E-Banking: Angreifer haben es auf jetzt Aktivierungsbriefe abgesehen

Ende 2016 hat MELANI in einem Newsletter darauf hingewiesen, dass Kriminelle vermehrt mobile Authentifizierungsmethoden beim E-Banking im Visier haben. Nun gehen die Angreifer  gemäss neuer MELANI Mitteilung einen Schritt weiter und versuchen Opfer dazu zu bringen, eine Kopie des von der Bank erhaltenen Briefes, welcher Aktivierungsdaten für die die Zwei-Faktor Authentifizierung (2FA) des E-Bankings enthält, an die Betrüger zu senden.

Seit 2016 versuchen Angreifer mit Hilfe von Schadsoftware («Malware») wie beispielsweise «Retefe» mobile Authentifizierungsmethoden auf dem Smartphone mittels Social Engineering zu umgehen. Betroffen von solchen Angriffen sind Benutzerinnen und Benutzer von PhotoTAN, CrontoSign und SecureSign. Dies ist unabhängig von dem verwendeten Smartphone-Betriebssystem (Android, iOS).

Seit rund zwei Wochen beobachtet die Melde- und Analysestelle Informationssicherung (MELANI) nun auch vermehrt Angriffe, bei welchen die Angreifer versuchen, an Briefe von Banken mit Aktivierungsdaten zu gelangen. Dieser Aktivierungsbrief enthält üblicherweise ein Mosaikbild, welches beim erstmaligen Login eines Gerätes ins E-Banking mit einer App wie PhotoTAN, CrontoSign oder SecureSign eingescannt bzw. abfotografiert werden muss. Anschliessend wird das entsprechende Gerät von der Bank für die mobile Authentifizierungsmethode zugelassen.  Diese Briefe werden in der Regel von der Bank per Briefpost an die Kundinnen und Kunden versendet. Die Angreifer versuchen nun, mittels Social Engineering an die Aktivierungsdaten zu gelangen und fordern das Opfer dazu auf, diesen Brief einzuscannen oder zu fotografieren und an die Betrüger zu übermitteln.

Betrüger fordern das Opfer nach dem Login ins E-Banking auf, den Aktivierungsbrief
einzuscannen und den Betrügern zu übermitteln.
Durch die Bekanntgabe der Information, welche im Aktivierungsbrief in Form eines Mosaikbildes hinterlegt sind, ist es den Betrügern unter Umständen möglich, sich in das E-Banking des Opfers einzuloggen, indem sie ein weiteres Smartphone für die Zwei-Faktor Authentifierzung (2FA) aktivieren. Ab diesem Zeitpunkt können sich die Angreifer jederzeit in das E-Banking Portal einloggen und ohne das Wissen des Opfers betrügerische Zahlungen von dessen Konto in Auftrag geben.

Im Umgang mit E-Banking empfiehlt MELANI:

  • Den Aktivierungsbrief, welchen Sie von der Bank erhalten haben, ist persönlich. Teilen Sie diesen mit niemanden, auch nicht mit der Bank, selbst wenn Sie dazu aufgefordert werden. Im Zweifelsfall kontaktieren Sie telefonisch Ihre Bank oder Ihren Kundenberater.
  • Stellen Sie sicher, dass Sie beim Login-Vorgang ins E-Banking auf dem mobilen Gerät (beispielsweise Smartphone oder dediziertes PhotoTAN-Gerät) wirklich das Login bestätigen und dass es sich nicht bereits um die Visierung einer Zahlung handelt.
  • Falls Sie eine Zahlung visieren, lesen Sie immer den ganzen Text auf dem mobilen Gerät und überprüfen Sie Betrag und Empfänger (Name, IBAN) der Zahlung, bevor Sie diese freigeben.
  • Installieren Sie Smartphone-Apps nur aus dem offiziellen App-Store (Google Play bzw. Apple App Store). Installieren Sie niemals Apps aus unbekannten Quellen, auch nicht wenn Sie dazu aufgefordert werden. Modifizieren Sie Ihr Gerät nicht so, dass wesentliche Sicherheitsmechanismen ausgehebelt werden (z.B. „rooten“, „jailbreaken“).
  • Spielen Sie Sicherheitsupdates sowohl für den Computer wie auch für das Mobiltelefon ein, sobald eine solche Aktualisierung vorhanden ist.
  • Sollten Sie beim Login in das E-Banking Unregelmässigkeiten feststellen, kontaktieren Sie unverzüglich Ihre Bank. Solche Unregelmässigkeiten sind beispielsweise:
    • Sicherheitsmeldung vor dem Login ins E-Banking. Zum Beispiel „In Zusammenhang mit der Modernisierung des Sicherheitssystems kann von Ihnen beim Einloggen ins Benutzerkonto eine zusätzliche Identifizierung angefordert werden. […]
    • Fehlermeldung nach dem Login ins E-Banking. Zum Beispiel „Fehler! Wegen eines technischen Problems sind wir unfähig, die Seite zu finden, nach der Sie suchen. Versuchen Sie bitte in 2 Minuten noch einmal.
    • Sicherheitsmeldung nach dem Login ins E-Banking (z.B. „Sicherheitsmassnahme“), bei welcher Sie dazu aufgefordert werden, Festnetz- oder Handy-Nummer einzugeben
    • Aufforderung zur Installation einer Mobile-App nach dem Login ins E-Banking
    • Nach dem Login ins E-Banking erfolgt eine Weiterleitung auf eine Website, die nicht in Zusammenhang mit der Bank steht (z.B. auf google.ch).
    • Timer nach dem Login ins E-Banking. Zum Beispiel: „Bitte warten… (Bitte warten Sie eine Minute, die Seite nicht neu laden)

