Eine neue Phishing-Welle grassiert seit heute Mittag in der Schweiz. Die Betrüger fälschen Swisscom-E-Mails, um an Passwörter, Kreditkartendaten etc. ihrer Opfer zu gelangen und somit das Bankkonto leerzuräumen. Das Computer Emergency Response Team des Bundes schreibt auf Twitter:
Der E-Banking-Trojaner Gozi war erstmals 2007 entdeckt worden. Er wird von Internet-Kriminellen immer wieder verändert und per Fake-Mails oder manipulierte Webseiten neu in Umlauf gebracht. Wer in die Falle tappt, fängt sich Malware ein, die Nutzerdaten wie Passwörter an die Kriminellen übermittelt. Gozi ist auch in der Lage, vom Nutzer unbemerkt Transaktionen zu tätigen. Die Angreifer leiten die E-Banking-Anmeldung hierzu auf eine kopierte E-Banking-Website um. Der E-Banking-Nutzer gibt also sein Passwort auf einer Website ein, die wie die echte Banken-Website aussieht, aber von den Angreifern betrieben wird.
In den letzten Jahren haben die Angreifer E-Banking-Trojaner wie Gozi und Retefe weiterentwickelt und ihre Methoden immer wieder variiert.
Allgemein spielt den Betrügern bei Phishing-Mails immer mehr in die Hände, dass viele Schweizer inzwischen gewohnt sind, ihre Rechnungen per E-Mail zu erhalten, und den Betrag natürlich überprüfen wollen, sprich ohne Verdacht auf den gewohnten Button «Rechnung einsehen» klicken. Hinter dem Link verbirgt sich im aktuellen Fall eine gefährliche ZIP-Datei.
Solche Betrugsversuche sind oft – aber nicht immer – anhand der gefälschten E-Mail-Adresse ersichtlich. Wer mit der Maus über den «Rechnung einsehen»-Button fährt, erkennt den Phishing-Versuch ebenfalls. Der betrügerische Link wird im Browser am unteren Bildschirmrand angezeigt. In E-Mail-Apps auf Smartphones sind gefälschte E-Mail-Adressen und Links oft nicht so einfach zu erkennen, da die Apps die eigentliche Adresse hinter einem Link verbergen.
Um Phishing zu bekämpfen, versenden Swisscom, UPC und Co. die E-Rechnungen mit einer elektronischen Signatur (E-Certificate). Die Signatur wird wie eine digitale Unterschrift verwendet. Das heisst, dass die Absenderin des E-Mails wirklich die jeweilige Telekomfirma ist. Wie man erkennt, ob die E-Mail tatsächlich eine elektronische Signatur hat, erklärt Swisscom hier.
Da Swisscom seit Mittag Kenntnis von der Attacke hat, hat sie einige der infizierten Webseiten, von welchen der Trojaner heruntergeladen wird, inzwischen gesperrt. Eine definitive Entwarnung steht aber noch aus. Virenscanner erkennen neue Versionen von Trojanern meist erst nach einiger Zeit.
Vielen Dank für die vielen Meldungen bezüglich der Fake-Swisscom-Rechnungen #phishing Wir haben mehrere Domains gesperrt. Meldungen der eingebetteten URLs sind für uns wichtig.
— Swisscom CSIRT (@swisscom_csirt) November 28, 2018
Wie erkenne ich echte Rechnungsmails von Swisscom? Infos: https://t.co/N5y6Sa0OcD
