Fake-Mails / Fake-SMS (Sammelthema)

  • TIPP

  • HotPi
  • 7748 Aufrufe 54 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • "Hör mir besser zu!!!": Bitcoin-Erpressermails mit Bombendrohungen

    Das Landeskriminalamt warnt vor der Zunahme von Erpressermails, in denen Bombendrohungen ausgesprochen werden. Es gab bereits Evakuierungen.

    Seit Kurzem kursieren bundesweit vermehrt E-Mails mit Bombendrohungen. Besonders Unternehmen und Behörden scheinen Ziel der Erpresser zu sein, es hat sogar schon Evakuierungen gegeben. Sie fordern Bitcoins in Höhe von mehreren tausend Euro, die innerhalb von 80 Stunden bezahlt werden müssen. Das Landeskriminalamt Niedersachsen bestätigte gegenüber heise Security, dass es seit voriger Woche eine Welle solcher Bombendrohungen beobachte.

    Außerdem nehmen derzeit anscheinend auch die eher bekannten Erpressermails zu, in denen es heißt, eine Unternehmenswebseite sei gehackt worden oder anderweitig heikles Material gefunden, was ausgenutzt werde, sollte eine bestimmte Summe nicht bezahlt werden.

    Besser nicht zuhören
    Die E-Mails mit den Bombendrohungen haben laut der Polizei Heidekreis, die eine allgemeine Warnung ausgegeben haben, den Betreff: "Hör mir besser zu!!!" In den Nachrichten wird dann erklärt, es sei eine Bombe in dem Gebäude platziert worden, in dem das angeschriebene Unternehmen sitzt. Polizeiliche Maßnahmen würden dazu führen, dass sie sofort detoniert, da das Haus kontrolliert werde. Zu verhindern sei die Explosion nur, indem mehrere tausend Euro in Bitcoin an eine BTC-Adresse bezahlt würden. Ähnliche Mails soll es auch in englischer Sprache geben. Der Inhalt ähnelt laut Polizei Erpresserschreiben, die bereits im Mai umhergingen. Sie warnt, nicht zu zahlen und auch keinen Kontakt zu den Versendern aufzunehmen.

    In Bayern evakuierte die Polizei bereits eine Bäckerei und ein Gebäude, in dem mehrere Organisationen sitzen, die ebensolche E-Mails bekamen. Einsatzkräfte rückten mit Spürhunden an und sicherten die Umgebung, berichtet die Tageszeitung Merkur. Gefunden wurde nichts.

    Häufung von Drohmails
    Im Fall der Erpressermails sind die Drohungen unterschiedlicher: Mal wird behauptet, Zugriff auf Computer, dann wiederum auf Mailkonten oder die Webcam zu haben. Teilweise heißt es auch, Webseiten seien gehackt worden, nachdem Sicherheitslücken gefunden wurden. Die Erklärungen, wie die Täter vorgegangen seien, sind recht ausführlich und können für Laien schnell real wirken. In Einzelfällen soll es laut Polizei auch tatsächlich Zugriffe gegeben haben. Das Drohszenario der Erpresser: "Wir sind bereit, den Ruf Ihrer Website gegen eine geringe Gebühr nicht zu zerstören." Sogleich ist auch direkt ein Link dazu enthalten, wie Bitcoins erhältlich sind.

    Auch auf der Bitcoin-Missbrauchs-Meldeseite Bitcoinabuse.com lässt sich kontrollieren, ob Absender beziehungsweise Empfänger seriös sind. Dort haben bereits einige Betroffene erhaltene Erpressermails gemeldet. Die bekannte Empfängeradresse hat demnach bisher kein Geld erhalten.

    Quelle: "Hör mir besser zu!!!": Bitcoin-Erpressermails mit Bombendrohungen | heise online
  • Manipulierte Excel-Dateien in Phishing-Mails

    Eine neu entdeckte Malware-Bande benutzt einen cleveren Trick, um bösartige Excel-Dateien zu erstellen, die eine höhere Chance haben, Sicherheitssysteme zu umgehen.

