Hier ein aktuelles Beispiel für eine Aufforderung, sich die Betrüger selbst per Telefon auf den Rechner zu holen. Wenn meine Informationen stimmen, blockiert ein Script den Browser, der aber problemlos beendet werden kann.

Soweit ich weiß, wird man am Telefon aufgefordert, einige Befehle zum Start eines Fernwartungszugangs einzugeben. Dann haben die Verbrecher auf dem Rechner freie Hand…

Vielen Dank an Tina für die Zusendung der Screenshots!

Wie man schön sieht, ist die Adresse gut verschleiert. Es handelt sich eben nicht um eine Microsoft Support-Adresse, sondern um einen auf  amazonaws.com gehosteten Inhalt.

Der Text, der in ähnlicher Form seit Monaten erfolgreich verwendet wird:

IHR COMPUTER WURDE GESPERRT
Fehler # DW6VB36
Bitter rufen Sie uns sofort an:
Ignorieren Sie diese wichtige Warnung nicht.
Wenn Sie diese Seite schließen, wird der Zugang auf Ihren Computer deaktiviert, um weitere Schäden an unserem Netzwerk zu verhindern.
Ihr Computer hat uns alarmiert, dass er mit einem Virus und Spyware infiziert wurde. Die folgende Daten werden gestohlen…
Facebook Login
> Kreditkartendaten
> E-Mail Konto Login
> Auf diesem Computer gespeicherte Fotos
Sie müssen uns sofort kontaktieren, damit unsere Ingenieure Sie per Telefon durch den Löschvorgang führen können. Bitte rufen Sie uns in den nächsten 5 Minuten an, bevor Sie mit dem Verlust Ihres gesamten Computers zu Rechnen haben.

Völlig kostenlos erreichbar unter:

Die Updates sind bereits raus und gelten als so kritisch, dass ein Handeln außerhalb der üblichen Patch-Zeit notwendig war.

Mehr Informationen dazu:

https://www.golem.de/news/project-zero-windows-virenschutz-hat-erneut-kritische-schwachstellen-1705-128101.html

Hab ich eigentlich irgendwo mal geschrieben, dass ich eigentlich nur noch unter Linux surfe? Gestern habe ich auf meinem privaten Arbeitsrechner einen Virenscan durchgeführt. Ich habe einen Test der neue desinfec’t durchgeführt, bei der der Rechner per Linux-USB-Stick gestartet wird. Der Scanner hat wider Erwarten angeschlagen und mir ein schädliches Script im Browserzwischenspeicher angezeigt. Unter Windows hätte das Böse sein können – unter Linux mache ich mir dich recht wenig Sorgen. Selbstredend hatte ich nur seriöse Seiten besucht und ich habe bis jetzt keine Ahnung, woher das böse Script stammen könnte.

Wie schreibt man so schön?
Aus gegebenem Anlass:

Da der Link offensichtlich an einigen Informationen geändert wurde, hier der Link zum Blogeintrag bei Microsoft mit den Downloadlinks für den XP-Flicken. Und es bleibt ein „Flicken“, XP dürfte inzwischen Zig-Löcher haben, aus denen die Luft entweicht.

WannaCrypt: Microsoft schützt auch ältere Windows-Versionen

Die deutsche Version ist hier zu finden.

 

Onlinebanking und Shopping mit einem XP-Rechner – und auch der eines Vista-Rechners – ist grob fahrlässig. Das gilt für jeden Rechner, der nicht auf dem aktuellen Stand ist, selbst für Mac und Linux.

Die kürzlich gemeldete Sicherheitslücke in den Microsoft-Security-System ist deshalb so gravierend, weil offensichtlich z.B. bereits der Empfang einer Schad-Mail OHNE ÖFFNEN, OHNE VORSCHAU zu einer Verseuchung führen kann.

Es ist deshalb extrem wichtig, dass alle Windows-NutzerInnen unbedingt den Stand ihres Virenchutzes prüfen und die vor wenigen Stundne  zur Verfügung gestellten Updates installieren. Es ist auch nicht ausgeschlossen, dass trotz der Nutzung kommerzieller Antivir-Sicherheitsprogrammen anderer Hersteller die Security-Software im Hintergrund aktiv ist und zu einem Sicherheitsloch führt. Auch (Exchange-) Server müssen geprüft werden!

