Online-Sicherheit
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Image

Nein, diese E-Mail stammt nicht von der Helsana. Wer die angehängte Word-Datei öffnet, fängt sich einen E-Banking-Trojaner ein.

Neue Malware-Attacke erreicht die Schweiz – so wollen dich die Hacker übers Ohr hauen

Der Bund warnt erneut: Kriminelle versenden aktuell gefälschte E-Mails im Namen von Krankenkassen, die Computer-Nutzer mit dem E-Banking-Trojaner Retefe infizieren.



Der Bund warnt Schweizer Computer-Nutzer vor gefälschten E-Mails, die im Namen der Krankenkasse Helsana verschickt werden. Das so genannte Computer Emergency Response Team des Bundes schreibt auf Twitter:

«Cyberkriminelle machen sich die aktuelle Diskussion um die steigenden Krankenkassenprämien zunutze und versenden gefälschte E-Mails im Namen von Helsana mit dem Ziel, Computer in der Schweiz mit dem E-Banking-Trojaner ‹Retefe› zu infizieren. Nicht öffnen, sondern löschen!»

Retefe ist ein bekannter Trojaner, der von Kriminellen seit Jahren gegen Windows-Nutzer eingesetzt wird. Seit 2017 wird Retefe auch gezielt gegen Mac-Nutzer eingesetzt. Die Schadsoftware kann auch Android-Smartphones befallen. Zu den Hauptzielen des Trojaners zählen E-Banking-Nutzer in der Schweiz.

Die orthografisch fast lupenreine Nachricht der Betrüger mit dem Betreff «Erhöhung der Preise ab Oktober 2018» lautet:

Sehr geehrter Kunde,

Wir setzen Sie hiermit in Kenntniss, dass die Sparbeiträge in der nächsten Zeit erhöht werden.

Sie können sich mit der notwendigen Information im Anhang bekannt machen.

Freundliche Grüsse
Ihr Helsana-Newsletter-Team

Diese E-Mail sollte man sofort löschen

Image

Die E-Mail gibt vor, dass die Krankenkassenprämien bei Helsana steigen. Weitere Informationen finde man im Mail-Anhang.

Die unbekannten Täter setzen darauf, dass einige der Angeschriebenen tatsächlich bei Helsana versichert sind und aufgrund der gestrigen Medienberichterstattung über die steigenden Krankenkassenprämien kaum Verdacht schöpfen werden. Im Anhang der gefälschten E-Mail befindet sich eine Word-Datei. Wer die Datei öffnet, installiert den E-Banking-Trojaner Retefe. Dieser hat es beispielsweise auf die Passwörter der Opfer abgesehen.

Die Betrüger senden die infizierten E-Mails vermutlich wieder an Tausende Schweizer. Wenn nur ganz wenige Personen darauf hereinfallen, kann sich der Angriff für die Kriminellen bereits gelohnt haben.

Der E-Banking-Trojaner wird erst beim Öffnen des Mail-Anhangs (oft eine Word- oder Zip-Datei) aus dem Internet heruntergeladen.

Image

Microsoft Word schützt den Nutzer eigentlich vor Malware. Die Betrüger versuchen ihre Opfer aber mit dieser Botschaft dazu zu verleiten, den Schutz selbst zu deaktivieren, damit sich Retefe installieren kann.

Wichtig ist, dass die mit der Schadsoftware infizierten Webseiten von den Internet-Providern schnell gesperrt werden, so dass der infizierte Mail-Anhang den E-Banking-Trojaner Retefe nicht mehr herunterladen kann.

Die Stiftung Switch, die für den Betrieb und die Sicherheit der Schweizer Internetadressen verantwortlich ist, bietet einen Dienst an, der die Infektion von Retefe verhindern soll. «In den meisten Fällen wird der Schadcode vom Internet nachgeladen. Unser DNS-Firewall-Service blockiert diese Zugriffe, da wir diese Kampagnen automatisch detektieren», sagte Daniel Stirnimann, Security-Experte bei Switch, bei einer früheren Malware-Welle.