    Die von Sicherheitsforschern der NVISO Labs entdeckte Malware-Bande – die sie Epic Manchego nannten – ist seit Juni aktiv und zielt mit Phishing-E-Mails, die ein bösartiges Excel-Dokument enthalten, auf Unternehmen in der ganzen Welt ab.

    Laut NVISO sind das aber Standard-Excel-Tabellen. Die bösartigen Excel-Dateien umgingen Sicherheitsscanner und hatten niedrige Erkennungsraten. Laut NVISO lag dies daran, dass die Dokumente nicht mit der Standard-Software Microsoft Office, sondern mit einer .NET-Bibliothek namens EPPlus erstellt wurden.

    Entwickler verwenden diesen Bibliotheksteil ihrer Anwendungen in der Regel, um die Funktionen „Als Excel exportieren“ oder „Als Tabellenkalkulation speichern“ hinzuzufügen. Die Bibliothek kann zur Generierung von Dateien in einer Vielzahl von Tabellenkalkulationsformaten verwendet werden und unterstützt sogar Excel 2019.

    NVISO sagt, dass die Epic Manchego-Bande offenbar EPPlus verwendet hat, um Tabellenkalkulationsdateien im Office Open XML (OOXML)-Format zu erzeugen.

    Den von Epic Manchego erzeugten OOXML-Tabellenkalkulationsdateien fehlte ein Teil des kompilierten VBA-Codes, der spezifisch für Excel-Dokumente ist, die in der proprietären Office-Software von Microsoft kompiliert wurden.

    Einige Antiviren-Produkte und E-Mail-Scanner suchen speziell nach diesem Teil des VBA-Codes, um nach möglichen Anzeichen für bösartige Excel-Dokumente zu suchen, was erklären würde, warum von der Epic Manchego-Bande erstellte Tabellenkalkulationen niedrigere Erkennungsraten hatten als andere bösartige Excel-Dateien.

    Die kompilierten VBA-Codes sind normalerweise der Ort, an dem der bösartige Code eines Angreifers gespeichert wird. Das bedeutet jedoch nicht, dass die Dateien sauber waren.

    NVISO sagt, dass die Epic Manchego-Bande ihren bösartigen Code einfach in einem benutzerdefinierten VBA-Codeformat speicherte, das ebenfalls kennwortgeschützt war, um Sicherheitssysteme und Forscher daran zu hindern, seinen Inhalt zu analysieren.

    Doch obwohl sie ihre bösartigen Excel-Dokumente mit einer anderen Methode erzeugten, funktionierten die EPPlus-basierten Tabellenkalkulationsdateien nach wie vor wie jedes andere Excel-Dokument.

    Die bösartigen Excel-Dokumente (auch Maldocs genannt) enthalt ein bösartiges Makroskript. Wenn Benutzer, die die Excel-Dateien öffneten, die Ausführung des Skripts erlaubten (indem sie auf die Schaltfläche „Bearbeitung aktivieren“ klickten), würden die Makros Malware herunterladen und auf den Systemen der Opfer installieren.

    Die endgültigen Nutzlasten waren klassische Infostealer-Trojaner wie Azorult, AgentTesla, Formbook, Matiex und njRat, die Passwörter aus den Browsern, E-Mails und FTP-Clients der Benutzer ausspielten und an die Server von Epic Machengo schickten.

    Die Entscheidung, EPPlus für die Generierung ihrer bösartigen Excel-Dateien zu verwenden, mag zwar einige Vorteile gehabt haben, aber am Anfang hat sie Epic Manchego auf lange Sicht auch geschadet, da sie es dem NVISO-Team ermöglichte, alle ihre früheren Operationen sehr leicht aufzuspüren, indem es nach merkwürdig aussehenden Excel-Dokumenten suchte.

    Am Ende sagte NVISO, es habe mehr als 200 bösartige Excel-Dateien entdeckt, die mit der Epischen Manchego in Verbindung stehen, wobei die erste auf den 22. Juni dieses Jahres zurückgeht.

