Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Die Malware-Welle hat die Schweiz erreicht: So wollen dich die Hacker übers Ohr hauen

Gestern warnte der Bund vor Schadsoftware-Wellen gegen Mac- und Windows-Nutzer. Kein Tag zu früh, wie sich heute zeigt: Kriminelle versenden nun gefälschte E-Mails im Namen von Booking.com, die Windows und Mac mit dem E-Banking-Trojaner Retefe infizieren.



Der Bund warnt vor gefälschten E-Mails, die heute im Namen des populären Reiseportals Booking.com verschickt werden. 

Wird der Anhang Buchung.zip (Mac) beziehungsweise Bestellung.docx (Windows) geöffnet, versucht das Schadprogramm, den E-Banking-Trojaner Retefe zu installieren.

Die Kriminellen greifen Mac- und Windows-Nutzer gezielt mit unterschiedlichen Versionen des E-Banking-Trojaners Retefe an.

So verläuft der Angriff

Der Retefe-Trojaner wird aktuell über E-Mails verbreitet. Denkbar ist auch, dass Spionage- und Verschlüsselungs-Trojaner künftig beispielsweise vermehrt über präparierte iMessage-Nachrichten auf den Mac gelangen. Die Angreifer werden ihre Taktik spätestens dann ändern, wenn die Nutzer auf Angriffe über E-Mails sensibilisiert sind.

Aktuell versenden die Angreifer die folgende E-Mail in makellosem Deutsch: «Sie haben das Zimmer für 2 Personen bestellt und bezahlt. Die Buchungs- und Zahlungsbestätigung sind in der Anlage zu finden.»

Die E-Mail trägt den Absender «Booking.com» und den Betreff «Hotelbestellung #05284-PU661416 von 16/06/2017». Schaut man sich die Adresse genauer an, wird die Täuschung offensichtlich: Hinter dem Absender Booking.com verbirgt sich die Fake-Adresse info@stroybat.ru.

Bild

Mac-Nutzer erhalten einen präparierten Anhang mit der Datei Buchung.zip. Bei Windows-Nutzern heisst der infizierte Anhang für den E-Banking-Trojaner Retefe Bestellung.docx. screenshot: GovCERT.ch

Das Problem: Bei vielen E-Mail-Programmen oder Web-Diensten wie Gmail wird die eigentliche E-Mail-Adresse erst sichtbar, wenn man mit der Maus über den Absender fährt oder die E-Mail bereits geöffnet hat.

Als Absender werden immer wieder andere bekannte Firmen wie Zalando, Swisscom, Digitec oder nun Booking missbraucht. Manche E-Mails tarnen sich auch als Nachrichten von Behörden wie der Polizei oder eines Steueramtes. Sie verlocken den Empfänger zum Öffnen der Nachricht, indem beispielsweise von einer Gerichtsvorladung oder einer Steuerrückzahlung die Rede ist.

Die Schadsoftware Retefe wurde bislang gegen das Windows-Betriebssystem eingesetzt – insbesondere auch gegen Schweizer E-Banking-Nutzer. Seit einiger Zeit existiert eine Mac-Version. Da die Schweiz im internationalen Vergleich einen besonders hohen Mac-Anteil hat, überrascht es wenig, dass die Angreifer nun gezielt Schweizer E-Banking-Nutzer mit Mac-Computern im Visier haben.

Wie gestern berichtet, entwickelt sich Schadsoftware gegen Mac-Nutzer zum lukrativen Geschäft. Aktuell wird etwa der Spionage-Trojaner MacSpy und der Verschlüsselungs-Trojaner MacRansom auf dem Schwarzmarkt angeboten.

Besonders versierte Angreifer hebeln die Sicherheitsmassnahmen von Windows und MacOS aus, indem sie gestohlene Entwicklerzertifikate nutzen, um ihre Schadsoftware als sichere Software zu signieren. Weder das Betriebssystem noch der Virenscanner erkennt den Trojaner in diesem Fall als Schadsoftware.

Warum wissen die Angreifer, ob ich einen Windows-PC oder Mac habe?

