Aktuelle Warn- und Sicherheitshinweise

Auf dieser Seite werden Sie über aktuelle Warnmeldungen zum Thema Phishing und Online-Banking auf dem Laufenden gehalten. Wir sind bemüht diese Meldungen aktuell zu halten. 

Diese Aufstellung stellt keinen Anspruch auf Vollständigkeit und Aktualität dar.

Sollte Ihr Rechner von einen "Schädling" befallen sein, empfehlen wir Ihnen dringend sich an einen Fachmann zu wenden. Lassen Sie das Schadprogramm nur durch einen Virenscanner entfernen, können Sie nicht sicher sein, daß Ihr Rechner wieder Viren frei ist. Auch eine Formatierung Ihres Rechners garantiert keine 100% Sicherheit!

30.09.2016 - Phishingmails im Namen von VR - Recycling alter Masche

Phishingmails im Namen von VR - Recycling alter Masche

Derzeit wird eine bekannte Phishingmasche wiederverwendet, um Zugangsdaten zu Konten und ggf. auch Kreditkartendaten abzuphishen. Die Mails werden hierbei im Namen von "VR" verschickt.

[Update 30.09.2016] In einer weiteren Welle wird eine ähnliche Version der Masche verteilt, in der auf angebliche Kontounstimmigkeiten nach einem Serverupdate hingewiesen werden. Auch hier soll der Mailempfänger auf einen Link klicken um sein Konto zu verifizieren.

Die Masche wird seit 2013 immer wieder eingesetzt und dient dem klassischen Phishing. In diesem Jahr gab es bereits eine Welle solcher Mails, die über einen ungewöhnlich langen Zeitraum (ca. einen Monat lang) anhielt. Die aktuelle Mail fällt vor allem durch schlechtes Deutsch auf.

Quelle: intern

Update Screenshot 07.10.2016

 

20.07.2016 - CEO-Betrugsmasche: Wieder Social Engineering-Angriff auf Banken

Phishingmethoden reloaded

Aktuell werden wieder Banken mit der Intension der sogenannten CEO-Fraudmasche durch Betrüger via Mail kontaktiert. Ziel ist es, Mitarbeiter mit entsprechenden Kompetenzen zu ungewollten Überweisungen zu verleiten.

Bereits 2015 gab es Fälle, in denen auch VR-Banken durch die CEO-Fraudmasche betroffen waren. Bei diesem Social Engineering-Angriff schreiben die Betrüger einen oder mehrere Mitarbeiter in einem Unternehmen bzw. einer Bank gezielt an. Die ausgewählten Mitarbeiter haben in der Regel die Kompetenzen, größere Zahlungen zu veranlassen. Im April diesen Jahres meldete heise.de, dass in den USA mit dieser Betrugsmasche innerhalb von drei Jahren ein Gesamtschaden von etwa 2,3 Mrd. US-Dollar entstanden ist.

Ein wichtiger Aspekt der Betrugsmasche ist unter anderem, dass die Betrüger den oder die betroffenen Mitarbeiter ausdrücklich auffordern, nur via Mail oder über einen anderen durch die Betrüger festgelegten Weg zu kommunizieren, beispielsweise über eine angebliche Anwaltskanzlei oder nur bei Kontaktaufnahme durch den vermeintlichen CEO/Vorstand/Vorgesetzten selbst.

In den uns bisher bekannt gewordenen Betrugsversuchen war an der Mailadresse des Absenders zu erkennen, dass die Mail nicht innerhalb der betroffenen Bank versandt wurde. Die Absender nutzten stattdessen gmail.com bzw. mail.com-Konten (ersichtlich beim Einblenden der Details im Mailclient). Der Domainname der jeweiligen Bank war lediglich ins Namensfeld eingetragen. Es ist jedoch denkbar, dass bei neuen Ablegern dieser Masche auch die Absenderdomain gefälscht wird.

 

Quelle: FIDUCIA IT AG

14.07.2016 - Phishingmethoden reloaded

Phishingmethoden reloaded

Um den Empfänger dazu zu bewegen auf den Link zu klicken, wird als angeblicher Absender ein beliebiger Name mit der Domain des Empfängers kombiniert, die angebliche Absenderadresse lautet im Falle von Dropbox "no-reply@dropbox.com". Klickt man auf den Link, wird ein zip-Archiv mit infiziertem Javascript-Dateien auf den Rechner geladen. Vermutlich enthalten die Dateien einen Online-Banking-Trojaner. Diese Methode wurde in der Vergangenheit u. a. zum Verbreiten von "geodo" genutzt.

