Fake-Mails / Fake-SMS (Sammelthema)

  • TIPP

  • HotPi
  • 36552 Aufrufe 62 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • "Hör mir besser zu!!!": Bitcoin-Erpressermails mit Bombendrohungen

    Das Landeskriminalamt warnt vor der Zunahme von Erpressermails, in denen Bombendrohungen ausgesprochen werden. Es gab bereits Evakuierungen.

    Seit Kurzem kursieren bundesweit vermehrt E-Mails mit Bombendrohungen. Besonders Unternehmen und Behörden scheinen Ziel der Erpresser zu sein, es hat sogar schon Evakuierungen gegeben. Sie fordern Bitcoins in Höhe von mehreren tausend Euro, die innerhalb von 80 Stunden bezahlt werden müssen. Das Landeskriminalamt Niedersachsen bestätigte gegenüber heise Security, dass es seit voriger Woche eine Welle solcher Bombendrohungen beobachte.

    Außerdem nehmen derzeit anscheinend auch die eher bekannten Erpressermails zu, in denen es heißt, eine Unternehmenswebseite sei gehackt worden oder anderweitig heikles Material gefunden, was ausgenutzt werde, sollte eine bestimmte Summe nicht bezahlt werden.

    Besser nicht zuhören
    Die E-Mails mit den Bombendrohungen haben laut der Polizei Heidekreis, die eine allgemeine Warnung ausgegeben haben, den Betreff: "Hör mir besser zu!!!" In den Nachrichten wird dann erklärt, es sei eine Bombe in dem Gebäude platziert worden, in dem das angeschriebene Unternehmen sitzt. Polizeiliche Maßnahmen würden dazu führen, dass sie sofort detoniert, da das Haus kontrolliert werde. Zu verhindern sei die Explosion nur, indem mehrere tausend Euro in Bitcoin an eine BTC-Adresse bezahlt würden. Ähnliche Mails soll es auch in englischer Sprache geben. Der Inhalt ähnelt laut Polizei Erpresserschreiben, die bereits im Mai umhergingen. Sie warnt, nicht zu zahlen und auch keinen Kontakt zu den Versendern aufzunehmen.

    In Bayern evakuierte die Polizei bereits eine Bäckerei und ein Gebäude, in dem mehrere Organisationen sitzen, die ebensolche E-Mails bekamen. Einsatzkräfte rückten mit Spürhunden an und sicherten die Umgebung, berichtet die Tageszeitung Merkur. Gefunden wurde nichts.

    Häufung von Drohmails
    Im Fall der Erpressermails sind die Drohungen unterschiedlicher: Mal wird behauptet, Zugriff auf Computer, dann wiederum auf Mailkonten oder die Webcam zu haben. Teilweise heißt es auch, Webseiten seien gehackt worden, nachdem Sicherheitslücken gefunden wurden. Die Erklärungen, wie die Täter vorgegangen seien, sind recht ausführlich und können für Laien schnell real wirken. In Einzelfällen soll es laut Polizei auch tatsächlich Zugriffe gegeben haben. Das Drohszenario der Erpresser: "Wir sind bereit, den Ruf Ihrer Website gegen eine geringe Gebühr nicht zu zerstören." Sogleich ist auch direkt ein Link dazu enthalten, wie Bitcoins erhältlich sind.

    Auch auf der Bitcoin-Missbrauchs-Meldeseite Bitcoinabuse.com lässt sich kontrollieren, ob Absender beziehungsweise Empfänger seriös sind. Dort haben bereits einige Betroffene erhaltene Erpressermails gemeldet. Die bekannte Empfängeradresse hat demnach bisher kein Geld erhalten.

    Quelle: "Hör mir besser zu!!!": Bitcoin-Erpressermails mit Bombendrohungen | heise online
  • Manipulierte Excel-Dateien in Phishing-Mails

    Eine neu entdeckte Malware-Bande benutzt einen cleveren Trick, um bösartige Excel-Dateien zu erstellen, die eine höhere Chance haben, Sicherheitssysteme zu umgehen.

    Die von Sicherheitsforschern der NVISO Labs entdeckte Malware-Bande – die sie Epic Manchego nannten – ist seit Juni aktiv und zielt mit Phishing-E-Mails, die ein bösartiges Excel-Dokument enthalten, auf Unternehmen in der ganzen Welt ab.

    Laut NVISO sind das aber Standard-Excel-Tabellen. Die bösartigen Excel-Dateien umgingen Sicherheitsscanner und hatten niedrige Erkennungsraten. Laut NVISO lag dies daran, dass die Dokumente nicht mit der Standard-Software Microsoft Office, sondern mit einer .NET-Bibliothek namens EPPlus erstellt wurden.

