Online-Sicherheit
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Nein, diese E-Mail stammt nicht von der Helsana. Wer die angehängte Word-Datei öffnet, fängt sich einen E-Banking-Trojaner ein.

Neue Malware-Attacke erreicht die Schweiz – so wollen dich die Hacker übers Ohr hauen

Der Bund warnt erneut: Kriminelle versenden aktuell gefälschte E-Mails im Namen von Krankenkassen, die Computer-Nutzer mit dem E-Banking-Trojaner Retefe infizieren.



Der Bund warnt Schweizer Computer-Nutzer vor gefälschten E-Mails, die im Namen der Krankenkasse Helsana verschickt werden. Das so genannte Computer Emergency Response Team des Bundes schreibt auf Twitter:

«Cyberkriminelle machen sich die aktuelle Diskussion um die steigenden Krankenkassenprämien zunutze und versenden gefälschte E-Mails im Namen von Helsana mit dem Ziel, Computer in der Schweiz mit dem E-Banking-Trojaner ‹Retefe› zu infizieren. Nicht öffnen, sondern löschen!»

Retefe ist ein bekannter Trojaner, der von Kriminellen seit Jahren gegen Windows-Nutzer eingesetzt wird. Seit 2017 wird Retefe auch gezielt gegen Mac-Nutzer eingesetzt. Die Schadsoftware kann auch Android-Smartphones befallen. Zu den Hauptzielen des Trojaners zählen E-Banking-Nutzer in der Schweiz.

Die orthografisch fast lupenreine Nachricht der Betrüger mit dem Betreff «Erhöhung der Preise ab Oktober 2018» lautet:

Sehr geehrter Kunde,

Wir setzen Sie hiermit in Kenntniss, dass die Sparbeiträge in der nächsten Zeit erhöht werden.

Sie können sich mit der notwendigen Information im Anhang bekannt machen.

Freundliche Grüsse
Ihr Helsana-Newsletter-Team

Diese E-Mail sollte man sofort löschen

Bild

Die E-Mail gibt vor, dass die Krankenkassenprämien bei Helsana steigen. Weitere Informationen finde man im Mail-Anhang.

Die unbekannten Täter setzen darauf, dass einige der Angeschriebenen tatsächlich bei Helsana versichert sind und aufgrund der gestrigen Medienberichterstattung über die steigenden Krankenkassenprämien kaum Verdacht schöpfen werden. Im Anhang der gefälschten E-Mail befindet sich eine Word-Datei. Wer die Datei öffnet, installiert den E-Banking-Trojaner Retefe. Dieser hat es beispielsweise auf die Passwörter der Opfer abgesehen.

Die Betrüger senden die infizierten E-Mails vermutlich wieder an Tausende Schweizer. Wenn nur ganz wenige Personen darauf hereinfallen, kann sich der Angriff für die Kriminellen bereits gelohnt haben.

Der E-Banking-Trojaner wird erst beim Öffnen des Mail-Anhangs (oft eine Word- oder Zip-Datei) aus dem Internet heruntergeladen.

Bild

Microsoft Word schützt den Nutzer eigentlich vor Malware. Die Betrüger versuchen ihre Opfer aber mit dieser Botschaft dazu zu verleiten, den Schutz selbst zu deaktivieren, damit sich Retefe installieren kann.

Wichtig ist, dass die mit der Schadsoftware infizierten Webseiten von den Internet-Providern schnell gesperrt werden, so dass der infizierte Mail-Anhang den E-Banking-Trojaner Retefe nicht mehr herunterladen kann.

Die Stiftung Switch, die für den Betrieb und die Sicherheit der Schweizer Internetadressen verantwortlich ist, bietet einen Dienst an, der die Infektion von Retefe verhindern soll. «In den meisten Fällen wird der Schadcode vom Internet nachgeladen. Unser DNS-Firewall-Service blockiert diese Zugriffe, da wir diese Kampagnen automatisch detektieren», sagte Daniel Stirnimann, Security-Experte bei Switch, bei einer früheren Malware-Welle.

Ist der Malware-Angriff noch aktiv? Diese Webseite zeigt es.

Auf der Webseite https://urlhaus.abuse.ch/ sieht man, von welchen Webseiten Retefe beim Öffnen des Mail-Anhangs heruntergeladen wird und ob die infizierten Webseiten noch aktiv sind.

Bild

Am Dienstagmorgen war die beim aktuellen Angriff genutzte Webseite noch online.

Erkennen Virenscanner den Trojaner?

Die Schadsoftware Retefe wird von der so genannten ReTeFe-Gang gezielt gegen Windows-, Mac- und Android-Nutzer in der Schweiz eingesetzt. Die Kriminellen ändern den Trojaner jeweils ab, damit er von Virenscannern nicht gleich erkannt wird. Neue Retefe-Versionen werden von Virenscannern und Betriebssystemen also in den ersten Stunden der Malware-Verbreitung oft nicht als Malware erkannt, da Retefe kaum von gutartiger Software unterschieden werden kann.

