Apple
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Die Malware-Welle hat die Schweiz erreicht: So wollen dich die Hacker übers Ohr hauen

Gestern warnte der Bund vor Schadsoftware-Wellen gegen Mac- und Windows-Nutzer. Kein Tag zu früh, wie sich heute zeigt: Kriminelle versenden nun gefälschte E-Mails im Namen von Booking.com, die Windows und Mac mit dem E-Banking-Trojaner Retefe infizieren.



Der Bund warnt vor gefälschten E-Mails, die heute im Namen des populären Reiseportals Booking.com verschickt werden. 

Wird der Anhang Buchung.zip (Mac) beziehungsweise Bestellung.docx (Windows) geöffnet, versucht das Schadprogramm, den E-Banking-Trojaner Retefe zu installieren.

Die Kriminellen greifen Mac- und Windows-Nutzer gezielt mit unterschiedlichen Versionen des E-Banking-Trojaners Retefe an.

So verläuft der Angriff

Der Retefe-Trojaner wird aktuell über E-Mails verbreitet. Denkbar ist auch, dass Spionage- und Verschlüsselungs-Trojaner künftig beispielsweise vermehrt über präparierte iMessage-Nachrichten auf den Mac gelangen. Die Angreifer werden ihre Taktik spätestens dann ändern, wenn die Nutzer auf Angriffe über E-Mails sensibilisiert sind.

Aktuell versenden die Angreifer die folgende E-Mail in makellosem Deutsch: «Sie haben das Zimmer für 2 Personen bestellt und bezahlt. Die Buchungs- und Zahlungsbestätigung sind in der Anlage zu finden.»

Die E-Mail trägt den Absender «Booking.com» und den Betreff «Hotelbestellung #05284-PU661416 von 16/06/2017». Schaut man sich die Adresse genauer an, wird die Täuschung offensichtlich: Hinter dem Absender Booking.com verbirgt sich die Fake-Adresse info@stroybat.ru.

Bild

Mac-Nutzer erhalten einen präparierten Anhang mit der Datei Buchung.zip. Bei Windows-Nutzern heisst der infizierte Anhang für den E-Banking-Trojaner Retefe Bestellung.docx. screenshot: GovCERT.ch

Das Problem: Bei vielen E-Mail-Programmen oder Web-Diensten wie Gmail wird die eigentliche E-Mail-Adresse erst sichtbar, wenn man mit der Maus über den Absender fährt oder die E-Mail bereits geöffnet hat.

Als Absender werden immer wieder andere bekannte Firmen wie Zalando, Swisscom, Digitec oder nun Booking missbraucht. Manche E-Mails tarnen sich auch als Nachrichten von Behörden wie der Polizei oder eines Steueramtes. Sie verlocken den Empfänger zum Öffnen der Nachricht, indem beispielsweise von einer Gerichtsvorladung oder einer Steuerrückzahlung die Rede ist.

Die Schadsoftware Retefe wurde bislang gegen das Windows-Betriebssystem eingesetzt – insbesondere auch gegen Schweizer E-Banking-Nutzer. Seit einiger Zeit existiert eine Mac-Version. Da die Schweiz im internationalen Vergleich einen besonders hohen Mac-Anteil hat, überrascht es wenig, dass die Angreifer nun gezielt Schweizer E-Banking-Nutzer mit Mac-Computern im Visier haben.

Wie gestern berichtet, entwickelt sich Schadsoftware gegen Mac-Nutzer zum lukrativen Geschäft. Aktuell wird etwa der Spionage-Trojaner MacSpy und der Verschlüsselungs-Trojaner MacRansom auf dem Schwarzmarkt angeboten.

Besonders versierte Angreifer hebeln die Sicherheitsmassnahmen von Windows und MacOS aus, indem sie gestohlene Entwicklerzertifikate nutzen, um ihre Schadsoftware als sichere Software zu signieren. Weder das Betriebssystem noch der Virenscanner erkennt den Trojaner in diesem Fall als Schadsoftware.

Warum wissen die Angreifer, ob ich einen Windows-PC oder Mac habe?