Quelle: MELANI

Stadt Zürich: Malware Mails mit gefälschtem Absender

Aktuell werden gemäss Pressemitteilung der Stadt Zürich E-Mails mit Schadsoftware mit gefälschten Absendern der Stadt Zürich an Empfängerinnen und Empfänger in der Schweiz gesendet. Die unter dem Namen «Retefe» bekannte Schadsoftware-Welle läuft in der Schweiz seit längerer Zeit und ist der Melde- und Analysestelle Informationssicherung (MELANI) des Bundes bekannt.

Die E-Mails sind simpel gestaltet und enthalten meist Rechtschreibfehler. Inhaltlich entsprechen sie nicht der Tätigkeit der jeweiligen Institution. In der E-Mail ist ein Link oder ein Anhang mit Schadsoftware eingebettet, die durch das Anklicken der Beilage auf dem Computer installiert wird. Absenderadresse, Betreff und Inhalt der E-Mails variieren. Bekannt sind bis anhin folgende gefälschte Stadt-Zürich-Absenderadressen:

  • info@zuerich.ch
  • info@pkzh.ch
  • info@wildnispark.ch
  • info@ewz.ch

Die gefälschten Absender haben keine Auswirkungen auf die IT-Infrastruktur der Stadt Zürich.

Verhaltenstipps für den Umgang mit verdächtigen E-Mails

Beachten Sie folgende Verhaltensregeln, falls Sie eine verdächtige E-Mail erhalten:

  • Misstrauen Sie E-Mails, die Sie unaufgefordert erhalten, deren Absenderadresse Sie nicht kennen oder deren Inhalt Ihnen merkwürdig vorkommt. E-Mail-Adressen können gefälscht werden, das heisst nicht immer stammt die E-Mail tatsächlich vom angezeigten Absender.
  • Öffnen Sie keine Links oder Anhänge aus verdächtigen E-Mails.
  • Seien Sie vorsichtig bei E-Mails, die eine Aktion von Ihnen verlangen und mit Konsequenzen wie Geldverlust, Strafanzeige, Konto- oder Kartensperre, verpassten Chancen oder Unglück drohen.
  • Wenn Sie unsicher sind, ob es sich um eine gefälschte E-Mail handelt, geben Sie Textteile der E-Mail bei Google ein. Oft sind gefälschte E-Mails bereits in ähnlicher Form anderswo aufgetaucht.

 

Organisationseinheit: Finanzdepartement, Organisation und Informatik

NotPetya – Ransomware oder Waffe?

Nachdem betreffend NotPetya in den letzten Tagen einige offene Fragen zumindest ansatzweise geklärt wurden bleibt die Frage nach dem Zweck des Angriffes offen.

Unter anderem hat auch Kaspersky festgehalten dass die Malware eine zerstörerische Wirkung zeigt, und gar nicht auf die Einnahmen aus Erpressung ausgelegt ist.

Das wird unter anderem dadurch belegt dass der MBR gar nicht wiederherstellbar ist, dass der ganze Prozess für die Lösegeldzahlung nicht funktionsfähig implementiert ist.

Mit hoher Wahrscheinlichkeit also ein politischer Angriff auf die Ukraine mit Hilfe einer aus den Beständen von NSA geleakten Schwachstelle (Enternal Blue).

Ein Fazit zumindest für betroffene: Lösegeld zahlen nützt in diesem Fall wirklich nichts.

Neue Malware Angriffswelle in Europa

Gemäss Heise und NYT sowie weiteren Quellen findet zur Zeit ein erneuter massiver Angriff mit Ransomware und Fokus Europa statt.

Gemäss ersten Informationen wird dafür der Kryptotrojaner Petya verwendet welcher zuletzt 2016 grossflächig eingesetzt wurde, dieser Trojaner verschlüsselt nicht nur Dateien sondern auch den Master Boot Sektor.

Der Trojaner verwendet dieselbe SMB Schwachstelle wie unlängst Wannacry – wer also die Schwachstelle noch nicht gepatcht hat soll dies dringend nachholen.

