meisten Fällen handelt es sich dabei um eine seriöse offizielle Stelle wie eine Bank, eine Strafverfolgungsbehörde oder ein Versorgungsunternehmen.

Phishing
E-Mail-Spoofing oder Phishing können für verschiedene Zwecke eingesetzt werden - unter anderem - um ahnungslose Empfänger dazu zu bringen, auf Links zu Pharming-Websites zu klicken. Der Name des Absenders in der gefälschten E-Mail und in den Textnachrichten ist normalerweise jemand, der dem Empfänger bekannt ist, oder der Name einer Organisation, mit der er vertraut ist. Betreffzeilen und Textkörper können einschüchternd oder verlockend sein - welcher Ansatz auch immer als bester Köder dient.
Ziel ist es, den Empfänger dazu zu bringen, vertrauliche oder sensible Informationen in einer direkten Antwort oder an einem mit Köder versehenen Ziel preiszugeben, wenn er auf einen eingebetteten Link klickt. Diese Links können auch zu Websites führen, auf denen Malware auf das System des Benutzers portiert werden kann.

Angriffe verhindern

Zum Schutz vor Spoofing-Angriffen können Einzelpersonen und Organisationen die folgenden Empfehlungen verwenden:

• Verwenden Sie aktuelle Antivirensoftware auf Ihren Systemen und halten Sie diese regelmässig auf dem neuesten Stand.
• Installieren Sie Firewalls in allen Netzwerken und legen Sie Richtlinien fest, die den Datenverkehr von und zu Ihrem System einschränken.
• Gehen Sie mit E-Mail-Kontaktlisten vorsichtig um und legen Sie E-Mail-Filter (Spam) fest, um eingehende Nachrichten basierend auf den von Ihnen definierten Bedingungen zu verwalten.
• Öffnen Sie keine Anhänge in unerwünschten E-Mails und lassen Sie sich vom Absender (persönlich oder telefonisch) auf fragwürdige Nachrichten und Anfragen überprüfen.
• Verwenden Sie die Paketfilterung um Daten zu überprüfen, die über Ihr Netzwerk übertragen werden. Diese Tools können Pakete blockieren, deren Quelladressinformationen widersprüchliche Nachrichten enthalten.
• Verwenden Sie eine spezielle Software zur Erkennung von Spoofs um Informationen zu überprüfen und zu validieren, bevor sie übertragen werden und um alle Daten zu blockieren, welche gefälscht wurden.
• Verwenden Sie sichere Netzwerkprotokolle mit Verschlüsselung, z.B. HTTP Secure (HTTPS), Secure Shell (SSH) und Transport Level Security (TLS).
• Vermeiden Sie sogenannte „Vertrauensbeziehungen“, bei denen Datenübertragungsprotokolle mit Dritten nur IP-Adressen zur Authentifizierung benötigen. Intensive IP-Spoofing-Techniken können verwendet werden, um sich als System mit Zugriffsrechten auszugeben und diese vertrauensbasierten Kontrollen zu umgehen.

Itunes und Malwarebyte

Neuste Udates von Itunes und Malwarebyte verhindern Synchronisation 16.02.2020

Malwarebyte hat mit einen Neuen Eintrag die Kommunikation zwischen iPad / iPhone für Backup und Synchronisation lahmgelegt und unterbunden. Schaltet man bei Malwarebyte den Punkt Schutz vor Ransomware aus, funktioniert ITunes wieder ordnungsgemäss. Foren berichten, dass es bei einem Neuen Update Abhilfe geben soll. Weiter wird berichtet, dass Apple in ITunes und ICloud ein Leck hat, das warscheinlich bei Malwarebyte dazu führte zu handeln. 

Installations Versionen:

• Win 10 Pro 64
• Malwarebyte 4.0.4
• Itunes 12.10.4.2

Möglichkeit 1: Temporär:
Man schaltet bei Malwarebyte den Punkt Ransomware solange aus, bis die Zusammenarbeit mit ITunes erledigt ist. Unbedingt nachher wieder einschalten.

