Aktuelle Warnmeldungen

Gehen Sie lieber auf Nummer Sicher!

Auf dieser Seite informieren wir Sie über aktuelle Warnmeldungen zum Thema Phishing im Internet. Diese Meldungen werden uns von verschiedenen Partnern zur Verfügung gestellt  

Diese Hinweise sind nur ein Auszug aus den wichtigsten Meldungen, daher übernehmen wir keine Gewähr auf Vollständigkeit. Bitte schreiben Sie uns eine Mail, wenn Ihnen weitere wichtige Warnmeldungen bekannt sind, welche wir noch nicht veröffentlicht haben.

So erkennen Sie Phishing-Mails und Trojaner

Phishing-Mails

Mit Phishing-Mails versuchen Betrüger, Sie per E-Mail unter falschem Vorwand zu einer Überweisung, zur Angabe Ihrer Zugangsdaten zum Online-Banking oder zur Preisgabe Ihrer Kreditkartendaten zu verleiten. Es gibt viele Varianten – eines haben sie aber alle gemeinsam: Sie nutzen Vorwände, gefälschte Absenderadressen, Webseiten und Eingabemasken, die zum Beispiel einer Banking-Anwendung oder einer vertrauten Händlerseite täuschend ähnlich sehen. Hier einige Beispiele für Inhalte von Phishing-Mails:

  • Sie werden aufgefordert, Software oder Bankdaten zu aktualisieren.
  • Sie werden in einer Phishing-Mail vor Phishing-Mails gewarnt.
  • Sie erhalten eine gefälschte Mahnung – zum Beispiel für Ihre Telefon- oder GEZ-Rechnung.
  • Sie erhalten eine E-Mail mit einem angehängten Dokument, das Sie prüfen sollen oder mit einem Formular, das Sie ausfüllen sollen, und das ein ungewöhnliches Dateiformat aufweist (.EXE, .SCR, .CMS …).
  • Sie werden fälschlich darauf hingewiesen, dass Ihre Kreditkarte oder girocard (Debitkarte) angeblich abgelaufen sei.
  • Sie werden aufgefordert, Ihr Passwort zu erneuern.
  • Sie sollen Daten für Umfragen oder Gewinnspiele bestätigen.

Vorgehensweise mit Trojanern

Betrüger arbeiten häufig mit schädlicher Software (Malware-Programmen), so genannten "Trojanern". Diese Schadsoftware "überblendet" die Webseite des Online-Bankings mit eigenen Inhalten, die dem tatsächlichen Design der Bank entsprechen. Dort wird zur Eingabe einer TAN oder zur Übermittlung der Mobilfunknummer aufgefordert, zum Beispiel in Verbindung mit der Installation einer Software auf Ihrem Mobiltelefon. In der Annahme, auf der korrekten Online-Banking-Plattform seiner Bank zu sein, gibt der Empfänger dann dort seine Daten ein.

Hotline für Sicherheitsfragen

Bei Fragen zur Sicherheit Ihres Online-Bankings rufen Sie diese kostenfreie Nummer an:

0800 5053 111.

Unter dieser Nummer können Sie sich auch melden, wenn Sie einen Betrugsverdacht hegen – zum Beispiel einen Fall von Phishing. Ihr Anruf wird täglich in der Zeit von 8 bis 24 Uhr entgegengenommen.

Bei Verdacht Kreditkarte sofort sperren

Sollten Sie

  • Ihre Kreditkartendaten versehentlich preisgegeben haben,
  • ungewöhnliches Verhalten Ihres Computers bei der Eingabe von Kartendaten bemerken,
  • nicht getätigte Umsätze auf Ihrem Mobiltelefon zur Freigabe angezeigt bekommen,
  • in Ihren Kartenumsätzen ungewöhnliche bzw. nicht getätigte Umsätze bemerken,

 

lassen Sie Ihre Kreditkarte unverzüglich sperren. Rufen Sie die Sperrannahme unter + 49 721 1209 66001  an. Die Sperrannahme ist rund um die Uhr für Sie da.

So schützen Sie Ihren Computer, Ihr Tablet und Smartphone vor Viren & Co

Verständlich erklärt: Sicherheit im Internet

So geben Sie Phishing-Attacken keine Chance

  • Pflegen Sie Ihre Software und Ihren Browser regelmäßig mit aktuellen Updates. Als Hilfestellung nutzen Sie hierzu den VR-ComputerCheck, den Sie über den Link unten erreichen. Halten Sie das Betriebssystem Ihres Geräts immer auf dem aktuellen Stand.
  • Beziehen Sie Ihre Apps nur aus sicheren und vertrauenswürdigen Quellen, zum Beispiel aus dem iTunes Store oder dem GooglePlay Store. Verwenden Sie stets die aktuelle Version der jeweiligen App.
  • Achten Sie auf die Herstellerbezeichnung bei den Apps, zum Beispiel "Fiducia & GAD IT AG" für VR-SecureGo bzw. VR-SecureSIGN.
  • Halten Sie Ihre Antivirenprogramme und Ihre Personal Firewall immer auf dem neuesten Stand.
  • Klicken Sie keine Links zu Webseiten in Ihren E-Mails an, sondern geben Sie die URLs in Ihren Webbrowser ein.
  • Öffnen Sie keine E-Mails, SMS oder Nachrichten von unbekannten Absendern. Klicken Sie niemals auf Links bzw. öffnen Sie keine Anhänge, die in solchen E-Mails, SMS bzw. Nachrichten angeboten werden.
  • Banken oder entsprechende Institute fordern Sie niemals auf, Ihre Authentifikationsdaten preiszugeben. Wenn Sie sich unsicher sind, fragen Sie bei Ihrer Volksbank Sulmtal eG nach.
  • Auch Ihnen vertraute Online-Händler werden Sie nie per E-Mail zur Eingabe Ihrer Kreditkartendaten auffordern, zum Beispiel unter dem Vorwand eines erforderlichen Datenabgleichs oder der Einführung neuer Sicherheitsverfahren.
  • Wenn Sie Zweifel haben, ob die E-Mail, SMS oder Nachricht eines Ihnen vertrauten Dienstleisters wirklich von diesem stammt, rufen Sie dessen Webseite durch direkte Adresseingabe in der URL-Zeile Ihres Browsers auf und nicht durch Anklicken eines Links in der E-Mail bzw. SMS. Schauen Sie dort nach entsprechenden Mitteilungen.
  • Achten Sie auch in E-Mails von Ihnen scheinbar vertrauten Absendern auf Rechtschreibfehler und unnatürlich wirkende Formulierungen sowie ausländische Sonderzeichen. Es handelt sich dabei oft um Phishing-Versuche.
  • Kontrollieren Sie regelmäßig Ihre Kontoauszüge und informieren Sie bei Unregelmäßigkeiten sofort Ihre kontoführende Bank.
  • Sperren Sie Ihren Online-Banking-Zugang bzw. Ihre Kreditkarte sofort, wenn Ihnen etwas verdächtig vorkommt.
  • Stellen Sie eine Internetverbindung nur über vertrauenswürdige Netze her, insbesondere bei unbekannten Netzwerken wie zum Beispiel öffentlichen WLANs.
  • Geben Sie Passwörter nur unbeobachtet ein.
  • Informieren Sie sich über aktuelle Phishing-Angriffe über unsere Seite "Phishing-Warnungen", die Sie über den Link unten erreichen.