Filehoster wie Dropbox werden seitens Fiducia & GAD für agree-Banken per Default am Webgateway blockiert, allerdings handelt es sich bei den in diesen Mail hinterlegten Links unserer Kenntnis nach größtenteils um gehackte Webserver, so dass hier in den meisten Fällen der Download erfolgreich sein wird.

Quelle: FIDUCIA IT AG

08.06.2016 - Warnung vor angeblichen Bewerbungen

LKA warnt vor gefälschten Emails mit Anhängen

Aktuell werden Mails versendet, in denen angebliche Bewerbungsunterlagen enthalten sind. Die Dateien enthalten jedoch Schadcode.

[Update 08.06.2016] Weitere Analysen der uns vorliegenden Mails haben ergeben, dass der Schadcode nicht gleichmäßig von den Virenscannern erkannt wird. Die angehängten Dateien variieren jeweils leicht. Eine zuverlässige Erkennung durch Virenscanner kann somit auch nicht durch die manuelle Nachpflege zur Erkennung gewährleistet werden. Teilweise wird in der Ansprache auch die Domain des Empfängers genannt ("über Ihre Anzeige auf [ihredomain.de]...").

[Update 08.06.2016] Es liegen inzwischen mehrere Mails aus dieser Betrugswelle vor. Zumindest bei den uns bekannten Exemplaren sind der Mailtext und das angebliche Bewerbungsfoto identisch, jedoch werden unterschiedliche Absendernamen angegeben.

Quelle: Fiducia IT AG

07.06.2016 - Warnung vor Trojaner-Mails mit persönlichen Daten

LKA warnt vor gefälschten Emails mit Anhängen

Das CERT-Bund des BSI warnt vor einer Trojaner-Welle, in der die Mails persönliche Daten der Empfänger enthalten und dadurch authentisch wirken. Im Anhang befinden sich angebliche Rechnungen im Word-Format.

Statt der angegebenen Rechnung enthalten die Dateien Schadcode, der via Macro in die Datei integriert ist. Das BSI geht davon aus, dass die persönlichen Daten aus dem LinkedIn-Hack stammen. Teilweise wird wohl auch die Unternehmensrolle des Empfängers in der Mail thematisiert.

Wer keine Rechnung erwartet und den Absender der Mail nicht kennt sollte angebliche Rechnungen in Word- oder ZIP-Dateien auf keinen Fall öffnen. Als Absender können auch Namen bekannter Unternehmen wie DHL oder Behörden missbraucht werden. Wir empfehlen, eine hohe Stufe des Macro-Schutzes (kein Ausführen von nicht signierten Macros) zu verwenden.


Quelle: CERT-Bund

17.05.2016 - Kreditkartendatenphishing im Namen der VR-Banken

LKA warnt vor gefälschten Emails mit Anhängen

Aktuell werden Phishingmails im Namen der VR-Banken versendet. Ziel ist offenbar das Abphishen von Kreditkartendaten.

[Update 17.05.2016] Eine weitere Masche ist seit dem Wochenende verteilt worden. Den Links in den Mails nach handelt es sich um die selben Hintermänner. Diesmal wird eine angebliche Systemumstellung als Grund angegeben.

Quelle: Fiducia IT AG

 

01.04.2016 - Schadcode im Namen von Giropay verschickt

LKA warnt vor gefälschten Emails mit Anhängen

Aktuell werden unter anderem im Namen von Giropay, aber auch im Namen anderer Unternehmen angebliche Rechnungen versendet. Die Mails enthalten eine gezippte Datei, in der sich Schadcode befindet.

Betrüger versenden aktuell Mails im Namen von Unternehmen, u. a. im Namen von Giropay, aber auch beispielsweise im Namen der Media AG. In den Mails werden die Empfänger persönlich angesprochen, in dem uns vorliegenden Beispiel war auch die korrekte Anschrift und Telefonnummer des Empfängers in der Mail enthalten.

Die Mail ist als Mahnung aufgemacht, bei Nichtreagieren des Empfängers wird mit der Erhebung hoher Zusatzkosten gedroht. Durch den hierdurch entstehenden Druck und die Verwendung der korrekten Anschrift und Telefonnummer soll der Empfänger verleitet werden, tatsächlich den Anhang zu öffnen. Die vorläufige Analyse ergab, dass es sich hierbei wahrscheinlich um einen Verschlüsselungstrojaner handelt.