    Laut NVISO scheint diese Gruppe mit dieser Technik zu experimentieren, und seit den ersten Angriffen haben sie sowohl ihre Aktivität als auch die Ausgereiftheit ihrer Angriffe erhöht, was darauf hindeutet, dass dies in Zukunft eine breitere Anwendung finden könnte.

    Dennoch waren die NVISO-Forscher nicht völlig überrascht, dass Malware-Gruppen jetzt EPPlus verwenden. „Wir sind mit dieser .NET-Bibliothek vertraut, da wir sie seit einigen Jahren zur Erstellung bösartiger Dokumente („Maldocs“) für unser rotes Team und unsere Penetrationstester verwenden“, so das Unternehmen.

    Quelle: Manipulierte Excel-Dateien in Phishing-Mails | ZDNet.de
  • Polizei warnt: Mails zum Corona-Schutz verbreiten Malware

    Cybergangster verschicken derzeit Mails, in denen es angeblich um den Schutz vor Corona geht. Doch stattdessen kommt Malware.

    Das Landeskriminalamt Niedersachsen warnt vor Mails mit Schadsoftware, die erneut die Coronakrise beziehungsweise die Covid-19-Pandemie zur Verbreitung nutzen. Diese Mails sollen sich seit einigen Tagen verstärkt verbreiten, wie die Polizei betont.

    Die Mails geben vor, vom Bundesministerium für Gesundheit zu stammen. Als Absenderadresse wird genannt: poststelle@bundesministerium-gesundheit.com. Den Inhalt der durchaus sorgfältig formulierten Mail können Sie hier nachlesen.

    Die an die Mail angehängte Datei beschreibt angeblich neue Coronaschutzregeln für den Arbeitsplatz. Zudem werden die Empfänger dazu aufgefordert, das angehängte Dokument allen Mitarbeitern im Betrieb zugänglich zu machen. Vorsicht: Dadurch würde die Malware also weiter im Unternehmen verbreitet!

    Denn eine Datei namens Arbeitsschutzregel-Corona-September.pdf.js ist in einer ZIP-Datei mit dem Namen Bund-Arbeitsschutzregel-Corona-September-1.zip an die Mail angehängt. Es handelt sich hierbei um den Downloader für eine Schadsoftware!

    Wichtig: Klicken Sie das ZIP-Archiv nicht an, sondern löschen Sie die Mail.
    Sollten Sie die Datei bereits geöffnet haben, lassen Sie Ihren PC mit einer Antiviren-Software untersuchen. Erstatten Sie Anzeige bei der Polizei, am einfachsten über Ihre zuständige Onlinewache.

    In der Vergangenheit haben Cybergangster immer wieder die Coronakrise für Angriffe, vor allem auch auf Unternehmen, ausgenutzt. Einen Überblick zu diesen kriminellen Machenschaften geben wir hier: Polizei warnt - immer neue Betrugsmaschen mit Coronavirus.

    Quelle: Polizei warnt: Mails zum Corona-Schutz verbreiten Malware - PC-WELT
  • Phishing 09.10.2020, 11:00 Uhr
    Vorsicht: KaPo Zürich warnt vor betrügerischen E-Mails im Namen von PayPal
    Die Kantonspolizei Zürich warnt vor einer Spam-Welle im Namen von PayPal. Die Cyberkriminellen versuchen, an Ihre Login-Daten und schlussendlich an die Kreditkartendaten zu gelangen.

    Die Kantonspolizei Zürich (KaPo Zürich) warnt vor E-Mails, die angeblich von PayPal stammen. Die Cyberkriminellen versuchen, an die Login-Daten für das Onlineportal zu gelangen und schlussendlich die Kreditkarteninformationen zu ergattern.
    WARNUNG - E-Mail angeblich im Namen von PayPal im Umlauf

    Betrüger verschicken massenhaft E-Mails angeblich im Namen von PayPal. Das Ziel der Betrüger ist, die Login-Daten zum Onlineportal und anschliessend die Kreditkartendaten zu ergaunern.#Cybercrime Cybercrimepolice - E-Mail angeblich von PayPal betr. Zahlungsbestätigung pic.twitter.com/aGiDY6cjN2
    — Kantonspolizei Zürich (@KapoZuerich) October 7, 2020
    [/quote]In der falschen PayPal-E-Mail geht es angeblich um eine Zahlungsbestätigung, beispielsweise von der Avira Holding GmbH & Co. KG, etc., wie die KaPo Zürich auf ihrer Webseite cybercrimepolice.ch weiter ausführt.

