Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Nein, diese E-Mail stammt nicht von der Post. Wer die angehängte Word-Datei öffnet, fängt sich einen E-Banking-Trojaner ein.

Neue Malware-Welle erreicht die Schweiz – so wollen dich die Hacker übers Ohr hauen

Der Bund warnt: Kriminelle versenden aktuell gefälschte E-Mails im Namen der Post, die Computer-Nutzer mit dem E-Banking-Trojaner Retefe infizieren.

21.08.18, 12:35 22.08.18, 08:26


Der Bund warnt Schweizer Computer-Nutzer vor gefälschten E-Mails, die im Namen der Post verschickt werden. Das so genannte Computer Emergency Response Team des Bundes schreibt auf Twitter: «Vorsicht: Betrüger versenden gerade gefälschte E-Mails im Namen von @postschweiz mit dem Ziel, Computer von Bürgerinnen und Bürgern mit dem E-Banking Trojaner Retefe zu infizieren! Melden Sie verdächtige E-Mails an reports@antiphishing.ch oder auf antiphishing.ch»

Retefe ist ein bekannter Trojaner, der von Kriminellen seit Jahren gegen Windows-Nutzer eingesetzt wird. Seit 2017 wird Retefe auch gezielt gegen Mac-Nutzer eingesetzt. Zu den Hauptzielen des Trojaners zählen E-Banking-Nutzer in der Schweiz.

Die orthografisch fast lupenreine Nachricht der Betrüger lautet:

Guten Tag. Das Paket von Digitec Galaxus AG ist schon unterwegs.

Die Sendung wir wahrscheinlich am 23-08-2018 von 09.00 bis 13.00 zugesellt

Möchten Sie die Sendung verfolgen? Details sind im Anhang

Mit freundlichen Grüssen

Swiss Post-Team

Diese E-Mail sollte man sofort löschen oder an reports@antiphising.ch melden.

Die E-Mail gibt vor, dass ein Paket von Digitec Galaxus unterwegs sei. Weitere Informationen finde man im Mail-Anhang.

Die Unbekannten setzen darauf, dass ein paar wenige der Angeschriebenen tatsächlich gerade etwas bei Digitec oder Galaxus bestellt haben und daher kaum Verdacht schöpfen werden. Im Anhang der gefälschten E-Mail befindet sich eine Word-Datei. Wer die Datei öffnet, installiert den E-Banking-Trojaner Retefe. Dieser hat es beispielsweise auf die Passwörter der Opfer abgesehen.

Die Betrüger senden den Trojaner vermutlich wieder an Tausende oder Hunderttausende Schweizer. Wenn nur ein, zwei Personen darauf hereinfallen, kann sich der Angriff für die Kriminellen bereits gelohnt haben.

Microsoft Word schützt den Nutzer eigentlich vor Malware. Die Betrüger versuchen ihre Opfer aber dazu zu verleiten, den Schutz zu deaktivieren, damit sich Retefe installieren kann.

Der E-Banking-Trojaner wird beim Öffnen des Mail-Anhangs aus dem Internet heruntergeladen. Wichtig ist daher, dass diese infizierten Webseiten von den Internet-Providern schnell gesperrt werden. 

Die Stiftung Switch, die für den Betrieb und die Sicherheit der Schweizer Internetadressen verantwortlich ist, bietet einen Dienst an, der die Infektion von Retefe verhindern soll. «In den meisten Fällen wird der Schadcode vom Internet nachgeladen. Unser DNS-Firewall-Service blockiert diese Zugriffe, da wir diese Kampagnen automatisch detektieren», sagte Daniel Stirnimann, Security-Experte bei Switch auf Anfrage von watson.

Erkennen Virenscanner den Trojaner?

Die Schadsoftware Retefe wird von der so genannten ReTeFe-Gang gezielt gegen Windows-, Mac- und Android-Nutzer in der Schweiz eingesetzt. Die Kriminellen ändern den Trojaner jeweils ab, damit er von Virenscannern nicht gleich erkannt wird. Neue Retefe-Versionen werden von Virenscannern und Betriebssystemen also in den ersten Stunden der Malware-Verbreitung oft nicht als Malware erkannt, da Retefe kaum von gutartiger Software unterschieden werden kann. 

Stark vereinfacht gesagt, verhält sich Retefe wie normale Programme, die beispielsweise von IT-Administratoren genutzt werden. Die Schadsoftware ist quasi eine Umkonfiguration eines Computersystems, was per se nicht bösartig ist. Die Antivirenhersteller können daher meist erst nach einer neuen Angriffswelle auf die neue Retefe-Version reagieren.

Besonders versierte Angreifer hebeln auch die Sicherheitsmassnahmen von Windows und MacOS aus, indem sie gestohlene Entwicklerzertifikate nutzen, um ihre Schadsoftware als sichere Software zu signieren. Weder das Betriebssystem noch der Virenscanner erkennt den Trojaner in diesem Fall als Schadsoftware.

