Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Image

Website offline: Bei DDoS-Angriffen werden Server mit automatisierten Computer-Anfragen überflutet. symbolbild: shutterstock

Neue Erpresserwelle: Schweizer Online-Shops droht ein Schwarzer Freitag

Der Bund bestätigt gegenüber watson, dass erneut Erpresserschreiben im Umlauf sind und es in wenigen Tagen wieder zu Server-Überlastungsangriffen kommen könnte.



Dem laut eigenen Angaben «erfolgreichsten Start-up der Schweiz» drohen geschäftsschädigende Zeiten. DeinDeal.ch ist ins Visier von Online-Erpressern geraten. Wie watson aus einer anonymen Quelle erfahren hat, sei bei den Betreibern des Schnäppchen-Portals ein Erpresserschreiben eingegangen.

Angeblich von einer kriminellen Gruppierung namens Armada Collective, die seit Ende 2015 mit Online-Erpressungen und Server-Überlastungsangriffen international für Schlagzeilen sorgt.

«Uns wird mit einem DDoS-Angriff am kommenden Freitag gedroht, ausser wir zahlen 20 Bitcoins.»

Hinweisgeber, anonym

20 Bitcoins, das entspricht aktuell gut 9000 Franken.

Mit seiner Vermutung, dass auch andere Schweizer Online-Shops betroffen sind, liegt der Hinweisgeber richtig. Auf Anfrage von watson bestätigt IT-Sicherheitsexperte Max Klaus vom Bund, wenn auch vorsichtig-zurückhaltend formuliert, dass tatsächlich Informationen zu einer drohenden neuen Angriffswelle vorliegen:

«Es gibt gewisse Hinweise, dass Erpresserschreiben im Umlauf sind und es in wenigen Tagen wieder zu DDoS-Angriffen kommen könnte.»

Max Klaus, MELANI

Solche DDoS-Angriffe dürften vielen watson-Lesern noch in schlechter Erinnerung sein: Mitte März waren bekannte Schweizer Online-Shops wie Digitec oder Microspot während Stunden oder gar Tagen nicht zu erreichen. Unbekannte legten am «Schwarzen Montag» mit Server-Bombardements auch die Webseiten von halbstaatlichen Institutionen lahm. Zu den Opfern gehörten die Post und die SBB.

Die Täter sind nicht bekannt (dazu weiter unten mehr).

Beim Bund heisst es, man dürfe keine Namen nennen

Max Klaus ist stellvertretender Leiter der Melde- und Analysestelle Informationssicherung MELANI und beschäftigt sich mit der Abwehr von Online-Gefahren.

Die Mitarbeiter seiner Fachstelle sammeln laufend Hinweise auf Attacken. Bei konkreten Bedrohungslagen warnt MELANI die Betreiber der so genannt kritischen Infrastrukturen – das sind grosse Schweizer Unternehmen wie die SBB, Post und viele mehr, die online und offline wichtige Dienstleitungen für die Bevölkerung erbringen.

Natürlich wollte watson von MELANI wissen, was von der aktuellen Bedrohung zu halten ist. Insbesondere interessiert die Frage, welche Unternehmen dieses Mal erpresst werden sollen. Doch die IT-Sicherheitsexperten des Bundes dürfen keine Details verraten, wie Max Klaus in einer schriftlichen Stellungnahme erklärt: 

«Wir haben mit allen uns angeschlossenen Unternehmen ein NDA unterzeichnet und dürfen uns weder zu potenziellen Opfern noch möglichen Tätern äussern.»

Max Klaus, MELANI

NDA. Das Kürzel steht für Non Disclosure Agreement. Es bezeichnet eine schriftliche Abmachung zwischen Vertragspartnern, wonach bestimmte, aus Sicht der Beteiligten heikle Informationen nicht an Journalisten weitergegeben oder veröffentlicht werden dürfen.

Hinweise willkommen!