Stark vereinfacht gesagt, verhält sich Retefe wie normale Programme, die beispielsweise von IT-Administratoren genutzt werden. Die Schadsoftware ist quasi eine Umkonfiguration eines Computersystems, was per se nicht bösartig ist. Die Antivirenhersteller können daher meist erst nach einer neuen Angriffswelle auf die neue Retefe-Version reagieren.

Besonders versierte Angreifer hebeln auch die Sicherheitsmassnahmen von Windows und MacOS aus, indem sie gestohlene Entwicklerzertifikate nutzen, um ihre Schadsoftware als sichere Software zu signieren. Weder das Betriebssystem noch der Virenscanner erkennt den Trojaner in diesem Fall als Schadsoftware.

So können sich Computer-Nutzer schützen

Der beste Schutz ist, das Windows- oder Mac-Betriebssystem aktuell zu halten, sprich neue Updates sofort zu installieren.

Windows 10 hat mit «Windows Defender» einen eigenen Virenscanner, der Bedrohungen durch Trojaner (zumindest nach einer gewissen Zeit) abwehren kann.

Animiertes GIF GIF abspielen

«Windows Defender» lässt sich in den Windows-10-Einstellungen unter «Update und Sicherheit» aktivieren. Das GIF zeigt, wie dies geht. gif: watson

Die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes empfiehlt die folgenden Sicherheitsmassnahmen allen Computernutzenden – unabhängig davon, welches Betriebssystem sie benutzen:

(oli)

Brandgefahr bei Akkus. Das tust du im Ernstfall.

abspielen

Video: srf

Sieben eindrückliche Hacker-Attacken

Das könnte dich auch interessieren:

Oppos Reno 5G ist ein spektakuläres Smartphone – das seiner Zeit voraus ist

Link zum Artikel

Wohin ist denn eigentlich die Hitzewelle verschwunden? Nun, die Antwort ist beunruhigend

Link zum Artikel

Keine Hoffnung auf Überlebende nach Unwetter im Wallis ++ Gesperrte Pässe in Graubünden

Link zum Artikel

Google enthüllt sechs Sicherheitslücken in iOS – das solltest du wissen

Link zum Artikel

YB-Fan lehnt sich im Extrazug aus dem Fenster – und wird von Schild getroffen

Link zum Artikel

Der neue Tarantino? Ist Mist. Aber vielleicht seht ihr das ganz anders

Link zum Artikel

Uli, der Unsportliche – warum GC-Trainer Forte in Aarau unten durch ist

Link zum Artikel

Die Bloggerin, die 22 Holocaust-Opfer erfand, ist tot, ihre Fantasie war grenzenlos

Link zum Artikel

Wahlvorschau: Die Zentralschweiz ist diesmal nicht nur für Rot-Grün ein hartes Pflaster

Link zum Artikel

Ab heute lebt die Welt auf Ökopump – und diese Länder sind die grössten Umweltsünder

Link zum Artikel

Sogar Taschenrechner verwirrt: Dieses Mathe-Rätsel macht gerade alle verrückt

Link zum Artikel

Immer wieder Djokovic – oder Federers Kampf gegen die Dämonen der Vergangenheit

Link zum Artikel

«Es war die Hölle» – dieser Schweizer war am ersten Woodstock dabei

Link zum Artikel

Ich hab die 3 neuen Huawei-Handys 2 Monate im Alltag getestet – es gab einen klaren Sieger

Link zum Artikel

QDH: Huber ist in den Ferien. Wir haben ihn vorher noch ein bisschen gequält

Link zum Artikel

ARD-Moderatorin lästert über «Fortnite»-Spieler und erntet Shitstorm – nun wehrt sie sich

Link zum Artikel

10 Tweets, die zeigen, dass in Grönland gerade etwas komplett schief läuft

Link zum Artikel

Gewalt und Krankheiten – die Bewohner der ersten Steinzeit-Stadt lebten gefährlich