So können sich Computer-Nutzer schützen

Der beste Schutz ist, das Windows- oder Mac-Betriebssystem aktuell zu halten, sprich neue Updates sofort zu installieren.

Windows 10 hat mit «Windows Defender» einen eigenen Virenscanner, der Bedrohungen durch Trojaner (zumindest nach einer gewissen Zeit) abwehren kann.

Windows Defender lässt sich in den Windows-10-Einstellungen unter «Update und Sicherheit» aktivieren. Das GIF zeigt, wie dies geht.

Die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes empfiehlt die folgenden Sicherheitsmassnahmen allen Computernutzenden – unabhängig davon, welches Betriebssystem sie benutzen:

Postfinance übernimmt künftig finanziellen Schaden bei Cyberangriff

Die Postfinance will ihre Kundschaft dazu bringen, vermehrt ihre Bankgeschäfte online abzuwickeln. Um den Wechsel attraktiver zu machen, bietet sie jetzt neu einen besseren finanziellen Schutz gegen Cyberangriffe an.

Konkret will Postfinance finanzielle Schäden bis zu einem Betrag von 100'000 Franken pro Fall vollständig übernehmen, die im Online-Banking durch einen technischen Angriff entstehen, wie es in einer Mitteilung vom Montag heisst. Nicht gedeckt sind dagegen Schäden, die beispielsweise auf grobe Fahrlässigkeit des Kunden zurückzuführen sind.

Gemäss eigenen Angaben ist Postfinance damit die ersten Bank in der Schweiz, die ihrer Kundschaft eine solche Absicherung gewährt. Das neue Angebot lanciert die Bank, um die Kundschaft zu einem Wechsel zum Onlinebanking zu motivieren. Eine Umfrage der Bank habe nämlich gezeigt, dass Bedrohungen wie Phishing und Malware und die damit verbundene Angst, Opfer eines solchen technischen Angriffs zu werden, zu den wichtigsten Gründen gehöre, weshalb Kunden kein Onlinebanking nutzen.

Gemäss einem Fachartikel der Deutsch-Schweizer Handelskammer aus dem Jahr 2017 schützen sich Schweizer Banken vor Schäden durch Cyberangriffe bis jetzt vor allem mit einer Abwehrklausel in den allgemeinen Geschäftsbedingungen. Diese legen fest, dass im Falle einer Fehlüberweisung nicht die Bank, sondern der Kunde den Schaden zu tragen hat, sofern die Bank ihrerseits nicht grobfahrlässig gehandelt hat.

Die Schweizer Rechtssprechung zeigte sich laut dem Fachartikel bis jetzt jedoch tendenziell kundenfreundlicher, wonach bei Fehlüberweisungen meist die Bank haftet. Im Bereich Onlinebanking sind die Sorgfaltspflichten von Banken und Kunden bis anhin jedoch noch nicht höchstrichterlich geklärt. (awp/sda)

Hol dir die App!

Markus Wüthrich, 5.5.2017
Tolle Artikel jenseits des Mainstreams. Meine Hauptinformations- und Unterhaltungsquelle.

Abonniere unseren Daily Newsletter

22
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
22Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Booker 22.08.2018 05:59
    Highlight Wobei der Mac-Nutzer die Installation immer noch manuell bestätigen muss, da geht nichts automatisch.
    Ja die Welt ist schlecht !
    0 0 Melden
  • marvinsu 21.08.2018 17:50
    Highlight Solche Nachrichten lösen einen sogenannten Hoax aus:
    https://de.wikipedia.org/wiki/Hoax
    1 2 Melden
  • Ueli der Knecht 21.08.2018 16:27
    Highlight Wer solche Malware- oder Phishing-Emails erhält, sollte sich auch überlegen, seinen Email-Provider zu wechseln.

    Beim obigen Beispiel ist als Absender-Adresse <support@wedgewood-rooms.co.uk> angegeben. Das wäre daher einfach als Fälschung erkennbar.

    Es wäre aber auch technisch (automatisch durch den Email-Provider) einfach erkennbar, dass dieses Mail nicht koscher ist (kein Sender-Policy-Framework, vermutlich auch kein vollständiger Mail-Relay-Sender etc.). Daher würde ein seriöser Email-Provider dieses Mail nicht, oder nur im Spam-/Junk-/Quarantäne-Ordner liefern.
    11 0 Melden
    • Madison Pierce 21.08.2018 18:07
      Highlight Genau wegen SPF ist die Absenderadresse nicht gefälscht. Noch vor ein paar Jahren stand bei solchen Mails "noreply@post.ch" oder so. Meiner Erfahrung nach kommen solche Mails mittlerweile von gültigen Adressen mit SPF, Reverse DNS etc.

      Aber bin mit Dir einig, ein fortschrittlicher Provider lässt keine Word-Dokumente mit Makros durch.
      1 0 Melden
    • Ueli der Knecht 21.08.2018 21:47
      Highlight Madison: Die Domain wedgewood-rooms.co.uk hat kein Sender-Policy-Framework eingerichtet; das habe ich schon gecheckt, bevor ich meinen Kommentar verfasste
      (nslookup -type=txt wedgewood-rooms.co.uk).

