DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Neue Malware-Welle erreicht die Schweiz – so wollen dich die Hacker übers Ohr hauen

Der Bund warnt: Kriminelle versenden aktuell gefälschte E-Mails im Namen der SBB, die Computer-Nutzer mit dem E-Banking-Trojaner Retefe infizieren. So schützt du dich.
30.10.2018, 12:19

Der Bund warnt Schweizer Computer-Nutzer vor gefälschten E-Mails, die im Namen der SBB verschickt werden. Das so genannte Computer Emergency Response Team des Bundes schreibt auf Twitter:

«Vorsicht! Internetkriminelle versenden momentan wieder gefälschte E-Mails im Namen der SBB mit dem Ziel, Computer mit einem E-Banking-Trojaner namens Retefe zu infizieren. E-Mail nicht öffnen, sondern an reports@antiphishing.ch melden!»

Retefe ist ein bekannter Trojaner, der von Kriminellen seit Jahren gegen Windows-Nutzer eingesetzt wird. Seit 2017 wird Retefe auch gezielt gegen Mac-Nutzer eingesetzt. Zu den Hauptzielen des Trojaners zählen E-Banking-Nutzer in der Schweiz.

Diese Fake-E-Mail im Postfach sollte man löschen oder an reports@antiphishing.ch melden.

Die E-Mail gibt vor, dass die angeblich bestellten Tickets im Mail-Anhang seien. 
Die E-Mail gibt vor, dass die angeblich bestellten Tickets im Mail-Anhang seien. 

Die aktuelle Nachricht der Betrüger lautet:

Die Unbekannten setzen darauf, dass ein paar wenige der Angeschriebenen tatsächlich gerade Tickets bei den SBB bestellt haben und daher kaum Verdacht schöpfen werden. Im Anhang der gefälschten E-Mail befindet sich eine Word-Datei. Wer die Datei öffnet, installiert den E-Banking-Trojaner Retefe. Dieser hat es beispielsweise auf die Passwörter der Opfer abgesehen.

Die Betrüger senden den Trojaner vermutlich wieder an Tausende oder Hunderttausende Schweizer. Wenn nur ein, zwei Personen darauf hereinfallen, kann sich der Angriff für die Kriminellen bereits gelohnt haben.

Der E-Banking-Trojaner wird erst beim Öffnen des Mail-Anhangs (oft eine Word- oder Zip-Datei) aus dem Internet heruntergeladen.

Microsoft Word schützt den Nutzer eigentlich vor Malware. Die Betrüger versuchen ihre Opfer aber dazu zu verleiten, den Schutz zu deaktivieren, damit sich Retefe installieren kann.
Microsoft Word schützt den Nutzer eigentlich vor Malware. Die Betrüger versuchen ihre Opfer aber dazu zu verleiten, den Schutz zu deaktivieren, damit sich Retefe installieren kann.

Ist der Malware-Angriff noch aktiv? Diese Webseite zeigt es

Der E-Banking-Trojaner wird beim Öffnen des Mail-Anhangs aus dem Internet heruntergeladen. Wichtig ist daher, dass diese infizierten Webseiten von den Internet-Providern schnell gesperrt werden.

Die Stiftung Switch, die für den Betrieb und die Sicherheit der Schweizer Internetadressen verantwortlich ist, bietet einen Dienst an, der die Infektion von Retefe verhindern soll. «In den meisten Fällen wird der Schadcode vom Internet nachgeladen. Unser DNS-Firewall-Service blockiert diese Zugriffe, da wir diese Kampagnen automatisch detektieren», sagte Daniel Stirnimann, Security-Experte bei Switch, bei einer früheren Angriffswelle auf Anfrage von watson.

Auf der Webseite https://urlhaus.abuse.ch/ sieht man, von welchen Webseiten Retefe beim Öffnen des Mail-Anhangs heruntergeladen wird und ob die infizierten Webseiten noch aktiv sind, sprich ob der Angriff noch gefährlich ist.

Am Dienstagmorgen war die beim aktuellen Angriff genutzte Webseite noch online. Für die User besteht also aktuell noch Gefahr.
Am Dienstagmorgen war die beim aktuellen Angriff genutzte Webseite noch online. Für die User besteht also aktuell noch Gefahr.

Erkennen Virenscanner den Trojaner?

Die Schadsoftware Retefe wird von der so genannten ReTeFe-Gang gezielt gegen Windows-, Mac- und Android-Nutzer in der Schweiz eingesetzt. Die Kriminellen ändern den Trojaner jeweils ab, damit er von Virenscannern nicht gleich erkannt wird. Neue Retefe-Versionen werden von Virenscannern und Betriebssystemen also in den ersten Stunden der Malware-Verbreitung oft nicht als Malware erkannt, da Retefe kaum von gutartiger Software unterschieden werden kann.

