Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Die Malware-Welle hat die Schweiz erreicht: So wollen dich die Hacker übers Ohr hauen

Gestern warnte der Bund vor Schadsoftware-Wellen gegen Mac- und Windows-Nutzer. Kein Tag zu früh, wie sich heute zeigt: Kriminelle versenden nun gefälschte E-Mails im Namen von Booking.com, die Windows und Mac mit dem E-Banking-Trojaner Retefe infizieren.



Der Bund warnt vor gefälschten E-Mails, die heute im Namen des populären Reiseportals Booking.com verschickt werden. 

Wird der Anhang Buchung.zip (Mac) beziehungsweise Bestellung.docx (Windows) geöffnet, versucht das Schadprogramm, den E-Banking-Trojaner Retefe zu installieren.

Die Kriminellen greifen Mac- und Windows-Nutzer gezielt mit unterschiedlichen Versionen des E-Banking-Trojaners Retefe an.

So verläuft der Angriff

Der Retefe-Trojaner wird aktuell über E-Mails verbreitet. Denkbar ist auch, dass Spionage- und Verschlüsselungs-Trojaner künftig beispielsweise vermehrt über präparierte iMessage-Nachrichten auf den Mac gelangen. Die Angreifer werden ihre Taktik spätestens dann ändern, wenn die Nutzer auf Angriffe über E-Mails sensibilisiert sind.

Aktuell versenden die Angreifer die folgende E-Mail in makellosem Deutsch: «Sie haben das Zimmer für 2 Personen bestellt und bezahlt. Die Buchungs- und Zahlungsbestätigung sind in der Anlage zu finden.»

Die E-Mail trägt den Absender «Booking.com» und den Betreff «Hotelbestellung #05284-PU661416 von 16/06/2017». Schaut man sich die Adresse genauer an, wird die Täuschung offensichtlich: Hinter dem Absender Booking.com verbirgt sich die Fake-Adresse info@stroybat.ru.

Bild

Mac-Nutzer erhalten einen präparierten Anhang mit der Datei Buchung.zip. Bei Windows-Nutzern heisst der infizierte Anhang für den E-Banking-Trojaner Retefe Bestellung.docx. screenshot: GovCERT.ch

Das Problem: Bei vielen E-Mail-Programmen oder Web-Diensten wie Gmail wird die eigentliche E-Mail-Adresse erst sichtbar, wenn man mit der Maus über den Absender fährt oder die E-Mail bereits geöffnet hat.

Als Absender werden immer wieder andere bekannte Firmen wie Zalando, Swisscom, Digitec oder nun Booking missbraucht. Manche E-Mails tarnen sich auch als Nachrichten von Behörden wie der Polizei oder eines Steueramtes. Sie verlocken den Empfänger zum Öffnen der Nachricht, indem beispielsweise von einer Gerichtsvorladung oder einer Steuerrückzahlung die Rede ist.

Die Schadsoftware Retefe wurde bislang gegen das Windows-Betriebssystem eingesetzt – insbesondere auch gegen Schweizer E-Banking-Nutzer. Seit einiger Zeit existiert eine Mac-Version. Da die Schweiz im internationalen Vergleich einen besonders hohen Mac-Anteil hat, überrascht es wenig, dass die Angreifer nun gezielt Schweizer E-Banking-Nutzer mit Mac-Computern im Visier haben.

Wie gestern berichtet, entwickelt sich Schadsoftware gegen Mac-Nutzer zum lukrativen Geschäft. Aktuell wird etwa der Spionage-Trojaner MacSpy und der Verschlüsselungs-Trojaner MacRansom auf dem Schwarzmarkt angeboten.

Besonders versierte Angreifer hebeln die Sicherheitsmassnahmen von Windows und MacOS aus, indem sie gestohlene Entwicklerzertifikate nutzen, um ihre Schadsoftware als sichere Software zu signieren. Weder das Betriebssystem noch der Virenscanner erkennt den Trojaner in diesem Fall als Schadsoftware.

Warum wissen die Angreifer, ob ich einen Windows-PC oder Mac habe?

Die Kriminellen versuchen zuerst – wie bereits in diesem Artikel erklärt wurde – herauszufinden, welches Betriebssystem und welche Software ihre potenziellen Opfer installiert haben. Hierzu senden sie zunächst eine E-Mail mit einem sogenannten Tracking-Pixel. Das ist ein 1 mal 1 Pixel grosses Bild, das für den Nutzer unsichtbar ist.