Ist der Malware-Angriff noch aktiv? Diese Webseite zeigt es.

Auf der Webseite https://urlhaus.abuse.ch/ sieht man, von welchen Webseiten Retefe beim Öffnen des Mail-Anhangs heruntergeladen wird und ob die infizierten Webseiten noch aktiv sind.

Image

Am Dienstagmorgen war die beim aktuellen Angriff genutzte Webseite noch online.

Erkennen Virenscanner den Trojaner?

Die Schadsoftware Retefe wird von der so genannten ReTeFe-Gang gezielt gegen Windows-, Mac- und Android-Nutzer in der Schweiz eingesetzt. Die Kriminellen ändern den Trojaner jeweils ab, damit er von Virenscannern nicht gleich erkannt wird. Neue Retefe-Versionen werden von Virenscannern und Betriebssystemen also in den ersten Stunden der Malware-Verbreitung oft nicht als Malware erkannt, da Retefe kaum von gutartiger Software unterschieden werden kann.

Stark vereinfacht gesagt, verhält sich Retefe wie normale Programme, die beispielsweise von IT-Administratoren genutzt werden. Die Schadsoftware ist quasi eine Umkonfiguration eines Computersystems, was per se nicht bösartig ist. Die Antivirenhersteller können daher meist erst nach einer neuen Angriffswelle auf die neue Retefe-Version reagieren.

Besonders versierte Angreifer hebeln auch die Sicherheitsmassnahmen von Windows und MacOS aus, indem sie gestohlene Entwicklerzertifikate nutzen, um ihre Schadsoftware als sichere Software zu signieren. Weder das Betriebssystem noch der Virenscanner erkennt den Trojaner in diesem Fall als Schadsoftware.

So können sich Computer-Nutzer schützen

Der beste Schutz ist, das Windows- oder Mac-Betriebssystem aktuell zu halten, sprich neue Updates sofort zu installieren.

Windows 10 hat mit «Windows Defender» einen eigenen Virenscanner, der Bedrohungen durch Trojaner (zumindest nach einer gewissen Zeit) abwehren kann.

Animiertes GIF GIF abspielen

«Windows Defender» lässt sich in den Windows-10-Einstellungen unter «Update und Sicherheit» aktivieren. Das GIF zeigt, wie dies geht. gif: watson

Die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes empfiehlt die folgenden Sicherheitsmassnahmen allen Computernutzenden – unabhängig davon, welches Betriebssystem sie benutzen:

(oli)

Brandgefahr bei Akkus. Das tust du im Ernstfall.

Play Icon

Video: srf

Sieben eindrückliche Hacker-Attacken

Das könnte dich auch interessieren:

Herzschmerz pur! 15 Leute erzählen, wie sie vom Seitensprung ihres Partners erfuhren

Link to Article

Jetzt ist es da! Das geilste Polizeiauto der Schweiz

Link to Article

«Es war alles ein verdammter Fake»: Schweizer Adoptiveltern packen aus

Link to Article

Führerscheinentzug nach 49 Minuten – so witzelt die Polizei über den «Tagesschnellsten»

Link to Article

«14 Uhr: Claras Haut ist rot»: Kitas informieren Eltern neu per Liveticker über ihre Kids

Link to Article

Die Weihnachtswünsche dieser alten Leute sind so bescheiden, dass es dir das Herz bricht

Link to Article

Brennende Leichen und blühender Aberglaube – ein Besuch in Indiens heiligster Stadt

Link to Article

Doch noch geeinigt! 30 Minuten vor Ablauf der Deadline rief Nylander in Toronto an

Link to Article

Ade Pelz: Schweizer zeigen Canada Goose die kalte Schulter

Link to Article

Du regst dich über die Migros-Suppe auf? Dann kennst du diese Gender-Produkte noch nicht!