Möglichkeit 2: Fix:
Malwarebyte öffnen und unter [Einstellungen / zulässige Liste] folgende Ordner eintragen. (WhyteList)
Schritte: Hinzufügen / Dateien Ordner / anklicken "Ordner auswählen nur von der Erkennung von Ransomware ausschliessen" und den folgend Ordner suchen:

C: \ Programme (x86) \ Gemeinsame Dateien \ Apple  
oder
C: \ Programme (x86) \ Common Files \ Apple

Das gleiche nochmals mit dem Ordner

C: \ Programme \ Gemeinsame Dateien \ Apple)
oder
C: \ Programme \ Common Files \ Apple)

Nach Schritt 1 oder Schritt 2 Fix sollte Itunes wieder normal arbeiten.

Für Schäden, die durch diese Anleitung und Ausschlüsse entstehen könnten, können wir als HP-Kommunikationsdesign keine Garantie übernehmen.

Phishing erklärt

Kurzerklärung
Phishing bedeutet, dass Daten von Internetnutzern bspw. über gefälschte Internetadressen, E-Mails oder SMS abgefangen werden. Die Absicht ist, persönliche Daten zu missbrauchen und Inhaber von Bankkonten zu schädigen. Der Begriff Phishing ist angelehnt an fishing (engl. für Angeln, Fischen) in Verbindung mit dem P aus Passwort, bildlich gesprochen das Angeln nach Passwörtern mit Ködern. Begriffstypisch ist dabei die Nachahmung des Designs einer vertrauenswürdigen Website.

Ausführliche Erklärung
1. Begriff: Phishing bedeutet, dass Daten von Internetnutzern bspw. über gefälschte Internetadressen, E-Mails oder SMS abgefangen werden. Die Absicht ist, persönliche Daten zu missbrauchen und Inhaber von Bankkonten zu schädigen. Der Begriff Phishing ist angelehnt an fishing (engl. für Angeln, Fischen) in Verbindung mit dem P aus Passwort, bildlich gesprochen das Angeln nach Passwörtern mit Ködern. Begriffstypisch ist dabei die Nachahmung des Designs einer vertrauenswürdigen Website.

2. Inhalt: Phishing meint meist kriminelle Handlungen, die Anwender sind die sog. Phisher; diese versuchen als Anbieter von persönlichen Dienstleistungen ein Vertrauensverhältnis zum Internetnutzer aufzubauen, um in weiterer Folge durch gefälschte elektronische Nachrichten sensible Daten wie Benutzername und Passwörter für Onlinebanking oder Informationen bez. Kreditkarten zu erhalten. Phishing-Nachrichten werden meist per E-Mail oder SMS versandt; darin wird der Empfänger aufgefordert, auf einer manipulierten Internetseite oder am Mobiltelefon persönliche Zugangsdaten offenzulegen.

3. Methode: Es gelingt Phishern v.a. mithilfe von Malware (Schadsoftware, wie u.a. Trojaner), sich in dem Kommunikationsweg zwischen Bankkunde und Bank einzuschalten und Daten abzufangen. Der Umweg, den Bankkunden über das Versenden einer E-Mail zur Preisgabe seiner Zugangsdaten zu verleiten, ist damit nicht mehr notwendig. Eine weiterentwickelte Form des klassischen Phishings ist Pharming, das auf einer Manipulation der DNS-Anfragen von Webbrowsern beruht.

4. Schäden: Durch Phishing entstehen Vermögensschäden (z.B. Überweisung von Geldbeträgen fremder Konten), Rufschädigung (z.B. Versteigerung gestohlener Waren unter fremdem Namen bei Onlineauktionen) oder Schäden durch Aufwendungen für Aufklärung und Wiedergutmachung.

