Sextortion plot uses public breach data to trick victims into thinking they were hacked

A pair of new research reports are providing details on an ongoing “sextortion” scam in which malicious actors use publicly available lists of breached email addresses and passwords to contact victims and then blackmail them with false claims that they were caught viewing pornographic materials.

Researchers have identified at least two distinct campaigns involving these scam emails, which all include “From:” headers featuring a variation on the name Aaron Smith. Collectively, the operation has already amassed extortion payments of at least 23.3653711 bitcoins, according to Cisco Systems’ Talos Security Intelligence & Research Group, whose technical leader Jaeson Schultz authored one of the two blog post reports. Using Oct. 31 conversion rates, that’s worth roughly $147,000.

>> Continue Reading

MELANI: Wer das gleiche Passwort mehrfach nutzt, hilft den Angreifern

Der am 8. November 2018 veröffentlichte 27. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cyber-Vorfällen der ersten Jahreshälfte 2018 im In- und Ausland. Das Schwerpunktthema ist den Lücken in Hardware gewidmet. Im Fokus stehen zudem unter anderem der gezielte Malware-Angriff, für den der Name des Labors Spiez missbraucht worden ist sowie verschiedene Datenabflüsse und die Problematik bei der Mehrfachnutzung eines Passwortes.

Lücken in Hardware-Komponenten stellen eine besondere Bedrohungsart dar. Diese Lücken lassen sich nicht mit einem einfachen Update beheben, wie dies bei Software-Lücken möglich ist. Ausserdem würde ein kompletter Austausch von Hardware-Komponenten die Hersteller vor grosse logistische Probleme stellen. Das Schwerpunktthema dieses Halbjahresberichts befasst sich mit den besonderen Herausforderungen bei Hardware-Lücken.

Das Problem von mehrfach im Internet verwendeten Passwörtern
Nach wie vor verwenden viele Benutzerinnen und Benutzer das gleiche Passwort für mehrere Online-Dienste wie beispielsweise Webmail, E-Banking, Onlineshops. Dies ist eine willkommene Vereinfachung für Kriminelle und ermöglicht ihnen, die gesammelten Login-Daten aus den diversen Datenabflüssen bei verschiedensten Internetdienstleistern systematisch einzusetzen. In einem Fall versuchten sich Angreifer mit knapp einer Million solch gestohlener und aus verschiedenen Quellen zusammengestellten Login-Kombinationen in die Benutzerkonten eines Online-Portals einzuloggen.

Missbrauch des Labors Spiez für Spionagekampagne
Im Sommer 2018 wurde der Name des Labors Spiez für die Planung eines Spionageangriffs gegen Dritte missbraucht. Dabei verwendeten die Angreifer ein im Internet publiziertes Dokument, mit dem das Labor Spiez zu einer internationalen Konferenz eingeladen hatte. Dieses wurde kopiert, mit einer Schadsoftware versehen und an die Opfer gesendet. Das Labor Spiez selbst wurde dabei nicht angegriffen.

Die Verwendung von Daten bei Angriffen

Immer häufiger kommt es zu ungewollten Datenabflüssen. Davor bleibt auch die Schweiz nicht verschont. Cyber-Kriminelle sind bezüglich Verwendung solcher Daten sehr vielfältig und innovativ. Eine unmittelbare Vorgehensweise, um aus Datenabflüssen Geld zu machen, ist die direkte Erpressung der Firma, bei der die Daten abgeflossen sind. Mit entwendeten Daten lassen sich ausserdem personalisierte E-Mails generieren, welche die Erfolgsrate bei Phishing-Mails im Vergleich zu Massen-Mails erheblich erhöhen. Es ist deshalb zu erwarten, dass Kriminelle künftig vermehrt diese Vorgehensweise wählen werden.

Der 27. Halbjahresbericht MELANI ist publiziert unter:

BSI: IT-Sicherheit lässt weiterhin zu wünschen übrig

Bundesinnenminister Horst Seehofer und BSI-Präsident Arne Schönbohm haben in Berlin den Lagebericht zur IT-Sicherheit 2018 vorgestellt. Obwohl im Berichtszeitraum 2017/2018 größere Angriffswellen mit Ransomware ausgeblieben sind, hat es so viele kritische Angriffe gegeben, dass die Bedrohungslage vom Bundesamt für Sicherheit in der Informationstechnik (BSI) unverändert kritisch eingeschätzt wird.

Mehr bei Heise Security

iCloud für Windows: Mehr Sicherheitslücken

Ein knappes Dutzend sicherheitsrelevanter Probleme steckten in dem PC-Client für den Apple-Dienst.

Wer den Apple-Speicher- und Abgleichdienst iCloud auf seinem PC verwendet, sollte einen Blick in dessen Softwareaktualisierung werfen: Der Hersteller hat in dieser Woche ein wichtiges Update publiziert. iCloud für Windows 7.7 kommt zwar nicht mit neuen Funktionen, stopft aber eine große Anzahl an potenziell gefährlichen Sicherheitslücken.