    Entwickler verwenden diesen Bibliotheksteil ihrer Anwendungen in der Regel, um die Funktionen „Als Excel exportieren“ oder „Als Tabellenkalkulation speichern“ hinzuzufügen. Die Bibliothek kann zur Generierung von Dateien in einer Vielzahl von Tabellenkalkulationsformaten verwendet werden und unterstützt sogar Excel 2019.

    NVISO sagt, dass die Epic Manchego-Bande offenbar EPPlus verwendet hat, um Tabellenkalkulationsdateien im Office Open XML (OOXML)-Format zu erzeugen.

    Den von Epic Manchego erzeugten OOXML-Tabellenkalkulationsdateien fehlte ein Teil des kompilierten VBA-Codes, der spezifisch für Excel-Dokumente ist, die in der proprietären Office-Software von Microsoft kompiliert wurden.

    Einige Antiviren-Produkte und E-Mail-Scanner suchen speziell nach diesem Teil des VBA-Codes, um nach möglichen Anzeichen für bösartige Excel-Dokumente zu suchen, was erklären würde, warum von der Epic Manchego-Bande erstellte Tabellenkalkulationen niedrigere Erkennungsraten hatten als andere bösartige Excel-Dateien.

    Die kompilierten VBA-Codes sind normalerweise der Ort, an dem der bösartige Code eines Angreifers gespeichert wird. Das bedeutet jedoch nicht, dass die Dateien sauber waren.

    NVISO sagt, dass die Epic Manchego-Bande ihren bösartigen Code einfach in einem benutzerdefinierten VBA-Codeformat speicherte, das ebenfalls kennwortgeschützt war, um Sicherheitssysteme und Forscher daran zu hindern, seinen Inhalt zu analysieren.

    Doch obwohl sie ihre bösartigen Excel-Dokumente mit einer anderen Methode erzeugten, funktionierten die EPPlus-basierten Tabellenkalkulationsdateien nach wie vor wie jedes andere Excel-Dokument.

    Die bösartigen Excel-Dokumente (auch Maldocs genannt) enthalt ein bösartiges Makroskript. Wenn Benutzer, die die Excel-Dateien öffneten, die Ausführung des Skripts erlaubten (indem sie auf die Schaltfläche „Bearbeitung aktivieren“ klickten), würden die Makros Malware herunterladen und auf den Systemen der Opfer installieren.

    Die endgültigen Nutzlasten waren klassische Infostealer-Trojaner wie Azorult, AgentTesla, Formbook, Matiex und njRat, die Passwörter aus den Browsern, E-Mails und FTP-Clients der Benutzer ausspielten und an die Server von Epic Machengo schickten.

    Die Entscheidung, EPPlus für die Generierung ihrer bösartigen Excel-Dateien zu verwenden, mag zwar einige Vorteile gehabt haben, aber am Anfang hat sie Epic Manchego auf lange Sicht auch geschadet, da sie es dem NVISO-Team ermöglichte, alle ihre früheren Operationen sehr leicht aufzuspüren, indem es nach merkwürdig aussehenden Excel-Dokumenten suchte.

    Am Ende sagte NVISO, es habe mehr als 200 bösartige Excel-Dateien entdeckt, die mit der Epischen Manchego in Verbindung stehen, wobei die erste auf den 22. Juni dieses Jahres zurückgeht.

    Laut NVISO scheint diese Gruppe mit dieser Technik zu experimentieren, und seit den ersten Angriffen haben sie sowohl ihre Aktivität als auch die Ausgereiftheit ihrer Angriffe erhöht, was darauf hindeutet, dass dies in Zukunft eine breitere Anwendung finden könnte.

    Dennoch waren die NVISO-Forscher nicht völlig überrascht, dass Malware-Gruppen jetzt EPPlus verwenden. „Wir sind mit dieser .NET-Bibliothek vertraut, da wir sie seit einigen Jahren zur Erstellung bösartiger Dokumente („Maldocs“) für unser rotes Team und unsere Penetrationstester verwenden“, so das Unternehmen.

    Quelle: Manipulierte Excel-Dateien in Phishing-Mails | ZDNet.de
  • Polizei warnt: Mails zum Corona-Schutz verbreiten Malware

    Cybergangster verschicken derzeit Mails, in denen es angeblich um den Schutz vor Corona geht. Doch stattdessen kommt Malware.

    Das Landeskriminalamt Niedersachsen warnt vor Mails mit Schadsoftware, die erneut die Coronakrise beziehungsweise die Covid-19-Pandemie zur Verbreitung nutzen. Diese Mails sollen sich seit einigen Tagen verstärkt verbreiten, wie die Polizei betont.

