Täuschung mit amtlichem Anstrich: Vorsicht vor Fake-Rechnungen
05.05.2024
„Handlungsbedarf: Verspätungszuschlag … anbei erhalten Sie die Unterlagen zum Verspätungszuschlag für die verspätete Einreichung Ihrer Steuererklärung 2023.“
„Verpflichtende Teilnahme am DGUV-Präventionsmodul 2025 … Der Rechnungsbetrag ist sofort nach Erhalt fällig. Bei Verzug erfolgt eine Beitragserhöhung um bis zu 5%.“
ZAC: Hmm, das klingt ja wieder so offiziell, aber irgendwas stimmt da doch nicht. Worum geht es im heutigen Beitrag?
Jahr für Jahr versuchen betrügerische Gruppierungen mit neuen oder leicht abgewandelten Maschen unter dem Deckmantel offizieller Stellen, sich unrechtmäßig finanziell zu bereichern. Aktuell werden in großer Zahl gefälschte Rechnungen im Namen der DGUV (Deutsche Gesetzliche Unfallversicherung) und des BZSt (Bundeszentralamt für Steuern) per E-Mail oder Post versendet. Zu diesen Vorfällen liegen bereits mehrere Warnhinweise und Meldungen vor:
Warum berichtet auch die ZAC über dieses Thema? ZAC: Weil wir Ihnen diese Betrugsmasche etwas detaillierter erläutern möchten – insbesondere eine aktuelle Variante, die derzeit besonders häufig vorkommt. Betrugsmasche im Detail
Verwendete Domains
Für den Versand der betrügerischen E-Mails kommen unterschiedliche Domains zum Einsatz, beispielsweise:
steuern@bzst-zahlungsfrist.com
mitteilung@bzst-nachzahlung.com
anordnung@bzst-meldungen.com
...
Diese Domains werden in der Regel nur für den E-Mail-Versand genutzt. Häufig greifen die Täter dabei lediglich auf die MX-Records (Mailserver) zurück. Solche Domains lassen sich kostengünstig registrieren – gängige Authentifizierungsmechanismen wie SPF, DKIM und DMARC sind meist bereits aktiv, was die E-Mails auf den ersten Blick seriös wirken lässt.
Eine zusätzliche Täuschung erfolgt durch Weiterleitungen: So führt etwa bzst-zahlungsfrist.com auf die offizielle Website bzst.de. Diese Maßnahme erhöht die Glaubwürdigkeit der gefälschten E-Mail erheblich.
Laut einer kurzen OSINT-Recherche könnte die Domain bei einem russischen Anbieter registriert worden sein. Zumindest der Mailserver wurde darüber betrieben, wie die nachfolgende Analyse zeigt:
Da es sich um historische Daten handelt, ist nicht ausgeschlossen, dass sich der Anbieter inzwischen geändert hat.
E-Mail-Header
Jede E-Mail enthält einen einfachen sowie einen erweiterten Header, über den sich die Versandroute zurückverfolgen lässt. Allerdings können diese Informationen manipuliert sein, um den tatsächlichen Ursprung zu verschleiern.
Im erweiterten Header taucht eine IP-Adresse auf, die einem russischen Maildienst zugeordnet ist.
Fazit bis hierhin
Die Analyse deutet darauf hin, dass der Versand der E-Mails über russische Mailserver bzw. SMTP-Dienste erfolgt ist. Inhalt der E-Mail
Die Texte solcher E-Mails sind meist sehr ähnlich aufgebaut. Ziel ist es, mit juristisch klingenden Begriffen und Formulierungen Druck aufzubauen oder sogar Angst zu erzeugen, etwa durch:
Anhang
Oft ist der betrügerischen E-Mail ein PDF-Dokument beigefügt, das wie eine echte Rechnung wirkt. Seite 1:
Die Sprache des E-Mail-Textes findet sich im PDF wieder. Zur Steigerung der Glaubwürdigkeit enthält das Dokument einen gestempelten Unterschriftsblock und den Hinweis, dass Rückfragen nicht erwünscht seien.
Seite 2:
Spätestens hier sollte man skeptisch werden: Die angegebene IBAN ist spanisch – ein klares Warnsignal. Denkbar wäre jedoch auch die Nutzung eines deutschen Kontos eines sogenannten Finanzagenten („Money Mule“) oder eines missbräuchlich verwendeten Kontos.
Wie können Sie sich schützen?