Link zum Artikel

Die bizarre Geschichte der Skinwalker-Ranch, Teil 4: Die Zweifel des Insiders

Link zum Artikel

MEI, Minarett und Güsel: Das musst du zum Polit-Röstigraben wissen

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

14
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
14Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Sharkdiver 25.09.2018 21:12
    Highlight Highlight Also wer ist schon so dämlich, Fakes nicht zu erkennen, wenn bei der Krankenkasse von Sparprämien gesprochen wird 🙄
  • BlueRose 25.09.2018 20:46
    Highlight Highlight Naja Kenntniss ... doppel S? Schon das macht mich stutzig!
  • Der Kritiker 25.09.2018 19:03
    Highlight Highlight Ganz allgemein häufen sich bei uns im Geschäft wieder Anrufe, die CFO oder CEO verlangen, und dabei versuchen, weitere Informationen über die Entscheidungsträger zu erlangen. Mit diesen Daten versuchen sie dann, mit täuschend echten Emails, Anweisungen für dringende Zahlungen an die Buchhaltung zu geben. Im letzten Jahr hatten wir einen solchen Fall. Bei unkritisch oder stark unter Druck stehenden Mitarbeiter kann dies schnell zu immensen Verlusten führen.
  • yellowastra 25.09.2018 18:09
    Highlight Highlight Sollte man sofort löschen oder darf es auch nur löschen sein? Gibt es eine 5 sek regel für Email anhänge?
    Sickert irgendwas durch wenn ich die erst 10min nach dem sehen lösche?
    Fragen über fragen.🙄
  • Hallo I bims. Ein AfterEightUmViertelVorAchtEsser 25.09.2018 14:12
    Highlight Highlight Hilfreich ist es auch, den Absender genau anzuschauen. Wenn da nicht "...@helsana.ch" oder "...@helsana.com" steht, ist es zumindest mal sehr verdächtig.

    Benutzer Bild
    • ralck 25.09.2018 16:09
      Highlight Highlight Hilfreich wäre, wenn die E-Mail-Absender wieder mit E-Mail und nicht mit Namen angezeigt werden würden. Aber das lässt sich leider nicht einstellen, dies müssten wohl die entwicklenden Personen machen...
    • Der Kritiker 25.09.2018 18:58
      Highlight Highlight After eight, auch dies lässt sich heute "faken", somit hier vielleicht eindeutig, bei guten phishing-Attacken jedoch auch kein Garant.
    • Sarkasmusdetektor 26.09.2018 13:08
      Highlight Highlight Das hilft nur bei Webseiten bzw. Links, nicht bei E-Mails. Die Absender-Adresse eines Mails lässt sich sehr einfach ändern.
  • kirishion 25.09.2018 13:41
    Highlight Highlight Also ich hab schon viele betrügerische Emails gesehen, die meisten erkennt man ja relativ schnell. Aber das Mail im Screenshot, das sieht richtig professionell aus...

    Die werden immer besser... weniger versierte User weden da schnell reinfallen..
  • Skip Bo 25.09.2018 12:54
    Highlight Highlight Frage von Laie an Profis: Können solche E-Mails Schaden anrichten, wenn diese mit Android/IOS und einer Office App geöffnet werden?
    • El Vals del Obrero 25.09.2018 14:19
      Highlight Highlight Die Frage ist letztendlich, ob Makros/VBA mit diesen Android-Office-Apps funktionieren.

      Meines Wissens ist das nicht der Fall. Von dem her ist das Risiko sicher viel geringer als mit MS-Office auf einem Windows-System.

      Ganz auf der sicheren Seite würde ich mich trotzdem nicht fühlen und die Dateien besser nicht öffnen. Mit zunehmender Verbreitung von Android-Office-Apps könnten ja auch deren Sicherheitslücken ausgenützt werden.
  • thelastpanda 25.09.2018 12:42
    Highlight Highlight Ein wenig Skepsis ist halt schon Voraussetzung für einen sicheren Umgang mit dem Internet. Wenn dann die Helsana die Prämienmitteilung plötzlich via Mail und als Word-Datei schickt, sollten schon die Alarmglocken klingeln.
    • schuldig 25.09.2018 13:25
      Highlight Highlight Vor allem, wenn da von "Sparbeiträgen" die Rede ist
      Kann man da wirklich drauf reinfallen?
    • Der Kritiker 25.09.2018 19:05
      Highlight Highlight Schuldig, denk mal an die Ausländer in unserm Land, die der deutschen Sprache nicht wirklich mächtig sind.

Gratis, genial und brandgefährlich? Die harten Fakten zu FaceApp

Die wichtigsten Fragen und Antworten zur populären Smartphone-App. Und zur Entwicklerfirma, die an einem fragwürdigen Ort residiert.

FaceApp ist gerade überall. Bei WhatsApp, Twitter, Instagram – und auch bei deinem Lieblings-Newsportal. 😌

Mehr als 100 Millionen User haben die Android-App aus dem Google Play Store heruntergeladen. Und die iPhone-Version führt in über 120 Ländern die Download-Charts an.

Dieser Artikel dreht sich um die brennendsten Fragen rund um die «Killer-App» aus Russland. Die Entwicklerfirma nimmt ausführlich Stellung und die Verantwortlichen versuchen, die schlimmsten Befürchtungen zu entkräften.

Wir gehen …

Artikel lesen
Link zum Artikel