Woche 18: Der Wolf im Schafspelz oder ein Vorfall mit einem bösartigen Software-Update

09.05.2023 - Software-Updates sind ein fester Bestandteil der Computersicherheit. Allerdings wird dies von Cyberkriminellen auch ausgenutzt, um Schadsoftware zu installieren. Dies zeigt ein Beispiel, welches dem NCSC letzte Woche gemeldet worden ist. Um die Opfer zu überzeugen, auf den Link zu klicken, benutzten die Angreifer dazu auch Informationen aus abgeflossenen Daten.

Sicherheits-Updates müssen so rasch als möglich eingespielt werden. Viele Benutzerinnen und Benutzer sind sich dessen bewusst und reagieren deshalb auf Sicherheits-Updates sehr sensibel und nehmen diese ernst. Leider nutzen Angreifer diese gestiegene Awareness aus und versuchen so, potenzielle Opfer zu überzeugen, Schadsoftware getarnt als Sicherheits-Update zu installieren, wie ein Beispiel von letzter Woche zeigt.

E-Mail mit dem Hinweis eines Sicherheitsvorfalls

Der Melder erhielt in diesem Fall eine E-Mail von einer Firma, dass eine Sicherheitsverletzung detektiert worden sei und verschiedene Server der Firma mit Schadsoftware infiziert seien. Dies betreffe auch Zahlungsinformationen und Vermögenswerte, welche dadurch gestohlen werden könnten. Um das Vermögen zu schützen, müsse man die aktuellste Finanz-Software installieren. Zu diesem Zweck wurde der Melder aufgefordert, auf den Link zu klicken und das bereitgestellte Update einzuspielen.

E-Mail mit persönlicher Anrede und der Information über einen Sicherheitsvorfall und mit der Aufforderung eine neue Software-Version herunterzuladen
E-Mail mit persönlicher Anrede und der Information über einen Sicherheitsvorfall und mit der Aufforderung eine neue Software-Version herunterzuladen

Die E-Mail mit einer korrekten Anrede wirkte auf den ersten Blick vertrauenswürdig. Auch der Link war sehr geschickt gewählt und unterschied sich nur in einem Buchstaben von der Originalseite. Ein Opfer musste deshalb sehr genau hinschauen, um den Betrug zu erkennen. Die ganze Geschichte war jedoch frei erfunden. Es gab nie ein Sicherheitsproblem bei der Firma und erst durch das Einspielen des Updates wurde die Software so manipuliert, dass der Netzwerkverkehr über die Betrüger geleitet wurde. Die Angreifer konnten so die über das Internet gesendeten Daten der Opfer sehen und auch manipulieren.

Wurde die E-Mail gezielt oder auf gut Glück versendet?

Bleibt noch die Frage, wie die Angreifer wissen konnten, welche Personen die Software im Einsatz hatten. Die E-Mail wurde nämlich nicht auf gut Glück versendet, sondern gezielt an Nutzerinnen und Nutzer gesendet. Auch die Verwendung des Vor- und Nachnamens in der Anrede lässt darauf schliessen, dass die Angreifer Kenntnis von den Kundendaten hatten. Tatsächlich zeigt ein Blick in die Vergangenheit, dass das Unternehmen vor einiger Zeit einen Datenabfluss zu verzeichnen hatte und Anmeldedaten aus einem Newsletter abgeflossen sind. Auch wenn damals nur Namen und E-Mail-Adressen und keine sensiblen Daten wie Passwörter darunter waren, zeigt das Beispiel, dass auch solche auf den ersten Blick wertlose Daten für weitere Betrügereien missbraucht werden können. Abgeflossene Daten werden durch die Kriminellen nach brauchbaren Informationen durchforstet mit anderen Daten kombiniert und dann zum Verkauf angeboten. So sind unter Umständen sehr gezielte Angriffe möglich.

Für Unternehmen, die Kenntnis von einem Datenabfluss haben, ist es deshalb sehr wichtig, Kundinnen und Kunden zeitnah über einen Datenabfluss zu informieren, auch wenn keine sensiblen Daten darunter sind.

Internetnutzerinnen und -nutzer sollten sich auf der anderen Seite von Zeit zu Zeit informieren, ob Daten zu ihren E-Mail-Adressen im Internet abgeflossen sind. Eine solche Dienstleistung finden Sie zum Beispiel auf der Website von iBarry, einer Initiative der Schweizer Wirtschaft in Zusammenarbeit mit der Kantonspolizei und dem NCSC:
https://www.ibarry.ch/de/sicherheits-checks/

Empfehlungen:

  • Auch wenn Sicherheits-Updates wichtig sind, sollte man sich nicht überrumpeln lassen. Nehmen Sie sich Zeit und überprüfen Sie die Internet-Adresse von wo das Update heruntergeladen werden soll.
  • Installieren Sie keine Software, welche Sie über einen Link in einer E-Mail geöffnet haben. Geben Sie die Adresse (URL) des offiziellen Anbieters manuell in der Adresszeile Ihres Browsers ein. Fragen Sie im Zweifelsfall beim Anbieter nach.
  • Laden Sie Updates nur von der Herstellerseite herunter.
  • Auch personalisierte E-Mails können bösartig sein. Fragen Sie im Zweifelsfall beim Anbieter nach.
  • Aktivieren Sie, falls vorhanden, die automatische Update-Funktion.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 09.05.2023

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2023/wochenrueckblick_18.html