Wie bei jeder betrügerischen E-Mail die Absender-Adresse überprüfen
Inhalt auf Unstimmigkeiten kontrollieren (Rechtschreibung, fehlende persönliche Anrede, ausländische Bankdaten…)
Links nicht direkt anklicken und Anhänge vorab überprüfen
Telefonnummer nicht direkt aus der E-Mail anrufen (könnte von der originalen Nummer abweichen)
Bei Zahlung: Bank unverzüglich kontaktieren und Karte sperren lassen, Anzeige erstatten
Betrügerischer Support: So schleusen sich Cyberkriminelle über falsche Support-Anrufe in Ihre Systeme ein
15.11.2024
„Guten Tag, wir wurden darüber informiert, dass Ihr E-Mail-Postfach mit einer Vielzahl von E-Mail-Anfragen geflutet wird. Wir können Ihnen dabei helfen dieses Problem zu lösen. Hierzu müssen Sie uns einfach einen Zugriff auf Ihren PC, per Remote Zugang (Anydesk, Teamvierwer…), ermöglichen…“
ZAC: Jaja, ist klar, aber ganz ehrlich diese Methode ist recht gut gemacht.
Um was geht es in dem heutigen Beitrag?
Uns erreichen aktuell Fälle, die auf zwei mögliche Angriffsvarianten hinweisen könnten.
Variante 1:
Ihr dienstliches/berufliches E-Mail-Postfach wird plötzlich mit hunderten bis tausenden E-Mails in kürzester Zeit (ein paar Minuten) „vollgespamt“ (E-Mail Bombing). In der Regel wird hier ein automatisierter Prozess/Dienst oder eine Software eingesetzt, um Ihre E-Mail-Adresse u. a. bei tausenden Newsletter verschiedenster Anbieter zu registrieren. Dies ist nicht nur nervig und ärgerlich, sondern kann auch Ihre Arbeitsfähigkeit sehr stark beeinträchtigen.
Genau hier erfolgt dann der zweite Schritt dieses Phänomens. Die Täter Gruppierung nutzt das „E-Mail-Bombing“ hier lediglich als Vorbereitungshandlung, um dann anschließend einen fingierten „Support/Helpdesk“ Anruf durchzuführen. Hierbei könnten verschiedenste Kommunikationstools wie z. B. MS Teams, Skype, usw. eingesetzt werden. Auch ein Videocall könnte möglich sein.
Die unbekannten Anrufer geben sich nun als Ihr hiesiger Support oder evtl. Microsoft aus, um Sie dann durch Techniken des „Social Engineerings“ davon zu überzeugen, dass der Anrufer Ihnen dabei helfen kann, das Problem mit dem E-Mail-Postfach zu lösen. Während des Zugriffs werden Sie möglicherweise befragt und die unbekannten Täter werden versuchen einen vertrauten und professionellen Eindruck zu hinterlassen. Es könnte auch sein, dass die Täter bereits Informationen gesammelt haben und Sie ganz gezielt mit Fragen oder Informationen über Ihren PC etc. zu manipulieren.
Das Problem kann „natürlich“ nur behoben werden, wenn Sie dem Anrufer/der Anruferin einen Zugriff auf Ihren PC ermöglichen. Hierzu sollen Sie sich „einfach“ eine Remotesoftware wie z. B. Teamviewer oder Anydesk herunterladen und Ihre Sitzungs-ID übergeben sowie den darauffolgenden Beitritt der fremden Sitzung zustimmen.
Sollte dieser Zugriff ermöglicht werden, kann dies verheerende Folgen für Ihren PC und/oder für das Unternehmensnetzwerk haben. Während des Zugriffs können sensible Unternehmens-, Zugangs-, Drittdaten und andere Informationen ausgespäht werden. Interne informationstechnische Daten wie IP-Adressen, Domänen, Clients etc. könnten evtl. ausgeleitet werden. Auch eine Kopie Ihres gesamten E-Mail-Postfaches kann erfolgen.
Nicht nur Daten können abgegriffen werden, sondern auch Verbindungen zu sog. C2 Servern (Command and Control Servern) könnten hergestellt werden, um effiziente Schadsoftware auf Ihrem System zu installieren. Diese Schadsoftware kann sehr gut programmiert sein und so eine Identifizierung durch das Anti-Viren-Programm (während des Zugriffs evtl. deaktiviert) erschweren. So wäre es ebenfalls möglich eine sog. „Backdoor“ auf dem System versteckt zu hinterlegen, um zu einem späteren Zeitpunkt, auch ohne Ihre Mithilfe, auf Ihren PC/System Zugriff zu erhalten. Der „Worst Case“ wäre das Aufspielen einer Ransomware.