Die wichtigste Regel: Mit Genauigkeit und Sorgfalt vorgehen

Eine der wichtigsten Regeln beim Online-Banking und beim Online-Einkauf lautet: Gehen Sie mit Genauigkeit und Sorgfalt vor. Wenn Sie Ihre Angaben auf den Überweisungsformularen und die Inhalte von Bestätigungsnachrichten genau überprüfen, bevor Sie sie bestätigen, erschweren Sie den Betrügern den Erfolg erheblich.

  • Überprüfen Sie vor Eingabe einer TAN immer die angezeigten Werte im Display Ihres TAN-Generators oder in der empfangenen SMS bzw. in der TAN-App. Weichen diese Werte von denen der Originalrechnung ab, brechen Sie den Vorgang ab.
  • Es wird immer die Transaktion ausgeführt, deren Werte im TAN-Generator bzw. im Mobiltelefon erscheinen, und nicht die angezeigte, möglicherweise manipulierte Transaktion auf dem Bildschirm des Computers bzw. Smartphones.

Hinweise zum Passwort

Ihr Passwort muss mindestens acht Zeichen lang sein. Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen bestehen. Verwenden Sie niemals dasselbe Passwort für mehrere Zugänge. Ändern Sie das Passwort in regelmäßigen Abständen.

Hinweise zur Nutzung eines Endgeräts

Ihre Volksbank Sulmtal eG möchte Ihnen stets den bestmöglichen Schutz für Ihr Online-Banking bieten. Die TAN-App VR-SecureGo bzw. VR-SecureSIGN verwendet deshalb eine Sicherheitskomponente, durch die Angriffe deutlich erschwert werden. Bitte bedenken Sie, dass wegen eines möglichen Befalls beispielsweise durch einen Trojaner die gleichzeitige Verwendung einer Online-Banking-App wie zum Beispiel der VR-BankingApp und der VR-SecureGo-App bzw. VR-SecureSIGN-App auf dem gleichen Gerät ein höheres Risiko darstellt als die Nutzung zweier verschiedener bzw. voneinander getrennter Geräte beim Online-Banking.


Aktuelle Warnmeldungen

Voice Phishing

Täter rufen angeblich im Namen der Bank bei deren Kunden an. Ziel ist es, Kundendaten abzugleichen.

Angebliche Bankmitarbeiter kontaktieren Bankkunden aufgrund angeblicher Neuerungen. Diese würden es erforderlich machen, die persönlichen Daten der Kunden abzugleichen.
Im Falle dessen, dass die Kunden misstrauisch werden und die Daten nicht am Telefon verifizieren wollen, gäbe es auch eine Website mit einem Formular zum Download. Dort müssten dann sämtliche persönliche Daten angegeben werden, so ein Anrufer. Ein Gang zur Bankfiliale sei nicht notwendig.


Weiterführende Informationen:
Wikipedia: Vishing

Handlungshinweise:
- Der VR-NetKey sollte umgehend gesperrt werden.
- Der Schadensfall sollte im BSV-Prozess erfasst werden.
- Die Auslösung des Zahlungsrückrufs kann innerhalb des BSV-Prozesses initiiert werden, da  die SEPA-Begründung "FRAD" angewendet werden kann.
- Wurde der Schadensfall durch einen Smartphone-Trojaner [MOBTRO] unterstützt, bitten wir im BSV Prozess beide Kategorien anzugeben.
- Der Kunde sollte den Schaden bei der Polizei anzeigen.

Erpressungsversuche per Mail

Erpressungsversuche per Mail

Online-Erpresser behaupten, die Empfänger ihrer Mails beim Surfen auf Pornoseiten gefilmt zu haben. Als Beweis dafür geben sie ein Passwort des Empfängers an.

Derzeit werden vermehrt E-Mails verschickt, in denen von Kriminellen behauptet wird, dass der jeweilige Empfänger beim Besuch einer Pornoseite mit Schadsoftware infiziert wurde. Sie belegen ihre angebliche Tat, indem sie unter anderem im Betreff der Mail ein echtes Passwort nennen, das der Empfänger der Mail eingesetzt hat. Als Quelle der Passwörter dienten den Hackern vermutlich große Datenbanken, die zum Beispiel beim Hack von Foren und Onlineshops (sogenannten Data-Breaches) gewonnen werden konnten.

Aktuelle Phishingangriffe mit der Masche "Demokonto"Reiter

Uns wurden unterschiedliche Phishingangriffe auf Konten von Volks- und Raiffeisenbankenkunden gemeldet, bei denen der Vorwand eine "Demoüberweisung" ist.

Bei einer der uns gemeldeten Angriffsmaschen werden allgemein angeblich auftretende Betrugsfälle als Vorwand genutzt:

In einem anderen Fall werden angebliche Probleme mit Meltdown und Spectre als Grund für die durchzuführende Demoüberweisung aufgeführt:

"Achtung!
Aufgrund von entstehenden Sicherheitslücken von Meltdown und Spectre in den Prozessoren Intel, AMD und ARM führt unsere Bank als erste einen neuen Verschlüsselungsalgorithmus für Banküberweisungen ein. Um sicherzustellen, dass die erforderlichen Updates installiert sind bzw., dass Ihr Browser die neue Version des Verschlüsselungsalgorithmus unterstützt, ist es erforderlich, dass Sie zum Demo-Account übergehen, wo Ihnen angeboten wird, eine Testüberweisung mit einer verbindlichen Eingabe der Transaktionsnummer (TAN) zu tätigen.
Der Zugang zum Online-Banking bleibt eingeschränkt bis die erforderliche Verifizierung fertig ist"

Derzeit wird der Online-Banking-Trojaner "Trickbot" verstärkt verteilt. Uns liegen noch keine verbindlichen Hinweise darauf vor, dass die hier beschriebenen "Demo-Überweisungsmaschen" von "Trickbot" verwendet werden, jedoch ist ein Zusammenhang wahrscheinlich. Daher ist damit zu rechnen, dass die Masche in nächster Zeit verstärkt auftreten wird.

Phishing-SMS fordert Empfänger zur Eingabe von Daten auf

Seit heute werden SMS verschickt, in denen die Empfänger aufgefordert werden, eine Phishingseite zu besuchen. Hier werden Login, IBAN und Handynummer abgegriffen.

Der hier verwendete Vorwand ist, dass die Daten aufgrund des Geldwäschegesetzes verifiziert werden müssen.

 

 

Wenn man dem Link in der SMS folgt, wird man zunächst aufgefordert, seine IBAN und seine Handynummer einzugeben. Die Seite wird hier noch angeblich im Namen des BVR publiziert.