    Die Mails geben vor, vom Bundesministerium für Gesundheit zu stammen. Als Absenderadresse wird genannt: poststelle@bundesministerium-gesundheit.com. Den Inhalt der durchaus sorgfältig formulierten Mail können Sie hier nachlesen.

    Die an die Mail angehängte Datei beschreibt angeblich neue Coronaschutzregeln für den Arbeitsplatz. Zudem werden die Empfänger dazu aufgefordert, das angehängte Dokument allen Mitarbeitern im Betrieb zugänglich zu machen. Vorsicht: Dadurch würde die Malware also weiter im Unternehmen verbreitet!

    Denn eine Datei namens Arbeitsschutzregel-Corona-September.pdf.js ist in einer ZIP-Datei mit dem Namen Bund-Arbeitsschutzregel-Corona-September-1.zip an die Mail angehängt. Es handelt sich hierbei um den Downloader für eine Schadsoftware!

    Wichtig: Klicken Sie das ZIP-Archiv nicht an, sondern löschen Sie die Mail.
    Sollten Sie die Datei bereits geöffnet haben, lassen Sie Ihren PC mit einer Antiviren-Software untersuchen. Erstatten Sie Anzeige bei der Polizei, am einfachsten über Ihre zuständige Onlinewache.

    In der Vergangenheit haben Cybergangster immer wieder die Coronakrise für Angriffe, vor allem auch auf Unternehmen, ausgenutzt. Einen Überblick zu diesen kriminellen Machenschaften geben wir hier: Polizei warnt - immer neue Betrugsmaschen mit Coronavirus.

    Quelle: Polizei warnt: Mails zum Corona-Schutz verbreiten Malware - PC-WELT
  • Phishing 09.10.2020, 11:00 Uhr
    Vorsicht: KaPo Zürich warnt vor betrügerischen E-Mails im Namen von PayPal
    Die Kantonspolizei Zürich warnt vor einer Spam-Welle im Namen von PayPal. Die Cyberkriminellen versuchen, an Ihre Login-Daten und schlussendlich an die Kreditkartendaten zu gelangen.

    Die Kantonspolizei Zürich (KaPo Zürich) warnt vor E-Mails, die angeblich von PayPal stammen. Die Cyberkriminellen versuchen, an die Login-Daten für das Onlineportal zu gelangen und schlussendlich die Kreditkarteninformationen zu ergattern.
    WARNUNG - E-Mail angeblich im Namen von PayPal im Umlauf

    Betrüger verschicken massenhaft E-Mails angeblich im Namen von PayPal. Das Ziel der Betrüger ist, die Login-Daten zum Onlineportal und anschliessend die Kreditkartendaten zu ergaunern.#Cybercrime Cybercrimepolice - E-Mail angeblich von PayPal betr. Zahlungsbestätigung pic.twitter.com/aGiDY6cjN2
    — Kantonspolizei Zürich (@KapoZuerich) October 7, 2020
    [/quote]In der falschen PayPal-E-Mail geht es angeblich um eine Zahlungsbestätigung, beispielsweise von der Avira Holding GmbH & Co. KG, etc., wie die KaPo Zürich auf ihrer Webseite cybercrimepolice.ch weiter ausführt.

    Da keine derartige Zahlung getätigt wurde und den Empfängern nur eine knappe Frist von ein bis zwei Arbeitstagen eingeräumt wird, bis die Zahlung ausgelöst wird, sollen potenzielle Opfer dazu verleitet werden, zwecks Stornierung auf einen Link zu klicken.
    Nach Angaben der KaPo Zürich wird bei einem Phishingmaschen-Erfolg sofort eine Kreditkartenbelastung ausgelöst.

    PCtipp rät: Ignorieren Sie die E-Mail, markieren Sie diese als Spam und klicken Sie keinesfalls auf einen enthaltenen Link. Falls Sie bereits Daten eingegeben haben: Kontaktieren Sie Ihr Kreditkartenunternehmen und lassen Sie die Karte sperren. Vereinbaren Sie zudem telefonisch bei Ihrer örtlichen Polizeistelle einen Termin und erstatten Sie Strafanzeige.


    Autor(in)

    Claudia Maag


    Quelle: Vorsicht: KaPo Zürich warnt vor betrügerischen E-Mails im Namen von PayPal - pctipp.ch
  • Corona-Phishing: EU-Kommission warnt vor falschen Anträgen

    Vorsicht: Mit gefälschten Antragsformularen für Corona-Überbrückungshilfen wollen Cybergangster Daten von kleinen und mittelständischen Unternehmen "abphishen".

