Der Bund warnt vor gefälschten E-Mails, die heute im Namen des populären Reiseportals Booking.com verschickt werden.
Wird der Anhang Buchung.zip (Mac) beziehungsweise Bestellung.docx (Windows) geöffnet, versucht das Schadprogramm, den E-Banking-Trojaner Retefe zu installieren.
Vorsicht: Gefälschte E-Mails im Namen von @bookingcom im Umlauf, welche Windows und macOS mit eBanking Trojaner Retefe infizieren! pic.twitter.com/EDvXXRDKE6
— GovCERT.ch (@GovCERT_CH) 16. Juni 2017
Der Retefe-Trojaner wird aktuell über E-Mails verbreitet. Denkbar ist auch, dass Spionage- und Verschlüsselungs-Trojaner künftig beispielsweise vermehrt über präparierte iMessage-Nachrichten auf den Mac gelangen. Die Angreifer werden ihre Taktik spätestens dann ändern, wenn die Nutzer auf Angriffe über E-Mails sensibilisiert sind.
Aktuell versenden die Angreifer die folgende E-Mail in makellosem Deutsch: «Sie haben das Zimmer für 2 Personen bestellt und bezahlt. Die Buchungs- und Zahlungsbestätigung sind in der Anlage zu finden.»
Die E-Mail trägt den Absender «Booking.com» und den Betreff «Hotelbestellung #05284-PU661416 von 16/06/2017». Schaut man sich die Adresse genauer an, wird die Täuschung offensichtlich: Hinter dem Absender Booking.com verbirgt sich die Fake-Adresse info@stroybat.ru.
Das Problem: Bei vielen E-Mail-Programmen oder Web-Diensten wie Gmail wird die eigentliche E-Mail-Adresse erst sichtbar, wenn man mit der Maus über den Absender fährt oder die E-Mail bereits geöffnet hat.
Als Absender werden immer wieder andere bekannte Firmen wie Zalando, Swisscom, Digitec oder nun Booking missbraucht. Manche E-Mails tarnen sich auch als Nachrichten von Behörden wie der Polizei oder eines Steueramtes. Sie verlocken den Empfänger zum Öffnen der Nachricht, indem beispielsweise von einer Gerichtsvorladung oder einer Steuerrückzahlung die Rede ist.
Die Schadsoftware Retefe wurde bislang gegen das Windows-Betriebssystem eingesetzt – insbesondere auch gegen Schweizer E-Banking-Nutzer. Seit einiger Zeit existiert eine Mac-Version. Da die Schweiz im internationalen Vergleich einen besonders hohen Mac-Anteil hat, überrascht es wenig, dass die Angreifer nun gezielt Schweizer E-Banking-Nutzer mit Mac-Computern im Visier haben.
Wie gestern berichtet, entwickelt sich Schadsoftware gegen Mac-Nutzer zum lukrativen Geschäft. Aktuell wird etwa der Spionage-Trojaner MacSpy und der Verschlüsselungs-Trojaner MacRansom auf dem Schwarzmarkt angeboten.
Besonders versierte Angreifer hebeln die Sicherheitsmassnahmen von Windows und MacOS aus, indem sie gestohlene Entwicklerzertifikate nutzen, um ihre Schadsoftware als sichere Software zu signieren. Weder das Betriebssystem noch der Virenscanner erkennt den Trojaner in diesem Fall als Schadsoftware.
Die Kriminellen versuchen zuerst – wie bereits in diesem Artikel erklärt wurde – herauszufinden, welches Betriebssystem und welche Software ihre potenziellen Opfer installiert haben. Hierzu senden sie zunächst eine E-Mail mit einem sogenannten Tracking-Pixel. Das ist ein 1 mal 1 Pixel grosses Bild, das für den Nutzer unsichtbar ist.
Wenn dieses Bild heruntergeladen wird (was abhängig von der E-Mail-Konfiguration automatisch geschehen kann), wird eine Verbindung mit dem Server der Angreifer aufgebaut, auf dem das Bild abgespeichert ist. Nun werden automatisch verschiedenste Daten über den Computer des Opfers (Mail-Programm, Webbrowser, Betriebssystem etc.) an die Angreifer übermittelt.
In einem zweiten Schritt senden sie eine präparierte E-Mail, die auf das entsprechende Betriebssystem – Windows oder Mac – zugeschnitten ist.
Die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes empfiehlt daher diese Sicherheitsmassnahmen – unabhängig davon, welches Betriebssystem genutzt wird.
(oli)