+43 (1) 812 32 30-0 office@klenner.at
Achtung Virenfalle! Phishing-Mails immer perfekter.

Achtung Virenfalle! Phishing-Mails immer perfekter.

Letzte Woche landete ein unliebsamer Zeitgenosse in unserem Postfach. Auf den ersten Blick wirkte die Email wie eine übliche Konversation aus einem unserer Projekte. Doch ein zu schneller Klick auf das im Anhang abgelegte PDF zeigte schnell, hinter dem vermeintlichen Dokument verbarg sich gar kein PDF, sondern eine Bilddatei mit einem dubiosen Link.

In unserem Fall konnten wir durch einen kühlen Kopf und ein schnelles Schließen des Browserfensters, Schlimmeres verhindern. Doch solche Klick-Fallen gibt es derzeit leider zu Hauf und sie sind alles andere als ein Bagatelldelikt.

Der Übeltäter 

Hinter derartigen Phishing-Mails, steckt oft die gefürchtete Schadsoftware „Emotet„. Ziel sind vor allem Firmen, Behörden und andere Institutionen sind, bei denen Geld zu holen ist.

Emotet knüpft dabei an zuvor gestohlene, existierende Kommunikationen an und schickt dem Opfer Emails, die sich von realen, eigenen Antworten kaum noch unterscheiden lassen. Ist die Kontamination erfolgreich, werden Verschlüsselungstrojaner platziert und Lösegeld erpresst. Der entstandene Schaden hat zumeist existenzgefährdendes Ausmaß und kann laut Emotet nur durch Zahlung hoher Geldbeträge rückgängig gemacht werden.

Leider muss man inzwischen davon ausgehen, dass selbst top geschulte Mitarbeiter früher oder später auf derartige Phishing-Mails reinfallen könnten.

Angriff auf Heise-Verlag

Am Beispiel Heise Verlag sieht man ganz klar, dass es selbst die Vorsichtigsten erwischen kann.

Beim konkreten Fall hat ein Mitarbeiter irrtümlich den kontaminierten Inhalt einer getarnten Emotet Phishing-Mail geöffnet. Daraufhin begann die Malware sofort mit der Ausbreitung im gesamten Heise-Netz. Nach kurzer Zeit eskalierte die Situation derart, dass die Admins sich für einen vollständigen Lock-Down entschieden. Dafür wurden sämtliche Internet-Verbindungen zu den betroffenen Netzwerken umgehend gekappt.

Seither arbeiten mehrere Forensiker und Incident-Response-Spezialisten gemeinsam mit der hauseigenen IT daran, die Vorgänge aufzuklären. Ziel ist es, in einen normalen IT-Betrieb überzugehen, ohne erneute Infektionen zu riskieren. Darüber hinaus wird laut Heise aktuell das gesamte Sicherheitskonzept hinterfragt und Konzepte erarbeitet, welche derartige Super-Gaus zukünftig verhindern sollen.

Heise dokumentiert den Fall äußerst transparent um anderen Firmen die Möglichkeit zu geben aus den eigenen Fehlern zu lernen.

→ Trojaner Befall bei Heise

Die Conclusio

Wie man sieht, reichen Standard-Viren Programme zumeist nicht aus um einen echten Schutz gegen Schadsoftware wie Emotet zu bieten. Unsere persönliche Empfehlung ist nach wie vor der Antivirenschutz von Bitdefender.

Bitdefender entwickelt laufend Updates um Kundensysteme fortwährend zu schützen. Der aktuelle Fall → GandCrab zeigt, dass diese Anstrengungen durchwegs von Erfolg gekrönt sind.

→ Hier erfahrt ihr mehr über den Antivirenschutz von Bitdefender.

 

Euer Klenner.at-Team

Microsoft Fake-Anrufe

Microsoft Fake-Anrufe

Die Betrugsmasche – auch „Tech Support Scam“ genannt –  die über einen angeblichen Anruf von Microsoft erfolgt, ist jetzt auch in Österreich angekommen. Nun hat uns auch einer unserer eigenen Kunden den Vorfall gemeldet…

Einer aufmerksamen Kundin ist es neulich merkwürdig vorgekommen, dass sie von einem Microsoft-Mitarbeiter mit starkem indischen Akzent, sowie schlechtem Englisch angerufen wurde (unter einer österreichischen Nummer wohlgemerkt). Dieser meldete ihr ein technisches Problem mit ihrem PC. Sie solle doch zu Ihrem Computer gehen und er würde das per Fernwartung für Sie reparieren. Als Außenstehender riecht man den Braten schon – zumindest jetzt beim Lesen. ;) Was dieser natürlich in Wirklichkeit vorhatte: Ihren Computer mit einem Verschlüsselungstrojaner zu infizieren und sie anschließend mit Bitcoins etc. zu erpressen.