Zitate:

„unfassbar schlimme“ Windows-Lücke

Die verwundbare Engine ist omnipräsent, der Kreativität des Angreifers sind keine Grenzen gesetzt.

Mehr Informationen:
https://www.heise.de/newsticker/meldung/Dramatische-Sicherheitsluecke-in-Vireichnschutz-Software-von-Windows-geschlossen-3706615.html

https://www.heise.de/newsticker/meldung/Google-Forscher-entdecken-dramatische-Windows-Luecke-3705864.html

Nach längerer Zeit trudelte heute Nacht ein vermeintliche Anwalts-Mail ein, deren Anhang weder der Maildienst gmx, noch eein Virenscanner bei virustotal.com  als Schadsoftware einstufte.

Die Datei im Anhang war 2x gezippt, so dass in der ersten Kontrolle die enthaltene ausführbare com Datei nicht auffallen würde. Dass es sich um Schadsoftware handeln muss, würde ich schon aufgrund der Uhrzeit vermuten, ein Anwalt würde sicherlich kaum eine Mail senden und wenn dann sicherlich nicht um 2.45 Uhr am Samstag.

Hier der Text:

Sehr geehrte/r Raimund Sichmann,

bedauerlicherweise mussten wir feststellen, dass die Aufforderung. 788055959 bisher ohne Reaktion Ihrerseits blieb. Nun gewähren wir Ihnen nun letztmalig die Möglichkeit, den ausstehenden Betrag unseren Mandanten OnlinePayment GmbH zu begleichen.

Aufgrund des bestehenden Zahlungsausstands sind Sie gezwungen zuzüglich, die durch unsere Beauftragung entstandene Kosten von 62,89 Euro zu bezahlen. Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von drei Werktagen. Um weitete Mahnkosten zu vermeiden, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 23.03.2017.

Ihre Personalien:

Raimund Sichmann
[Adressdaten entfernt]

Überweisen Sie den fälligen Betrag unter Angaben der Rechnungsnummer so rechtzeitig, dass dieser spätes tens zum 30.03.2017 auf unserem Konto eingeht. Können wird bis zum genannten Datum keine Überweisung verbuchen, sind wir gezwungen unsere Forderung an ein Inkasso zu übergeben. Alle damit verbundenen Zusatzkosten werden Sie tragen müssen.

Die vollständige Kostenaufstellung Nr. 788055959, der Sie alle Einzelpositionen entnehmen können, ist beigefügt.

Mit verbindlichen Grüßen

Rechtsanwalt Marco von Cili

letzte Änderung 19.10.2016

Haben Sie den Verdacht, Ihre HBCI-Sicherheitsdatei könnte unberechtigt kopiert worden sein, dann müssen Sie die Sicherheitsdatei austauschen. Dazu ist bei Banken an der exGAD keine neue Benutzerkennung und kein neuer Brief notwendig, Sie erzeugen die neue Verschlüsselung und unterschreiben diese mit ihrer alten Datei.
Bei Programmen, die dies nicht beherrschen, bleibt nur die Neueinrichtung. Ein Passwortwechsel reicht nicht aus, die Kopie behält ja das alte Passwort!

Informationen zum Fehlerhinweis: Signatur-ID ist ungültig oder was already used

So erzeugen Sie eine neue Sicherheitsdatei und reichen diese online ein

Lesen Sie hier weiter für:
Profi cash: Schlüssel austauschen und neues Passwort vergeben


Wenn Ihr Programm nicht mehr läuft, rufen Sie die Bank an. Erreichen Sie diese nicht, nutzen Sie die Sperrhotline, z.B. die Rufnummer 116 116.