Wenn dieses Bild heruntergeladen wird (was abhängig von der E-Mail-Konfiguration automatisch geschehen kann), wird eine Verbindung mit dem Server der Angreifer aufgebaut, auf dem das Bild abgespeichert ist. Nun werden automatisch verschiedenste Daten über den Computer des Opfers (Mail-Programm, Webbrowser, Betriebssystem etc.) an die Angreifer übermittelt.

In einem zweiten Schritt senden sie eine präparierte E-Mail, die auf das entsprechende Betriebssystem – Windows oder Mac – zugeschnitten ist.

Bild

Die erste E-Mail versucht (automatisch) zu tracken, welches Mail-Programm, welchen Webbrowser und welches Betriebssystem das Opfer nutzt. Die zweite E-Mail versucht einen E-Banking-Trojaner (z.B. Retefe) zu installieren, der gezielt auf Windows- oder Mac zugeschnitten ist.

Die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes empfiehlt daher diese Sicherheitsmassnahmen – unabhängig davon, welches Betriebssystem genutzt wird.

(oli)

Die grösste Gaming-Show des Jahres in Bildern: Ein Rundgang durch die E3

Das könnte dich auch interessieren:

So erklärt das OK der Hockey-WM in der Schweiz die Ähnlichkeit zum Tim-Hortons-Spot

Link zum Artikel

Röstigraben im Bundeshaus: «Sobald ich auf Deutsch wechsle, sinkt der Lärm um 10 Dezibel»

Link zum Artikel

Die amerikanische Agentin, die Frankreichs Résistance aufbaute

Link zum Artikel

CVP fährt grosse Negativ-Kampagne gegen andere Parteien – die Reaktionen sind heftig

Link zum Artikel

Wie gut kennst du dich in der Schweiz aus? Diese 11 Rätsel zeigen es dir

Link zum Artikel

Alles, was du über die neuen iPhones und den «Netflix-Killer» von Apple wissen musst

Link zum Artikel

«Informiert euch!»: Greta liest den Amerikanern bei Trevor Noah die Leviten

Link zum Artikel

So schneiden die Politiker im Franz-Test ab – wärst du besser?

Link zum Artikel

Wo du in dieser Saison Champions League und Europa League sehen kannst

Link zum Artikel

Eine Untergrund-Industrie plündert Banking-Apps wie Revolut – so gehen die Betrüger vor

Link zum Artikel

YB droht Bickel mit Gericht, nachdem er als Sportchef 40 Mio. verlochte

Link zum Artikel

15 Bilder, die zeigen, wie wunderschön und gleichzeitig brutal die Natur ist

Link zum Artikel

«In der Schweiz gibt es zu viel Old Money und zu wenig Smart Money»

Link zum Artikel

Der Kampf einer indonesischen Insel gegen den Plastik

Link zum Artikel

Die Geschichte von «Ausbrecherkönig» Walter Stürm und seinem traurigen Ende

Link zum Artikel

Warum wir bald wieder über den Schweizer Pass reden werden

Link zum Artikel

Matheproblem um die Zahl 42 geknackt

Link zum Artikel

Shaqiri? Xhaka? Von wegen! Zwei Torhüter sind die besten Schweizer bei «FIFA 20»

Link zum Artikel

«Ich hatte Sex mit dem Ex meiner besten Freundin…»

Link zum Artikel

Migros Aare baut rund 300 Arbeitsplätze ab

Link zum Artikel

Keine Angst vor Freitag, dem 13.! Diese 13 Menschen haben bereits alles Pech aufgebraucht

Link zum Artikel

«Ich bin … wie soll ich es sagen … so ein bisschen ein Arschloch-Spieler»

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

32
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
32Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Darkside 18.06.2017 03:14
    Highlight Highlight Bin ich das nur oder könnte man das Problem schlicht damit lösen den Mail Absender anzuschauen? Wie schwer ist das?hUnglaublich dass diese Masche immer noch zu funktionieren scheint.
  • Grundi72 17.06.2017 08:18
    Highlight Highlight Was soll dieser Panik-Artikel? Müsst ihr solche Artikel nicht als Werbung deklarieren?
  • DocM 16.06.2017 21:51
    Highlight Highlight Ich habe die Paypal-, UBS-, Visa-, etc.-Malwarewellen schadlos und ohne Medienbericht überstanden. Hat Euch Nordkorea infiziert oder beginnt das Sommerloch?
    • X23 17.06.2017 00:04
      Highlight Highlight Schön, dass du das überstanden hast.