Die Mails sind in etwa nach diesem Muster aufgebaut:

  • Betreff: Rechnung für [Name Empfänger] noch offen: Nummer 58966808 Datum: 30.03.2016, 4:55 Uhr

Im Fall der angeblichen Giropay-Mail war das ZIP-Archiv

  • 30.03.2016 Rechnungsstelle GiroPay GmbH.zip

angehängt. In diesem war die Ausführbare Datei

  • [Name Empfänger] Mahnung Rechnungsstelle GiroPay GmbH.com

enthalten. Eine andere Variante ist beispielsweise:

  • [Name Empfänger] Rechnung Inkasso Abteilung Mail Media AG.com

[Update 01.04.2016]

Die Analyse durch einen AV-Hersteller ergab, dass es sich bei dem Schadcode um eine Backdoor handelt.

Quelle: Fiducia IT AG

24.03.2016 - Wieder Phishingmails im Namen der VR-Banken

Wieder Phishingmails im Namen der VR-Banken

Eine Phishingwelle ähnlich der im Februar diesen Jahres liefert aktuell Mails aus, die angeblich im Namen der Volks- und Raiffeisenbanken erstellt wurden. Auffällig ist diesmal eine angeblich deutsche Postanschrift auf französisch.

Der Link in der Mail führt auf einen externen Webserver. Einige Virenscanner erkennen die Seite bereits als Phishingseite. Aktuell gehen wir nicht davon aus, dass auf diesem Weg auch Schadcode verteilt wird.

Ähnliche Maschen gab es bereits im Februar (wir berichteten hier und hier).

Quelle: Fiducia IT AG

19.02.2016 - LKA warnt vor gefälschten E-Mails mit Anhang

LKA warnt vor gefälschten Emails mit Anhängen

Sehr geehrte Damen und Herren,

aktuell warnt das LKA NRW vor gefälschten Emails mit Anhängen. Öffnet man den Anhang werden alle Daten auf dem PC verschlüsselt. Eine Entschlüsselung ist nicht möglich bzw. verlangen die Absender Geld.


Anbei die Warnmeldung des LKA NRW:

Das Cybercrime-Kompetenzzentrum des LKA NRW warnt

Aktuell ist es zu einem Angriff auf die IT-Infrastruktur eines Krankenhauses in Nordrhein-Westfalen gekommen. Das Cybercrime-Kompetenzzentrum des hat die Ermittlungen übernommen.
Nach derzeitigem Stand handelt es sich um einen Angriff mittels Ransomware. Die Übertragung der Schadsoftware erfolgt häufig über Dateianhänge von E-Mails. Auch ein Besuch infizierter Webseiten kann zu einer Übertragung führen ("Drive-By-Download"). Die Schadsoftware wird durch die Täter regelmäßig verändert, so dass selbst aktuelle Anti-Virensoftware keinen umfassenden Schutz bieten können. Jedes Unternehmen oder jede Institution mit IT-Infrastruktur kann betroffen sein.
Die Experten des Cybercrime-Kompetenzzentrums raten daher, IT-Systeme durch automatische Updates für das Betriebssystem und alle Anwendungen sowie Antivirenprogramme auf dem aktuellen Stand zu halten.
Unternehmen sollten ihre Mitarbeiter über die möglichen Gefahren aufklären und entsprechend sensibilisieren: E-Mails, Datei-Anhänge und Links aus nicht vertrauenswürdige Quellen sollten auf keinen Fall geöffnet oder angeklickt werden. Daten müssen regelmäßig gesichert werden. Wichtig ist, dass die Aufbewahrung der Backup-Dateien auf externen Systemen erfolgt, damit diese nicht auch durch die Schadsoftware verschlüsselt werden.
"Kommt es zu einem Schaden, nehmen Sie bitte keinen Kontakt mit den Tätern auf", empfiehlt Uwe Jacob, Direktor des LKA NRW, heute in Düsseldorf. "Erstatten Sie Strafanzeige bei der Polizei."“