Variante 2:
Allerdings wäre es auch möglich den „IT-Support“ authentischer erscheinen zu lassen, indem die Täter im Vorfeld Ihr E-Mail-Postfach kompromittieren. Dies würde das Mitlesen Ihrer Mails ermöglichen. So wäre es möglich, dass die Täter die echten Support Rückmeldungen aus Ihrem Postfach direkt herauslöschen und die Position des originären Supports einnehmen. Folglich wäre dieser Angriff noch professioneller, authentischer und deutlich schwieriger zu erkennen als die erste Variante.
Hinweis: Da es sich hier um ein neues Phänomen handeln könnte und bis zum Zeitpunkt der Berichterstellung wenige Fälle bekannt sind wird dieser Bericht bei neuen Erkenntnissen aktualisiert.
Wie können Sie sich schützen?
Spam-Filter, Regeln und/oder „Anti-Spam-Software“ können die ungewünschten E-Mails in Ihrem Posteingang reduzieren/verhindern
Die interne IT hinzuziehen und dies im besten Fall persönlich
Vorsorglich das Postfach auf eine mögliche Kompromittierung überprüfen lassen
Uns (ZAC) anrufen. Wir können Sie in diesem Fall beraten und die Situation einschätzen
Achtung! Evilginx kann die Zwei-Faktor-Authentifizierung umgehen
17.09.2024
In dem nachfolgenden Beitrag befassen wir uns mit „Phishing“…. Viele denken jetzt bestimmt: „Wie oft denn noch über Phishing berichten“?
ZAC: „JA…“
ZAC auch: „ABER…“
Bei dieser Phishing-Variante handelt es sich nicht um das typische Phishing „Bitte einmal klicken und gib mir deine Zugangsdaten und alles wird gut“. Hier kann sogar eine Zwei-Faktor-Authentifizierung (2FA) umgangen werden.
Wir wollen mit diesem Bericht, die Gefahr, welche unter Einsatz von Evilginx entsteht, aufzeigen. Dazu werden wir Ihnen praxisnah den Ablauf einer solchen Attacke, Bild für Bild, darstellen. Anschließend werden wir Ihnen zeigen, wie Sie sich davor schützen können. Bevor wir in das Praxisbeispiel einsteigen wollen wir vorab kurz klarstellen was „Evilginx “ ist. Was ist „Evilginx “?
Evilginx ist ein Man-in-the-Middle-Angriffsframework, welches für Phishing von Anmeldedaten und Sitzungscookies verwendet wird. Dies ermöglicht das Umgehen einer bestehenden 2FA.
Bei „Evilginx 3.0“ handelt es sich um die dritte Version und kann durch die Implementierung eigener http- und DNS Server sehr einfach eingerichtet und verwendet werden.
Da die Begriffe Sitzungscookies und Man-in-the-middle nicht unbedingt geläufig sind, folgt eine kurze Definition. Was ist ein Sitzungscookie (auch Session Cookie genannt)?
Ein Sitzungscookie ist eine kleine Datei, die Serverseitig erstellt wird und auf Ihrem eignen Gerät für weitere Kommunikationszwecke mit dem Server gespeichert wird. Das Sitzungscookie ermöglicht Ihrem Browser die erneute Identifikation gegenüber dem jeweiligen Server, mit dem Sie sich zuvor verbunden hatten. Dies passiert voll automatisch, während Sie im Internet surfen. vgl. Quelle (https://www.ionos.de/digitalguide/hosting/hosting-technik/was-sind-session-cookies/)
Was ist ein Man-in-the-middle?
Ein Man-in-the-middle ist eine unbekannte Person die sich zwischen den verbundenen Parteien i. d. R. Server und Client (User) zwischengeschaltet hat bzw. zwischenschalten kann, um die Informationen die zwischen den Parteien ausgetauscht werden mitzulesen, abzufangen und/oder zu manipulieren.
Sitzungscookie, Man-in-the-middle… schön und gut, aber was hat das nun mit Phishing zu tun und warum soll das so gefährlich sein? Schritt 1:
Sie erhalten eine typische Phishing-E-Mail mit der Aufforderung die Daten Ihres Kontos (hier Outlook im Web) aus vermeintlichen Gründen zu aktualisieren. Hierzu sollen Sie einfach nur den in der E-Mail aufgeführten Link anklicken und sich bei Ihren Konto anmelden. Wenn nicht, sollen Ihre Kontofunktionen eingeschränkt werden.
