Der Hype um das neue Augmented Reality-Spiel Pokémon Go ist ein gutes Beispiel dafür, wie Schadsoftware sehr erfolgreich und gezielt unter die Leute gebracht wird. Lesen Sie hier, was man daraus lernen kann:
Eine der Hauptverbreitungswege für Schadsoftware ist die E-Mail.
Beinahe täglich erhalte ich Aufforderungen auf meiner privaten Mailadresse, dringend irgendetwas online zu prüfen, irgendwo eine Sicherheitseinstellung zu ändern, Kreditkarten- und Kontosperren zu verhindern oder Onlinebankingzugänge zu verifizieren. Selbst daran, mit den eigenen Daten konfrontiert und persönlich angesprochen zu werden, habe ich mich inzwischen einigermaßen gewöhnt. Unlängst habe ich sogar eine Bewerbung mit Lebenslauf in einem Virenverseuchten Wordformat erhalten.
Dass in einigen Mails in den Anhängen Trojanische Pferde mit gefährlichen Inhalten lauern, wissen inzwischen hoffentlich alle Nutzer. Die Sicherheitsexperten warnen:
Öffnen Sie niemals Anhänge von unbekannten Absendern!
Siehe Infografik aus dem deutschen Kaspersky-Blog.
Was ich nicht verstehe: Wieso wird vor „unbekannten Absendern“ gewarnt?
Die Gefahr lauert erst Recht in Mails von bekannten Menschen und Firmen! Trojaner lesen Adressdatenbanken doch seit Jahren aus und nutzen die Daten zum Verteilen. Das dürfte sich gerade bei Erpressersoftware lohnen, die ja kaum Interesse hat, sich lange zu verstecken, hier ist das primäre Hauptziel, eine möglichst hohe Infektionsquote zu erzielen.
Entsprechend meine Empfehlung:
- Seien Sie grundsätzlich misstrauisch bei Anhängen und Links in unangekündigten E-Mails, auch bei bekannten Absendern.
- Prüfen Sie diese vor dem Öffnen akribisch.
- Nehmen Sie ggf. Rücksprache mit den Absendern.
- Lassen Sie Spaßmails erstmal liegen und „heranreifen“. Derlei Unwichtiges können Sie auch noch in drei Wochen lesen, wenn Ihr Virenscanner die Gefahren gelernt hat.
- Speichern Sie Anhänge ab und prüfen Sie diese mit einem Online-Virenscanner
- ausführbare Dateien nicht starten
- wenn Textverarbeitung, Tabellenkalkulation etc. nach Rechten fragt, sind wahrscheinlich Makros = Programme in der Datei versteckt=höchstes Risiko!
Bei einigen gezielten Angriffsformen geht es nicht mal darum, Spionagesoftware und trojanische Pferde einzuschleusen, wenn die Betrüger die nötigen Informationen schon haben.
Eine Spielart ist der/die/das (?) sogenannte CEO-Fraud, eine erfolgreiche Masche der Angriffe über social engineering.
Hier einer der letzten Berichte aus einer ganzen Reihe von Warnungen und Berichten zu diesem Thema:
Kölner Stadtanzeiger
Tritt bei der Einreichung des öffentlichen Schlüssels der u.a. Fehler auf, sollten Sie die eingegebenen Daten genau vergleichen. Prüfen Sie auch, ob Sie die Signaturdatei mit der neuesten Version erstellt haben und erzeugen Sie ggf. eine neue Signaturdatei.
Achtung: Die Schlüssel einer Benutzerkennung können – zumindest bei x-GAD Banken nur ein einziges Mal initialisiert werden. Eventuell sehen Sie bei den Versuchen nicht, dass die Einreichung funktioniert hat und probieren es weiter oder der Druck schlägt fehl, etc.. Der erste erfolgreiche Versuch zählt! Die Bank benötigt den genau zu dieser Datei passenden Ini-Brief und Sie wiederum benötigen ebenfalls genau diese Datei und Passwort, um später die Aufträge signieren zu können. Ansonsten ist eine neue, oft kostenpflichtige Benutzerkennung erforderlich und alles beginnt von vorn.
