Online-Sicherheit
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Nein, diese E-Mail stammt nicht von der Helsana. Wer die angehängte Word-Datei öffnet, fängt sich einen E-Banking-Trojaner ein.

Neue Malware-Attacke erreicht die Schweiz – so wollen dich die Hacker übers Ohr hauen

Der Bund warnt erneut: Kriminelle versenden aktuell gefälschte E-Mails im Namen von Krankenkassen, die Computer-Nutzer mit dem E-Banking-Trojaner Retefe infizieren.

25.09.18, 11:57 26.09.18, 05:57


Der Bund warnt Schweizer Computer-Nutzer vor gefälschten E-Mails, die im Namen der Krankenkasse Helsana verschickt werden. Das so genannte Computer Emergency Response Team des Bundes schreibt auf Twitter:

«Cyberkriminelle machen sich die aktuelle Diskussion um die steigenden Krankenkassenprämien zunutze und versenden gefälschte E-Mails im Namen von Helsana mit dem Ziel, Computer in der Schweiz mit dem E-Banking-Trojaner ‹Retefe› zu infizieren. Nicht öffnen, sondern löschen!»

Retefe ist ein bekannter Trojaner, der von Kriminellen seit Jahren gegen Windows-Nutzer eingesetzt wird. Seit 2017 wird Retefe auch gezielt gegen Mac-Nutzer eingesetzt. Die Schadsoftware kann auch Android-Smartphones befallen. Zu den Hauptzielen des Trojaners zählen E-Banking-Nutzer in der Schweiz.

Die orthografisch fast lupenreine Nachricht der Betrüger mit dem Betreff «Erhöhung der Preise ab Oktober 2018» lautet:

Sehr geehrter Kunde,

Wir setzen Sie hiermit in Kenntniss, dass die Sparbeiträge in der nächsten Zeit erhöht werden.

Sie können sich mit der notwendigen Information im Anhang bekannt machen.

Freundliche Grüsse
Ihr Helsana-Newsletter-Team

Diese E-Mail sollte man sofort löschen

Die E-Mail gibt vor, dass die Krankenkassenprämien bei Helsana steigen. Weitere Informationen finde man im Mail-Anhang.

Die unbekannten Täter setzen darauf, dass einige der Angeschriebenen tatsächlich bei Helsana versichert sind und aufgrund der gestrigen Medienberichterstattung über die steigenden Krankenkassenprämien kaum Verdacht schöpfen werden. Im Anhang der gefälschten E-Mail befindet sich eine Word-Datei. Wer die Datei öffnet, installiert den E-Banking-Trojaner Retefe. Dieser hat es beispielsweise auf die Passwörter der Opfer abgesehen.

Die Betrüger senden die infizierten E-Mails vermutlich wieder an Tausende Schweizer. Wenn nur ganz wenige Personen darauf hereinfallen, kann sich der Angriff für die Kriminellen bereits gelohnt haben.

Der E-Banking-Trojaner wird erst beim Öffnen des Mail-Anhangs (oft eine Word- oder Zip-Datei) aus dem Internet heruntergeladen.

Microsoft Word schützt den Nutzer eigentlich vor Malware. Die Betrüger versuchen ihre Opfer aber mit dieser Botschaft dazu zu verleiten, den Schutz selbst zu deaktivieren, damit sich Retefe installieren kann.

Wichtig ist, dass die mit der Schadsoftware infizierten Webseiten von den Internet-Providern schnell gesperrt werden, so dass der infizierte Mail-Anhang den E-Banking-Trojaner Retefe nicht mehr herunterladen kann.

Die Stiftung Switch, die für den Betrieb und die Sicherheit der Schweizer Internetadressen verantwortlich ist, bietet einen Dienst an, der die Infektion von Retefe verhindern soll. «In den meisten Fällen wird der Schadcode vom Internet nachgeladen. Unser DNS-Firewall-Service blockiert diese Zugriffe, da wir diese Kampagnen automatisch detektieren», sagte Daniel Stirnimann, Security-Experte bei Switch, bei einer früheren Malware-Welle.

Ist der Malware-Angriff noch aktiv? Diese Webseite zeigt es.

Auf der Webseite https://urlhaus.abuse.ch/ sieht man, von welchen Webseiten Retefe beim Öffnen des Mail-Anhangs heruntergeladen wird und ob die infizierten Webseiten noch aktiv sind.

Am Dienstagmorgen war die beim aktuellen Angriff genutzte Webseite noch online.

Erkennen Virenscanner den Trojaner?