Bild 1: Sie befinden sich nun in Ihren Outlook-Postfach. (Outlook-Web) Schritt 2:
Zu Demonstrationszwecken klicken wir den Link in der Phishing-Mail an. Wie Sie sehen können werden Sie auf eine täuschendecht aussehende Microsoft-Anmeldemaske weitergeleitet. Der einzige Hinweis, dass es sich hier um eine Phishing-Seite handelt, ist die falsche URL.
Bild 2: Vergleich der echten URL mit der "Evilginx"-URLBild 3: Passwort Eingabe auf der Phishing-Webseite Schritt 3:
Bis hierhin können Sie einen typischen Phishing-Angriff wahrnehmen. Allerdings kommt nun ein weiteres gefährliches Feature der Software „Evilginx“ zum Einsatz. Denn als nächstes werden Sie nach Ihren zweiten Faktor („2FA“) (Bild 4 ) gefragt. I. d. R. ist die „2FA“ z. B. über die „Google-Authenticator-App“ als sicher anzusehen und bietet einen zusätzlichen Schutz für Ihre Konten. In diesem Fall ist es „Evilginx“ möglich, nach Eingabe der 2FA (z.B. über das Smart Phone) die Session Cookies zu klauen und die individuelle Identifizierung gegenüber des Servers zu übernehmen.
Bild 4: Eingabe der 2FA ebenfalls auf der Phishing-Webseite
Sie werden nach Eingabe der 2FA in Ihr Outlook-Postfach weitergeleitet. Dabei befinden Sie sich allerdings immer noch auf der von „Evilginx“ gehosteten Phishing-Webseite (Bild5). (Reverse Proxy)
Bild 5: Sie befinden sich nun in Ihren Outlook-Postfach über die Phishing-Webseite. (Reverse Proxy) Schritt 4:
In dem nachfolgenden Bild (Bild 6) können Sie einmal sehen welche Daten durch „Evilginx“ während des Angriffs extrahiert werden. Denn nicht nur die sensiblen Zugangsdaten, sondern auch der User Agent und die IP-Adresse werden protokolliert.
Bild 6: Durch Evilginx extrahierte Daten. Schritt 5:
Neben dem Umgehen der 2FA ist ein weiteres Ziel von „Evilginx“ das Abgreifen der Session Cookies. Diese werden ebenfalls protokolliert und können eine spätere Anmeldung in das betroffene Konto ermöglichen. (Bild 7)
Bild 7: Extrahierte Session-Cookies. Schritt 6:
Als nächstes werden die oben aufgeführten Session Cookies „einfach“ auf der originalen Anmeldemaske/URL von Microsoft/Outlook per Cookie Editor importiert.
Bild 8: Einfügen der Session-Cookies. Letzter Schritt:
Nun erfolgt nach einem „Refresh“ der echten Anmeldeseite eine automatische Anmeldung zum betroffenen Konto. So haben die Täter die Möglichkeit (ohne Eingabe von Zugangsdaten und 2FA) zu einem späteren Zeitpunkt auf das betroffene Postfach zuzugreifen (siehe nachfolgendes Video). Sollte die geklaute Sitzung enden müsste ein fremder Zugriff nicht mehr möglich sein.
Wie können Sie sich schützen?
Absender-Adresse überprüfen. Bei professionellen Angriffen könnte die E-Mail-Adressen nur anhand einer anderen Ziffer und/oder anhand eines Zifferndrehers als betrügerische E-Mail-Adresse erkannt werden
Grundsätzlich: Links sowie verlinkte Buttons und Bilder nicht aus der E-Mail heraus anklicken. Suchen Sie die entsprechende Webseite z. B. über „Google“ und vergewissern Sie sich bevor Sie Ihre Zugangsdaten eingeben, dass Sie auf der originalen Webseite sind. Gleiches gilt für Telefonnummern
Obwohl „Evilginx“ die 2FA aushebeln kann, empfehlen wir Ihnen dennoch sofern es möglich ist Ihre Konten mind. durch eine 2FA abzusichern
Sollten Sie einen Phishing Link angeklickt haben, benachrichtigen Sie bestenfalls unverzüglich Ihre IT-Abteilung und/oder die zuständige Stelle/Person
02.07.2024 Kurzer Ausflug aus Sicht einer Ermittlungsbehörde
(was passiert eigentlich vor einem Cyberangriff)
Bezugnehmend auf aktuelle Bedrohungslagen wie z. B. Ransomware, gewinnt die Nutzung von Open Source Intelligence (OSINT) zunehmend an Bedeutung.