Meine Empfehlung: Speichern Sie die Datei jeweils in einem neuen Ordner, also überschreiben Sie die Datei nicht, sondern verwahren Sie die Versionen. Im Protokoll können Sie sehen, welche Einreichung zuerst funktionierte.
Das folgende Beispiel zeigt die vom X-GAD-Rechenzentrum unter dem Bank21-System generierten Fehlerdaten und die von Hibiscus erzeugten Meldungen. Die VR-Kennung passte hier nicht zur Benutzerkennung. Der für die Fehlerdiagnose wichtige Passus ist:
9010:Initialisierung fehlgeschlagen, Auftrag nicht bearbeitet. (TRE)
9010:Bitte wenden Sie sich an Ihren Berater. (B21:0099)
Die Einrichtung einer Schlüsseldatei mit Hibiscus habe ich hier beschrieben:
Stand 06.07.2016
Die Einzelinformationen eines Sammlers werden in der Software verwaltet, die den Inhalt des Sammlers kennt, weil sie diesen z.B. selbst erstellt hat oder der Auftrag importiert wurde.
Bei einem einzigen Posten im Sammler wurden früher die Daten vom Rechenzentrum, früher GAD, jetzt Fiducia & GAD IT AG, trotzdem in die Informationen des Umsatzes übertragen. Dies wurde inzwischen umgestellt. Damit ist es z.B. möglich, Buchungen etwas vertraulicher zu behandeln, z. B. wenn auf dem Kontoauszug nicht Details (Empfänger) der Buchung auftauchen sollen. Statt der Empfängerdaten werden in den Umsatzinformationen technische Details zum Auftrag gelistet.
Wenn das nicht gewünscht ist, sollten keine Sammelbuchungen verwendet werden, also entweder von vorneherein in der Erfassung als Einzelbuchung oder man macht Gebrauch vom Batchbooking-Flag.
weiterer Nachteil: Eine Sammelbuchug beinhaltet immer einen Buchungsposten, den Sammler selbst und einen einzelnen Arbeitsposten, die Buchung, kostet also u.U. mehr Gebühren.
mehr zum Thema Sammler nachträglich auflösen
Ein Kunde berichtete darüber, konnte die besagte Datei aber im Quarantäne Ordner von G-Data finden. Wie ich gerade lese, haben unterschiedliche Virenscanner (auch Kaspersky und F-Secure) gerade diese Datei auf dem Schirm und stufen diese irrtümlich als schädlich ein.
Hier handelt es sich mit großer Wahrscheinlichkeit um eine Falschmeldung („false positive“), was durchaus häufiger vorkommt bei Programmen, die eine Internetverbindng aufbauen. Sollten Sie verunsichert sein, vergleichen Sie die Datei mit Ihrer Bank.
Wenn Sie also eine Meldung erhalten, diese Datei würde fehlen: Schauen Sie im Quarantäne-Ordner mal nach…
Der Browser ist inzwischen der beliebteste Browser auf Desktop-Systemen. Gerade die Erweiterbarkeit und Flexibilität überzeugt viele Nutzer, aber dies kann auch Nachteile mit sich bringen, wenn Addons die Stabilität oder Funktionen beeinträchtigen oder wenn manipulierte Einstellungen Probleme machen.
So setzen Sie den Feuerfuchs mit wenigen Klicks auf die Grundinstallation zurück, ohne die Lesezeichen, gepeicherte Passwörter und Cookies zu verlieren und ohne dass Sie auf externe Tools zurückgreifen müssen. Wenn Sie sich Sorgen machen, können Sie mit einem dieser externen Tools auch eine Sicherheitskopie aller wichtigen Dinge anlegen. Ich selbst nutze mozbackup z.B. für Umzüge und Backups auch von Thunderbird.