5. Schutz: Kostenlosen Schutz gewährt zunächst ein gesundes Misstrauen und Risikobewusstsein gegenüber bislang unbekannten Absendern von E-Mails sowie das aufmerksame Lesen der Phishing-E-Mails. Kein seriöses Kreditinstitut wird bspw. von Kunden verlangen, „ein Formular auszufüllen“ oder „eine TAN einzugeben“. Fehlerhafte Rechtschreibung ist ein weiteres Verdachtsmoment. Andere Merkmale, die oft in Phishing-Mails anzutreffen sind, sind unpersönliche Anreden bzw. eine bes., aber in Bankangelegenheiten unübliche Dringlichkeit der erbetenen Antwort (z.B.: „Falls Sie nicht innerhalb von zwei Tagen bestätigen, wird ihre Kreditkarte gesperrt!“).

Autoren
- Prof. (FH) Mag. Dr. Helmut Siller, MSc

Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Phishing, online im Internet:

Malware erklärt

Kurzerklärung
Malware (zusammengesetzt aus dem engl. malicious: bösartig und ware von Software) bezeichnet ein schädliches Programm (Schadsoftware). Dies sind Computerprogramme, die entwickelt wurden, um vom Benutzer unerwünschte bzw. schädigende Funktionen auszuführen. Der Begriff bezeichnet keine schadhafte Software, obwohl auch diese Schaden anrichten kann.

Ausführliche Erklärung
1. Begriff: Malware (zusammengesetzt aus dem engl. malicious: bösartig und ware von Software) bezeichnet ein schädliches Programm (Schadsoftware). Dies sind Computerprogramme, die entwickelt wurden, um vom Benutzer unerwünschte bzw. schädigende Funktionen auszuführen. Der Begriff bezeichnet keine schadhafte Software, obwohl auch diese Schaden anrichten kann.

2. Typen: Folgende wichtige Typen von Malware werden unterschieden:
a) Viren: sie verbreiten sich, indem sie sich in Programme, Dokumente oder Datenträger kopieren;
b) Wurm: er ähnelt einem Virus, verbreitet sich aber direkt über Netze - wie Intra- oder Internet - und versucht, in andere Computer einzudringen;
c) Ein Tronjanisches Pferd (kurz Trojaner) verbreitet sich nicht selbst, sondern wirbt mit der Nützlichkeit des Wirtsprogrammes für seine Installation durch den Benutzer; v.a. mithilfe von Malware gelingt es Phishern (vgl. Phishing), sich in dem Kommunikationsweg zwischen Bankkunde und Bank einzuschalten und Daten abzufangen.
d) Eine Backdoor ist eine Schadfunktion, die üblicherweise durch Viren, Würmer oder Trojanische Pferde eingebracht und installiert wird. Sie ermöglicht Dritten einen unbefugten Zugang („Hintertür“) zum Computer, jedoch versteckt und unter Umgehung der üblichen Sicherheitsvorkehrungen.
e) Spyware (engl. spy: Spion) und Adware (engl. advertisement: Werbung) analysieren den Computer und das Nutzerverhalten unbemerkt und senden die Daten an den Hersteller oder andere Quellen, um diese zu verkaufen oder um gezielt Werbung zu platzieren.
f) Scareware (engl. scare: Schrecken) zielt darauf ab, den User zu verunsichern und ihn dazu zu verleiten, schädliche Software zu installieren oder für ein unnützes Produkt zu bezahlen. So werden z.B. gefälschte Warnmeldungen über angeblichen Virenbefall des Computers angezeigt, den eine käuflich zu erwerbende Software zu entfernen vorgibt.

3. Neue Entwicklungen: Es ist eine starke Veränderung bei der Verbreitung von Schadsoftware zu erkennen: Trojanische Pferde in E-Mail-Attachments werden seltener, dem gegenüber nehmen Angriffe über das Internet etwa mittels Drive-by-Download zu. Ein Drive-by-Download bezeichnet das unbewusste (engl. drive-by: im Vorbeifahren) und unbeabsichtigte Herunterladen von Software auf den Rechner eines Benutzers. Damit wird das unerwünschte Herunterladen von Malware allein durch das Öffnen einer dafür präparierten Website bezeichnet. Dabei werden Sicherheitslücken eines Browsers ausgenutzt.