VR-NetWorld Software: Schlüsselwechsel und Passwort tauschen
  1. Wählen Sie Stammdaten/Bankverbindungen an und klicken Sie doppelt auf den zu ändernden Bankkontakt.
  2. Wählen Sie links im Baum Sicherheitsmedium
  3. Wählen Sie Schlüsselwechsel aus und folgen Sie dem Assistenten
  4. Ändern Sie noch das Passwort

Schlüssel sperren mit ddbac-Programmen (windata, Quicken, Lexware…)

ddbac_Schluessel_sperreneBank/windata und die meisten ddbac Programme, wie Quicken/Lexware etc. bieten den Schlüsseltausch nicht an. Sie können aber die Signaturdatei sperren. Klicken Sie in der ddbac (bei eBank / Windata erreichbar über Stammdaten, Administrator für HBCI) doppelt auf den Bankkontakt und wählen Sie „Zugang sperren“ aus.

Das Programm fragt in einem weiteren Sicherheitsdialog, ob Ihnen der Schlüssel noch zur Verfügung steht und klärt Sie über die Folgen auf.

ddbac_Schluessel_sperren_01

Das es wirklich ernst ist, zeigt der erneute Hinweis.

Danach geht wirklich nichts mehr mit einer alten Kopie!

ddbac_Schluessel_sperren_02

Es öffnet sich der gewohnte Dateidialog, selbst jetzt könnte man noch abbrechen. Folgen Sie dem Dialog bis zum Ende.

ddbac_Schluessel_sperren_03

Schloss-goldDie Zertifikate einer verschlüsselten Internetseite sind wie elektronische Ausweise – sie ermöglichen uns Menschen die Prüfung, ob wir auch mit der gewünschten Internetseite verbunden sind. Denn die Zeiten, dass Betrüger selbst nur unverschlüsselt arbeiten, sind schon lange vorbei.

Genaugenommen muss man sich also bei jedem Besuch einer Webseite den „Ausweis“ und den Fingerprint der Seite zeigen lassen – das wäre ganz schön lästig (eine Zahlungsverkehrssoftware macht dies automatisch).

Ein Sicherheitsprogramm kann diese Aufgabe übernehmen, sie kennt die meisten Zertifikate bereits und prüft diese auf Korrektheit. Dumm nur, wenn die Zertifikate aktualisiert werden, die Datenbank in der Sicherheitssoftware aber nicht auf dem aktuellen Stand ist und dann Warnmeldungen fürVerwirrung und Verunsicherung sorgen.

Für Panik gibt es – meistens – keinen Grund, man muss aber genau hinsehen. Die Verschlüsselung ist ja nicht gefährdet, sie ist genausogut abgesichert, wie vorher. Nur der Ausweis des Servers oder der Seite ist so neu, dass der „Türsteher“, die Sicherheitssoftware, hier etwas Hilfe benötigt.

fingerprintIn diesem Fall muss man das Zertifikat manuell prüfen: Stimmt der Aussteller und der Fingerprint mit dem Unternehmen überein? Hat man dies erledigt, kann man das Zertifikat auch der Security-Software als „in Ordnung“ kennzeichnen, damit man dies nicht permanent machen muss.

Wie man dies im Browser macht, habe ich hier beschrieben. Die Zertifikatsinformationen sollte man bei einer Bank in den Sicherheitsinformationen nachlesen können.

Einige Security-Suiten bieten die Möglichkeit, über eine Ausnahmeregel das bisher unbekannte Zertifikat zu bestätigen, andere möchten das kollektive Wissen der User anzapfen und freuen sich über eine Bestätigung über die Webseite. Leider sind die Möglichkeiten zu unterschiedlich und die Varianten zu vielfältig, als dass ich diese hier alle auflisten könnte.

Wichtig! Ein korrektes Zertifikat schützt nicht vor durch Schadsoftware manipulierte Inhalte. Wenn sich beispielsweise ein Schadprogramm bereits im Browser eingenistet hat, stammt der Inhalt des Browsers nicht mehr unbedingt von der Bank oder dem Server, sondern der Inhalt könnte komplett von Betrügern manipuliert sein. Security-Programme sollen die Manipulation zwar verhindern, einen 100%igen Schutz gibt es aber auch bei den besten Schutzprogrammen nicht. Aufmerksam zu sein ist also auch hier nötig. Ein Airbag schafft zwar mehr Sicherheit, kann aber keine Unfälle verhindern.