Klicken Sie oben in die Adresszeile und löschen Sie alle Buchstaben. Geben Sie ein: about:support
und drücken Sie die Eingabetaste. Es öffnet sich ein Statusfenster mit vielen allgemeinen Informationen zum Status. Hier interessiert die Bereinigungsfunktion, klicken Sie auf den Button „Firefox bereinigen…“ unter rechts oben: „Machen Sie Firefox wieder flott.“
In der Sicherheitsabfrage wählen Sie den Button „Firefox bereinigen“.
Der Vorgang ist in wenigen Sekunden erledigt und der Browser startet nach Klick auf „Fertig stellen“ neu.
Die Macher der Jigsaw-Ransomware versuchen offensichtlich eine neue Masche und kombinieren in der CryptoHitman-Variante den kahlköpfigen Character aus der Hitman-Reihe mit heftigen Pornobildern.
Was steckt dahinter? Wenn man der Umfrage des bsi trauen kann, waren in Deutschland 1/3 (sic!) aller Firmen von Erpressungs-Software mehr oder weniger hart betroffen und es sind natürlich gerade Firmen, die schnellstmöglich ihre Arbeitsfähigkeit wieder herstellen möchten oder müssen. Da man am Arbeitsplatz erst Recht keine Pornobildchen als aufgezwungenes Hintergrundbild haben möchte, ist das eine besonders perfide Methode, womöglich zahlungsunwillige, aber schamvolle Menschen unter Handlungs-Druck zu setzen.
Die übliche Countdown und Löschandrohung der Dateien tut dann sicherlich ihr übriges: „Ab 12.00 Uhr erschießen wir stündlich eine Word- oder Excel-Datei! Packen Sie rechtzeitig den Geldkoffer mit unnummerierten Bitcoins in den Papierkorb in die rechte untere Bildschirmecke.“
Glücklicherweise muss darauf niemand eingehen, auch Hitman scheint geknackt worden zu sein:
Lesetipp:
Dass einige Ransomware-Trojaner auch über das Netzwerk oder als Wechseldatenträger erreichbare Backupssysteme mitverschlüsseln können, haben viele schmerzhaft feststellen müssen.
Daher ist eine durchdachte und an die Bedrohungslage aktualisierte Backupstrategie wichtiger, denn je. (siehe hier)
Die c’t schreibt in ihrer aktuellen Ausgabe ausführlich über die unterschiedlichen Backupmethoden und -Strategien und stellt mit Duplicati eine feine kostenlose Backuplösung vor.
www.heise.de/ct/ausgabe/2016-11-Daten-Trojaner-sicher-speichern-3199496.html
Wenn sich die Umsatzdaten rückwirkend verändern, kann es bei ZV-Programmen mit FinTS-Schnittstelle zur Anzeige vermeintlich doppelter Buchungen kommen.
betroffene Programme:
- Macgiro
- iOutbank
- BankX
- collmex
- Mensamax
Abhilfe: Die Umsatzdaten seit dem Auftreten der doppelten Umsatzdaten müssen gelöscht und dann noch einmal abgerufen werden.
Man muss dabei darauf achten, dass die Daten nur ab dem gelöschten Datum abgerufen werden, an dem die doppelten Umsätze auftraten.
Woran liegt das?
FinTS-Programme holen die Bankdaten vom Bankserver selbstverständlich immer bis zur aktuellen Sekunde ab, die Aktualität ist ja auch ein besonderer Vorteil des Verfahrens. Die Umsatzdaten werden also auf Anforderung bis Stand „jetzt“ generiert. Damit keine Lücken im Datenbestand auftreten, muss die Software also Umsatzdaten „überlappend“ abholen, der aktuelle Tag ist ja noch nicht abgeschlossen. Einige Programme haben hier auch einen größeren „Puffer“ und holen z.B. einige Tage mehr ab.
Umsatzdaten sind nun aber leider nicht durchnummeriert, zumindest in den klassischen MT940 Formaten nicht. Eine Software kann also die Buchung nur anhand des Inhalts unterscheiden und als „bekannt“ oder „neu“ erkennen.
