Digital
Schweiz

Retefe: Kriminelle versenden gefälschte E-Mails im Namen von Booking.com

Die Malware-Welle hat die Schweiz erreicht: So wollen dich die Hacker übers Ohr hauen

Gestern warnte der Bund vor Schadsoftware-Wellen gegen Mac- und Windows-Nutzer. Kein Tag zu früh, wie sich heute zeigt: Kriminelle versenden nun gefälschte E-Mails im Namen von Booking.com, die Windows und Mac mit dem E-Banking-Trojaner Retefe infizieren.
16.06.2017, 17:2417.06.2017, 14:18
Mehr «Digital»

Der Bund warnt vor gefälschten E-Mails, die heute im Namen des populären Reiseportals Booking.com verschickt werden. 

Wird der Anhang Buchung.zip (Mac) beziehungsweise Bestellung.docx (Windows) geöffnet, versucht das Schadprogramm, den E-Banking-Trojaner Retefe zu installieren.

So verläuft der Angriff

Der Retefe-Trojaner wird aktuell über E-Mails verbreitet. Denkbar ist auch, dass Spionage- und Verschlüsselungs-Trojaner künftig beispielsweise vermehrt über präparierte iMessage-Nachrichten auf den Mac gelangen. Die Angreifer werden ihre Taktik spätestens dann ändern, wenn die Nutzer auf Angriffe über E-Mails sensibilisiert sind.

Aktuell versenden die Angreifer die folgende E-Mail in makellosem Deutsch: «Sie haben das Zimmer für 2 Personen bestellt und bezahlt. Die Buchungs- und Zahlungsbestätigung sind in der Anlage zu finden.»

Die E-Mail trägt den Absender «Booking.com» und den Betreff «Hotelbestellung #05284-PU661416 von 16/06/2017». Schaut man sich die Adresse genauer an, wird die Täuschung offensichtlich: Hinter dem Absender Booking.com verbirgt sich die Fake-Adresse info@stroybat.ru.

Mac-Nutzer erhalten einen präparierten Anhang mit der Datei Buchung.zip. Bei Windows-Nutzern heisst der infizierte Anhang für den E-Banking-Trojaner Retefe Bestellung.docx.
Mac-Nutzer erhalten einen präparierten Anhang mit der Datei Buchung.zip. Bei Windows-Nutzern heisst der infizierte Anhang für den E-Banking-Trojaner Retefe Bestellung.docx.screenshot: GovCERT.ch

Das Problem: Bei vielen E-Mail-Programmen oder Web-Diensten wie Gmail wird die eigentliche E-Mail-Adresse erst sichtbar, wenn man mit der Maus über den Absender fährt oder die E-Mail bereits geöffnet hat.

Als Absender werden immer wieder andere bekannte Firmen wie Zalando, Swisscom, Digitec oder nun Booking missbraucht. Manche E-Mails tarnen sich auch als Nachrichten von Behörden wie der Polizei oder eines Steueramtes. Sie verlocken den Empfänger zum Öffnen der Nachricht, indem beispielsweise von einer Gerichtsvorladung oder einer Steuerrückzahlung die Rede ist.

Die Schadsoftware Retefe wurde bislang gegen das Windows-Betriebssystem eingesetzt – insbesondere auch gegen Schweizer E-Banking-Nutzer. Seit einiger Zeit existiert eine Mac-Version. Da die Schweiz im internationalen Vergleich einen besonders hohen Mac-Anteil hat, überrascht es wenig, dass die Angreifer nun gezielt Schweizer E-Banking-Nutzer mit Mac-Computern im Visier haben.

Wie gestern berichtet, entwickelt sich Schadsoftware gegen Mac-Nutzer zum lukrativen Geschäft. Aktuell wird etwa der Spionage-Trojaner MacSpy und der Verschlüsselungs-Trojaner MacRansom auf dem Schwarzmarkt angeboten.

Besonders versierte Angreifer hebeln die Sicherheitsmassnahmen von Windows und MacOS aus, indem sie gestohlene Entwicklerzertifikate nutzen, um ihre Schadsoftware als sichere Software zu signieren. Weder das Betriebssystem noch der Virenscanner erkennt den Trojaner in diesem Fall als Schadsoftware.

Warum wissen die Angreifer, ob ich einen Windows-PC oder Mac habe?