 

 

Nach Eingabe der IBAN und der Handynummer wird einem die vermeintliche Hausbank neben dem Logo der Volks- und Raiffeisenbanken eingeblendet. Hier wird man nun aufgefordert, VR-NetKey und PIN einzugeben.

 

Nach Eingabe der Daten wird man auf vr.de weitergeleitet.

Auf welchem Weg der zweite Faktor kompromittiert werden soll ist bisher nicht bekannt. Da die Handynummer bekannt ist, wird dem Empfänger möglicherweise später Schadcode auf das Handy gesendet

Aktuelle Webinjects täuschen Demo-Überweisung vor

Eine vergleichbare Masche gab es bereits 2013 (wir berichteten). Aktuell gehen wir davon aus, dass die Manipulation des Browsers in diesem Fall durch den Online-Banking-Trojaner "Dridex" vorgenommen wird.

VR-Phishingmail im Umlauf: Angebliche Reaktion auf Häufung von Betrungsfällen

Unter dem Vorwand, als Sicherheitsmaßnahme auf eine aktuelle Häufung von Betrugsfällen zu reagieren, versenden Betrüger aktuell wieder Mails, über die man seine Kundendaten aktualisieren soll.

Es sind aktuell noch weitere Mails im Umlauf, die in der Art der Masche aber alle ähnlich sind.

Bisher liegt uns von der Masche nur ein Screenshot vor. Vermutet wird wie bisher auch das Abphishen sämtlicher nützlicher Kundendaten, ggf. in Kombination mit der Verteilung von Android-Schadcode für zum mobileTAN-Verfahren genutzte Smartphones

Phishingseite fragt umfangreich Daten ab

Phishingseite fragt umfangreich Daten ab

Der Fiducia & GAD wurde eine Phishingseite gemeldet, auf der wieder umfangreich Daten abgefragt werden. Die Seite unterscheidet sich zudem optisch von bisherigen Maschen.

Auf der Seite werden neben den Logindaten, der Mobilfunknummer und der BLZ auch Daten ggf. zur weichen Legitimierung abgefragt, wie Geburtsdatum, Geburtsort und EC-Kartennummer. Die Mailmasche zur Verbreitung des Links auf derartige Seiten ist bisher unbekannt. Aufgrund der Abfrage der Daten, die zur weichen Legitimierung genutzt werden können, besteht die Möglichkeit von Betrugsversuchen via Telefonbanking.

Notwendige Prüfung wegen Zahlungsdiensterichtlinie

In einer neuen Phishingmail wird eine angeblich notwendige Prüfung auf Grundlage der PSD suggeriert.

Entsprechende Mails mit Verweis auf PSD befinden sich aktuell wieder in Umlauf.

Aktuell ist davon auszugehen, dass die Mails der seit September 2016 laufenden Masche zuzuordnen sind.

VR Mobile Check

In einer uns heute zugestellten Phishingmail soll der Empfänger aufgrund angeblicher Sicherheitsprobleme mit dem Smartphone "VR Mobile Check" installieren. Daneben werden wie bisher auch personenbezogene Daten abgephisht.

Bisher wurden die Besucher der Seite mit der angeblichen VR-Verify-App konfrontiert. Diese wurde teilweise auch in Phishingmails propagiert. Nun wird als neuer Vorwand eine angebliche VR Mobile Check App herangezogen.

Aktuell wird die "App" geprüft. Erkenntnisse hierzu werden wir an dieser Stelle veröffentlichen.

Neue Masche: Betrüger ruft direkt beim Kunden an

Der Fiducia & GAD wurde eine neue Betrugsmasche gemeldet. Hierbei wurden Bankkunden direkt von einem Betrüger angerufen. Der Betrüger gab sich als Bankmitarbeiter aus und forderte die Kunden auf, bestimmte Einstellungen auf seinem Handy vorzunehmen und danach etwas aus einer SMS zu installieren.

Dem Betrüger liegen zum Zeitpunkt des Anrufs bereits Kundendaten vor. Ob diese via Trojaner oder Phishing (z. B. über diese Masche) abgegriffen werden ist unklar.

Bereits mehrere Kunden wurden von einem Betrüger mit gespoofter Telefonnummer angerufen, so dass es aussah, als würde der Kunde direkt aus der Bank angerufen. In der Vergangenheit wurden bereits vereinzelt Anrufe bei Kunden mit gespoofter Telefonnummer beobachtet, allerdings wurde in den uns bekannten Fällen immer die Rufnummer einer großen deutschen Sparkasse missbraucht.

Der angebliche Bankmitarbeiter hat durch die Kunden die Einstellungen des Smartphones so ändern lassen, dass Apps von beliebiger Quelle installiert werden können. Im Anschluss wurde eine SMS zugestellt.

Bringt der Betrüger den Bankkunden dazu, auf dem Handy eine vom Betrüger angeforderte Aktion durchzuführen, kann das Handy im Anschluss mit Schadcode infiziert sein. In diesem Fall hat der Betrüger sowohl die Zugangsdaten zum Online-Banking als auch die Kontrolle über den zweiten Kanal.

Wieder Phishingmails mit angeblichem Absender "Volksbank"

Aktuell werden Phishingmails unter dem angeblichen Absender "Volksbank" versandt - Betreff: "OnlineZugriff gesperrt - Handlungsbedarf". Die zugehörige Phishingseite enthält einen Trojaner für Smartphones mit Android.

Inzwischen haben wir eine Phishingmail aus dieser Welle mit mehr Textinhalt erhalten.

Möglicherweise werden die Mails aufgrund der verwendeten Kodierung in manchen Mailclients nicht korrekt dargestellt.

Der hinterlegte Android-Trojaner diente zur Weiterleitung von SMS. Die uns bekannte Phishingseite wurde mittlerweile stillgelegt. Wie immer ist mit weiteren Seiten dieser Art zu rechnen.

Die Phishingmail an sich ist eher schlicht gehalten, zumindest in den uns vorliegenden Versionen enthält sie neben dem Namen des Empfängers lediglich den Text "Online Abgleich: LINK".

Dafür ist die Webseite deutlich professioneller gestaltet. Wie üblich soll man sich mit seinen Benutzerdaten anmelden und Angaben zur eigenen Person machen:

Zu guter Letzt wird den Benutzern von Smartphones mit Android auch noch die angebliche "Verify App" zum Download angeboten. Wir informieren Sie an dieser Stelle, sobald klar ist, um welchen Schadcode es sich hierbei handelt

Wieder Vorwand aktualisierter Bankrichtlinien

Phishingmails Volks- und Raiffeisenbanken: Wieder Vorwand aktualisierter Bankrichtlinien

Erneut sind Phishingmails im Umlauf, die zu einer angebliche Verifizierung der Kundendaten wegen aktualisierter EU-Bankrichtlinien auffordern. Vergleichbare Mails waren bereits Ende 2016 in Umlauf. Von der aktuellen Masche liegt uns bisher nur ein Screenshot vor, es ist aber davon auszugehen, dass es sich um dieselbe Betrugsmasche handelt.