Stark vereinfacht gesagt, verhält sich Retefe wie normale Programme, die beispielsweise von IT-Administratoren genutzt werden. Die Schadsoftware ist quasi eine Umkonfiguration eines Computersystems, was per se nicht bösartig ist. Die Antivirenhersteller können daher meist erst nach einer neuen Angriffswelle auf die neue Retefe-Version reagieren.

Besonders versierte Angreifer hebeln auch die Sicherheitsmassnahmen von Windows und MacOS aus, indem sie gestohlene Entwicklerzertifikate nutzen, um ihre Schadsoftware als sichere Software zu signieren. Weder das Betriebssystem noch der Virenscanner erkennt den Trojaner in diesem Fall als Schadsoftware.

So können sich Computer-Nutzer schützen

Der beste Schutz ist, das Windows- oder Mac-Betriebssystem aktuell zu halten, sprich neue Updates sofort zu installieren.

Windows 10 hat mit «Windows Defender» einen eigenen Virenscanner, der Bedrohungen durch Trojaner (zumindest nach einer gewissen Zeit) abwehren kann.

Animiertes GIFGIF abspielen
«Windows Defender» lässt sich in den Windows-10-Einstellungen unter «Update und Sicherheit» aktivieren. Das GIF zeigt, wie dies geht.

Die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes empfiehlt die folgenden Sicherheitsmassnahmen allen Computernutzenden – unabhängig davon, welches Betriebssystem sie benutzen:

  • «Stellen Sie sicher, dass Ihr E-Mail-Programm oder Webdienst das automatische Herunterladen von Bildern oder anderen Dateien, welche in einer E-Mail vorhanden sind, blockt. Oft ist dieser Schutz schon voreingestellt.
  • Laden Sie keine Bilder in einer E-Mail-Nachricht herunter, wenn Sie nicht vollständig sicher sind, woher das Bild stammt.
  • Misstrauen Sie E-Mails, die Sie unaufgefordert erhalten: Nicht nur bei E-Mails von unbekannten Personen sollte man kritisch sein, sondern auch bei bekannten Absendern von Firmen oder Schweizer Behörden. Es gilt Vorsicht walten zu lassen. Besonders bekannte und vertrauenswürdige Firmen (Apple, Microsoft, Post, Swisscom, Digitec, Kantonspolizei, Steueramt etc.) werden gerne als gefälschte Absenderadressen missbraucht.
  • Lassen Sie sich nicht unter Druck setzen. Nehmen Sie sich genügend Zeit für Abklärungen und fragen Sie im Zweifelsfall bei der Firma nach. Benutzen Sie dabei nicht die allenfalls in der E-Mail angegebene Telefonnummer, sondern suchen Sie die Telefonnummer beispielsweise auf der bekannten Firmenwebseite oder dem Onlinetelefonbuch heraus.
  • In seltenen Fällen kann es vorkommen, dass das Opfer zufälligerweise tatsächlich eine E-Mail von der Firma erwartet. Aber auch in diesen Fällen gibt es zahlreiche Hinweise, mit welchen man eine betrügerische E-Mail von einer echten E-Mail unterscheiden kann. Auch hier gilt: Nehmen Sie sich Zeit, die Plausibilität zu überprüfen.
  • Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten (z. B. Word-, Excel- oder Power-Point-Anhänge mit Makros).»

(oli)

Auch ganz andere Viren nerven: Diese Viren sind Schuld an Gliederschmerzen und Fieber

Video: srf
DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Gefälschte Covid-Zertifikate: Jetzt ermitteln die Zürcher Polizei und das deutsche BKA

Wer über Telegram und Co. gefälschte Impfnachweise verkauft, könnte bald Besuch von der Polizei kriegen.

Die Recherchen vom deutschen «Handelsblatt» und watson haben vergangene Woche hohe Wellen geschlagen: Der deutsche Apothekerverband musste mehrere Tage lang sein Covid-Zertifikats-System herunterfahren. Dies, nachdem bekannt wurde, dass damit gefälschte Impfnachweise generiert und von Kriminellen auf den Schwarzmarkt gebracht wurden.

Wie sieht die Situation in der Schweiz aus? Ein Blick in die anonymen Chatkanäle zeigt: Auch hierzulande werben dubiose Anbieterinnen und Anbieter für …

Artikel lesen
Link zum Artikel