Die Schadsoftware Retefe wird von der so genannten ReTeFe-Gang gezielt gegen Windows-, Mac- und Android-Nutzer in der Schweiz eingesetzt. Die Kriminellen ändern den Trojaner jeweils ab, damit er von Virenscannern nicht gleich erkannt wird. Neue Retefe-Versionen werden von Virenscannern und Betriebssystemen also in den ersten Stunden der Malware-Verbreitung oft nicht als Malware erkannt, da Retefe kaum von gutartiger Software unterschieden werden kann.

Stark vereinfacht gesagt, verhält sich Retefe wie normale Programme, die beispielsweise von IT-Administratoren genutzt werden. Die Schadsoftware ist quasi eine Umkonfiguration eines Computersystems, was per se nicht bösartig ist. Die Antivirenhersteller können daher meist erst nach einer neuen Angriffswelle auf die neue Retefe-Version reagieren.

Besonders versierte Angreifer hebeln auch die Sicherheitsmassnahmen von Windows und MacOS aus, indem sie gestohlene Entwicklerzertifikate nutzen, um ihre Schadsoftware als sichere Software zu signieren. Weder das Betriebssystem noch der Virenscanner erkennt den Trojaner in diesem Fall als Schadsoftware.

So können sich Computer-Nutzer schützen

Der beste Schutz ist, das Windows- oder Mac-Betriebssystem aktuell zu halten, sprich neue Updates sofort zu installieren.

Windows 10 hat mit «Windows Defender» einen eigenen Virenscanner, der Bedrohungen durch Trojaner (zumindest nach einer gewissen Zeit) abwehren kann.

«Windows Defender» lässt sich in den Windows-10-Einstellungen unter «Update und Sicherheit» aktivieren. Das GIF zeigt, wie dies geht. gif: watson

Die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes empfiehlt die folgenden Sicherheitsmassnahmen allen Computernutzenden – unabhängig davon, welches Betriebssystem sie benutzen:

(oli)

Brandgefahr bei Akkus. Das tust du im Ernstfall.

Video: srf

Sieben eindrückliche Hacker-Attacken

Das könnte dich auch interessieren:

In der Schweiz leben 2 Millionen Ausländer – aber aus diesen 3 Ländern ist kein einziger

Diese Frauen haben etwas zu sagen – und der SVP wird dies nicht gefallen

«In einer idealen Welt wären Solarien verboten»

Die 7 schlimmsten Momente, die du an einer Prüfung erleben kannst

«Dünne Menschen sind Arschlöcher»

Wieso, verdammt, find ich mich ein Leben lang hässlich?

Diese Nachricht lässt jede Playstation 4 sofort abstürzen – so schützt du dich

Norilsk – no fun. Das ist Russlands härteste Stadt

Ist Trump nun ein Faschist oder nicht?

Wenn Instagram-Posts ehrlich wären – in 7 Grafiken

Die Grünen sind die unverbrauchten Linken

Jetzt kommt das Gratis-Internet in den Zügen – es sei denn, du bist Swisscom-Kunde

Norilsk no fun? «Im Gegenteil», sagt Fotografin Elena Chernyshova

Wir haben Schweizer Eishockey-Stars verunstaltet – erkennst du sie trotzdem?

Alle Artikel anzeigen

Hol dir die App!

Zeno Hirt, 25.6.2017
Immer wieder mal schmunzeln und sich freuen an dem, was da weltweit alles passiert! Genial!

Abonniere unseren Daily Newsletter

17
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
17Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Sharkdiver 25.09.2018 21:12
    Highlight Also wer ist schon so dämlich, Fakes nicht zu erkennen, wenn bei der Krankenkasse von Sparprämien gesprochen wird 🙄
    8 2 Melden
  • BlueRose 25.09.2018 20:46
    Highlight Naja Kenntniss ... doppel S? Schon das macht mich stutzig!
    6 0 Melden
  • cassio77 25.09.2018 19:03
    Highlight Ganz allgemein häufen sich bei uns im Geschäft wieder Anrufe, die CFO oder CEO verlangen, und dabei versuchen, weitere Informationen über die Entscheidungsträger zu erlangen. Mit diesen Daten versuchen sie dann, mit täuschend echten Emails, Anweisungen für dringende Zahlungen an die Buchhaltung zu geben. Im letzten Jahr hatten wir einen solchen Fall. Bei unkritisch oder stark unter Druck stehenden Mitarbeiter kann dies schnell zu immensen Verlusten führen.
    8 0 Melden
  • yellowastra 25.09.2018 18:09
    Highlight Sollte man sofort löschen oder darf es auch nur löschen sein? Gibt es eine 5 sek regel für Email anhänge?
    Sickert irgendwas durch wenn ich die erst 10min nach dem sehen lösche?
    Fragen über fragen.🙄
    16 3 Melden
  • Come in and fuck out 25.09.2018 16:00
    Highlight Fahre mit Outlook und Win95.
    Kann mir jemand den Treiber senden um retefe auszuführen. 😁
    Besten Dank. 😂
    26 7 Melden
  • AfterEightUmViertelVorAchtEsser 25.09.2018 14:12
    Highlight Hilfreich ist es auch, den Absender genau anzuschauen. Wenn da nicht "...@helsana.ch" oder "...@helsana.com" steht, ist es zumindest mal sehr verdächtig.