Phishingmails mit Cashout-Masche via Telefonbanking

Aktuell zeichnet sich ab, dass Betrüger eine bereits seit Längerem laufende Betrugsmasche in einem neuen Rahmen nutzen. Betroffen sind Betrugsversuche via Telefonbanking. An dieser Stelle werden Fakten und Vermutungen zusammengefasst.

[Update 22.12.2016] Nach unserem aktuellen Kenntnisstand wird die Methode nach wie vor aktiv genutzt. Wir erhalten immer wieder Informationen über Betrugsversuche, die zu dem beschriebenen Muster passen.

Wir erhalten seit einiger Zeit Hinweise, dass Betrugsversuche via Telefonbanking spürbar zunehmen. In Kombination mit den Daten aus einer laufenden Phishingwelle geht die Fiducia & GAD aktuell von folgendem Modus Operandi aus:

1.) Der Kunde erhält eine Phishingmail, angeblich von www.vr.de versendet. In den meisten Mails werden die Kunden namentlich angesprochen, in manchen Mails sind sogar weitere persönliche Daten enthalten wie das Geburtsdatum oder die Anschrift. Nicht in jedem Fall waren die Daten aktuell. Vermutlich bedienen die Betrüger sich hier aus Datenpools gehackter Dienstleister.

Beispiel:

 

Die Phishingmails in dieser Form sind nicht neu, bereits seit 2013 wurden ähnliche Mails registriert. Bis Mitte 2016 traten diese Mails jedoch immer nur sehr sporadisch in Erscheinung. Mitte diesen Jahres lief eine vergleichbare Welle erstmals spürbar über mehrere Wochen hinweg.

Seit September 2016 scheint die Masche kontinuierlich zu laufen, es werden regelmäßig Phishingmails an phishmon@fiducia.de gesendet, die der Masche entsprechen. Die Betrüger nutzen hierbei immer wieder andere Vorwände, bisher bekannt sind u. a.

  • Eine Systemumstellung macht die erneute Dateneingabe erforderlich
  • Es wurde ein neues Sicherheitssystem eingeführt
  • Die Bank hat angeblich ein Sicherheitsproblem oder einen ungewöhnlichen Login beim Kunden erkannt
  • Eine neue EU-Verordnung (eIDAS) bzw. neue Bankrichtlinien mache das erneute Prüfen der Daten erforderlich
  • Das VR-Programm "Kenne deinen Kunden" prüfe in regelmäßigen Abständen die Daten
  • Für mobile Endgeräte sei ein neues Sicherheitszertifikat notwendig

Artikel zur seit September laufenden Welle:  

Klickt ein Mailempfänger auf einen der Phishinglinks, wird er auf eine Seite weitergeleitet, die beispielsweise so aussieht:

Inzwischen werden die URLs auf den Seiten oftmals so generiert, dass sie an die alten eBanking-URLs erinnern, z. B.

http://finanzportal.fiducia.de.pxxpepe.entry.rzid.xxxx.trackid.piwikxxxxxxxxxxxxxxxxxxxxxx/test/.x/vr/index.php

Hierbei ist das Muster der Unterverzeichnisse wiederkehrend. Bereits seit 2013 werden die gleichen oder ähnliche Unterordner verwendet, um die Phishingseiten abzulegen. Wir gehen davon aus, dass diese Unterordner auf gehackten Webservern ohne das Wissen der Betreiber abgelegt werden.

Hat der Benutzer sich "erfolgreich" eingeloggt, kommt eine weitere Eingabemaske:

Bei vorherigen Phishingwellen erschien hier die Abfrage zur Kreditkartenverifizierung:

Gibt der Benutzer auch hier seine Daten ein, wird er im Anschluss - wie schon seit 2013 - an www.vr.de weitergeleitet.

Soweit die Fakten.

Da wir seit November vermehrt auf Betrugsversuche in Zusammenhang mit Telefonbanking hingewiesen wurden, bei denen die Betrüger im Besitz der benötigten Informationen waren, gehen wir aktuell von folgender Annahme aus:

Die Betrüger nutzen die abgephishten Daten, um via Telefonbanking folgende Aktionen durchzuführen:

  • Änderung der Limits
  • Hinterlegen einer eigenen Telefonnummer für das mobileTAN-Verfahren (sowohl Zugangsdaten als auch Telefonnummer für TAN unter Kontrolle der Betrüger)
  • Betrügerische Überweisungen

Offenbar werden hier auch gezielt Konten ausgewählt, bei denen ein hohes Guthaben verfügbar ist.

Bereits im September wurde ein Fall bekannt, in dem Betrüger mittels Brief mit gefälschter Unterschrift versucht hatten, einen Wechsel des TAN-Verfahrens umsetzen zu lassen. Ob hier ein Zusammenhang besteht ist nicht klar.

Die hier getroffenen Annahmen würden bedeuten, dass für den beschriebenen Modus Operandi eine Trojanerinfektion eines oder mehrerer Kanäle hinfällig ist, da alleine das Abphishen der Daten zum Erfolg führt. Somit entfallen auch einige Möglichkeiten eines gezielten Abstellens der Masche, da keine C&C-Server-Architektur (Steuerserver für Trojaner) notwendig ist, um die infizierten Geräte zu kontrollieren.

Über das Einsammeln und Zwischenspeichern der abgephishten Daten liegen uns derzeit noch keine Erkenntnisse vor.

Alte Welle, neue Mails: Wieder Datenklau via Phishingmail

Abermals sind Phishingmails im Namen der VR-Banken im Umlauf, die zum Abgreifen von Benutzerdaten dienen. Verwendet wurden die bereits bekannten Vorwände eines neuen Sicherheitssystems und neuer AGBs.

Folgt der Nutzer dem Link, kommt er zu den bekannten Eingabemasken. Im ersten Schritt werden VR-NetKey und PIN abgegriffen, im Anschluss wird der Benutzer aufgefordert, Daten wie Handynummer, EC-Karte oder Geburtsdatum anzugeben.

Malware spioniert PC nach Zahlungsverkehrssoftware aus

In den letzten Wochen wurden vereinzelt Fälle gemeldet, bei denen der PC des Anwenders nach Zahlungsverkehrssoftware ausspioniert wurde. Hinweise auf eine Manipulation der Software gibt es bisher nicht.

Ähnliche Fälle wurden unter Einsatz einer Dridex-Variante in der Schweiz beobachtet. Der Trojaner wird hierbei allerdings nicht für die Manipulation der Zahlungsverkehrssoftware eingesetzt, sondern dient lediglich der Suche entsprechender Anwendungen auf dem Computer.

Im Anschluss nutzen die Betrüger weitere Maschen, beispielsweise geben sie sich als Microsoftmitarbeiter oder Bankmitarbeiter aus und bringen die Benutzer via Social Engineering dazu, Überweisungen zu Gunsten der Betrüger auszuführen. In anderen Fällen wurde weiterer Schadcode auf dem Computer installiert, möglicherweise können unter bestimmten Umständen auch für Überweisungen benötigte Smartphones entsprechend manipuliert werden. Hierzu bekannte Maschen sind beispielsweise angebliche Sicherheitszertifikate, angebliche Apps der Hausbank oder andere Vorwände, unter denen der Benutzer Schadcode auf seinem Smartphone installieren soll.