      Aber das breite Volk kann sich leider knapp ein Passwort merken. Ja, eines. Daher ist ein Hinweis sicherlich hilfreich.
  • SJ_California 16.06.2017 21:04
    Highlight Highlight Solche E-Mails verraten sich praktisch immer durch Schreibfehler und schlechtes Deutsch. Dank meiner leicht kritischen Grundhaltung habe ich noch nie so einen Anhang geöffnet.
    Familienmitgliedern und guten Freunden ist es aber schon passiert. Ich lege ihnen dann jeweils nahe, sie sollen doch bitte etwas kritischer sein in solchen Angelegenheiten. Das Leben kann man nämlich trotzdem noch geniessen! 😊
  • Siebenstein 16.06.2017 20:51
    Highlight Highlight Wer booking.com auch benutzt sollte eh merken, dass da was nicht stimmen kann.
    Meist kommen solche Mails auch noch über die falsche Adresse rein...wenn man mehrere Adressen nutzt selbstverständlich.
    • Filzstift 17.06.2017 06:39
      Highlight Highlight Jemand der noch nie Booking.com nutzte und heute tatsächlich dort erstmals was buchte könnte tatsächlich darauf reinfallen. Auch wenn das nur auf 1 von 100'000 zutrifft könnte das für den Angreifer rechnen.
    • Siebenstein 17.06.2017 12:56
      Highlight Highlight Das ist tatsächlich Mitinhalt meiner Aussage 😉
  • Kuunib 16.06.2017 19:42
    Highlight Highlight Also die Schweiz hat einen hohen Mac Anteil weil wir unter den Wenigen sind, welche ein solches Gerät vermögen. Danke Bankgeheimnis, Danke Napoleon für den Schweizer Franken.
    • EvilBetty 17.06.2017 01:02
      Highlight Highlight Schnarch
  • derEchteElch 16.06.2017 19:13
    Highlight Highlight Für mich immer noch unverständlich, warum 99% aller User HTML-Emails zulassen und solche versenden. Das erste was ich bei meinen Einstellungen mache, ist, auf reine Text-E-Mails umzuschalten sowie bei HTML-Emails den autom. Download von externen Inhalten auszuschalten. Sowieso; den Absender-Namen (in dem Fall Booking.com) zu fälschen ist der älteste Trick, seit man bei den E-Mail Anbietern/Programmen einen Anzeigenamen (bei den Meisten Vorname Nachname) eingeben kann. Unglaublich dass der Trick immer noch zieht 🙄
    • Kuunib 16.06.2017 19:40
      Highlight Highlight Also wie stelle ich dass um??
    • derEchteElch 16.06.2017 20:38
      Highlight Highlight Mail-Host; Gmail, Bluewin, Hotmail/Outlook? Mail-Programm; Apple Mail, Thunderbird, Outlook?