Mehr unter Heise

Kritische Sicherheitslücke gefährdet Milliarden WhatsApp-Nutzer

Eine Sicherheitslücke in WhatsApp ermöglicht es, ein Smartphone mit einem einzigen Video-Call zu kapern. Potentiell betroffen sind Milliarden WhatsApp-Nutzer.

Mit einem einzigen Videoanruf könnte ein Angreifer eine Sicherheitslücke ausnutzen, die im Code des Messengers WhatsApp schlummerte. Googles Project Zero, ein Team von Elite-Hackern hat diesen Fehler entdeckt und jetzt veröffentlicht – eine Woche nachdem WhatsApp eine fehlerbereinigte iOS-Version bereit gestellt hatte. Das fällige Android-Update gibt es bereits seit 28. September.

Mehr unter Heise

Uber verschweigt Datendiebstahl bei 57Mio Nutzern

Uber hat den Hack über ein Jahr lang verschwiegen.

Die Angreifer haben Uber Code bei Github durchsucht und dort Zugangsdaten gefunden welche Ihnen letztlich den Zugriff auf die Kundendaten ermöglichte.

Uber hat den Angreifern $100’000 bezahlt um die Daten zurückzuhalten.

Gemäss Gesetz hätte Uber sowohl die zuständigen Behörden wie auch die betroffenen Kunden informieren müssen.

Experten sind sich einig, dass die Vertuschung des Hacks schwerer wiegt als der erfolgreiche Angriff als solches – die Behörden wurden inzwischen aktiv und haben eine Untersuchung begonnen.

US Cert warnt vor ASLR Schwachstelle in Windows

Durch die Schwachstelle in ASLR (Adress Space Layout Randomization) alloziert non-Dynamicbase Applikationen an vorhersehbare Positionen und macht somit die Vorteile von ASLR zunichte.

Microsoft klärt die Situation zur Zeit ab.

Details bei CERT

Gestohlene iPhones kosten doppelt so viel wie neue iPhones

Für gestohlene iPhones werden in Osteuropa Preise von $2100 bezahlt – die Käufer wollen aber nicht einfach ein iPhone kaufen sondern diese Mobiltelefone dienen als Basis für einen ausgeklügelten Scam.

Die Kriminellen warten darauf, dass die Opfer die “Finde mein iPhone” Funktion aktivieren und senden den Opfern dann ein Phishing mail mit einem vorgegaukelten iCloud Login.

Wenn die Opfer dann die Zugangsdaten zu iCloud eingeben und die Kriminellen diese erhalten haben entsperren sie das entsprechende Mobiltelefon und können es auf dem Schwarzmarkt verkaufen.

Die Diebe verwenden dazu Tools wie MagicApp, AppleKit oder das FMI.php Framework um das Unlocking zu automatisieren.

Als Gegenmassnahme sollte die 2 Faktor Authentifizierung bei iCloud aktiviert werden, zudem sollten regelmässig Backups von den Geräten erstellt werden und bei allen Mail Nachrichten welche eine User Aktion verlangen sollte zuerst immer an die Möglichkeit eines Phishing Angriffs gedacht werden.

 

Chrome vertraut Symanec Zertifikaten nicht mehr

Ab April 2018 wird Chrome von Symentec vor dem 1. Juni 2016 ausgestellten Zertifikaten nicht mehr vertrauen. Bereits vorgängig wurden von Symentec herausgegebene Extended Validation Zertifikate heruntergestuft.

Symantec Zertifikate werden unter anderem auch mit Thawte, Verisign, Equifax, Geotrust und RapidSSL gebrandet.

Das Vertrauen in die Zertifikatsinfrastruktur wurde durch verschiedene Vorfälle gestört, unter anderem wurden Richtlinien nicht eingehalten und anderen Firmen ohne ausreichende Prüfung die Herausgabe von Zertifikaten anvertraut.

Details sind im Google Security Blog zu finden.

Android Botnetz WireX ausgeschaltet

Ein Android Botnetz mit mehreren 100’000 Geräten in mehr als 100 Ländern wurde ausgeschaltet. Google hat die involvierten Trojaner-Apps aus dem Store entfernt und auch von den betroffenen Geräten zwangs-deinstalliert.

Das Botnetz griff immer mehr Ziele hauptsächlich im Hotel und Gatronomiebereich an und geriet deshalb in den Fokus von verschiedenen Sicherheitsexperten.

Über 300 Apps aus dem Google Play Store enthielten die Botnet Funktion – erfüllten aber vordergründig die Hauptfunktion für welche die User die App installierten. Im Hintergrund verbanden sich die Apps aber mit den Command and Control Servern der Hacker. Obwohl die Apps inzwischen nicht mehr verfügbar und deinstalliert sind – die Command and Control Server der Angreifer konnten bisher noch nicht alle stillgelegt werden.

Bild Emperor-Monkey CC BY 3.0