Auf der einen Seite ist es sinnvoll zu wissen, wie Angreifer agieren bzw. agieren könnten und potentielle Ziele auskundschaften. Auf der anderen Seite ist es enorm wichtig, wie sich Unternehmen davor schützen können.
Unter OSINT versteht man im Allgemeinen das Zusammentragen, Vergleichen und Zusammenführen von frei verfügbaren Informationen aus dem Internet, um diese für seine Zwecke zu nutzen.
Dieses zusammentragen kann auf der einen Seite von Cyberkriminellen im Vorfeld zu Cyberattacken genutzt werden, andererseits aber auch durch zum Schutz der eigenen Infrastruktur proaktiv zum Einsatz kommen.
Im Ergebnis kann OSINT der Informationssammlung für potentielle Cyberkriminelle oder aber auch dem eigenen Schutz dienen.
Regelmäßige Fragestellungen zum Thema OSINT: Einsatz von Tools -> Cyberkriminelle vs. Unternehmen
Regelmäßig werden Tools, welche eigentlich dem eigenen Schutz dienen von Cyberkriminellen missbräuchlich benutzt. Dabei handelt es sich meist um gecrackte Versionen, welche sich Cyberkriminelle in Undergroundforen zulegen und anschließend nutzen können. Als Beispiele können hierbei Tools wie Shodan, Maltego, Metagoofil, theHarvester, Cobalt Strike, aber auch Open Source-Tools wie NMAP, Bloodhound, RClone(Aufzählung nicht abschließend) genannt werden. Diese Tools dienen grundsätzlich dem Schutz von eigener IT-Infrastruktur, werden aber auch gerne von Cyberkriminellen für deren Zwecke verwendet.
Ist OSINT legal -> Cyberkriminelle vs. Unternehmen
Das ist spezifisch schwer festzulegen. Legal ist OSINT und der Einsatz u. a. der oben beschriebenen Tools, zum Schutz von eigener IT-Infrastruktur.
Illegal kann das Erheben solcher Informationen werden, wenn ohne eine Einwilligung Daten erhoben werden, welche nicht öffentlich zugänglich oder anderweitig gesondert geschützt sind. Auf die einschlägigen Paragrafen des Strafgesetzbuches wird verwiesen.
Unabhängig davon sind die jeweiligen Nutzungsbedingungen u. a. von den sozialen Netzwerken gesondert zu betrachten.
Nutzung von OSINT -> Cyberkriminelle vs. Unternehmen
Cyberkriminelle nutzen regelmäßig OSINT für deren eigenen Zwecke. Dabei suchen sie proaktiv nach Datenquellen, um diese dann u. a. mit den o. g. Tools anzuzapfen. Im Optimalfall werden dabei keinerlei Spuren hinterlassen. Vollautomatisierter Einsatz von verschiedenen Techniken kann dabei häufig beobachtet werden. Welche konkrete Rolle ein Cyberkrimineller dabei spielt ist regelmäßig nicht eindeutig zu identifizieren. Regelmäßig wird nach erfolgten OSINT-Analysen sogenanntes Spear-Phishing angewandt und aktive Sicherheitslücken durch Cyberkriminelle ausgenutzt?
Das Modell Cybercrime as a Service (CaaS) spielt dabei eine zentrale Rolle.
Schützen können sich Unternehmen, indem proaktiv innerhalb und außerhalb eigener IT-Infrastruktur nach einschlägigen Tools gesucht wird und diese identifiziert werden. Bei Feststellung von solcher Software und Tools, welche nicht selbst aktiv eingesetzt wird, ist eine weiterführende Analyse der eigenen Systeme geboten. Ein besonderes Augenmerk sollte dabei auf offene Ports, unsichere vernetzte Geräte, ungepatchte Software und Informationen zu eingesetzten Geräten/Software, Softwareversionen, Gerätenamen, Netzwerke und nach außen sichtbaren IP-Adressen liegen.