      Google doch mal nach HTML E-Mail deaktivieren, wirst schnrll fündig, erwarte aber nicht, dass dann noch farbig blinkende Newsletter mit Bildern fehlerfrei dargestellt werden 😉
    • Suchlicht 16.06.2017 22:28
      Highlight Highlight Weil es schöner aussieht? Die meisten nicht-Nerds legen Wert auf das Aussehen und nicht auf die Technik, warum sonst gäbe es Emojis? :-) oder ;-) reicht auch und geht als plain Text überall durch und trotzdem mag der Benutzer oder die Benutzerin ein 😀 oder 😜 lieber.
    Weitere Antworten anzeigen
  • Cornholios 16.06.2017 19:06
    Highlight Highlight
    Das ging aber schnell.
    Kaum hier davon gelesen, schon kam eine solche E-Mail von "Booking.com".
  • fabsli 16.06.2017 18:58
    Highlight Highlight Wieso werden Hacker eigentlich immer als Personen mit Kapuzen dargestellt?
    • Oberon 16.06.2017 19:20
      Highlight Highlight Das sind Leute ohne Gesicht, aber ich denke auch das ein Koalabär nicht den gleichen Effekt hat, oder vielleicht doch? ;)
  • iNDone 16.06.2017 18:40
    Highlight Highlight Auf dem MacOS muss ich aber immer noch das Admin-Passwort eingeben um ein Programm zu installieren. Oder nicht?
    • wipix 16.06.2017 19:01
      Highlight Highlight Ja. Diese Maleware wird sich aber je nach Browser / Emailprogramm und deren Sicherheitseinstellungen selber einrichten!
      WICHTIG: Werden im Email Programm (MacMail/Outlook/Thunderbird) die Emails beim Anklicken automatisch mit ALLEN Bildern, Vorschau der Worddokumente und mit Einblick in ZIP Dateien/ PDF Vorschau ohne weitere Aufforderung geöffnet, besteht unmittelbare Gefahr!
      Dies sollte in den Sicherheitseinstellungen der jeweiligen Programme (ist normalerweise Standart!) wie Webbrowser (Safari/Chrome/Firefox/IE) und Emailprogrammen entsprechend eingestellt werden.
    • p4trick 16.06.2017 23:38
      Highlight Highlight Indone: auf dem Mac? Dachtest du Windows sei da anderst oder was??
    • iNDone 17.06.2017 09:13
      Highlight Highlight @wipix Danke für die Information. @p4trick Habe ehrlich gesagt keine Ahnung von Windows. Sorry.
    Weitere Antworten anzeigen
  • Madison Pierce 16.06.2017 18:05
    Highlight Highlight Es ist eigentlich müssig, vor jeder "Angriffswelle" zu warnen. Da wird noch manche kommen und immer mit einer anderen Art von Mail.

    Dabei ist es doch einfach, sich zu schützen: Hirn einschalten vor dem Klicken.

    - Erwarte ich ein Mail von DHL? Nein, aber vielleicht kommt ja doch was. Weshalb steht denn nicht meine Adresse im Mail? => löschen
    - Habe ich bei Booking ein Hotelzimmer reserviert? => Nein, löschen.
    - Habe ich einen virtuellen Fax bei GMX? => Nein, löschen.

    Ich stelle erfreut fest, dass sich dieses Wissen langsam aber sicher durchsetzt.
    • Oberon 20.06.2017 01:13
      Highlight Highlight Ich dachte immer das ziel ist es so schnell und viele E-Mail wie möglich anzuklicken.
      Als Bonus jedes Fenster mit JA bestätigen das aufpoppt um noch mehr E-Mails zu bekommen.

      Aber vielleicht habe ich das jetzt einfach falsch verstanden.
  • Hercanic 16.06.2017 17:47
    Highlight Highlight "Nun werden automatisch verschiedenste Daten über den Computer des Opfers (...) übermittelt."

    -->(Webbrowser, Betriebssystem etc.)<--

    Das wird übrigens auch beim Besuch der Watson-Webseite gemacht bzw. über die hier "eingebauten" verschiedenen SiteAnalytics Services wie z.B. NET Metrix, Google Analytics aber auch durch "Features" wie Facebook Connect und Twitter Syndication usw.
    • The Destiny // Team Telegram 16.06.2017 18:56
      Highlight Highlight NoScrip lässt grüssen.

Diese Telefonbetrügerin läuft einem Hacker brutal ins Messer 😂

Betrügerische Anrufe von falschen Microsoft-Support-Mitarbeitern nehmen kein Ende. Ein Mitglied des Chaos Computer Clubs hatte die perfekte «Antwort».

Hinweis: Für Computer-Laien gibt es am Schluss des Beitrags eine Zusammenfassung.

Soll noch jemand behaupten, Telefonbetrüger hätten ein einfaches Leben. Bei Wildfremden anrufen, sich als Support-Mitarbeiter ausgeben, abkassieren, fertig.

Fertig? Ein aktueller Fall zeigt, dass auch das Leben als Fake-Microsoft-Angestellter gefährlich sein kann. Für die eigenen Nerven und für den Computer.

Ein Twitter-Thread des Hackers Rem0te alias @grauhut vom Chaos Computer Club (CCC) gehörte am Dienstag zu den …

Artikel lesen
Link zum Artikel