Ist bei deinem Unternehmen ein Erpresserschreiben eingegangen oder hast du Kenntnis von solchen (aktuellen) Vorkommnissen? Der watson-Redaktor nimmt gerne Hinweise entgegen. Auf Wunsch anonym und selbstverständlich auch verschlüsselt. Der öffentliche Schlüssel zu meiner redaktionellen E-Mail-Adresse (Impressum) ist jederzeit über den PGP-Schlüsselserver abrufbar. (dsc)

DeinDeal.ch gehört dem Unterhaltungskonzern Ringier, dessen Portfolio das Boulevardblatt «Blick» und weitere Medien beinhaltet. Auf Anfrage heisst es vom Mediensprecher von Deindeal.ch: «Leider können wir Sie bei Ihrer Recherche nicht unterstützen. Als E-Commerce-Plattform ist es einer unserer Grundsätze, zu Fragen betreffend unserer eigenen IT-Sicherheit generell keine Stellung zu nehmen.»

Nachfolgend geben wir die weiteren Antworten von Max Klaus auf die schriftliche Anfrage des watson-Redaktors im Wortlaut wieder:

Was raten Sie Empfängern von Erpresserschreiben?
Grundsätzlich sollte man vorbereitet sein, bevor Erpresserschreiben eingehen. Die grossen Schweizer Provider bieten derartige Schutzmassnahmen an.
Keinesfalls sollte man der Forderung nachkommen und das Lösegeld bezahlen. Einerseits unterstützt man die Täterschaft, die das erpresste Geld in noch bessere Infrastrukturen investieren kann. Andererseits macht man sich angreifbar, indem man Zahlungsbereitschaft signalisiert, was Trittbrettfahrer auf den Plan rufen könnte. Drittens gibt es keine Garantie, dass die Angriffe nach erfolgter Zahlung aufhören.

Sind grosse Schweizer E-Commerce-Unternehmen mittlerweile ausreichend geschützt?
Wir kennen die Infrastruktur der Unternehmen nicht im Detail. Grundsätzlich kann man sagen, dass es für grosse Unternehmen eher einfacher ist, ihre Infrastruktur zu schützen. Im Gegensatz zu KMU verfügen grosse Unternehmen in der Regel über die notwendigen personellen, finanziellen, technischen und organisatorischen Ressourcen, um sich gegen solche Angriffe zu wappnen. Im KMU-Bereich ist das oft nicht der Fall.

Wer steckt hinter Armada Collective?

Das deutsche IT-Sicherheitsunternehmen Link11 kam im vergangenen Dezember zu folgender Einschätzung:

«Armada Collective agiert bei den DDoS-Erpressungen in weiten Teilen professionell. Der Einsatz von Warnattacken folgt bekannten Mustern und hat grosses Droh-Potenzial für die attackierten Unternehmen. Um die Arbeit effizient zu halten, vollstreckt Armada Collective die angekündigten Attacken nur gegen unzureichend oder ganz ungeschützte Firmen. Unternehmen, die durch einen leistungsstarken DDoS-Schutz abgesichert sind, wurden offensichtlich bisher nicht angegriffen. Dieses Vorgehen der Erpresser zeigt, wie wirksam die Installation einer geeigneten DDoS-Schutzlösung für die Absicherung des Geschäftsbetriebs ist.»

quelle: link11 armada collective report

Max Klaus schreibt, dass er diese Einschätzung teile. «Uns sind Unternehmen bekannt, die kurze Zeit unter DDoS standen. Die Täterschaft merkte jedoch, dass sich der Aufwand für einen erfolgreichen Angriff nicht lohnt und hat sich neue Opfer gesucht.»

Allerdings gibt es bei Online-Erpressungen ein gravierendes grundsätzliches Problem: Armada Collective ist bei weitem nicht die einzige Erpresserbande, die Unternehmen mit DDoS-Angriffen unter Druck setzt. Das kriminelle Geschäftsmodell ist am Boomen.

Ebenfalls problematisch: Wenn Drohungen publik werden, treten Nachahmer und Trittbrettfahrer auf den Plan.

Das IT-Newsportal inside-it.ch berichtete Anfang April darüber, dass es «Eifersüchteleien unter (vermeintlichen) DDoS-Gruppen» gebe.

Schliesslich gibt es auch Gruppierungen, die nicht aus finanziellen Gründen fremde Webseiten aus dem Internet «bomben». Zu den bekanntesten Vertretern gehört das Anonymous-Kollektiv.