    Da keine derartige Zahlung getätigt wurde und den Empfängern nur eine knappe Frist von ein bis zwei Arbeitstagen eingeräumt wird, bis die Zahlung ausgelöst wird, sollen potenzielle Opfer dazu verleitet werden, zwecks Stornierung auf einen Link zu klicken.
    Nach Angaben der KaPo Zürich wird bei einem Phishingmaschen-Erfolg sofort eine Kreditkartenbelastung ausgelöst.

    PCtipp rät: Ignorieren Sie die E-Mail, markieren Sie diese als Spam und klicken Sie keinesfalls auf einen enthaltenen Link. Falls Sie bereits Daten eingegeben haben: Kontaktieren Sie Ihr Kreditkartenunternehmen und lassen Sie die Karte sperren. Vereinbaren Sie zudem telefonisch bei Ihrer örtlichen Polizeistelle einen Termin und erstatten Sie Strafanzeige.


    Autor(in)

    Claudia Maag


    Quelle: Vorsicht: KaPo Zürich warnt vor betrügerischen E-Mails im Namen von PayPal - pctipp.ch
  • Corona-Phishing: EU-Kommission warnt vor falschen Anträgen

    Vorsicht: Mit gefälschten Antragsformularen für Corona-Überbrückungshilfen wollen Cybergangster Daten von kleinen und mittelständischen Unternehmen "abphishen".

    Die Vertretung der Europäischen Kommission in Deutschland warnt vor einer aktuellen Phishing-Kampagne, die auf kleine und mittelständische Unternehmen (KMU) abzielt. Unter dem Vorwand eines Antragsformulars für Corona-Überbrückungshilfen, die angeblich vom Europäischen Rat und vom Bund gemeinsam angeboten werden, sollen die KMU offenbar dazu gebracht werden, vertrauliche Daten preiszugeben. Die Kommisionsvertretung hat Anzeige bei der Polizei erstattet.

    Die Betrugsmail werde unter dem erfundenen Namen des angeblichen Sprechers der Europäischen Kommission in Deutschland, "Svetla Bobeva", von der Domain ec-europa.eu versandt, heißt es in einer Mitteilung der Kommisionsvertretung. Dies sei jedoch nicht die Domain der Europäischen Kommission, sondern lediglich ein Täuschungsversuch: "Es wurden keine E-Mail-Konten der Europäischen Kommission gehackt."

    Soforthilfen derzeit beliebter Vorwand
    Die Kommisionsvertretung rät Empfängern der E-Mail, nicht auf diese zu reagieren und auch den Anhang nicht zu öffnen. Ob dieser tatsächlich "nur" ein Formular für den Datenklau oder möglicherweise auch Schadcode enthält, geht aus der Mitteilung nicht klar hervor; der Phishing-Versuch habe "vermutlich" das Abgreifen von Daten zum Ziel, heißt es dort.

    Phishing-Versuche und speziell präparierte Websites mit angeblichen Corona-Soforthilfen sind seit Beginn der Pandemie ein großes Thema. Das Bundeskriminalamt stufte diese Taktik in einer kürzlich veröffentlichten "Sonderauswertung Cybercrime in Zeiten der Corona-Pandemie" als eine der vorrangigen Corona-spezifischen IT-Bedrohungen ein.

    Auch der Kommisionsvertreung ist die Taktik nicht neu: Bereits im Juli dieses Jahres sei eine fast wortgleiche Phishing-Mail versandt worden, wobei die Kriminellen den Namen von Reinhard Hönighaus, Sprecher der Europäischen Kommission in Deutschland, verwendet hätten.

    Quelle: Corona-Phishing: EU-Kommission warnt vor falschen Anträgen | heise online