    56 0 Melden
    • riqqo 25.09.2018 16:09
      Highlight Hilfreich wäre, wenn die E-Mail-Absender wieder mit E-Mail und nicht mit Namen angezeigt werden würden. Aber das lässt sich leider nicht einstellen, dies müssten wohl die entwicklenden Personen machen...
      16 2 Melden
    • cassio77 25.09.2018 18:58
      Highlight After eight, auch dies lässt sich heute "faken", somit hier vielleicht eindeutig, bei guten phishing-Attacken jedoch auch kein Garant.
      8 0 Melden
    • Sarkasmusdetektor 26.09.2018 13:08
      Highlight Das hilft nur bei Webseiten bzw. Links, nicht bei E-Mails. Die Absender-Adresse eines Mails lässt sich sehr einfach ändern.
      1 0 Melden
  • kirishion 25.09.2018 13:41
    Highlight Also ich hab schon viele betrügerische Emails gesehen, die meisten erkennt man ja relativ schnell. Aber das Mail im Screenshot, das sieht richtig professionell aus...

    Die werden immer besser... weniger versierte User weden da schnell reinfallen..
    19 14 Melden
  • Skip Bo 25.09.2018 12:54
    Highlight Frage von Laie an Profis: Können solche E-Mails Schaden anrichten, wenn diese mit Android/IOS und einer Office App geöffnet werden?
    17 5 Melden
    • axantas 25.09.2018 13:57
      Highlight Wenn du bei solchen Mails den Anhang nicht öffnest und nicht auf einen Link klickst, bist du eigentlich auf der sicheren Seite. Da kommt ja nur ein Text.
      Fies ist, dass die Betrüger oft Logos für die Gestaltung beim "Original" auf dem Server abgreifen, das sieht echt aus, ist aber ungefährlich.

      Sehr empfehlenswert ist, wenn bei Mails die Funktion "Bilder nicht automatisch laden" aktiviert ist. Die sind oft personifiziert. Wenn dann beim Betrüger "dein" Bild "234509a24e098ufa.jpg" geladen wird, dann weiss der, dass die Adresse gültig ist.
      20 2 Melden
    • meine senf 25.09.2018 14:19
      Highlight Die Frage ist letztendlich, ob Makros/VBA mit diesen Android-Office-Apps funktionieren.

      Meines Wissens ist das nicht der Fall. Von dem her ist das Risiko sicher viel geringer als mit MS-Office auf einem Windows-System.

      Ganz auf der sicheren Seite würde ich mich trotzdem nicht fühlen und die Dateien besser nicht öffnen. Mit zunehmender Verbreitung von Android-Office-Apps könnten ja auch deren Sicherheitslücken ausgenützt werden.
      13 1 Melden
    • Come in and fuck out 25.09.2018 16:03
      Highlight Frag doch auf der Hotline von Helsana, Laie.

      Löschen❗Nur das gilt und bringt keinen Ärger für 0815 User.
      1 16 Melden
  • thelastpanda 25.09.2018 12:42
    Highlight Ein wenig Skepsis ist halt schon Voraussetzung für einen sicheren Umgang mit dem Internet. Wenn dann die Helsana die Prämienmitteilung plötzlich via Mail und als Word-Datei schickt, sollten schon die Alarmglocken klingeln.
    86 5 Melden
    • schuldig 25.09.2018 13:25
      Highlight Vor allem, wenn da von "Sparbeiträgen" die Rede ist
      Kann man da wirklich drauf reinfallen?
      28 5 Melden
    • cassio77 25.09.2018 19:05
      Highlight Schuldig, denk mal an die Ausländer in unserm Land, die der deutschen Sprache nicht wirklich mächtig sind.
      3 2 Melden

Tausende Schweizer fallen gerade auf diesen Facebook-Betrug herein – das steckt dahinter

Seit einigen Wochen grassiert im deutschsprachigen Raum eine regelrechte Welle an Fake-Gewinnspielen. Auf Facebook gebe es so viele betrügerische Gewinnspiele «wie noch nie», schreibt das auf Online-Betrug spezialisierte Portal Mimikama.

Betrüger machen im Namen bekannter Marken wie Aldi, MediaMarkt oder Ikea mit vermeintlichen Verlosungen gezielt Jagd auf Postadressen, E-Mail-Adressen und Telefonnummern von Facebook-Nutzern. 

Obwohl die Masche alt ist, fallen im Moment wieder …

Artikel lesen