Update: Laut diesem aktuellen Bericht wird das Gefahrenpotenzial von Armada Collective massiv überschätzt. Dank des schlimmen Rufes würden viele bedrohte Unternehmen einfach bezahlen. Dabei gebe es seit längerer Zeit keine Hinweise auf durchgeführte Attacken.

«Leere Drohungen»

Image

Die US-Firma Cloudflare behauptet, die Unbekannten, die sich hinter dem Pseudonym Armada Collective verstecken, machten nicht Ernst. Im Gegensatz zu anderen Gruppierungen. screenshot: cloudflare.com

Wie hängen die neuen Drohungen mit den Angriffen vom März zusammen?

Das ist nicht geklärt.

Zu den DDoS-Attacken gegen SBB, Digitec etc. von Mitte März: Welche neuen Erkenntnisse liegen Ihnen zu diesen Angriffen vor?
Max Klaus: Da zur Zeit polizeiliche Ermittlungen laufen, dürfen wir uns hierzu nicht äussern.

Trifft es zu, dass mehrere, von einander unabhängige Botnets an den Angriffen beteiligt waren?
Nach wie vor ist nicht klar, ob für diese Angriffe ein und dieselbe Gruppierung verantwortlich war. Es gibt jedoch Anzeichen dafür, dass verschiedene Gruppierungen tätig waren. Dies würde auch nahe legen, dass verschiedene Botnets zum Einsatz gekommen sind. Gesicherte Erkenntnisse gibt es dafür aber noch nicht.

Was unternimmt die Polizei?

Die Ermittlungsbehörden – in der Schweiz sind neben der Bundespolizei Fedpol in erster Linie die Kantonspolizeien zuständig – mühen sich ab und sind häufig einen oder zwei Schritte hinter den Kriminellen. Dazu Max Klaus: «Die Täterschaft weiss, wie man Spuren verschleiert, was die Ermittlungen natürlich erschwert. Ausserdem erstatten längst nicht alle betroffenen Unternehmen eine Strafanzeige, weshalb in vielen Fällen gar keine Ermittlungen aufgenommen werden.»

Kommt hinzu, dass DDoS-Attacken auch von Computer-Laien gegen Bezahlung (anonym) in Auftrag gegeben werden können. Kriminelle preisen ihre Dienste im Internet mehr oder weniger offen an.

Die Vorgeschichte: DDoS-Attacken auf Schweizer Unternehmen

DDoS-Attacken auf Schweizer Online-Shops und E-Mail-Konten-Hack hängen zusammen

Link to Article

DDoS-Attacken in der Schweiz: «Es meinen immer noch viele, sie seien zu unbedeutend, um Ziel eines Hacker-Angriffs zu werden»

Link to Article

Digitec «im Ausnahmezustand»: Online-Shops der Migros-Tochter offline – auch Filialen betroffen

Link to Article

Grossangriff auf SBB, Digitec, Interdiscount und Co: Steckt diese Hacker-Gruppe dahinter?

Link to Article

Hier kannst du zusehen, wie die Welt jetzt gerade gehackt wird

Link to Article
Alle Artikel anzeigen

Das könnte dich auch interessieren:

Per Rohrpost auf den Friedhof – wie die Wiener ihr Leichenproblem «begraben» wollten

Link to Article

Solidarität mit «Gilets Jaunes»: Wenn Linke das Wutbürgertum «umarmen»

Link to Article

Brexit – diese unbarmherzigen Cartoons bringen das Chaos auf den Punkt

Link to Article

Vergiss Partys, Speed-Dating und Tinder: Bei Glühwein lernt man sich kennen!

Link to Article

Wie Bush senior sich den Broccoli vom Halse hielt

Link to Article

Das tun die Kantone im Kampf gegen den Terrorismus

Link to Article

Fahrplanwechsel und 7 weitere Dinge, die nur uns Schweizer ernsthaft beschäftigen

Link to Article

Ein Bild, viel zu schade fürs Archiv: So reiste die Fussball-Nati vor über 20 Jahren

Link to Article

Mit diesem einfachen Trick kannst du günstiger auf ausländischen Webseiten einkaufen

Link to Article

Danach suchen Schweizer und Schweizerinnen auf Pornhub am meisten

Link to Article

In diesem Land wohnt nur ein einziger Schweizer. Wir haben mit ihm gesprochen

Link to Article

«14 Uhr: Claras Haut ist rot»: Kitas informieren Eltern neu per Liveticker über ihre Kids

