Die Woche 27 im Rückblick

13.07.2021 - Der Meldeeingang beim NCSC ist in der letzten Woche leicht zurückgegangen. In zwei Fällen wurde versucht, Opfer mit unterschiedlichen Vorgehensweisen zum Herunterladen von Schadsoftware zu bewegen. Um die Analyse der Software zu verhindern, können diese Dateien häufig nur einmal heruntergeladen werden.

Angebliche Copyright-Verletzung führt zu einer Schadsoftware-Infektion

Ein Verein wurde über das Kontaktformular seiner Website über einen angeblichen Verstoss gegen das Copyright informiert. Auf der Website sollen urheberrechtlich geschützte Bilder verwendet werden. Es wird mit einer massiven Klage über 150'000 US-Dollar gedroht. Um welche Bilder es gehe, könne man unter dem beigefügten Link sehen.

Schreiben zur angeblichen Copyrightverletzung
Schreiben zur angeblichen Copyrightverletzung

Der betreffende Link führt allerdings zu einem Download auf einen Google-Share. Leider konnte die Datei nicht mehr heruntergeladen werden, der Download war bereits nicht mehr aktiv. Das NCSC geht davon aus, dass die Datei eine Schadsoftware enthalten hätte.

Das NCSC analysiert solche Schadsoftware-Dateien regelmässig. Dadurch lässt sich oft viel über die Angreifer in Erfahrung bringen. Die Angreifer wehren sich gegen solche Analysen, indem sie die Dateien nur an bestimmte Webbrowser oder Betriebssysteme ausliefern, den Link nach einem erstmaligen Zugriff deaktivieren oder den Zugriff zeitlich einschränken. Aus welchen Gründen im vorliegenden Fall nicht mehr auf die Datei zugegriffen werden konnte, ist nicht klar.

• Klicken Sie nie auf Links, welche Sie unaufgefordert erhalten haben.

• Laden Sie keine unbekannten Dateien aus dem Internet herunter.

• Falls Sie eine solche Datei angeklickt haben, sollten Sie Ihren Computer von einer Fachperson überprüfen lassen.

Anstelle des attraktiven Jobangebots lauert ein Bankentrojaner

In einem anderen Fall wurde das Opfer mit einer E-Mail geködert, die unaufgefordert ein verführerisches Jobangebot des bekannten Headhunters Michael Page enthielt. Der Absender des Headhunters ist aber gefälscht, auch die angegebenen Kontaktdaten sind nicht korrekt.

Schreiben mit dem angeblichen Arbeitsangebot

Wegen des europäischen Datenschutzgesetzt dürften die Informationen zu der vermeintlichen Arbeitsstelle nicht direkt in die E-Mail hineingeschrieben werden. Deshalb solle das Opfer die Informationen über einen Link herunterladen. Der Link führt auf einen Datei-Share, auf dem scheinbar ein Excel-Dokument mit dem Titel «Job_Angebot.xls» bereitliegt.

Datei mit Schadsoftware zum Herunterladen

Beim Herunterladen des Dokuments kommt allerdings eine ZIP-Datei daher. In der ZIP-Datei ist ein weiteres Dokument eingepackt. Beim Öffnen dieses Dokuments wird mittels Makros im Hintergrund eine als Bankentrojaner bekannte Schadsoftware («Gozi», auch bekannt als «Ursnif») installiert.

Die mit Schadsoftware infizierte Datei

Das NCSC geht davon aus, dass die Angreifer die Informationen über das Opfer aus abgeflossenen Daten von dessen LinkedIn-Account entnommen haben. LinkedIn wurde bereits mehrfach Opfer von Hackern.

• Reagieren Sie nicht auf E-Mails, welche Sie unaufgefordert erhalten haben.

• Falls Sie das Gefühl haben, dass es sich um eine legitime Information handelt, sollten Sie direkt Kontakt aufnehmen, zum Beispiel per Telefon oder über die auf der offiziellen Webseite publizierten Kontaktinformationen.

• Falls Sie eine solche Datei angeklickt haben, sollten Sie Ihren Computer von einer Fachperson überprüfen lassen.


Aktuelle Statistiken

Anzahl Meldungen der letzten Woche nach Kategorien

Anzahl Meldungen pro Woche während der letzten 12 Monate

Letzte Änderung 13.07.2021

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/wochenrueckblick_27.html