Die Kriminellen versuchen zuerst – wie bereits in diesem Artikel erklärt wurde – herauszufinden, welches Betriebssystem und welche Software ihre potenziellen Opfer installiert haben. Hierzu senden sie zunächst eine E-Mail mit einem sogenannten Tracking-Pixel. Das ist ein 1 mal 1 Pixel grosses Bild, das für den Nutzer unsichtbar ist.

Wenn dieses Bild heruntergeladen wird (was abhängig von der E-Mail-Konfiguration automatisch geschehen kann), wird eine Verbindung mit dem Server der Angreifer aufgebaut, auf dem das Bild abgespeichert ist. Nun werden automatisch verschiedenste Daten über den Computer des Opfers (Mail-Programm, Webbrowser, Betriebssystem etc.) an die Angreifer übermittelt.

In einem zweiten Schritt senden sie eine präparierte E-Mail, die auf das entsprechende Betriebssystem – Windows oder Mac – zugeschnitten ist.

Bild

Die erste E-Mail versucht (automatisch) zu tracken, welches Mail-Programm, welchen Webbrowser und welches Betriebssystem das Opfer nutzt. Die zweite E-Mail versucht einen E-Banking-Trojaner (z.B. Retefe) zu installieren, der gezielt auf Windows- oder Mac zugeschnitten ist.

Die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes empfiehlt daher diese Sicherheitsmassnahmen – unabhängig davon, welches Betriebssystem genutzt wird.

(oli)

Die grösste Gaming-Show des Jahres in Bildern: Ein Rundgang durch die E3

Das könnte dich auch interessieren:

Corona International: EU beschliesst Einreisestopp ++ Italien mit 345 neuen Todesopfern

Link zum Artikel

Lasst meinen Sex in Ruhe, ihr Ehe- und Kartoffel-Fanatiker!

Link zum Artikel

Magic Johnson vs. Larry Bird – ein College-Final als Beginn einer grossen Sportrivalität

Link zum Artikel

Zwei Frauen in Kärnten getötet

Link zum Artikel

4 Gründe, weshalb die Corona-Zahlen des BAG wenig mit der Realität zu tun haben

Link zum Artikel

Wie ansteckend sind Kinder wirklich? Was die Wissenschaft bis jetzt dazu weiss

Link zum Artikel

Wie ich nach 3 Stunden Möbelhaus von Wolke 7 plumpste

Link zum Artikel

Das iPad kriegt Radar? Darum ist der Lidar-Sensor eine kleine Revolution

Link zum Artikel

Die Schweiz befindet sich im Notstand – die 18 wichtigsten Antworten zur neuen Lage

Link zum Artikel

So lief Tag 1 nach Bekanntgabe der «ausserordentliche Lage» für die Schweiz

Link zum Artikel

Sechs neue Fälle im Kanton Zürich – so sieht's in deinem Kanton aus

Link zum Artikel

Der Mann, der es wagt, Trump zu widersprechen

Link zum Artikel

Ein Virus beendet Jonas Hillers Karriere: «Es gäbe noch viel schlimmere Szenarien»

Link zum Artikel
Alle Artikel anzeigen
DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com umgeleitet um die Zahlung abzuschliessen)

Nicht mehr anzeigen

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

31
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
31Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Darkside 18.06.2017 03:14
    Highlight Highlight Bin ich das nur oder könnte man das Problem schlicht damit lösen den Mail Absender anzuschauen? Wie schwer ist das?hUnglaublich dass diese Masche immer noch zu funktionieren scheint.
  • Grundi72 17.06.2017 08:18
    Highlight Highlight Was soll dieser Panik-Artikel? Müsst ihr solche Artikel nicht als Werbung deklarieren?
  • DocM 16.06.2017 21:51
    Highlight Highlight Ich habe die Paypal-, UBS-, Visa-, etc.-Malwarewellen schadlos und ohne Medienbericht überstanden. Hat Euch Nordkorea infiziert oder beginnt das Sommerloch?
    • X23 17.06.2017 00:04
      Highlight Highlight Schön, dass du das überstanden hast.