Die Kriminellen versuchen zuerst – wie bereits in diesem Artikel erklärt wurde – herauszufinden, welches Betriebssystem und welche Software ihre potenziellen Opfer installiert haben. Hierzu senden sie zunächst eine E-Mail mit einem sogenannten Tracking-Pixel. Das ist ein 1 mal 1 Pixel grosses Bild, das für den Nutzer unsichtbar ist.

Wenn dieses Bild heruntergeladen wird (was abhängig von der E-Mail-Konfiguration automatisch geschehen kann), wird eine Verbindung mit dem Server der Angreifer aufgebaut, auf dem das Bild abgespeichert ist. Nun werden automatisch verschiedenste Daten über den Computer des Opfers (Mail-Programm, Webbrowser, Betriebssystem etc.) an die Angreifer übermittelt.

In einem zweiten Schritt senden sie eine präparierte E-Mail, die auf das entsprechende Betriebssystem – Windows oder Mac – zugeschnitten ist.

Die erste E-Mail versucht (automatisch) zu tracken, welches Mail-Programm, welchen Webbrowser und welches Betriebssystem das Opfer nutzt. Die zweite E-Mail versucht einen E-Banking-Trojaner (z.B. Rete ...
Die erste E-Mail versucht (automatisch) zu tracken, welches Mail-Programm, welchen Webbrowser und welches Betriebssystem das Opfer nutzt. Die zweite E-Mail versucht einen E-Banking-Trojaner (z.B. Retefe) zu installieren, der gezielt auf Windows- oder Mac zugeschnitten ist.

Die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes empfiehlt daher diese Sicherheitsmassnahmen – unabhängig davon, welches Betriebssystem genutzt wird.

(oli)

Die grösste Gaming-Show des Jahres in Bildern: Ein Rundgang durch die E3

1 / 44
Die grösste Gaming-Show des Jahres in Bildern: Ein Rundgang durch die E3
Wir sind die ganze Woche an der E3 und haben das Coolste für dich festgehalten, damit du auch ein bisschen dabei bist. Starten wir mit dieser grandiosen Idee.

bild: watson
Auf Facebook teilenAuf X teilen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
45 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Hercanic
16.06.2017 17:47registriert März 2017
"Nun werden automatisch verschiedenste Daten über den Computer des Opfers (...) übermittelt."

-->(Webbrowser, Betriebssystem etc.)<--

Das wird übrigens auch beim Besuch der Watson-Webseite gemacht bzw. über die hier "eingebauten" verschiedenen SiteAnalytics Services wie z.B. NET Metrix, Google Analytics aber auch durch "Features" wie Facebook Connect und Twitter Syndication usw.
532
Melden
Zum Kommentar
avatar
Madison Pierce
16.06.2017 18:05registriert September 2015
Es ist eigentlich müssig, vor jeder "Angriffswelle" zu warnen. Da wird noch manche kommen und immer mit einer anderen Art von Mail.

Dabei ist es doch einfach, sich zu schützen: Hirn einschalten vor dem Klicken.

- Erwarte ich ein Mail von DHL? Nein, aber vielleicht kommt ja doch was. Weshalb steht denn nicht meine Adresse im Mail? => löschen
- Habe ich bei Booking ein Hotelzimmer reserviert? => Nein, löschen.
- Habe ich einen virtuellen Fax bei GMX? => Nein, löschen.

Ich stelle erfreut fest, dass sich dieses Wissen langsam aber sicher durchsetzt.
476
Melden
Zum Kommentar
avatar
fabsli
16.06.2017 18:58registriert November 2016
Wieso werden Hacker eigentlich immer als Personen mit Kapuzen dargestellt?
264
Melden
Zum Kommentar
45
Wer seine Lebensmitteleinkäufe mit der App des Bundes verzollt, zahlt zu viel
Einkaufstouristen können die Mehrwertsteuer statt am Zoll bequem mit einer App des Bundes bezahlen. Der Haken: es kommt sie unter Umständen teurer zu stehen als am Schalter. Der Bund will das erst 2027 ändern – trotz geplanter Senkung der Freigrenze.

Ein Nutzer lässt seinem Frust freien Lauf. «Reinste Abzocke» sei das, kritisiert er, und bilanziert: «App unbrauchbar». Auslöser des Ärgers ist die sogenannte Quickzoll-App des Bundes, mit der Privatpersonen Waren verzollen können: Einkaufstouristen können mit der App die Mehrwertsteuer sowie allfällige Zollabgaben beispielsweise für Fleisch oder Wein berechnen lassen und gleich bezahlen.

Zur Story