    Die Vertretung der Europäischen Kommission in Deutschland warnt vor einer aktuellen Phishing-Kampagne, die auf kleine und mittelständische Unternehmen (KMU) abzielt. Unter dem Vorwand eines Antragsformulars für Corona-Überbrückungshilfen, die angeblich vom Europäischen Rat und vom Bund gemeinsam angeboten werden, sollen die KMU offenbar dazu gebracht werden, vertrauliche Daten preiszugeben. Die Kommisionsvertretung hat Anzeige bei der Polizei erstattet.

    Die Betrugsmail werde unter dem erfundenen Namen des angeblichen Sprechers der Europäischen Kommission in Deutschland, "Svetla Bobeva", von der Domain ec-europa.eu versandt, heißt es in einer Mitteilung der Kommisionsvertretung. Dies sei jedoch nicht die Domain der Europäischen Kommission, sondern lediglich ein Täuschungsversuch: "Es wurden keine E-Mail-Konten der Europäischen Kommission gehackt."

    Soforthilfen derzeit beliebter Vorwand
    Die Kommisionsvertretung rät Empfängern der E-Mail, nicht auf diese zu reagieren und auch den Anhang nicht zu öffnen. Ob dieser tatsächlich "nur" ein Formular für den Datenklau oder möglicherweise auch Schadcode enthält, geht aus der Mitteilung nicht klar hervor; der Phishing-Versuch habe "vermutlich" das Abgreifen von Daten zum Ziel, heißt es dort.

    Phishing-Versuche und speziell präparierte Websites mit angeblichen Corona-Soforthilfen sind seit Beginn der Pandemie ein großes Thema. Das Bundeskriminalamt stufte diese Taktik in einer kürzlich veröffentlichten "Sonderauswertung Cybercrime in Zeiten der Corona-Pandemie" als eine der vorrangigen Corona-spezifischen IT-Bedrohungen ein.

    Auch der Kommisionsvertreung ist die Taktik nicht neu: Bereits im Juli dieses Jahres sei eine fast wortgleiche Phishing-Mail versandt worden, wobei die Kriminellen den Namen von Reinhard Hönighaus, Sprecher der Europäischen Kommission in Deutschland, verwendet hätten.

    Quelle: Corona-Phishing: EU-Kommission warnt vor falschen Anträgen | heise online
  • Phishing 28.10.2020, 09:29 Uhr
    WhatsApp- und SMS-Nachrichten im Namen von Brack.ch im Umlauf
    Wie Brack.ch selbst per E-Mail bekannt gibt, gehen derzeit WhatsApp- und SMS-Nachrichten in ihrem Namen um. Dabei handelt es sich aber um einen Täuschungsversuch.

    Der beliebte Online-Tech-Händler Brack.ch warnt vor Phishing-Versuchen im Namen ihres eigenen Unternehmens. Wie die Aargauer gestern in einer Mail verlauten liessen, seien aktuell SMS- und WhatsApp-Nachrichten im Umlauf, die Wettbewerbsgewinne verkünden, oder einen angeblichen Giveaway-Code zum Geburtstag enthielten.

    Diese Nachrichten stammen allerdings nicht von Brack.ch, sondern von Cyberkriminellen. Ziel der Aktion ist es, die Empfänger der Nachrichten auf eine Website zu locken, wo persönliche Daten und Kreditkartennummern abgefragt werden. Angaben, welche angeblich zur eindeutigen Identifikation dienen.

    Brack.ch betont, dass der Kundendatenbank des Händlers keinerlei Daten abhanden gekommen sind. Erhält man also tatsächlich eine Nachricht mit einem gefälschten Geburtstagsgutschein, ist dies ein Zufall. Brack frage nie per SMS oder WhatsApp nach persönlichen Daten und Gewinnspiele, bei denen Kreditkarteninfos abgefragt werden, gebe es auch keine. Die Nachricht solle deshalb einfach an das Nationale Zentrum für Cybersicherheit gemeldet werden, danach könne die Nachricht einfach gelöscht werden.

    Autor(in)
    Florian Bodoky


    Quelle: WhatsApp- und SMS-Nachrichten im Namen von Brack.ch im Umlauf - pctipp.ch
  • Telefon-Masche 12.11.2020, 08:28 Uhr
    Angebliche Postmitarbeiter rufen an und wollen, dass man auf E-Mail-Link klickt
    Betrüger rufen mittlerweile bereits an, um die Leute aufzufordern, auf einen E-Mail-Link zu klicken.

    Offenbar haben Betrüger eine besonders fiese neue Masche gefunden: Neuerdings rufen sie sogar an, kündigen eine E-Mail an und fordern die angerufene Person auf, auf den darin enthaltenen Link zu klicken.