Autoren
- Prof. (FH) Mag. Dr. Helmut Siller, MSc

Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Malware, online im Internet: 

Ransomeware Alarm Weltweit (Wanna Cry)

13.05.2017

Sehr geehrte Kundschaft

Wie Sie aus den Medien erfahren haben, schlug dieses Weekend eine Neue Art von Erpresser-Trojaner vielerorts zu. Die Ransomware WannaCry legte hunderttausende PC's lahm, um Lösegeld in BitCoins zu fordern. Krankenhäuser, Energie-Versorger und öffentliche Transportmittel sind ebenfalls von der Cyberattacke betroffen. WannaCry ist eine Mahnung, Software aktuell zu halten. Dieser Trojaner infiziert Geräte in einem Netzwerk und verbreitet sich dann selbständig weiter. Nach der Infizierung wird der User aufgefordert mit einer Zahlung das infizierte System wieder zu öffnen. 

Weltweit Zehntausende Attacken
Von der Schadsoftware waren tausende Behörden, Unternehmen und Einzelpersonen in dutzenden Ländern betroffen. Unter anderem hatte der Trojaner Computer im britischen Gesundheitssystem und beim spanischen Telekommunikationsriesen Telefónica lahmgelegt.

Die Angreifer setzten im Betriebssystem Windows eine Schadsoftware ein, die Computerdaten verschlüsselt und nur gegen Geld wieder freigibt. Die IT-Sicherheitsfirma Kaspersky sprach von mindestens 45.000 Attacken in 74 Ländern. Jakub Kroustek von der Sicherheitsfirma Avast erklärte am Freitagabend, es habe 75.000 Attacken in 99 Ländern gegeben. Die ersten Angaben zu dem Cyberangriff kamen aus Grossbritannien.

Wie Funktioniert das?
Der Infektionsmechanismus von WannaCry beruht auf einer Schwachstelle (Exploit), die vom US-Geheimdienst NSA  entwickelt, ausgenutzt und für eigene Angriffe offen gehalten wurde. Der Erpressertrojaner gelangt durch eine Sicherheitslücke im Windows-Betriebssystem auf die Rechner. Eigentlich hatte Microsoft die Schwachstelle bereits im März 2017 per Update geschlossen.

Was heisst das für jeden einzelnen User?
Mit den Neusten Updates von Microsoft ist diese Lücke geschlossen. Vergeweissern Sie sich dass Ihr System auf dem aktuellsten Stand ist.
Es reicht nicht aus, sich auf einen installierten Virenscaner zu vertrauen. Vielmehr muss jeder einzelne ein Augenmerk darauf haben, was er für Mails bzw. (Mail-links oder Anhänge) aufmacht.
Mit ein wenig Training bemerkt man das schon vorher, bevor der Schaden angerichtet ist.

• Öffnen Sie nie Mail's die eine schlechte bis grausame Grammatik haben.
• Öffnen Sie schon gar nicht die Anhänge.
• In unserem Deutschsprachigen Raum sollten englisch geschrieben Mails Alarm auslösen.
• Mails die einen Inhalt haben, Sie hätten etwas nicht bezahlt oder Sie müssen Daten ergänzen, vor allem im Kreditkarten-Bereich sind verdächtig. Unsere Banken schreiben keine solchen Mails.
• Klicken Sie niemals einen Button oder einen Link in einem dubiosen Mail an. Stellen Sie den Mauszeiger auf die betreffende Stelle oder Button ohne zu klicken und es geht ein Popup-Fensterchen auf, dass den eigentlichen Link anzeigt. Diesen genau kontrollieren.
• Im Internet immer die Web-Adressen kontrollieren. Seien Sie 100% sicher, zBsp. beim Onlinebanking, bei Ihrer Bank zu sein. Thema: (https und grünes Schloss vor dem Link.)

Jeder kann auch sein Wissen unter diesem Link selber testen. (Hochschule Luzern)

https://www.ebas.ch/phishingtest

Kontaktieren Sie uns bei Fragen oder Unsicherheiten, wir geben wir Ihnen bei Unsicherheit weitere Tip's.