Ändern sich diese Daten rückwirkend, z.B. durch Änderungen des Banksystems, dann haben einige Programme mehr oder weniger große Schwierigkeiten, die bereits vorhandenen Daten von den neuen Daten zu unterscheiden, sofern sie nicht generell den alten Bestand löschen.
Dass Buchungen doppelt verarbeitet wurden, ist natürlich am Kontostand verifizierbar. Durch simples Zusammenrechnen sollte also ein Programm durchaus erkennen können, dass „etwas nicht stimmen kann“, wenn Buchungen im System doppelt sind. Man kann also eine Warnung oder einen Hinweis auf doppelte Buchungen durchaus erwarten.
Ich empfehle allen Programmierern dringend, über den Wechsel zum zeigemäßeren CAMT-Format intensiver nachzudenken, weil hier ein Konvertierungsproblem wegfällt.
Die Änderung wird in den nächsten Monaten bei allen Genossenschaftsbanken am Rechenzentrum ex-GAD in Münster durchgeführt.
Stand: 16.05.2024
Fehlermeldung 9390:Signatur-ID ist ungültig
9210:Signature Id xxx was already used
Erläuterung: Mit Signatur-ID ist – vereinfacht dargestellt – eine Art Zähler der elektronischen Unterschrift gemeint. Es handelt sich um eine Sicherheitsfunktion, die verhindern soll dass eine Unterschrift doppelt verwendet werden kann. Bei der HBCI-Sicherheitsdatei wird der Zählerstand bei den meisten Programmen in der Sicherheitsdatei oder im Programm selbst mitgezählt, es ist deshalb auch nötig, dass die Datei beschreibbar ist. Daher ist es mit den meisten Programmen auch nicht möglich, zwei USB-Sticks mit dem gleichen Bankzugang ohne Störungen zu nutzen.
Jeder online Übertragungs- und Signiervorgang, das können auch Umsatzabrufe sein, zählen diesen Zähler weiter, der Stand muss mit dem Stand des Bankrechners übereinstimmen oder neuer sein.
Aufgepasst: In den allermeisten Fällen, in meiner Tätigkeit waren das bisher 100%, ist und war der Hinweis harmlos. Haben Sie jedoch den dringenden Verdacht, die Datei und Ihr Passwort könnte unberechtigt kopiert worden sein, dann müssen Sie reagieren und die Sicherheitsdatei und Passwort austauschen. Dazu nutzt man den Schlüsselwechsel, eine neue Kennung ist nicht nötig. Alle Kopien – rechtmäßige und unrechtmäßige – sind dann ungültig.
Ist der Zähler der Datei zu sehr veraltet, muss der Stand mit dem Bankserver synchronisiert werden. Bei den meisten Programmen liegt die Funktion dazu in der Bankverwaltung.
GLS e Bank, Windata: Stammdaten/Administrator für FinTS/HBCI, Kontakt markieren und den Button „synchronisieren“ auswählen. Bei Lexware und Buhl/Wiso dürfte das in der gleichen Weise in den Bankkontakten geschehen. Bei vielen Programmen ist die Verwaltung auch über die Windows-Systemsteuerung über „Homebanking-Kontakte“ erreichbar.
Profi cash: Stammdaten, HBCI-Verwaltung. Oben das Kürzel auswählen und „Benutzerdaten aktualisieren“ anklicken.
VR-NetWorld Software: Stammdaten, Bankverbindungen. Dann mit rechter Maustaste den Bankkontakt markieren und im Kontextmenü „Synchronisieren“ auswählen (oder oben über den Button gehen).
Die Protokollmeldung sieht dann folgendermaßen aus (hier aus Profi cash 10.8b):
(Dialog) INERR (3999) Die Signatur-ID ist mit dem Kreditinstitut synchronisiert worden. ()
Gemeinschaftsvollmachten
Diese typische Situation ergibt sich manchmal, wenn z.B. folgendes bei A- und B-Vollmachten passiert:
Person A unterschreibt vorab einen Buchungsauftrag, das geschieht offline. Der Bankserver bleibt also auf dem alten Stand. A arbeitet dann mit der Signatur weiter, holt z.B. Kontoumsätze ab, der Bankserver synchronisiert sich mit der Signatur.