    Ein PCtipp-Leser berichtet, dass in seinem Geschäft ein Anruf einer Dame einging, die sehr schlecht Deutsch sprach. Sie gab sich als Mitarbeiterin der Post aus. Die Anruferin informierte, dass zu einem genau definierten Zeitpunkt eine eingeschriebene Lieferung zuhanden des Lesers* eintreffen werde. Die Firma werde eine E-Mail von der Post erhalten. Darin enthalten sei ein Formular, das man herunterladen und ausfüllen soll für den Lieferdienst. Wie die E-Mail aussah, sehen Sie im Screenshot, der uns zur Verfügung gestellt wurde.

    Nach Angaben unsers Lesers war nicht nur der Link anklickbar, sondern die gesamte Mailtext-Fläche. Der Betroffene hat übrigens nicht auf den Link geklickt, sondern das Nationale Zentrum für Cybersicherheit (ehem. Melani) informiert, welches die verlinkte Webseite gesperrt habe.

    (*Name der Redaktion bekannt)

    Autor(in)
    Claudia Maag


    Quelle: Angebliche Postmitarbeiter rufen an und wollen, dass man auf E-Mail-Link klickt - pctipp.ch
  • Vodafone warnt vor SMS: Betrüger wollen Zugangsdaten stehlen

    Vodafone warnt vor betrügerischen SMS, mit denen Cybergangster die Zugangsdaten von Vodafone-Kunden stehlen wollen. Die SMS enthalten einen Link zu einer Phishing-Seite mit dem Vodafone-Logo.

    Vodafone warnt davor, dass derzeit Gangster SMS verschicken würden, die als Service-SMS von Vodafone getarnt sind. Damit versuchen die Betrüger gezielt die Zugangsdaten von Vodafone-Kunden abzugreifen. In den Kurznachrichten befinden sich Links zu gefälschten Webseiten mit Vodafone-Logo.

    Die betrügerischen Kurznachrichten erwecken also den Anschein, als hätte Vodafone sie verschickt. Laut Vodafone seien diese SMS nur schwer als Fälschung zu erkennen. Vodafone hat deshalb zusammengefasst, woran Sie die Phishing-Kurznachrichten erkennen können:
    • Ihre Kundennummer ist falsch oder fehlt
    • Die Anrede fehlt oder ist unpersönlich. Es steht z. B. „Lieber Kunde“ in der SMS statt Ihr Name
    • Sie sollen einen Link aufrufen oder einen Anhang öffnen

    So verhalten Sie sich richtig, wenn Sie eine angebliche SMS von Vodafone erhalten:
    • Geben Sie die URL aus der SMS nicht im Browser ein und nutzen Sie nicht die in dieser SMS vorhandenen Links
    • Tragen Sie niemals private Daten oder Kontoverbindungen auf Webseiten ein, bei denen Sie nicht sicher sind, ob diese echt sind
    • Im Zweifel fragen Sie direkt beim Unternehmen nach

    Sollten Sie jedoch bereits Ihre Daten auf einer fremden Seite eingegeben haben, so überprüfen Sie umgehend auf der offiziellen Vodafone-Webseite, ob Ihre Daten noch stimmen und ändern Sie umgehend Ihr Internet-Passwort sowie Ihr Kunden-Kennwort, wie Vodafone rät.

    Quelle: Vodafone warnt vor SMS: Betrüger wollen Zugangsdaten stehlen - PC-WELT
  • Vorsicht 02.12.2020, 10:20 Uhr
    Gefälschte Viruswarnung im Namen von Microsoft
    Der Computer sei infiziert, heisst es in einer Meldung, auf dem PC scheint nichts mehr zu funktionieren. Cyberkriminelle versuchen, Sie zu einem Anruf und zum Herunterladen einer Fernwartungssoftware zu überreden.

    Auf den Bildschirmen von Betroffenen erscheint plötzlich eine Meldung wie: «Windows wurde aufgrund verdächtiger Aktivitäten blockiert» oder «Ihr Computer wurde infiziert». Scheinbar lassen diese Fenster keine Aktion auf Ihrem PC mehr zu. Microsoft hat nach Angaben der Kantonspolizei Zürich allerdings nichts mit der Meldung zu tun.

    Dabei handelt es sich um eine Masche von Cyberkriminellen, die Sie so in eine Kostenfalle locken wollen. Denn Personen, die die Meldung auf Ihrem PC sehen, sollen eine Schweizer Telefonnummer anrufen, berichtet cybercrimepolice.ch. Demnach nimmt nach einem Anruf auf die angezeigte Nummer «eine perfekt schweizerdeutsch sprechende Person ab und verspricht Abhilfe».