Bisher gibt es keine Hinweise darauf, dass Dridex oder andere Schädlinge auch die Zahlungsverkehrssoftware direkt angreifen.

Phishingmails im Namen von VR - alte Masche

Derzeit wird eine bekannte Phishingmasche wiederverwendet, um Zugangsdaten zu Konten und ggf. auch Kreditkartendaten abzuphishen. Die Mails werden hierbei im Namen von "VR" verschickt.

Die Masche wird seit 2013 immer wieder eingesetzt und dient dem klassischen Phishing (wir berichteten u. a. hier). In diesem Jahr gab es bereits eine Welle solcher Mails, die über einen ungewöhnlich langen Zeitraum (ca. einen Monat lang) anhielt. Die aktuelle Mail fällt vor allem durch schlechtes Deutsch auf.

Phishingmethoden reloaded

Momentan werden einige bekannte Phishingmethoden recycled. Diese sind unterschiedlich gut zu durchschauen.

Unter anderem werden aktuell wieder Mails verschickt, die angeblich von DHL stammen. In dem uns bekannt gewordenen Fall war die Mail jedoch in sehr schlechtem Deutsch verfasst:
Welcher Schadcode hier versandt wird ist uns aktuell nicht bekannt.
Bei einer anderen Methode wird versucht, den Empfänger der Mail dazu zu bewegen, auf einen Link zu klicken. Die Mails wirken authentisch und sehen aus, als würden sie von einem Filehoster kommen. Bekannt sind aktuell Betrugsversuche im Namen von Dropbox und WeTransfer:
Um den Empfänger dazu zu bewegen auf den Link zu klicken, wird als angeblicher Absender ein beliebiger Name mit der Domain des Empfängers kombiniert, die angebliche Absenderadresse lautet im Falle von Dropbox "no-reply@dropbox.com". Klickt man auf den Link, wird ein zip-Archiv mit infiziertem Javascript-Dateien auf den Rechner geladen. Vermutlich enthalten die Dateien einen Online-Banking-Trojaner. Diese Methode wurde in der Vergangenheit u. a. zum Verbreiten von "geodo" genutzt.
Filehoster wie Dropbox werden seitens Fiducia & GAD für agree-Banken per Default am Webgateway blockiert, allerdings handelt es sich bei den in diesen Mail hinterlegten Links unserer Kenntnis nach größtenteils um gehackte Webserver, so dass hier in den meisten Fällen der Download erfolgreich sein wird.

Weiterhin massive Probleme durch Verschlüsselungstrojaner

Seit Anfang des Jahres hat die Bedrohung durch sogenannte Verschlüsselungstrojaner massiv zugenommen. Neben Microsoft geraten auch andere Betriebssysteme ins Visier der Betrüger, und in immer kürzer werdenden Intervallen treten neue Trojaner auf.

Im Februar berichteten wir über eine stark zunehmende Anzahl von Infektionen, die durch die Verschlüsselungstrojaner TeslaCrypt und Locky verursacht wurden. Inzwischen sind weitere Verschlüsselungstrojaner zunehmend präsent, wie beispielsweise der Trojaner Petya, vor dem heise in einem aktuellen Artikel warnt.

Wurde zum Verteilen der Trojaner Anfangs bevorzugt ein Word-Dokument mit infiziertem Macro via Mail versendet, so haben sich die "Vertriebswege" inzwischen diversifiziert:

  • Petya wird vorrangig über Dropbox verbreitet, der Benutzer bekommt hierzu ein angebliches Bewerbungsschreiben" mit einem entsprechenden Link
  • Surprise wird über gehackte TeamViewer-Konten verteilt - hierbei muss der Benutzer allerdings einer entsprechenden TeamViewer-Session zustimmen
  • Samsa wird durch Einbrüche in Systeme mit Sicherheitslücken verbreitet
  • andere Trojaner nutzen herkömmliche Verteilungswege via Mail (infiziertes Office-Dokument oder angehängte ZIP-Datei) oder Drive-By beim Surfen im Internet

Neben Windowssystemen werden inzwischen auch andere Betriebssysteme durch Verschlüsselungstrojaner angegriffen beispielsweise OS-X (MAC) durch KeRanger oder Webserver unabhängig vom Betriebssystem durch CTB-Locker.

Der Schutz vor den Trojanern durch herkömmliche Virenscanner ist derzeit nicht ausreichend, durch massive Verteilung innerhalb kurzer Zeit kann eine patternbasierte Erkennung nicht immer rechtzeitig greifen. Daher ist eine Backup- und Recovery-Strategie unerlässlich. Die Fiducia & GAD bietet hier bereits Mechanismen an, beispielsweise zur Sicherung von Laufwerken auf Servern, die von der Fiducia & GAD betrieben werden. Bei den Standardimplementierungen sind hier jedoch bis zu 24h Datenverlust möglich, für besonders kritische Dateien sollten daher bankindividuell weitere Backuplösungen bewertet werden. Für Server in der Verantwortung der Bank sind eigene Backup-Strategien zu entwickeln. Beim Speichern der Daten sollte die bestehende Recovery-Strategie berücksichtigt werden (Datenablage auf Arbeitsplatz vs. Serverlaufwerk), es kann zudem sinnvoll sein, Backups stichprobenartik zu prüfen (Notfalltest). Das Backup darf für einen Trojaner nicht "erreichbar" sein, da es ansonsten möglicherweise ebenfalls verschlüsselt wird.

Durch weitere Schutzmechanismen kann die Sicherheit erhöht werden:

  • Nutzen des Fiducia & GAD IT AG Macroschutz für Office-Dateien mit restriktiven Einstellungen
  • Technischer oder organisertorischer Umgang beim Zustellen gezippter Dateien via Mails (Zustellung unterbinden, Freigabe nur durch Admin,...)
  • Wählen einer geeigneten Schutzkonfiguration am Webgateway (Webwasher) bzw. URL-Filter, beispielsweise Sperren von personal storage networks (Dropbox etc)
  • Surfen im Internet nur mit Firefox und aktiviertem NoScript
  • Kein Nutzen von bankeigenen Systemen in nicht bankeigenen Netzen
  • Wird erkannt, dass Dateien offenbar ungewollt verändert werden (z. B. durch Änderung der Dateiendung oder Probleme beim Öffnen von Dateien aus einem Ordner) System unverzüglich vom Netz trennen und hart ausschalten sowie einen Incident/ein Ticket bei der KSE eröffnen
Warnung vor Verschlüsselungstrojaner

Aktuell steigt in Deutschland die Anzahl der mit Verschlüsselungstrojanern infizierten Systeme rasant an. Die Trojaner verschlüsseln nicht nur das betroffene System selbst, sondern auch von hier aus erreichbare Netzlaufwerke und Cloudspeicher. Bei den aktuellen Versionen der Trojaner ist eine eigenständige Entschlüsselung nicht möglich.