Betroffen sind unter anderem die Ukrainische Bahn, der Konzern Beiersdorf mit insbesondere dem Konzernbereich Nivea sowie weitere grosse Unternehmen

Video: Hackerangriff auf das US Stromnetz

Eine US Energiefirma hat ein Red-Team beauftragt das eigene Stromnetz anzugreifen – was in relativ kurzer Zeit auch gelang.

Massive Ransomware Angriffe in 99 Ländern

Seit heute Vormittag stellen Sicherheitsfirmen fest dass weltweit massive Angriffe mit Ransomware stattfinden.

Firmen, Organisationen und Behörden sind Ziele der Cyberattacke – Avast hat von bisher mehr als 75’000 Angriffen in 99 Ländern berichtet.

Die Ransomware verschlüsselt alle Dateien auf den infizierten Computern und fordert ein Lösegeld für die Freigabe der Daten.

Besonders betroffen sind Spitäler in England, wo Ärzte nicht mehr auf Patientendaten zugreifen können, so dass Notfallabteilungen dringende Fälle an andere Spitäler weiterleiten müssen.

In den USA waren z.B. Server der FedEx betroffen, eine der weltweit grössten Versand- und Logistikfirmen.

Kaspersky berichtet von 45’000 Angriffen in 75 Ländern.

Im Russischen Innenministerium sind ca. 1000 Computer betroffen, 1% der vorhandenen Systeme. Interne Experten konnten die Ausbreitung stoppen und aktualisieren derzeit die Antiviren-Software.

Die Ransomware mit dem Namen WannaCry war in den gestohlenen und durch die Gruppe Shadow Brokers veröffentlichen NSA Daten, zugänglich sind diese Daten seit Ende letzten Jahres. Microsoft hat im März einen Patch veröffentlicht – aber Hacker profitieren jetzt offensichtlich davon, dass vor allem Spitäler Ihre Systeme entweder nicht updaten konnten, oder dem Rat von Microsoft nicht gefolgt sind.

Die Schadsoftware wurde via Mail verbreitet, in Form von verschlüsselten und komprimierten Attachments.

Spitäler wurden noch heute Vormittag gewarnt, allerdings bereits zu spät. Mindestens 36 Spitäler und Arztpraxen haben einen entsprechenden Alarm ausgelöst weil sie von dem Angriff betroffen sind.

Es wird vermutet dass der tatsächliche Umfang der Angriffe zur Zeit noch nicht bekannt ist.

Gefährliche Lücke in IIS 6

In Version 6 von Microsoft  IIS (Internet Information Server) wurde ein Leck gefunden, das es einem möglichen Angreifer erlaubt, auf dem betroffenen System beliebigen Code auszuführen. Der Support für Windows 2003 und somit IIS 6 ist 2015 ausgelaufen. Statistiken von Netcraft zeigen dass nach wie vor ca. 180 Millionen Webseiten unter IIS 6 laufen.
Abhilfe gegen die Lücke schafft die deaktivierung von Webdav, oder das einspielen eines von Acros entwickelten Patches.

Dun & Bradstreet verliert DB mit 33 Millionen Kontaktdaten

Die Datenbank mit Kontaktdaten von 33 Millionen Personen steht inklusive Mailadressen im Netz zum Download auf einschlägigen Seiten zur Verfügung.

Die Datenbank ist 52 Gigabyte gross und enthält hauptsächlich Adressdaten von US Firmen und Bürgern.

Es wird damit gerechnet dass die Daten für personalisierte Phishing Angriffe verwendet werden.

BSI warnt vor veralteten Cloud Installationen

Mehr als 20’000 Owncloud und Nextcloud Installationen sind gemäss einer Meldung des Bundesamtes für Sicherheit in der Informationstechnik BSI alleine in Deutschland veraltet und weisen bekannte Sicherheitslücken auf.

Owncloud und der Ableger Nextcloud werden von Firmen, Privaten und Vereinen für den Betrieb einer eigenen Cloud Lösung installiert.

Das BSI hat Hoster mit entsprechenden Kunden gebeten diese zu Informieren – bisher hat nur ein fünftel der angeschriebenen Cloud Betreiber reagiert und die Installationen aktualisiert.

Betreiber von eigenen Cloud Installationen sollten diese regelmässig aktualisieren und auf Sicherheitslücken testen.

Scanner für Owncloud

Scanner für Nextcloud

Chrome 56 warnt vor unverschlüsselten Webseiten

Google Chrome Browser ab Version 56 warnt standardmässig beim Aufruf von unverschlüsselten Webseiten sobald ein Login Formular auf dieser Seite angezeigt wird, resp. sobald ein HTML Element

<input type=password>

auf der Seite angezeigt wird.

Dies ist ein weiterer Schritt zur grundsätzlichen Warnung beim Aufruf von unverschlüsselten Webseiten welche Google Chrome in naher Zukunft implementieren wird.