    Die nette Person am Telefon versucht die Anruferin oder den Anrufer zu überzeugen, eine Fernwartungssoftware herunterzuladen und den Tätern somit Zugriff auf den eigenen PC zu gewähren. Das vermeintliche Deblockieren soll übrigens Fr. 499.- kosten.

    PCtipp rät: Rufen Sie die angezeigte Nummer nicht an. Löschen Sie den Verlauf Ihres Webbrowsers. Falls Sie schon angerufen und eine Software heruntergeladen haben: Erstatten Sie Anzeige bei der lokalen Polizeistelle. Zudem können Sie dies über diesen Link und einen Klick auf Ich bin auch betroffen der KaPo Zürich melden.

    Autor(in)
    Claudia Maag


    Quelle: Gefälschte Viruswarnung im Namen von Microsoft - pctipp.ch
  • Neue Angriffswelle zielt auf Android-Nutzer

    Das Landeskriminalamt Niedersachsen warnt vor einer Angriffswelle gegen Android-Nutzer. Demnach landen derzeit verstärkt Mails in den E-Mail-Postfächern, in denen die Empfänger gebeten werden eine Rechnung samt der darin genannten Kreditkartennummer zu überprüfen und diese gegebenenfalls zu stornieren, falls die Rechnung falsch sei. Die Rechnung sei in der Mail verlinkt. Ein typischer Text aus so einer Mail laute folgendermaßen:

    „Sehr geehrter Herr, Wir haben eine Zahlung erhalten, die mit Ihrer E-Mail-Adresse verknüpft ist. Wir bitten Sie, diese Zahlung zu überprüfen, da sie einen Hinweis auf unsere Betrugsbekämpfungskontrollen darstellt. Bitte lesen Sie die nachstehende Rechnung und rufen Sie uns an, um die Zahlung zu stornieren, falls Sie diese Zahlung nicht genehmigt haben. Die anzurufende Telefonnummer ist in der Rechnung enthalten. Bitte überprüfen Sie, ob die Kreditkartennummer von Ihnen stammt oder nicht. Ihre Rechnung finden Sie hier“.

    Der letzte Satz „Ihre Rechnung finden Sie hier“ ist verlinkt. Klickt der Empfänger diesen Link zu „mailanhang.de“ an, so liest er den Text aus der Mail etwas modifiziert mit der Aufforderung eine darin verlinkte PHP-Webseite auf einem mobilen Gerät zu öffnen. Er würde darüber eine App auf sein Smartphone herunterladen, mit der er die Rechnung dann lesen könne.

    Öffnet der Adressat tatsächlich besagten Link auf seinem Android-Smartphone (iPhones sind nicht gefährdet), so erscheint eine Anleitung dazu, wie man das Installieren von Paketen aus inoffiziellen Quellen aktiviert und es wird eine entsprechende APK-Datei heruntergeladen. Darin ist eine Schadsoftware enthalten. Laut ersten Analysen der Polizei kann die Android-Malware empfangene SMS weiterleiten und dem Angreifer die komplette Fernsteuerung (beispielsweise das Ausführen von Klicks) des Smartphones ermöglichen.

    Sie schützen sich vor diesem Angriff und vor ähnlichen Angriffen, indem Sie auf Ihrem Smartphone das Ausführen von Dateien aus inoffiziellen Quellen nicht aktivieren, sondern ausschließlich App-Downloads von Google Play zulassen.

    Quelle: Neue Angriffswelle zielt auf Android-Nutzer - PC-WELT
  • Phishing 09.12.2020, 09:37 Uhr
    Dieses Facebook-Video klaut Ihre Daten
    Auf Facebook macht derzeit ein Video namens "Pinino0101ahor" die Runde. Klicken Sie NICHT drauf.

    "Schau mal was ich gefunden habe." - so lautet die Nachricht, die Sie in Ihrem Nachrichten-Postfach auf Facebook erhalten. Dazu erhalten Sie ein angebliches Video namens Pinino0101ahor. Allerdings ist das Video kein Video. Und der Absender, der sich auf Ihrer Friendlist befindet, hat ihnen das auch nicht wirklich geschickt. Das ist automatisch geschehen.

    Hinter dem vermeintlichen Video verbirgt sich nämlich ein Link. Dieser führt Sie auf eine perfekt nachgemachte Facebook-Login-Seite. Dort werden Sie aufgefordert, sich abermals mit Ihren Zugangsdaten für Facebook anzumelden, um das Video sehen zu können. So gelangen die Cyberkriminellen dann an Ihre Zugangsdaten und in Ihren Facebook-Account, wo sie die Nachricht an Ihre Freunde weiterleiten. Daher: Klicken Sie nicht auf die Nachricht, sondern löschen Sie diese und informieren Sie den Absender darüber, dass er hier unsicheren Content teilt.