Die Verschlüsselungstrojaner TeslaCrypt 3 und Locky führen derzeit in Deutschland zu massiven Problemen bei betroffenen Unternehmen. Während Anfang Februar die IT mehrerer deutscher Krankenhäuser tagelang lahmgelegt war, musste das medizinische Personal auf Papier und Stift zurückgreifen und Daten, beispielsweise von Blutproben, manuell in normalerweise vernetzte Systeme eingeben. Inzwischen ist bekannt, dass auch immer mehr deutsche Mittelständler Probleme durch die Verschlüsselungstrojaner bekommen. So hatte beispielsweise ein Reifenhersteller aus dem Badischen tagelang keine IT-Systeme zur Verfügung, den dadurch entstandenen Schaden bezifferte er auf ca. 90.000€.

Die Verteilung der Trojaner geschieht nach aktuellen Erkenntnissen derzeit vornehmlich via Mail. Hierbei werden mit Macroviren verseuchte Office-Dokumente versendet, beispielsweise fingiert als Rechnungen. Allerdings ist es auch denkbar, dass die Trojaner via Drive-By verteilt werden, beispielsweise beim Besuchen einer infizierten Webseite oder Einblendung eines infizierten Werbebanners. Wird der Schadcode erfolgreich ausgeführt, werden die meisten Dateien auf dem Rechner umgehend verschlüsselt. Sind von dem Rechner aus Netzlaufwerke erreichbar oder werden Daten mit der Cloud synchronisiert, sind die hier vorgehaltenen Daten ebenfalls betroffen.

Die Fiducia & GAD IT AG bietet Banken unter agree an, einen Macroschutz für Office-Dateien zu nutzen. Dieser unterbindet je nach Einstellung das unerwünschte Ausführen nicht signierter Office-Dateien oder verlangt vom Benutzer eine Bestätigung, dass das Macro ausgeführt werden soll. Banken unter agree können via Policy einstellen, welcher Schutz für welche Bereiche auf den Systemen gewünscht ist. Aufgrund der Problematik mit den fortlaufenden Dridex-Wellen und der Verschlüsselungstrojaner empfehlen wir dringend, eine strikte Policy zu verwenden und das Ausführen der Macros nur beschränkt auf wenige Ordner zuzulassen. Ordner, die vom Mailprogramm oder von den Browsern genutzt werden (Downloadordner, Cache...) sollten hierbei ausgegrenzt werden. Wir empfehlen zudem, für das Surfen den Firefox mit aktiviertem "NoScript" zu benutzen.

Neue Variante der "Microsoft-Trojaner"

Die Methode, bei denen angebliche Microsoftmitarbeiter wegen vermeintlicher Computerprobleme bei Benutzern infizierter PCs anrufen, hat eine neue Variante erhalten. Die Betrüger imitieren sogenannte Blue Screens auf den PCs und blenden hierbei zusätzlich Telefonnummern ein.

Wird einem Benutzer ein solcher angeblicher "Blue Screen" angezeigt und er wendet sich daraufhin an die vermeintliche Hotline, werden dem Benutzer u. a. überflüssige Dienstleistungen aufgedrängt. Die "Blue Screens" selber werden mit schadhaftem Javascript oder durch Adware erzeugt.

Bisher gibt es keinen Hinweis darauf, dass die Methode auch zum Abphishen von Online-Banking-Konten verwendet wird. Aufgrund früherer Methoden aus diesem Bereich ist eine solche Entwicklung jedoch zu erwarten.

Phishingtrojaner: SicherheitsApp für Android

Online-Banking-Trojaner versuchen wieder via Social Engineering, Benutzer von infizierten PCs dazu zu bringen, eine schädliche App auf ihrem Smartphone zu installieren. Diesmal ist es ein Adroid-Schädling. Die App stammt angeblich von dem Sicherheitsunternehmen "RSA Security LLC".

Ähnliche Phishingmaschen, bei denen neben dem PC auch das Smartphone infiziert werden soll, sind seit Längerem bekannt, u. A. die Masche der angeblichen "Fiducia Sicherheitsapp".

 

 

 

mobileTAN Trojaner hat es auf Android Nutzer abgesehen

Gefälschte E-Mails aktuell im Namen der Postbank machen aktuell die Runde und fordern Nutzer dazu auf, eine SSL-Zertifikat-App zu installieren. Dahinter verbirgt sich jedoch ein Trojaner, der unter anderem mobleTANs für Online-Banking mitschneidet.

Wer dieser Tage eine E-Mail von der Postbank erhält, sollte lieber zweimal hingucken, denn derzeit wollen Kriminelle Android-Nutzer mittels einer gut gemachten Mail und Webseite davon überzeugen, eine "SSL Zertifikat"-App zu installieren. In Wirklichkeit ist es aber ein Trojaner, der unter anderem PIN und mTANs fürs Online-Banking abgreift und an die Angreifer weiterleitet.

mTAN-Trojaner fängt SMS ab

Dabei handelt es sich um eine Variante des mTAN-Trojaners, der bereits im Jahr 2013 sein Unwesen auf Android-Geräten trieb. Der Schädling räumt sich unter anderem das Recht ein, eingehende SMS-Nachrichten abzufangen und Daten ins Internet zu senden. Ferner klinkt er sich in den Bootvorgang des Smartphones ein. Das zeigt eine Analyse der App mit der Anubis Sandbox. Virustotal zufolge ist der Erkennungsrate des mTAN-Trojaners aktuell noch sehr gering.

Klickt man von einem Computer oder iPhone aus auf den Link in der gefälschten E-Mail, erscheint lediglich die Meldung: "Zertifikat wurde erfolgreich Installiert." Nur wenn der Besucher ein Android-Gerät nutzt, erscheint eine Webseite, die ihm eine angebliche Zertifikats-App aufschwatzen will. Dabei wird detailliert erklärt, wie die Installation von Apps aus unbekannten Quellen freigeschaltet wird.

 

Quelle: heise Security News

 

Neue GEDO-Welle mit Rechnung im Anhang

Es sind neue GEODO-Mails im Umlauf, unter anderem werden diese im Namen der Deutschen Telekom versendet. Anstelle der bisherigen Methode, dass ein Link auf einen Webserver in der Mail eingebettet ist, wird diesmal ein PDF an die Mail angehängt. In dem PDF wiederum befindet sich ein Link auf einen Webserver, der Schadcode verteilt. Inzwischen ist auch eine Variante von DHL im Umlauf. Die DHL-Variante weißt nun explizit auf das zip-Archiv hin.

Die aktuell im Umlauf befindlichen Mails enthalten diesmal keine Links auf Webserver, welche Schadcode verteilen. Statt dessen ist diesmal direkt eine Datei im Anhang, welche als Rechnung getarnt ist.

In dieser vermeintlichen Rechnung befindet sich dann wiederum ein Link auf einen gekaperten Webserver.