Täuschungsversuche mit Domainregistrierungen oder Registereintragungen sind offensichtlich immer noch so erfolgreich und der Aufwand so gering, dass sich der Versuch in großem Stil lohnt, nach dem Motto: Irgendjemand wird schon drauf reinfallen und nicht genau hinsehen.

Die Masche mit Angeboten, die wie Rechnungen aufgebaut sind, ist eigentlich uralt. Ich spare mir die Erstellung aktueller Screenshots, weil die Bloggerin Daniela Müller dies für unser Beispiel auf www.seiten-wechsel.org bereits ausführlich getan hat.

Immerhin hat man die „Rechnungsdaten“ angepasst.

Nun etwas Banksicht darauf:
Es ist leider nicht allen Menschen bekannt, dass SEPA-Überweisungen nicht einfach zurückgeholt werden können. Eine einfache Rücküberweisung ist nur mit Mithilfe der Empfängerbank und sofern die Gutschrift bereits erfolgte, auch nur mit Mithilfe des Empfängers, also ggf. des Betrügers möglich. Genau deshalb gehört das Lastschriftverfahren meines Erachtens zu den für Verbraucher sichersten und bequemsten Zahlungsformen, die Überweisung einer bereits bezahlten Rechnung kann man nicht einfach stornieren, für eine Lastschriftrückgabe hat man ausreichend Zeit!


Dieses Beispiel der „DE Deutsche Domain“ hat meine liebe Frau über die Mail-Adresse ihrer Buchhandlung erhalten:

Mit freundlichen Grüssen
Heidi B.[geändert] Kundendienst
DE Deutsche Domain

Eine der Hauptverbreitungswege für Schadsoftware ist die E-Mail.Piraten-Flagge

Beinahe täglich erhalte ich Aufforderungen auf meiner privaten Mailadresse, dringend irgendetwas online zu prüfen, irgendwo eine Sicherheitseinstellung zu ändern, Kreditkarten- und Kontosperren zu verhindern oder Onlinebankingzugänge zu verifizieren. Selbst daran, mit den eigenen Daten konfrontiert und persönlich angesprochen zu werden, habe ich mich inzwischen einigermaßen gewöhnt. Unlängst habe ich sogar eine Bewerbung mit Lebenslauf in einem Virenverseuchten Wordformat erhalten.

Dass in einigen Mails in den Anhängen Trojanische Pferde mit gefährlichen Inhalten lauern, wissen inzwischen hoffentlich alle Nutzer. Die Sicherheitsexperten warnen:

Öffnen Sie niemals Anhänge von unbekannten Absendern!

Siehe Infografik aus dem deutschen Kaspersky-Blog.

Was ich nicht verstehe: Wieso wird vor „unbekannten Absendern“ gewarnt?

Die Gefahr lauert erst Recht in Mails von bekannten Menschen und Firmen! Trojaner lesen Adressdatenbanken doch seit Jahren aus und nutzen die Daten zum Verteilen. Das dürfte sich gerade bei Erpressersoftware lohnen, die ja kaum Interesse hat, sich lange zu verstecken, hier ist das primäre Hauptziel, eine möglichst hohe Infektionsquote zu erzielen.

Entsprechend meine Empfehlung:

  • Seien Sie grundsätzlich misstrauisch bei Anhängen und Links in unangekündigten E-Mails, auch bei bekannten Absendern.
  • Prüfen Sie diese vor dem Öffnen akribisch.
  • Nehmen Sie ggf. Rücksprache mit den Absendern.
  • Lassen Sie Spaßmails erstmal liegen und „heranreifen“. Derlei Unwichtiges können Sie auch noch in drei Wochen lesen, wenn Ihr Virenscanner die Gefahren gelernt hat.

Bei einigen gezielten Angriffsformen geht es nicht mal darum, Spionagesoftware und trojanische Pferde einzuschleusen, wenn die Betrüger die nötigen Informationen schon haben.

Eine Spielart ist der/die/das (?) sogenannte CEO-Fraud, eine erfolgreiche Masche der Angriffe über social engineering.

Hier einer der letzten Berichte aus einer ganzen Reihe von Warnungen und Berichten zu diesem Thema:
Kölner Stadtanzeiger