    Sollten Sie dem Betrug schon anheim gefallen sein, ändern Sie das Passwort Ihres Facebook-Zugangs und prüfen Sie, ob allenfalls bereits eine fremde E-Mail-Adresse in Ihrem Account hinterlegt wurde. Falls ja, löschen Sie diese. Anschliessend ändern Sie das Passwort Ihres E-Mail-Accounts, so das Passwort das gleiche ist wie bei Facebook. Zuguter letzt verfassen Sie optimalerweise noch einen Facebook-Post, in dem Sie über das Missgeschick berichten und Ihre Kontakte davor warnen, auf das Video zu klicken, welches diese eventuell von Ihrem Absender aus zugeschickt erhalten haben.

    Autor(in)
    Florian Bodoky


    Quelle: Dieses Facebook-Video klaut Ihre Daten - pctipp.ch
  • Amazon-Geschenkkarte mit Banking-Trojaner Dridex

    Ein unwillkommenes Mitbringsel präsentiert eine angebliche Amazon-Geschenkkarte. Unaufmerksame Verbraucher werden mit dem Banking-Trojaner Dridex bestohlen.

    Daniel Frank, Senior Malware Researcher bei Cybereason, berichtet, das Cybereason Nocturnus-Team habe kürzlich neue Cybercrime-Kampagnen aufgespürt, die mit der Weihnachtszeit und insbesondere mit Online-Shopping verbunden sind. 2020 ist aus naheliegender Gründen ein Jahr, in dem Verbraucher ihre Einkaufsgewohnheiten geändert haben beziehungsweise ändern mussten und jetzt einen Großteil ihrer Einkäufe online erledigen.

    Endverbraucher sind schon lange ein beliebtes Ziel für Cyberkriminelle, auch wenn sich das Gewicht der Angriffe deutlich hin zu Unternehmen verschoben hat, bei denen sich mehr holen lässt.

    Durch die COVID-19-Pandemie ist Online-Shopping beliebter und das macht diese Art der Angriffe attraktiver. Laut der Daten des aktuellen IBM U.S. Retail Index, der im August dieses Jahres veröffentlicht wurde „hat die Pandemie die Verlagerung von physischen Ladengeschäften hin zu digitalen Einkäufen um eine Größenordnung von etwa fünf Jahren beschleunigt“ und der „E-Commerce wird im Jahr 2020 voraussichtlich um fast 20 % wachsen.“

    Eine kürzlich beobachtete Kampagne nutzt Scams mit gefälschten Amazon-Geschenkkarten, um den berüchtigten Banking-Trojaner Dridex einzuschleusen. Cyberkriminelle profitieren vom steigenden Volumen beim Online-Shopping und nehmen mit Amazon gezielt die Nutzer einer der beliebtesten Shopping-Plattformen ins Visier.

    Die überwiegende Mehrzahl der Opfer scheint sich in den USA und Westeuropa zu befinden. Die Kampagne verwendet legitim erscheinende E-Mails, Icons und Namenskonventionen, um die Opfer zu täuschen und zum Herunterladen der bösartigen Anhänge zu verleiten.Es sind drei unterschiedliche Infektionswege beobachtet worden: SCR-Dateien, ein bösartiges Word-Dokument und ein VBScript.

    Jeder einzelne dieser Infektionsmechanismen enthält mehrere Stufen, entweder wird ein passwortgeschütztes Archiv entpackt, das verschiedene Dateitypen enthält, oder es werden PowerShell-Befehle ausgeführt, um eine Verbindung mit dem C2-Server herzustellen.

    Dridex ist einer der berüchtigtsten und produktivsten Banken-Trojaner, der in verschiedenen Varianten seit mindestens 2012 kursiert und zuvor als Feodo (AKA Cridex, Bugat) in Erscheinung getreten ist. Es handelt sich um eine schwer fassbare, sogenannte evasive Malware, die E-Banking-Zugangsdaten und andere sensible Informationen stiehlt.

    Die Command-and-Control-Server-(C2)-Infrastruktur ist ausgesprochen robust. Die Server fungieren dabei untereinander als Backup. Fällt einer der Server aus, wird eine Verbindung mit dem nächsten in der Reihe hergestellt, so dass Dridex die gestohlenen Daten auch tatsächlich abziehen kann.

    Dridex wird am häufigsten über Phishing-E-Mails verbreitet, die Microsoft Office-Dokumente mit bösartigen Makros enthalten. Dridex wird außerdem ständig mit neuen Funktionen aktualisiert, die verhindern sollen, dass die Malware analysiert werden kann.