Quelle: LKA NRW

01.02.2016 - Bankenverband warnt vor Missbrauch durch fremde IBAN-Konverter

Bankenverband warnt vor Missbrauch durch fremde IBAN-Konverter

Ab Montag 01.02.2016 müssen auch Verbraucher für Überweisungen und Lastschriften in Euro die internationale Kontonummer IBAN ("International Bank Account Number") nutzen. "Kunden, die sich zum 1. Februar nicht umstellen, laufen Gefahr, dass ihre Überweisung nicht ausgeführt wird und dass das Zeit kostet", sagte Bundesbank-Vorstand Carl-Ludwig Thiele. Um die 22-stellige Nummer zu generieren, nutzen viele Bankkunden sogenannte IBAN-Konverter, die die alten Angaben automatisch in die neue Form umwandeln. Der Bundesverband deutscher Banken (BdB) warnte Bankkunden nun vor einer Missbrauchsgefahr besonders in der Zeit der Umstellung. "Die Nutzung von IBAN-Konvertern auf fremden Internetseiten ist nicht zu empfehlen", sagte eine Sprecherin. Es bestehe ein Risiko, da Kontodaten so anderen Personen zugänglich gemacht würden. Unbefugte könnten beispielsweise fremde Kontodaten für Lastschriftzahlungen verwenden, warnen Experten. "Kunden sollten am besten den IBAN-Konverter ihrer eigenen Bank benutzen“, rät der Bankenverband. Die IBAN soll dazu beitragen, Überweisungen, Lastschriften und Kartenzahlungen grenzüberschreitend zu standardisieren und so zu beschleunigen. Der Zahlungsverkehrsraum SEPA ("Single Euro Payments Area") umfasst 34 Länder. Neben den 28 EU-Staaten machen Island, Liechtenstein, Norwegen, die Schweiz, Monaco und San Marino mit. Thiele appellierte jüngst an die Bankkunden, die Frist nicht verstreichen zu lassen: "Das kann dann auch Geld kosten, wenn ein Zahlungsziel verfehlt wird."
IBAN-Konverter der Volksbanken und Raiffeisenbanken: http://www.vr-iban-konverter.de

Seien Sie aufmerksam und kritisch. Zwielichtige E-Mails gehören besser in den Papierkorb und fragwürdige Absender sollten Sie lieber einmal zu viel als einmal zu wenig ignorieren. Weder Online-Shops noch Banken oder andere seriöse Finanzdienstleister fordern ihre Kunden per E-Mail auf, geheime Daten im Internet einzugeben. Sollten Sie Ihre Daten bereits in den Anhang einer solchen E-Mail eingegeben haben, wenden Sie sich an Ihre Bank und beobachten Sie die Abbuchungen auf Ihrem Konto oder Ihrer Kreditkarte.

 

Öffnen Sie niemals Anhänge von Mails bei denen Ihnen der Absender nicht bekannt ist.

 

Quelle: Bankenverband

22.01.2016 - Neue Phishingmasche: "Telefonbanking PIN"

Phishingmail im Namen der Volksbank Raiffeisenbanken

Zur Zeit sind Phishingmails im Namen der Volksbanken Raiffeisenbanken im Umlauf sind. Die Mails suggerieren, dass die PIN für das Telefon-Banking aus Sicherheitsgründen geändert werden müsse.

Seien Sie aufmerksam und kritisch. Zwielichtige E-Mails gehören besser in den Papierkorb und fragwürdige Absender sollten Sie lieber einmal zu viel als einmal zu wenig ignorieren. Weder Online-Shops noch Banken oder andere seriöse Finanzdienstleister fordern ihre Kunden per E-Mail auf, geheime Daten im Internet einzugeben. Sollten Sie Ihre Daten bereits in den Anhang einer solchen E-Mail eingegeben haben, wenden Sie sich an Ihre Bank und beobachten Sie die Abbuchungen auf Ihrem Konto oder Ihrer Kreditkarte.

 

Öffnen Sie niemals Anhänge von Mails bei denen Ihnen der Absender nicht bekannt ist.

Quelle: FIDUCIA GAD IT AG

20.11.2015 - Neue Phishingmasche: "paydirekt Fragebogen"

Unbekannte Phishingmasche: "paydirekt Fragebogen"

Bei einer Kundin einer VR-Bank wurde eine bisher unbekannte Phishingmasche beobachtet. Hierbei wurde das neue Bezahlverfahren paydirekt zum Anlass genommen, Kunden und Kontendaten ( inkl. Adress- und Geburtsdaten) des Kunden abzufragen. Der Fragebogen hatte als Absender die Bezeichnuing VR-Bank.

 

Bisher ist nicht ganz klar, was genau das Ziel der Phishingmasche ist. Vermutlich sollen aber personenbezogene Daten gestohlen werden, eventuell für Kreditkartenbetrug. Ob der Trojaner weiteren Schadcode auf dem System hinterlässt, ist bisher nicht bekannt.


Quelle: intern - Volksbank Kraichgau