 

Ab hier wird die bisherhige Methode von GEODO verwendet. Das zip-Archiv enthält eine exe-Datei mit Schadcode

Inzwischen gibt es auch wieder eine Variante von DHL. Hierbei wird einfach nur das PDF per Mail versendet, ohne weitere Erläuterungen oder Ansprachen in der Mail. Das PDF sieht wie folgt aus:

Die DHL-Variante weißt nun auch explizit auf das ZIP-Archiv hin. Zudem wird eine eBay-Bestellung suggeriert, für die der angebliche Kunde Nachnahmegebüren zahlen solle.

Parallele Infektion von PC und Smartphone

Durch Infektion des PC und anschließend mittels Social Engineering Infektion des Smartphones sind Betrüger in der Lage, beim Einsatz von mobileTAN Überweisungen ohne weiteres Zutun betroffener Benutzer durchzuführen. In aktuell von uns beobachteten Fällen wird diese Methode verwendet, um Wertkarten für anonyme Geldtransaktionen zu erwerben.

Die Methode an sich ist nicht neu, sie wurde bereits 2011 beobachtet. Aktuell gibt es einen spürbaren Anstieg dieser Betrugsmasche. Eine konkrete Beschreibung eines uns vorliegenden Phishingfalls hat ergeben, dass zuerst der PC mit einem Trojaner infiziert wird. Im Anschluss wird nach dem Login ins Online-Banking eine Aufforderung zur Eingabe verschiedener Daten eingeblendet (Handynummer, Gerätetyp). Danach wurde ein Download auf dem angegebenen Smartphone angeboten. Hierbei wurde durch Zutun des Betroffenen eine App installiert, die angeblich von der Fiducia stammt. Nach Installation der App und der Eingabe eines angeblichen Sicherheitscodes im Browser war der Zugang zum Online-Banking nicht mehr möglich.

In den uns vorliegenden Fällen wurden die übernommenen Konten und Smartphones genutzt, um Wertkarten verschiedener Anbieter zu Kaufen (u.a. WKV prepaid, Ayden Client Management, Anycoin BV). Mittels dieser Wertkarten können anonym Geldtransaktionen vorgenommen werden.

Update 19.01.2015

Nach den uns inzwischen vorliegenden Informationen werden die Betroffenen über den bereits infizierten PC aufgefordert, eine App mit der Bezeichnung "Fiducia Sicherheitspasswort" (Name kann ggf. variieren) zu installieren. Ohne der Installationsaufforderung zu folgen kann das Online-Banking nicht weiter bedient werden. Die App ist mit einem VR-Logo ausgestattet. Für den Zeitraum der betrügerischen Überweisungen wird dem Betroffenen angegeben, er könne wegen Serverarbeiten nicht auf das Online-Banking zugreifen.

Wertkarten werden nun beispielsweise auch bei Western Union, PPRO Financial und 10 Call GmbH erworben.

TAN-Generator soll mit TAN neu aktiviert werden

Bei einem aktuellen Phishingangriff gegen einen Nutzer des Sm@rtTAN plus-Verfahrens wurde dieser aufgefordert, den TAN-Generator mittels einer TAN neu zu aktivieren. Die angebliche Reaktiviertung löste eine ungewollte Überweisung aus.

Vergleichbare Methoden wurden bereits 2010 bei anderen Banken beobachtet, damals unter dem Vorwand einer notwendigen Synchronisierung des TAN-Generators.

Nun ist auch ein Fall bekannt geworden, bei dem eine ähnliche Aufforderung einem VR-Bankkunden mittels Trojaner angezeigt wurde:

Will ein Benutzer, dessen PC von einem Trojaner dieser Art kontrolliert wird, eine Überweisung tätigen, wird er dazu aufgefordert, vor der eigentlichen Überweisung seinen TAN-Generator neu zu aktivieren. Geht der Benutzer auf die Aufforderung ein, löst er hiermit unbeabsichtigt eine Überweisung aus. Im vorliegenden Fall wurde direkt im Anschluss die vom Benutzer beabsichtigte Überweisung mit einer neu generierten TAN erfolgreich ausgeführt, so dass bei dem Benutzer kein Verdacht entstand.

Welcher Trojaner genau für diese neue Form der Social Engineering Attacke verantwortlich ist, kann zur Zeit nicht bestimmt werden. Vermutlich handelt es sich jedoch um einen Trojaner aus der ZeuS/SpyEye oder der Tatanga-Familie. Es ist daher davon auszugehen, dass der Schädling sich tief im System einnistet und sämtliche kritischen Benutzerdaten wie Login-Daten protokollieren kann.  Es gelten daher die gleichen Sicherheitsempfehlungen wie für die bisherigen Trojaner: Bei Verdacht eines Befalls des PCs sollte dieser umgehend neu installiert werden. Zudem sollten Zugangskennungen wie E-Mail- und Social Media-Passwörter, Logins für eBay, PayPal etc. mit neuen Passwörtern versehen werden.

Aus technischer Sicht bleibt das Verfahren dank der Kanaltrennung sicher, der TAN-Generator an sich wurde nicht angegriffen. Die Attacke ist nur dann erfolgreich, wenn der Benutzer die Angaben auf dem TAN-Generator ignoriert, die ihn ausdrücklich über die Überweisung informieren.

Euro Expresszahlung

Es gibt ein neues Muster für GEODO-Phishingmails, die im Namen der Fiducia und der Volksbanken versendet werden. Bei dieser Masche wird eine Euro-Expresszahlung vorgegaukelt, die der Empfänger eingeleitet haben soll.

Hohe Zinsen

Seit dem 04.11.2014 werden wieder Phishingmails im Namen der Volksbanken bzw. der Fiducia versendet. Ziel dieser Phishingwelle ist die Infektion der Empfänger-PCs mit Online-Banking-Trojanern. Inzwischen gibt es eine weitere Variante dieser Mails, die mit angeblich hohen Zinsgewinnen lockt

Die Links in dem blauen Kasten verweisen dabei auf reale Webseiten der Fiducia. Der Link auf den angeblichen Einlagenzins hingegen verweist wieder auf unterschiedliche Webserver, die Schadcode verteilen. Über diesen Schadcode wird anschließend der Online-Banking-Trojaner "GEODO" nachgeladen.

Parallel sind auch wieder Phishingmails im Namen der Telekom und der Sparkassen im Umlauf, die technisch auf die selbe Weise funktionieren.

Abphishen persönlicher Daten

Parallel zu den aktuellen Phishingwellen, bei denen die PCs der Empfänger mit Online-Banking-Trojanern verseucht werden sollen, sind nun weitere Mails im Namen der Volksbanken und der Sparkassen im Umlauf. Diese scheinen jedoch klassisches Abphishen von Zugangsdaten zu bezwecken.

Augenscheinlich besteht kein Zusammenhang zu den Phishingmails, die über das GEODO-Netz in Umlauf gebracht werden. Möglicherweise wurden die Mails aber auch zum jetzigen Zeitpunkt in Umlauf gebracht, um weiteres Chaos anzurichten. Aufgrund der ersten Analysen gehen wir davon aus, dass über diese Mails bzw. die dahinterliegenden Webseiten kein Schadcode verteilt wird.