    Dridex wird größtenteils von Evil Corp betrieben, einer der finanzstärksten Cybercrime-Gruppierungen, die bereits seit mehr als einem Jahrzehnt aktiv ist. Einer ihrer bekanntesten Verbündeten ist TA505, ebenfalls eine finanziell motivierte Gruppe, die Dridex seit 2014 vertreibt. TA505 setzt bekanntermaßen weitere Malware wie etwa SDBOT, Servhelper und FlawedAmmyy sowie die C LOP-Ransomware ein.

    Quelle: Amazon-Geschenkkarte mit Banking-Trojaner Dridex | ZDNet.de
  • Sparkasse, ING-DiBa und Co.: Verbraucherzentrale warnt vor Phishing-Angriffen

    Die Verbraucherzentrale NRW warnt derzeit eindringlich vor dreisten Phishing-Versuchen bei Bankkunden der Sparkasse und der ING-DiBa. Kriminelle versuchen hierbei an sensible Bankdaten der Kunden zu kommen. Was Sie jetzt wissen sollten, erfahren Sie hier.

    Phishing-Betrüger richten ihren Fokus derzeit wieder vermehrt auf Bankkunden aus. Wie die Verbraucherzentrale NRW schreibt, sind momentan Phishing-Mails im Namen der Sparkasse und der ING-DiBa im Umlauf, mit denen Kriminelle sich Zugriff auf die Bankdaten der Kunden verschaffen wollen.

    Sparkassen-Kunden erhalten dabei eine Mail, die offenbar zumeist den Betreff "Kundeninformationen" oder "Wichtige Mitteilung" enthält. Die Empfänger sollen dabei über einen in der Nachricht enthaltenen Link manuell ihre Daten bestätigen, da dies angeblich wegen "geänderten Geschäftsbedingungen" oder "neuen EU-Zahlungsrichtlinien" nötig sei.

    ING-DiBa: Kunden werden in Betrugs-Mails ebenfalls zur Dateneingabe gedrängt
    Auch Kunden der ING-DiBa berichten derzeit vermehrt über angebliche Mails des Bankinstituts mit dem Betreff "Aktualisieren Sie Ihr MobileBanking-to-go". Darin ist zu lesen, dass bei einer Routineuntersuchung angeblich Unstimmigkeiten bezüglich der Bankdaten erkannt wurden. Analog zu den Phishing-Versuchen bei Sparkassen-Kunden werden Empfänger darum gebeten, einen Link in der Mail anzuklicken und in Folge ihre Daten zu aktualisieren.

    Die Betrüger behaupten dabei, dass das Konto ansonsten gesperrt bleiben würde - eine typische Drohung von Cyberkriminellen, um Nutzer zur Dateneingabe zu drängen.

    In beiden Fällen sollten Empfänger der E-Mails keinesfalls auf den Link klicken und folglich auch ihre Daten für sich behalten - ignorieren Sie die Mails am besten und verschieben Sie sie im besten Fall in den Spam-Ordner.

    Phishing-Mails und Co.: So erkennen Sie die Betrugsversuche
    Phishing-Mails, mit denen Betrüger an Daten oder Geld von Nutzern kommen wollen, gehören im Internet leider noch immer zum Alltag. Grundsätzlich sollten Nutzer bei empfangenen Mails immer genau hinsehen: Häufig ist bereits anhand der E-Mail-Adresse des Absenders ersichtlich, dass es sich nicht um eine offizielle Mail der Konzerne handelt - besonderes Augenmerk sollte dabei auf der Endung liegen. Ist diese nicht beispielsweise "@sparkasse.de", "@amazon.com" oder ähnliches, ist die Wahrscheinlichkeit hoch, dass es sich um einen Betrugsversuch handelt.

    Außerdem wichtig: Konzerne werden Sie nie in E-Mails darum beten, Ihre Daten händisch in ein externes Formular einzugeben. Empfangen Sie eine Mail mit einem derartigen Link, sollten Sie daher auch von einem Klick absehen, da bereits hier Gefahr drohen kann. Auch an der URL dieses Links lässt sich im Übrigen oft schon erkennen, ob es sich um eine offizielle Mitteilung der Konzerne handelt.

    Woran Sie Phishing-Mails sonst noch schnell erkennen können, haben wir unter praxistipps.chip.de/phishing-m…en-die-besten-tipps_28497 für Sie zusammengefasst.

    Quelle: Sparkasse, ING-DiBa und Co.: Verbraucherzentrale warnt vor Phishing-Angriffen - CHIP