Link to Article

Selbst Trump spricht nun von einem Impeachment

Link to Article

Netflix killt die nächste Superhelden-Serie

Link to Article

So läuft das Weihnachtsessen mit den Arbeitskollegen ab. Immer. Jedes Jahr. Die Timeline

präsentiert vonBrand Logo
Link to Article

Netflix' zweite deutsche Original-Serie ist da – und ein riesiger Fail

Link to Article

Der Super-Beau, der in weniger als 15 Minuten alles verkackt!

Link to Article

Warum die Chinesen die Amerikaner im KI-Wettrennen schlagen werden

Link to Article

Queen Ariana Grande singt sich mit neuem Song auf den YouTube-Thron 👀

Link to Article

Welche dieser absolut dämlichen Studien gibt es tatsächlich?

Link to Article

Nach SBI-Niederlage: Jetzt beginnt der nächste Streit in der Aussenpolitik

Link to Article

Viva la nonna! – weshalb ich mega Fan vom neuen Jamie-Oliver-Buch bin (dazu 5 Rezepte)

Link to Article

In diesem Land wohnt nur ein einziger Schweizer. Wir haben mit ihm gesprochen

Link to Article

7 ausgefallene Punsch-Rezepte, die du diesen Winter unbedingt ausprobieren solltest!

präsentiert vonBrand Logo
Link to Article

Tumblrs neuer Pornofilter ist ein riesiger Fail – wie diese 19 Tweets beweisen

Link to Article

Das Sexismus-Dinner des FC Basel sorgt weltweit für Schlagzeilen

Link to Article

Diese 13 Bilder zeigen, wieso «Doppeladler» völlig zu Recht das Wort des Jahres ist

Link to Article

«Meine 20 Jahre ältere Affäre erniedrigt mich»

Link to Article

«Hi-Tech-Roboter» in russischer Fernsehshow entpuppt sich als verkleideter Mensch

Link to Article

11 Dinge, die du schon immer von einem orthodoxen Juden wissen wolltest

Link to Article

Wutbürger nehmen Grossrätin wegen Baby ins Visier– und so reagiert der Grossvater 

Link to Article

Über Zürich fliegen jetzt Viren-Drohnen

Link to Article

7 Duschmomente, die uns (vermutlich) allen bekannt vorkommen 

Link to Article

Danach suchen Schweizer und Schweizerinnen auf Pornhub am meisten

Link to Article

Miet-Weihnachtsbäume sind in Hipster-Hochburgen in – doch die Sache hat einen Haken

Link to Article
Alle Artikel anzeigen

Abonniere unseren Newsletter

16
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
16Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Sharkdiver 25.09.2018 21:12
    Highlight Highlight Also wer ist schon so dämlich, Fakes nicht zu erkennen, wenn bei der Krankenkasse von Sparprämien gesprochen wird 🙄
  • BlueRose 25.09.2018 20:46
    Highlight Highlight Naja Kenntniss ... doppel S? Schon das macht mich stutzig!
  • cassio77 25.09.2018 19:03
    Highlight Highlight Ganz allgemein häufen sich bei uns im Geschäft wieder Anrufe, die CFO oder CEO verlangen, und dabei versuchen, weitere Informationen über die Entscheidungsträger zu erlangen. Mit diesen Daten versuchen sie dann, mit täuschend echten Emails, Anweisungen für dringende Zahlungen an die Buchhaltung zu geben. Im letzten Jahr hatten wir einen solchen Fall. Bei unkritisch oder stark unter Druck stehenden Mitarbeiter kann dies schnell zu immensen Verlusten führen.
  • yellowastra 25.09.2018 18:09
    Highlight Highlight Sollte man sofort löschen oder darf es auch nur löschen sein? Gibt es eine 5 sek regel für Email anhänge?
    Sickert irgendwas durch wenn ich die erst 10min nach dem sehen lösche?
    Fragen über fragen.🙄
  • G-Punkt Massage 25.09.2018 16:00
    Highlight Highlight Fahre mit Outlook und Win95.
    Kann mir jemand den Treiber senden um retefe auszuführen. 😁
    Besten Dank. 😂
  • AfterEightUmViertelVorAchtEsser 25.09.2018 14:12
    Highlight Highlight Hilfreich ist es auch, den Absender genau anzuschauen. Wenn da nicht "...@helsana.ch" oder "...@helsana.com" steht, ist es zumindest mal sehr verdächtig.