Die Mails sind vom Erscheinungsbild her fehlerhaft und daher eher als Phishingmails zu erkennen.

"Fiducia Online" ang. Bestellbestätigung

Seit dem Pfingswochenende ist eine neue Variante der Phishingmails im Umlauf. Die Mails werden als angebliche Bestellbestätigung getarnt. Die Phishingwelle wird durch das GEODO-Botnetz verursacht, welches bereits seit Mai Phishingmails im Namen der Fiducia versendet.

Am heutigen Tag erreichten uns mehrere Mails dieses Formats, die wieder auf aktive Phishingseiten im Internet verlinkt waren. Die Rücksprache mit einem IT-Sicherheitsdienstleister gaben Hinweise darauf, dass hier möglicherweise wieder eine neue Infrastruktur aufgebaut wird, um Computer von Privatpersonen zu infizieren. Bei weiteren Erkenntnissen werden wir Sie wie gewohnt zeitnah an dieser Stelle informieren.  

Die Betrüger, welche das GEODO-Botnetz betreiben, welches unter anderem Phishingmails im Namen der Fiducia und der Volksbanken versendet, haben am Wochenende eine neue Variante der Phishingmails in Umlauf gebracht. Diese neue Methode suggeriert eine Bestellbestätigung:

Vermehrt Angriffe auf Apple Nutzer

Nach Untersuchungen des Cloud-Security-Unternehmen CYREN stiegen die Phishing-Angriffe auf iCloud- und iTunes-Konten im letzten Quartal um fast 250 Prozent.

Das Unternehmen vermeldet im dritten Quartal 2014 einen rasanten Anstieg derartiger Phishing-Attacken. CYREN will mindestens 7000 neue Phishing-Seiten für Apple entdeckt haben, im Vergleich zum letzten Quartal ist das eine Zunahme von 246 Prozent.

Die Angreifer nutzen die Tatsache aus, das Apple momentan viele E-Mails Alerts verschickt, um Nutzer über Zugriffe auf ihre iCloud zu informieren. Dabei erhalten die Nutzer gefälschte E-Mail-Alerts die sie auf Phishing-Seiten locken.

Grundlage der Angriffe ist die immer häufigere Verwendung von Apple Diensten. Nutzer von Smartphones sind verstärkt von diesen Angriffen betroffen.
Die Erfolgschancen für einen Phishing-Angriff auf einem Smartphone sind deutlich höher, weil die Betroffenen aufgrund des kleinen Handydisplays nur schwer gefälschte Links, Logos oder E-Mail-Adressen erkennen können. 

Phishing gegen Sm@rtTAN plus

Mit einer aktuellen Variante einer bereits älteren Social Engineering Methode versuchen Betrüger, die Nutzer des Sm@rtTAN plus-Verfahrens zu einer missbräuchlichen Überweisung zu verleiten.

Dem Benutzer des Online Bankings wird nach dem Einloggen eine Meldung eingeblendet, dass sein TAN-Generator nicht synchronisiert sei. Ähnliche Varianten dieser Masche sind bei anderen Geldinstituten bereits 2011 aufgetaucht

Sicherheitsupdate für Internet Explorer

Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der aktuelle Benutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Dieses Sicherheitsupdate wird für Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10), Internet Explorer 11 (IE 11) auf betroffenen Windows-Clients als Kritisch eingestuft und für Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10), Internet Explorer 11 (IE 11) auf betroffenen Servern als Mittel.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem geändert wird, wie Internet Explorer Objekte im Speicher verarbeitet. Dazu werden Internet Explorer zusätzliche Berechtigungsüberprüfungen hinzugefügt und es wird sichergestellt, dass die betroffenen Versionen von Internet Explorer die ASLR richtig implementieren.

Neue Version Testüberweisung

Es gibt eine neue Version der Social-Engineering-Methode "Testüberweisung", über welche missbräuchliche Transaktionen ausgelöst werden sollen. Die uns vorliegende Variante fällt jedoch durch eher schlechtes Deutsch auf.

Es gelten die üblichen Hinweise für Online-Banking-Trojaner (VR-NetKey sperren, PC neu installieren, kritische Zugangsdaten ändern).

Sicherheitsabfrage

Im Namen der Volksbanken und Raiffeisenbanken kursieren Mails mit dem Betreff "Aktualisierung Ihres Online-Banking". Angeblich aus Sicherheitsgründen soll der Empfänger in einem Formular persönliche Daten (Ausweisnummer, Geburtsdatum, Handynummer etc.) eingeben, die der Empfänger für betrügerische Transaktionen verwenden kann.

Sollten Sie eine solche E-Mail empfangen, löschen Sie diese umgehend und klicken nicht auf den darin enthaltenen Link. Wir können nicht ausschließen, dass mit derartigen Mails auch Schadprogramme verteilt werden.

Trojaner gaukelt "Werbegeschenk" vor

Eine neue Phishingmethode gaukelt Kunden nach dem Einloggen ins Online Banking vor, dass sie an einer Werbeaktion teilnehmen.

Die eingeblendete Webseite wird in einem neuen Fenster bzw. neuen Tab geöffnet und erweckt den Anschein, dass man einen Einkaufsgutschein gewinnen könne. Die Methode dient vermutlich dem Abphishen von Login-Daten und weiteren sensiblen Informationen.

Auf welchem Weg die angebliche Werbeaktion eingeblendet wird, ob beispielsweise durch einen Trojaner im Betriebssystem oder durch ein Malware-AddOn im Browser, ist uns nicht bekannt. Gut zu erkennen ist jedoch, dass keine Manipulation im Quellcode der Online-Banking-Seite direkt vorgenommen wird. Statt dessen werden die Inhalte komplett über eine externe Webseite eingebunden.

Mit einer ähnliche Masche im März diesen Jahres sollten Benutzer ebenfalls dazu gebracht werden, Fragen zu beantworten.

Mail wg gesperrter MasterCard

Angeblich von MasterCard stammen Phishing-Mails, die vorgeben, dass die Kreditkarte aus Sicherheitsgründen gesperrt wurde.

Um die Sperre wieder aufzuheben und den Versand einer kostenpflichtigen Ersatzkarte zu verhindern, soll der Empfänger dieser betrügerischen E-Mail einen Link anklicken. Hierbei wird der Rechner unter Umständen mit einem Schadprogramm infiziert. Außerdem sollen persönliche Daten wie Passwörter und PINs eingegeben werden, die die Betrüger für weitere kriminelle Handlungen nutzen können.

Die Angreifer sprechen den E-Mail Empfänger mit seinem Namen an, was der Phishing-Mail mehr Glaubwürdigkeit verleihen soll.

Bitte ignorieren Sie derartige E-Mails und löschen diese umgehend. Der Link darf unter keinen Umständen angeklickt werden. Bei Verdacht auf Missbrauch sollte sowohl Ihr Online-Banking Zugang als auch die Karte über unseren Sperrnotruf 116 116 gesperrt werden.