      Aber das breite Volk kann sich leider knapp ein Passwort merken. Ja, eines. Daher ist ein Hinweis sicherlich hilfreich.
  • SJ_California 16.06.2017 21:04
    Highlight Highlight Solche E-Mails verraten sich praktisch immer durch Schreibfehler und schlechtes Deutsch. Dank meiner leicht kritischen Grundhaltung habe ich noch nie so einen Anhang geöffnet.
    Familienmitgliedern und guten Freunden ist es aber schon passiert. Ich lege ihnen dann jeweils nahe, sie sollen doch bitte etwas kritischer sein in solchen Angelegenheiten. Das Leben kann man nämlich trotzdem noch geniessen! 😊
  • Siebenstein 16.06.2017 20:51
    Highlight Highlight Wer booking.com auch benutzt sollte eh merken, dass da was nicht stimmen kann.
    Meist kommen solche Mails auch noch über die falsche Adresse rein...wenn man mehrere Adressen nutzt selbstverständlich.
    • Filzstift 17.06.2017 06:39
      Highlight Highlight Jemand der noch nie Booking.com nutzte und heute tatsächlich dort erstmals was buchte könnte tatsächlich darauf reinfallen. Auch wenn das nur auf 1 von 100'000 zutrifft könnte das für den Angreifer rechnen.
    • Siebenstein 17.06.2017 12:56
      Highlight Highlight Das ist tatsächlich Mitinhalt meiner Aussage 😉
  • Kuunib 16.06.2017 19:42
    Highlight Highlight Also die Schweiz hat einen hohen Mac Anteil weil wir unter den Wenigen sind, welche ein solches Gerät vermögen. Danke Bankgeheimnis, Danke Napoleon für den Schweizer Franken.
    • MasterPain 17.06.2017 01:02
      Highlight Highlight Schnarch
  • derEchteElch 16.06.2017 19:13
    Highlight Highlight Für mich immer noch unverständlich, warum 99% aller User HTML-Emails zulassen und solche versenden. Das erste was ich bei meinen Einstellungen mache, ist, auf reine Text-E-Mails umzuschalten sowie bei HTML-Emails den autom. Download von externen Inhalten auszuschalten. Sowieso; den Absender-Namen (in dem Fall Booking.com) zu fälschen ist der älteste Trick, seit man bei den E-Mail Anbietern/Programmen einen Anzeigenamen (bei den Meisten Vorname Nachname) eingeben kann. Unglaublich dass der Trick immer noch zieht 🙄
    • Kuunib 16.06.2017 19:40
      Highlight Highlight Also wie stelle ich dass um??
    • derEchteElch 16.06.2017 20:38
      Highlight Highlight Mail-Host; Gmail, Bluewin, Hotmail/Outlook? Mail-Programm; Apple Mail, Thunderbird, Outlook?