Link to Article

Selbst Trump spricht nun von einem Impeachment

Link to Article

«Hi-Tech-Roboter» in russischer Fernsehshow entpuppt sich als verkleideter Mensch

Link to Article

Tumblrs neuer Pornofilter ist ein riesiger Fail – wie diese 19 Tweets beweisen

Link to Article
Alle Artikel anzeigen

Abonniere unseren Newsletter

35
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
35Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Cerberus 26.04.2016 17:52
    Highlight Highlight Zum Thema an sich kann ich nicht viel beitragen, da ich nix davon verstehe. Eine gewisse Schadenfreude bei einigen
    Unternehmen die davon betroffen sind, waren oder es noch werden, kann ich allerdings nicht verbergen.

    Ich sehe es als kleine Retourkutsche an, für all die nervigen Telefonanrufe von Krankenkassenvermittler, Zeitungsaboverkäufern, Weinhandlungen, Schlüsselfunddiensten u.v.a. die mich ständig mit ihren Telefonanrufen nerven, trotz Sternli-Eintrag im Telefonbuch.
    • Charlie Brown 27.04.2016 05:45
      Highlight Highlight Ja. Du kannst tatsächlich nicht viel dazu beitragen. Das hast du eindrücklich bewiesen.

      Oder kannst du den Zusammenhang zwischen outbound-callcenter und online-shop noch erläutern?
    • Fumo 27.04.2016 08:46
      Highlight Highlight "Oder kannst du den Zusammenhang zwischen outbound-callcenter und online-shop noch erläutern?"

      Manche Online Shops verkaufen die Kundendaten ;)
    • Charlie Brown 27.04.2016 09:45
      Highlight Highlight @Fumo: Ja, wenn man lange genug sucht, dann findet man einen Zusammenhang ;-)

      Ob die betroffenen Online-Shops wirklich Kundendaten verkaufen? Das scheint bei der Schadenfreude egal zu sein. Und ob der User mit der Zustimmung zu den AGB dem Shop allenfalls sogar die Berechtigung zum Adresshandel gegeben hat, ist gerade noch einmal egal.
    Weitere Antworten anzeigen
  • C0BR4.cH 26.04.2016 16:16
    Highlight Highlight Das scheinen mir die selben Copycats zu sein, wie beim letzten Mal!

    Die Korrespondenz in diesem Beitrag [1], ist eine sehr ähnliche wie am 14.03.2016 [2].
    Man achte nur auf den "Tbps per second" Fehler in beiden Dokumenten.

    [1] https://thehackernews.com/2016/04/ddos-extortionist-ransom.html

    [2] https://twitter.com/C0BR4cH/status/709414426563244033
  • Tinu101 26.04.2016 15:05
    Highlight Highlight Es ist wohl richtig, dass die meisten Provider einen DDoS Schutz bieten. Nur zeigen die Angriffe vom März, dass dieser nicht viel taugt. Die meisten der betroffen hatten einen solchen Schutz und waren trotzdem offline. Die Provider haben nur sehr begrenzte Bandbreiten dafür und verwerfen den Verkehr einfach, wenn dieser ein bestimmtes Limit erreicht. Und das höchste Ziel des Providers ist immer der Schutz des eigenen Backbone.
    Da hilft nur ein Schutz bestehend aus on-premise Komponenten und einem Cloud Hybrid Ansatz. Ausserhalb des Providers...
    • Server Sven 26.04.2016 16:42
      Highlight Highlight Wie genau soll da "on-premise" mit einem "Cloud Hybrid Ansatz" helfen?
    • Server Sven 26.04.2016 21:44
      Highlight Highlight Das sollte man sowieso so machen...Wie man bei Proton Mail gesehen hat, war es nur mit einer Appliance (von Radware) nicht getan. Interessant auch die Kosten https://protonmail.com/blog/ddos-protection-guide/
  • Luzz 26.04.2016 15:02
    Highlight Highlight Die Kommentarschreiber heute scheinen ja wieder mal alle vom Fach zu sein... ;)
  • Madison Pierce 26.04.2016 14:44
    Highlight Highlight Ich finde es falsch und sehe den Sinn nicht, hier bedrohte Unternehmen zu nennen. Das setzt diese Firmen noch mehr unter Druck und unterstützt somit indirekt die Erpresser.
    • Scaros_2 26.04.2016 14:54
      Highlight Highlight Vor allem könnte das Trittbrettfahrer sowie Personen anziehen welche daraus ein nutezn ziehen möchten, denn während einer DDOS lässt sich sicher auch ein Hack vollziehen. Kenne mich nicht aus aber kann sicherlich gefährlich werden.
    • bokl 26.04.2016 15:40
      Highlight Highlight @Scaros_2
      Mit einer DDoS-Attacke bezweckt man, dass der Server nicht mehr erreichbar ist. Und was nicht erreichbar ist, kann auch nicht gehackt werden ...
    • Scaros_2 26.04.2016 16:53
      Highlight Highlight Du missverstehst - erst den hack dann die DDos als verschleierung
  • MacB 26.04.2016 14:30
    Highlight Highlight Ich wünsche weiterhin allen viel Spass, die die pure Digitalisierung und alle Hinterlegung der Daten in Onlinenetzen vorantreiben möchten.