Person B setzt die zweite Unterschrift unter den vorab von A unterschriebenen Buchungsauftrag und überträgt die Buchung.
Da die Unterschrift von A inzwischen veraltet ist, wird die Buchung nicht durchgeführt.
Oder auch:
Person B unterschreibt statt bei der Datenübertragung ebenfalls vorab offline die Aufträge – anstatt die Unterschrift bei der Übertragung „unter“ den Auftrag zu setzen und erledigt dann womöglich noch andere Aufträge online.
Wird dann der Buchungsauftrag gesendet, ist womöglich der Zähler der vorherigen Unterschrift bereits veraltet. Die elektronische Signatur sollte vom Übertragenden also nicht vorab geleistet werden.
Abhilfe: Zeitnah sollten alle Bev. unterschreiben und der Übertragende sollte nicht vorab signieren.
Zumindest bei Profi cash kann es sein, dass der Job neu erstellt und unterschrieben werden muss, weil der Bankrechner der Meinung ist, die Signatur sei zu alt. Mit Löschen/Stornieren und Reaktivieren des Auftrags macht das aber wenig Arbeit.
Andere Ursache: Ein altes Backup einer alten Signaturdatei wird verwendet
Ist dies der Fall, hat die Kopie der Sicherheitsdatei noch den veralteten Zählerstand zum Zeitpunkt der Kopie behalten. Es muss neu synchronisiert werden (siehe oben).
Signaturzähler „übergelaufen“:
Die Formulierung hört sich etwas „blöd“ an, ist aber ein technischer Begriff aus der IT: Überlauf. Das ist möglich, denn wurde zu häufig mit der Signatur unterschrieben, kann der Zählerstand den vorgesehenen Speicherplatz überschreiten und ist nicht mehr nutzbar. Ich vermute, es sind nur 16 Bit als „Speicherplatz“ für den Zähler vorgesehen. Dies sollte natürlich nur bei absoluten „Power-Usern“ geschehen. Wer die Umsätze seiner Konten im Minutentakt abruft bzw. z.B. von einem Automaten abrufen lässt, schafft das aber spielend. Hier empfehle ich dringend, auf PIN&TAN zurückzugreifen, bei dem kein Zähler eine Rolle spielt. Das ist auch aus Sicherheitsgründen zu empfehlen, und eine Trennung zwischen TAN-pflichtigen Aufträgen und Umsatzabrufen wird möglich. Das Sicherheitsdatei-Verfahren wird wahrscheinlich abgeschaltet werden..
mein alter Infostand: Um mit der Signatur oder Chipkarte weiter arbeiten zu können, hilft dann nur eine frische Benutzerkennung oder neue Karte von der Bank und eine neue Initialisierung.
Das obige scheint nur für Chipkarten gelten, bei Hibiscus hat es geholfen, die Bankparameter zu löschen. Wie Sie dies bei anderen Programmen tun können, finden Sie dort im Handbuch.
So macht man Druck auf die Opfer. Jede Stunde länger warten und eine Datei wird vernichtet. Je länger man wartet, desto mehr Dateien müssen immer schneller dran glauben. Perfide, dass bei einem Neuboot gleich 1.000 Stück weg sein sollen. Immerhin fällt der Preis, verglichen mit dem „Ransomsoftware-Wettbewerb“ auf 0,4 BTC, das sind aktuell um die 150,00 Euro, andere sind da teurer.
Glücklicherweise gibt es anscheinend schon ein Dechiffrier-Tool, das die Dateien wieder herstellen kann. Man sollte also nicht bezahlen.
Ich bin nicht sicher, was wirklich passiert – hat man aber den Rechner heruntergefahren, sollte man keinesfalls den Computer einfach über das normale System neu starten. Entweder baut man die betroffenen Datenträger oder es empfiehlt sich der Neuboot mit einem Live-Linux-System, z.B. Knoppix, um Backups zu erstellen. Dabei wird die Schadsoftware nicht aktiviert und man
Quelle und weitere Links: Golem