      Falls dahinter tatsächlich eine richtige Domain mit SPF und seriösen Mailservern steht, ist der ganze Aufwand der Kriminellen vielfach höher. Sie würden dann auch vielmehr zurückverfolgbare Spuren hinterlassen.

      Nach meiner Erfahrung kommt aber solcher Spam meistens über Botnets. In der Regel verhindern schon simple Grey-Lists, dass solcher Spam jemals ankommt.
      1 0 Melden
  • Blutgruppe 21.08.2018 16:23
    Highlight 'Im Bereich Onlinebanking sind die Sorgfaltspflichten von Banken und Kunden bis anhin jedoch noch nicht höchstrichterlich geklärt.'

    Äh.. Okay. Wie viele Jahre sind seit der Einführung des eBankings mittlerweile vergangen?
    5 2 Melden
  • axantas 21.08.2018 14:17
    Highlight Man kann sich bei der Post registrieren für deren Online-Services. Da kriegt mann dann eine Mail oder SMS mit dem Hinweis, dass man in seinem Konto nachgucken soll, weil "etwas" unterwegs ist.

    Die Post weiss meine Mailadresse ja nicht "einfach so". Man erhält also grundsätzlich gar keine Mail ohne Online-Registrierung.
    15 2 Melden
    • Hans Jürg 21.08.2018 14:23
      Highlight Und schon gar keine Word-Datei.
      Und wer blind auf Links klickt, ohne den Source-Code des Links zu kontrollieren, hat manchmal selber verschuldetes Pech.
      17 2 Melden
  • Madison Pierce 21.08.2018 13:37
    Highlight Oh, die Typen lernen Deutsch und sind endlich schlau genug, in der Schweiz auf das Eszett zu verzichten.

    Man erkennt solche Mails trotzdem auf den ersten Blick: Die Absenderadresse stimmt meist nicht und vor allem: die Post hat Namen und Adresse, die schreiben nicht nur "Guten Tag".
    36 1 Melden
    • Oberon 21.08.2018 16:49
      Highlight Naja, aber die Rechnung sollten sie auch nicht in Euro ausweisen. ;)
      5 0 Melden
  • salvie 21.08.2018 13:18
    Highlight Lieber Oliver

    Das ist kein Phishing. Das ist ein Malware-Versand (was solche Mails auch nicht besser macht).

    Phishing (von "Password fishing") wäre es, wenn es bloss einen Link gehabt hätte, mit dem man die Nutzer auf ein z.B. gefälschtes Facebook-Login-Formular gelockt hätte, um dort ihre Login-Daten abzufischen. Liebe Grüsse aus einer anderen Redaktion.
    99 1 Melden
    • Oliver Wietlisbach 21.08.2018 13:26
      Highlight Du hast natürlich recht. Ich habe mich in der Eile durch die von MELANI angegeben Melde-Adresse reports@antiphising.ch verleiten lassen. Ich habe den Titel nun angepasst. Danke für den Hinweis.
      44 0 Melden
    • Hemrock 21.08.2018 13:38
      Highlight @salvie ( Frau G. Salvi...? ;-) )

      "Die andere Redaktion" ist dann wohl PCTipp? :D
      28 0 Melden
  • dini Mueter 21.08.2018 13:07
    Highlight Der beste Virenschutz ist das Gehirn.
    100 6 Melden
    • Ridcully 21.08.2018 13:50
      Highlight cooler Nick :-)
      11 13 Melden
  • Mario Conconi 21.08.2018 13:07
    Highlight Kei Seriöses Unternehmen dieser Welt verdchickt Informationen in einer Word Dokument!!!!
    Kann das UVEK nicht einen Merkzeltel an jeden Haushalt schicken, in welchem die wichtigsten Verhaltnesregeln für Emails/Internet nochmals erklärt werden. Anscheinend gibt es noch immer genug unvorsichtige bzw unwissende =(
    135 6 Melden
  • stereo 21.08.2018 12:52
    Highlight internet führerschein.......wo bist du?!?🤦🏻‍♂️
    34 12 Melden

Viraler Post: Nein, du siehst auf Facebook nicht nur 25 Freunde

Hast du diese Nachricht auch schon gesehen? Immer wieder taucht in unseren Tagen auf Facebook ein Kettenbrief auf, der zu schön klingt, um wahr zu sein. 

Nichts daran stimmt. Facebook hat bereits im Februar auf Anfrage der Washington Post klargestellt, dass der Newsfeed zwar in der Tat angepasst wurde (und ständig wird), es aber keine Beschränkung auf 25 Freunde gibt. (Washington Post)

Tatsächlich funktioniert der Newsfeed so, dass er dir die Postings angezeigt, von denen er glaubt, dass sie …

Artikel lesen