Die Kriminellen versuchen zuerst – wie bereits in diesem Artikel erklärt wurde – herauszufinden, welches Betriebssystem und welche Software ihre potenziellen Opfer installiert haben. Hierzu senden sie zunächst eine E-Mail mit einem sogenannten Tracking-Pixel. Das ist ein 1 mal 1 Pixel grosses Bild, das für den Nutzer unsichtbar ist.

Wenn dieses Bild heruntergeladen wird (was abhängig von der E-Mail-Konfiguration automatisch geschehen kann), wird eine Verbindung mit dem Server der Angreifer aufgebaut, auf dem das Bild abgespeichert ist. Nun werden automatisch verschiedenste Daten über den Computer des Opfers (Mail-Programm, Webbrowser, Betriebssystem etc.) an die Angreifer übermittelt.

In einem zweiten Schritt senden sie eine präparierte E-Mail, die auf das entsprechende Betriebssystem – Windows oder Mac – zugeschnitten ist.

Bild

Die erste E-Mail versucht (automatisch) zu tracken, welches Mail-Programm, welchen Webbrowser und welches Betriebssystem das Opfer nutzt. Die zweite E-Mail versucht einen E-Banking-Trojaner (z.B. Retefe) zu installieren, der gezielt auf Windows- oder Mac zugeschnitten ist.

Die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes empfiehlt daher diese Sicherheitsmassnahmen – unabhängig davon, welches Betriebssystem genutzt wird.

(oli)

Die grösste Gaming-Show des Jahres in Bildern: Ein Rundgang durch die E3

Das könnte dich auch interessieren:

Der Mann, der es wagt, Trump zu widersprechen

Link zum Artikel

4 Gründe, weshalb die Corona-Zahlen des BAG wenig mit der Realität zu tun haben

Link zum Artikel

So lief Tag 1 nach Bekanntgabe der «ausserordentliche Lage» für die Schweiz

Link zum Artikel

Die Fallzahlen steigen wieder leicht an – so sieht's in deinem Kanton aus

Link zum Artikel

Erneut Corona-Krawalle in den Niederlanden

Link zum Artikel

Ein Virus beendet Jonas Hillers Karriere: «Es gäbe noch viel schlimmere Szenarien»

Link zum Artikel

Wie ansteckend sind Kinder wirklich? Was die Wissenschaft bis jetzt dazu weiss

Link zum Artikel

Die Schweiz befindet sich im Notstand – die 18 wichtigsten Antworten zur neuen Lage

Link zum Artikel

Wie ich nach 3 Stunden Möbelhaus von Wolke 7 plumpste

Link zum Artikel

Das iPad kriegt Radar? Darum ist der Lidar-Sensor eine kleine Revolution

Link zum Artikel

Magic Johnson vs. Larry Bird – ein College-Final als Beginn einer grossen Sportrivalität

Link zum Artikel

Lasst meinen Sex in Ruhe, ihr Ehe- und Kartoffel-Fanatiker!

Link zum Artikel

Corona International: EU beschliesst Einreisestopp ++ Italien mit 345 neuen Todesopfern

Link zum Artikel
Alle Artikel anzeigen
DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Kommentar

Darum solltest du WhatsApp jetzt löschen und zur (sicheren) Konkurrenz wechseln

WhatsApp-User werden durch geänderte Nutzungsbedingungen verunsichert. Spätestens jetzt schlägt die Stunde der datenschutzfreundlichen Alternativen.

WhatsApp-User müssen bis spätestens am 8. Februar den neuen Nutzungsbedingungen zustimmen – sonst können sie den Messenger-Dienst nicht mehr verwenden.

Das Problem laut alarmierenden Medienberichten, die seit Tagen kursieren: Wer akzeptiert, willige ein, sehr viele persönliche Informationen mit Facebook zu teilen.

Zwar versichert Facebook, das Teilen der User-Daten diene der Sicherheit und Integrität aller Facebook-Produkte. Das Unternehmen wolle damit gegen Spam, Drohungen, Missbrauch und …

Artikel lesen
Link zum Artikel