    Meine Krankenkassen-Daten, meine Gesundheitsakten, mein e-banking, mein online-Postkonto: ALLES ist sicher, jaja... Man sieht es immer wieder: Jedes System ist knackbar.

    Ich will mich der Zukunft nicht verschliessen, eigentlich wäre die Digitalisierung eine gute Sache. Aber es ist nach wie vor zu einfach für Profis, die Systeme zu hacken und das wird sich wohl kaum ändern.
    • @schurt3r 26.04.2016 14:34
      Highlight Highlight Dieser Kommentar zielt am Thema vorbei. Es geht im konkreten Fall nicht um Hackerangriffe, bei denen in fremde Computer-Systeme eingedrungen wird, um Daten zu stehlen. Die Angreifer überlasten «nur» Server, so dass Webseiten vorübergehend nicht erreichbar sind...
    • Scaros_2 26.04.2016 14:49
      Highlight Highlight Purer Panik-Kommentar.
    • MacB 26.04.2016 15:53
      Highlight Highlight Ich finde nicht, dass es am Thema vorbeigeht. Der Titel ist "Neue Erpresserwelle...". Letztlich hängt das doch sehr stark mit der Digitalisierung von Daten und dem logisch folgenden Diebstahl zusammen.

      Im konkreten Fall ist es zwar "nur" eine Serverüberlastung aber es geht doch immer um ein und dasselbe: Digitale Daten (sei es in Form eines Onlineshops, von Akten, Kreditkartendaten, etc.) werden benutzt, um sich auf kriminelle Art und Weise zu bereichern.
    Weitere Antworten anzeigen
  • cassio77 26.04.2016 14:21
    Highlight Highlight Bitcoin wird wohl die Geschäftspolitik überdenken müssen...
    • @schurt3r 26.04.2016 14:39
      Highlight Highlight Dann muss «Bargeld» auch über die Bücher ;-)
    • @schurt3r 26.04.2016 15:31
      Highlight Highlight Gemach, gemach!
      Mir ging es darum, dass man weder Bitcoin noch Bargeld verteufeln sollte, nur weil damit (auch) Erlöse aus kriminellen Tätigkeiten transferiert werden...
    • Blue_Toastbrot 26.04.2016 17:59
      Highlight Highlight Man kann auch Bargeld per Briefpost verschicken? Ist genau so anonym....
    Weitere Antworten anzeigen

Kriminelle versenden gefälschte Swisscom-Rechnungen per E-Mail – so erkennst du den Betrug

Eine neue Phishing-Welle grassiert seit heute Mittag in der Schweiz. Die Betrüger fälschen Swisscom-E-Mails, um an Passwörter, Kreditkartendaten etc. ihrer Opfer zu gelangen und somit das Bankkonto leerzuräumen. Das Computer Emergency Response Team des Bundes schreibt auf Twitter:

Der E-Banking-Trojaner Gozi war erstmals 2007 entdeckt worden. Er wird von Internet-Kriminellen immer wieder verändert und per Fake-Mails oder manipulierte Webseiten neu in Umlauf gebracht. Wer in die Falle tappt, …

Artikel lesen
Link to Article