Die Betrugsmasche: Aus alt mach neu!

Microsoft Fake-Anrufe

Die Form des Telefonbetrugs ist eigentlich nicht neu. Schon 2014 haben Verbraucher und Unternehmen mit den Fake-Anrufen von falschen Microsoft-Mitarbeitern zu kämpfen gehabt. Nach einer kurzen Ruhephase, gehen die Abzock-Anrufe der vermeintlichen Support-Mitarbeiter in die nächste Runde:

Betrüger geben sich als Microsoft-Mitarbeiter aus und bringen ahnungslose Menschen um ihr Geld. Meistens (wie in unserem aktuellen Fall) erhalten die Empfänger vom Fake-Anrufer eine Viruswarnung und werden dazu aufgefordert, völlig überflüssige Hilfsmaßnahmen anzunehmen bzw. sich per Fernwartung helfen zu lassen.

Es ist natürlich vorprogrammiert, dass der Rechner danach mit Schad-Software infiziert ist.

Oftmals entpuppt sich das Fernwartungsprogramm selbst schon als gefährlicher Trojaner. Noch dreister: Für die vorgetäuschte Viren-Bereinigung wird dann auch noch Geld verlangt. Mit diesem Trick haben die Kriminellen laut einer Studie schon Millionen verdient. Die Meldung unserer Kundin ist leider kein Einzelfall. Anfangs haben sich die Vorfälle eher in den USA und Kanada ereignet. Der Support-Betrug dürfte sich allerdings nun auch auf  Deutschland und Österreich konzentrieren.

Gegenmaßnahmen

Seitens Microsoft gab es aber zum Glück auch schon Gegeninitiativen, nachdem monatlich bis zu 11.000 Beschwerden von Betrugsopfern eingegangen sind. In Zusammenarbeit mit örtlichen Sicherheitsbehörden hat Microsoft in Neu-Delhi 16 Callcenter durchsuchen lassen. Die indische Hauptstadt ist bisher der Herd dieser Betrugsanrufe gewesen. Insgesamt gab es dort über 50 Festnahmen.

Microsoft Fake-Anrufe

Wie wehrt man sich am besten?

Am besten sofort auflegen! Mitarbeiter von Microsoft rufen im Normalfall keine Kunden ungefragt an – genauso wenig fragen diese einfach so nach Telefonnummern oder fordern dazu auf, gefälschte Kundendienstnummern des Windows-Herstellers anzurufen. Auf offizielle Support-Anfragen, antwortet Microsoft fast ausschließlich per E-Mail.

Für alle, die – weil überrumpelt – doch auf einen dieser Anrufe reagiert haben:

  • Internetverbindung trennen: So kann der Anrufer nicht mehr auf Ihren PC zugreifen und weiteren Schaden anrichten.
  • PC ausschalten: Um ganz sicher zu gehen, fahren Sie Ihren PC herunter.
  • Jede installierte Software sofort löschen, alle übermittelten Passwörter ändern und das Gerät mit einem zuverlässigen Virenschutzprogramm untersuchen!
  • Natürlich schadet es auch nicht, den Betrugsversuch bei der örtlichen Polizei zur Anzeige zu bringen.

klenner.at’s persönlicher Geheimtipp:

Zum Glück hat uns die Kundin rechtzeitig angerufen, sodass wir das vor dem nächsten Anruf gleich aufklären konnten. Was wir ihr empfohlen haben: Diesem Menschen dezent mitzuteilen, dass da nun Anzeige erstattet wird. Falls das nichts helfen und sie weiterhin Anrufe bekommen sollte, haben wir ihr noch unseren äußerst effektiven Geheimtipp ans Herz gelegt:

  1. Man besorge sich eine Trillerpfeife
  2. Man blase mit vollster Inbrunst hinein – den Telefonhörer halte man dabei so nah wie möglich
  3. Man warte auf den schmerzerfüllten Schrei am anderen Ende der Leitung
  4. Dann erst auflegen
Erpressungstrojaner GandCrab

