Woche 2: Ransomware und Phishing-Websites in der E-Gaming Szene

18.01.2022 - Mit 881 Meldungen verzeichnete das NCSC in der zweiten Woche des Jahres 2022 den höchsten Meldeeingang in seiner Geschichte. Grund dafür sind vor allem Fake-Extortion E-Mails im Namen von Strafverfolgungsbehörden, die fast 40 Prozent der Meldungen ausmachen. Zudem sind Ransomware-Angriffe weiterhin aktuell. Und ein interessanter Fall führte das NCSC zur E-Gaming Szene, bei der mit einer Phishing-Website Account-Daten gestohlen werden.

Verschlüsselungsangriffe auch im neuen Jahr aktuell

Auch im neuen Jahr reissen die Meldungen über Angriffe mit Ransomware nicht ab. In der vergangenen Woche wurden dem NCSC gleich mehrere Fälle gemeldet. Die Papierherstellerin CPH und der Autohändler Emil Frey AG waren die prominentesten Opfer. Zudem wurden auch vermehrt Verschlüsselungen mit «Qlocker» gemeldet. Dies zeigt einmal mehr, wie wichtig die Umsetzung der Grundschutzmassnahmen für jedes Unternehmen ist, um sich vor Cyberangriffen zu schützen. Dazu gehören beispielsweise Firewall einrichten, regelmässige Updates einspielen und Backups erstellen.

Aber auch wenn ein Unternehmen sich auf einen solchen Fall vorbereitet hat, kann die Wiederherstellung der Systeme und Daten und insbesondere das Auffinden der durch die Angreifer ausgenutzten Schwachstelle einige Zeit kosten und das aktuelle Tagesgeschäft in Mitleidenschaft ziehen. Deshalb sollten Unternehmen neben der Umsetzung des Grundschutzes und der Sensibilisierung der Mitarbeitenden auch einen Notfallplan erarbeiten. Der Vorteil eines Notfallplans ist, dass dieser auch Vorfälle ausserhalb des Cyberbereichs abdeckt, wie beispielsweise einen Brand oder eine Naturkatastrophe.

  • Überprüfen Sie Ihr Backup-Konzept und legen Sie grossen Wert darauf, dass Sie auch immer über Offline-Kopien verfügen;
  • Prüfen Sie die Backups durch regelmässige Wiederherstellung auf deren Korrektheit;
  • Erstellen Sie einen Notfallplan für Ausfälle der Informatiksysteme;
  • Falls Sie von einem Ransomware-Angriff betroffen sind: Erstatten Sie auf jeden Fall Anzeige bei der Polizei und ziehen Sie für die System-Bereinigung ein spezialisiertes Unternehmen bei.

Weitere Informationen:
Ransomware - Was nun?

Fans der E-Sport Szene im Visier

Das Spielen am Computer ist heute vor allem ein Teamsport, bei dem sich die einzelnen Spieler austauschen und weltweit miteinander messen. Hierzu dienen Plattformen wie zum Beispiel «Steam». Über diese Plattformen können Spiele gekauft, mit anderen Spielern gechattet und Spielstände hochgeladen werden. Der E-Sport hat sich seit längerem aus seinem Nischendasein befreit und sich zu einem ernstzunehmenden Sportzweig entwickelt. Verschiedene Turniere locken mit hohen Preisgeldern. Die Steam-Plattform bietet den Nutzern die Möglichkeit, sich zentral anzumelden, weshalb die meisten Spielenden über diese Website einsteigen.

Aufgrund einer eingegangenen Meldung konnte das NCSC eine gefälschte Spiel-Website untersuchen. Das perfide an dieser Website ist, dass sie sich bei den Suchresultaten auf der Steam-Plattform weit oben bewegt und dadurch die Wahrscheinlichkeit sehr hoch ist, dass Personen darauf hereinfallen.

Gefälschte Spieleseite. Um sich den Inhalt ansehen zu können, muss zuerst ein Login durchgeführt werden.
Gefälschte Spieleseite. Um sich den Inhalt ansehen zu können, muss zuerst ein Login durchgeführt werden.

Die Website erweckt den Anschein, sich über einen Steam-Account anmelden zu können. Das sich öffnende Popup-Login sieht aus wie die Login-Seite von Steam. Auf den ersten Blick sieht somit alles korrekt und echt aus. Erst bei genauerer Untersuchung zeigt sich, dass mit der Plattform die Account-Daten von Nutzern der Steam-Plattform abgefangen werden.

Die gefälschte Login-Seite, welche vorgibt das korrekte Zertifikat anzuzeigen (im Rahmen oben links). Die eingegebenen Login-Daten (hervorgehoben im Rahmen Mitte links) werden nicht verschlüsselt und können im Browser ausgelesen werden (sichtbar Rahmen unten rechts).
Die gefälschte Login-Seite, welche vorgibt das korrekte Zertifikat anzuzeigen (im Rahmen oben links). Die eingegebenen Login-Daten (hervorgehoben im Rahmen Mitte links) werden nicht verschlüsselt und können im Browser ausgelesen werden (sichtbar Rahmen unten rechts).

Bei näherem Hinsehen zeigt sich, dass die URL im Fenster nicht abgeändert werden kann und als Bild so fixiert wurde, dass dieses immer ein korrektes und gültiges Verschlüsselungs-Zertifikat anzeigt.

Der Test mit Entwickler-Tools zeigt zudem die eingegebenen Login-Daten an, obwohl diese eigentlich verschlüsselt übertragen und daher von aussen nicht einsehbar sein sollten. Die Website selbst wurde erst vor einigen Tagen eröffnet, ist aber auf verschiedenen Diensten zur Beurteilung der Vertrauenswürdigkeit bereits sehr tief bewertet.

  • Prüfen Sie genau, wo Sie Ihre Daten eingeben;
  • Eine neue oder bisher unbekannte Aufmachung einer Website sollte Sie vorsichtig werden lassen;
  • Wenn Sie sich nicht sicher sind oder Anzeichen auf einen Betrug hindeuten, brechen Sie die Aktion ab;
  • Erkundigen Sie sich über die Suchmaschinen, was andere Benutzer über die Website schreiben.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 18.01.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2022/wochenrueckblick_2.html