      Google doch mal nach HTML E-Mail deaktivieren, wirst schnrll fündig, erwarte aber nicht, dass dann noch farbig blinkende Newsletter mit Bildern fehlerfrei dargestellt werden 😉
    • Suchlicht 16.06.2017 22:28
      Highlight Highlight Weil es schöner aussieht? Die meisten nicht-Nerds legen Wert auf das Aussehen und nicht auf die Technik, warum sonst gäbe es Emojis? :-) oder ;-) reicht auch und geht als plain Text überall durch und trotzdem mag der Benutzer oder die Benutzerin ein 😀 oder 😜 lieber.
    Weitere Antworten anzeigen
  • Cornholios 16.06.2017 19:06
    Highlight Highlight
    Das ging aber schnell.
    Kaum hier davon gelesen, schon kam eine solche E-Mail von "Booking.com".
  • fabsli 16.06.2017 18:58
    Highlight Highlight Wieso werden Hacker eigentlich immer als Personen mit Kapuzen dargestellt?
    • Oberon 16.06.2017 19:20
      Highlight Highlight Das sind Leute ohne Gesicht, aber ich denke auch das ein Koalabär nicht den gleichen Effekt hat, oder vielleicht doch? ;)
  • iNDone 16.06.2017 18:40
    Highlight Highlight Auf dem MacOS muss ich aber immer noch das Admin-Passwort eingeben um ein Programm zu installieren. Oder nicht?
    • wipix 16.06.2017 19:01
      Highlight Highlight Ja. Diese Maleware wird sich aber je nach Browser / Emailprogramm und deren Sicherheitseinstellungen selber einrichten!
      WICHTIG: Werden im Email Programm (MacMail/Outlook/Thunderbird) die Emails beim Anklicken automatisch mit ALLEN Bildern, Vorschau der Worddokumente und mit Einblick in ZIP Dateien/ PDF Vorschau ohne weitere Aufforderung geöffnet, besteht unmittelbare Gefahr!
      Dies sollte in den Sicherheitseinstellungen der jeweiligen Programme (ist normalerweise Standart!) wie Webbrowser (Safari/Chrome/Firefox/IE) und Emailprogrammen entsprechend eingestellt werden.
    • p4trick 16.06.2017 23:38
      Highlight Highlight Indone: auf dem Mac? Dachtest du Windows sei da anderst oder was??
    • iNDone 17.06.2017 09:13
      Highlight Highlight @wipix Danke für die Information. @p4trick Habe ehrlich gesagt keine Ahnung von Windows. Sorry.
  • Madison Pierce 16.06.2017 18:05
    Highlight Highlight Es ist eigentlich müssig, vor jeder "Angriffswelle" zu warnen. Da wird noch manche kommen und immer mit einer anderen Art von Mail.

    Dabei ist es doch einfach, sich zu schützen: Hirn einschalten vor dem Klicken.

    - Erwarte ich ein Mail von DHL? Nein, aber vielleicht kommt ja doch was. Weshalb steht denn nicht meine Adresse im Mail? => löschen
    - Habe ich bei Booking ein Hotelzimmer reserviert? => Nein, löschen.
    - Habe ich einen virtuellen Fax bei GMX? => Nein, löschen.

    Ich stelle erfreut fest, dass sich dieses Wissen langsam aber sicher durchsetzt.
    • Oberon 20.06.2017 01:13
      Highlight Highlight Ich dachte immer das ziel ist es so schnell und viele E-Mail wie möglich anzuklicken.
      Als Bonus jedes Fenster mit JA bestätigen das aufpoppt um noch mehr E-Mails zu bekommen.

      Aber vielleicht habe ich das jetzt einfach falsch verstanden.
  • Hercanic 16.06.2017 17:47
    Highlight Highlight "Nun werden automatisch verschiedenste Daten über den Computer des Opfers (...) übermittelt."

    -->(Webbrowser, Betriebssystem etc.)<--

    Das wird übrigens auch beim Besuch der Watson-Webseite gemacht bzw. über die hier "eingebauten" verschiedenen SiteAnalytics Services wie z.B. NET Metrix, Google Analytics aber auch durch "Features" wie Facebook Connect und Twitter Syndication usw.
    • The Destiny // Team Telegram 16.06.2017 18:56
      Highlight Highlight NoScrip lässt grüssen.

Das steckt hinter den merkwürdigen Post-SMS, die Tausende Schweizer seit Tagen erhalten

Kriminelle versenden im Namen der Post SMS, die über eine angebliche Zustellung informieren. Betrüger versuchen so auf Android-Geräten eine Spionage-App zu installieren oder an die Apple-ID von iPhone-Nutzern zu gelangen.

Tausende Schweizer haben in den letzten Tagen eine SMS erhalten, die angeblich von der Post kommt. Flüchtig betrachtet sieht sie wie eine typische Zustell-Benachrichtigung aus. In Tat und Wahrheit versuchen Kriminelle an die Apple-ID von iPhone-Nutzern zu gelangen, bzw. Android-Nutzer dazu zu verleiten, eine Spionage-App zu installieren. Gekaperte Handys versenden anschliessend automatisch und auf Kosten der Opfer Tausende von SMS an weitere Handynutzer.

Die Kantonspolizei Zürich und Swisscom …

Artikel lesen
Link zum Artikel