    User Image
    • riqqo 25.09.2018 16:09
      Highlight Highlight Hilfreich wäre, wenn die E-Mail-Absender wieder mit E-Mail und nicht mit Namen angezeigt werden würden. Aber das lässt sich leider nicht einstellen, dies müssten wohl die entwicklenden Personen machen...
    • cassio77 25.09.2018 18:58
      Highlight Highlight After eight, auch dies lässt sich heute "faken", somit hier vielleicht eindeutig, bei guten phishing-Attacken jedoch auch kein Garant.
    • Sarkasmusdetektor 26.09.2018 13:08
      Highlight Highlight Das hilft nur bei Webseiten bzw. Links, nicht bei E-Mails. Die Absender-Adresse eines Mails lässt sich sehr einfach ändern.
  • kirishion 25.09.2018 13:41
    Highlight Highlight Also ich hab schon viele betrügerische Emails gesehen, die meisten erkennt man ja relativ schnell. Aber das Mail im Screenshot, das sieht richtig professionell aus...

    Die werden immer besser... weniger versierte User weden da schnell reinfallen..
  • Skip Bo 25.09.2018 12:54
    Highlight Highlight Frage von Laie an Profis: Können solche E-Mails Schaden anrichten, wenn diese mit Android/IOS und einer Office App geöffnet werden?
    • meine senf 25.09.2018 14:19
      Highlight Highlight Die Frage ist letztendlich, ob Makros/VBA mit diesen Android-Office-Apps funktionieren.

      Meines Wissens ist das nicht der Fall. Von dem her ist das Risiko sicher viel geringer als mit MS-Office auf einem Windows-System.

      Ganz auf der sicheren Seite würde ich mich trotzdem nicht fühlen und die Dateien besser nicht öffnen. Mit zunehmender Verbreitung von Android-Office-Apps könnten ja auch deren Sicherheitslücken ausgenützt werden.
    • G-Punkt Massage 25.09.2018 16:03
      Highlight Highlight Frag doch auf der Hotline von Helsana, Laie.

      Löschen❗Nur das gilt und bringt keinen Ärger für 0815 User.
  • thelastpanda 25.09.2018 12:42
    Highlight Highlight Ein wenig Skepsis ist halt schon Voraussetzung für einen sicheren Umgang mit dem Internet. Wenn dann die Helsana die Prämienmitteilung plötzlich via Mail und als Word-Datei schickt, sollten schon die Alarmglocken klingeln.
    • schuldig 25.09.2018 13:25
      Highlight Highlight Vor allem, wenn da von "Sparbeiträgen" die Rede ist
      Kann man da wirklich drauf reinfallen?
    • cassio77 25.09.2018 19:05
      Highlight Highlight Schuldig, denk mal an die Ausländer in unserm Land, die der deutschen Sprache nicht wirklich mächtig sind.

Kriminelle versenden gefälschte Swisscom-Rechnungen per E-Mail – so erkennst du den Betrug

Eine neue Phishing-Welle grassiert seit heute Mittag in der Schweiz. Die Betrüger fälschen Swisscom-E-Mails, um an Passwörter, Kreditkartendaten etc. ihrer Opfer zu gelangen und somit das Bankkonto leerzuräumen. Das Computer Emergency Response Team des Bundes schreibt auf Twitter:

Der E-Banking-Trojaner Gozi war erstmals 2007 entdeckt worden. Er wird von Internet-Kriminellen immer wieder verändert und per Fake-Mails oder manipulierte Webseiten neu in Umlauf gebracht. Wer in die Falle tappt, …

Artikel lesen
Link to Article