Erpressungstrojaner GandCrab

Der neueste Erpressungstrojaner kommt via Bewerbung ins Firmen-Postfach​​​​​​​​​​​​​​​

Zur Zeit sind wieder vermehrt gefährliche Mails in Umlauf. Das trojanische Pferd im Email-Postfach – auch Gandcrab genannt – bezieht sich auf gefälschte Bewerbungsmails an Firmen. Personaler und andere Verantwortliche sollten Vorsicht walten lassen und die Dateianhänge von eingehenden Bewerbungen vor dem Öffnen zuerst überprüfen. Der bloße Empfang der Fake-Bewerbungen ist dabei erstmal unproblematisch.

Erst beim Öffnen des Anhangs wird es dann gefährlich. Im Dateianhang sind meistens ein Bild und ein Zip-Archiv zu finden und in letzterem befindet sich der Erpressungstrojaner in Form einer .exe-Datei. Die .exe-Datei sollte auf keinen Fall geöffnet bzw. ausgeführt werden – andernfalls wird der Computer infiziert.

Gandcrab verschlüsselt die auf dem PC gespeicherten Dateien, die danach die Dateiendung „.krab“ aufweisen. Mit den gesperrten Dateien ist nichts mehr anzufangen, es sei denn man bezahlt das von den Erpressern geforderte Lösegeld. Erst nach Bezahlung der Summe rücken die Cyber-Kriminellen dann den Schlüssel heraus, mit dem die Daten wieder freigegeben werden können.

Lösegeld bezahlen: Ja oder nein?

Laut LKA (Landeskriminalamt) und einigen Experten soll man das Lösegeld auf keinen Fall zahlen und sich erstmal an die zentrale Ansprechstelle Cybercrime (ZAC) der Polizei wenden.

Wie kann man die gefälschten Mails erkennen?

Generell sind die betrügerischen Mailings immer besser gemacht und auch offensichtliche Fehler sind seltener. Woran man allg. Betrug-Mailings erkennt, haben wir im Beitrag Wie falsche Chefs und „Fake-Präsidenten“ ganz bequem an Millionen kommen näher erläutert. Auf jeden Fall ist man mit einer guten Sicherheitslösung am besten beraten.

Als sich die Nachricht über die Erpressungstrojaner verbreitet hat, haben bereits 37 von 67 Scannern bei der betroffenen Datei Alarm geschlagen (darunter waren u.a. Avira, Kaspersky und Bitdefender). Die Mails erkennt man durch typische Betreff-Phrasen wie „Bewerbung auf die ausgeschriebene Stelle – Hannah Sommer“ o.ä.

Ransomware Emails GanCrab

Aktuell konzentrieren sich die Mail-Angriffe angeblich nur auf Windows-PCs in Unternehmen. Linux oder macOS Betriebssysteme sind derzeit nicht bedroht. 

Gerade die Antiviren-Schutz Software aus Rumänien Bitdefender gilt als äußerst effektiv im Schutz gegen neuste Bedrohungen aus dem Internet und noch unbekannte Bedrohungen. Besonders der Phishing- und Spam-Schutz für Exchange-Mail-Server sind hier hervorzuheben.

Du willst mehr über Bitdefender erfahren?

Schreib‘ uns einfach eine kurze Mail. Wir melden uns dann bei dir!

Wie bekomme ich meine verschlüsselten Daten wieder?

Im Moment gibt es noch keine kostenlose Entschlüsselungs-Software, man kann aber auf der Webseite von ID Ransomware Dateien hochladen und identifizieren lassen. Somit kann man zumindest prüfen, ob es zu einer bestimmten Datei schon einen bekannten Weg gibt die gesperrten Dateien wieder zu entschlüsseln.

Sowohl Firmen als auch private Nutzer sollten regelmäßig Backups von ihren Daten machen, damit diese im Falle einer Infektion einfach wieder zurück auf den PC gespielt werden können. Dabei ist zu beachten, dass der Backup-Speicher nicht an einem Computer angeschlossen bzw. mit dem Netzwerk verbunden ist. 

Ganz allgemein gilt natürlich: Anhänge in E-Mails sollten nicht einfach unüberlegt geöffnet werden. Ebenso wenig ratsam ist es natürlich, auf dubiose Links zu klicken.

1