Fazit ->
Insbesondere auf Unternehmensseite ist ein ständiges Monitoring von aktuellen Entwicklungen und Sicherheitsbedrohungen ein ausreichendes Maß an Beachtung zu geben, um sich vor Cyberbedrohungen zu schützen. Ein proaktives Handeln durch die eigenen IT-Beauftragten sowie eine regelmäßige Sensibilisierung von Mitarbeitenden ist hierzu erforderlich. Aktivitäten u. a. von Ransomware-Gruppierungen lassen sich im Internet z. B. auf Ransomlook.io tagesaktuell beobachten.
Für weiterführende Informationen treten sie gerne mit der ZAC Niedersachsen in Kontakt.
Herzlichst
Volker Peters
02.07.2024
In der ZAC Niedersachen hat im März des Jahres ein Personalwechsel stattgefunden. Dies möchte ich zum Anlass nehmen, um mich bei ihnen vorzustellen.
Frank Puschin, der ihnen in den vergangenen Jahren als allzeit kompetenter Ansprechpartner zur Verfügung gestanden hat, ist innerhalb des LKA Niedersachsen in eine Führungsverwendung im digitalen Bereich gewechselt.
Mir bot sich hierdurch die Möglichkeit, das Aufgabengebiet von Frank zu übernehmen. Nachdem nun einige Wochen ins Land gegangen sind, möchte ich ihnen auf diesem Wege die Möglichkeit geben, mich kennenzulernen.
Mein Name ist Volker Peters. Seit 37 Jahren bin ich im Polizeidienst tätig und habe diverse Arbeitsbereiche, innerhalb von verschiedenen Ermittlungsbehörden, durchlaufen. Seit 2012 bin ich im LKA Niedersachsen tätig. Seitdem befasse ich mich mit Cybercrime, insbesondere Cybercrime im engeren Sinne. Durch meine Tätigkeit als Cybercrime-Ermittler konnte ich vielfältige Kontakte im In- und Ausland knüpfen und bin mit diesen eng vernetzt. Insbesondere zum BKA, Europol, der NCA, dem FBI und HSI unterhalte ich direkte Kontakte. Daraus haben sich weitere enge Kontakte zu nationalen und internationalen IT-Sicherheitsunternehmen und den IT-Sicherheitsbereichen im deutschen Bankensektor ergeben.
Im Zusammenhang mit meiner neuen Tätigkeit in der ZAC Niedersachsen freue mich darauf sie kennenzulernen in eine regen Austausch mit ihnen kommen. Bei Fragen und Anregungen nehmen sie gerne Kontakt zum Team der ZAC Niedersachsen oder auch direkt zu mir auf.
Herzlichst
Volker Peters
#gerneperdu
13.03.2024
Unser Anliegen ist es, Sie über verschiedene Varianten des "E-Mail-Betrugs" aufzuklären, die neben Rechnungsmanipulationen, „Payroll-Scams“ (https://zac-niedersachsen.de/artikel/64), dem Mitlesen, Umleiten und Fälschen von E-Mails existieren.
Die nachfolgende Betrugsform kann in spezifischen Szenarien äußerst authentisch erscheinen und den kriminellen Hintergrund geschickt verschleiern.
Bei diesem Phänomen treten mindestens drei Parteien in Erscheinung:
• Firma A (Täter): Gibt sich in der Regel als ein bekanntes Unternehmen aus (hier als fiktives Beispiel "Infintiy"), sucht ein spezifisches Produkt und stellt eine vermeintliche (fingierte) Anfrage an Firma B.
• Firma B: Etwa Ihre eigene Firma, reagiert auf die Anfrage und unterbreitet A ein Angebot. Das Produkt kann jedoch nicht von den üblichen Zulieferern bestellt werden. In diesem Fall muss das angefragte Produkt von einer externen/fremden Zulieferungsfirma beschafft werden.
• Firma C (Täter): Hier die CSHTR GmbH, agiert als Zulieferer und gibt vor das Produkt mit einem vermeintlichen Alleinstellungsmerkmal liefern zu können.
Der Ablauf dieses betrügerischen Szenarios, dass in der Praxis oft durch eine Vielzahl von E-Mails, Telefonaten und gegebenenfalls unterschriebenen Dokumenten begleitet wird, lässt sich grob wie folgt skizzieren. Ablauf eines fiktiven Beispiels:
1. Firma B wird von "Infintiy" (Firma A) kontaktiert, um ein spezielles Produkt zu bestellen.
2. Firma B erstellt ein Angebot und "Infintiy" (Täter) antwortet mit möglicherweise authentisch wirkenden E-Mails, die jedoch Hinweise auf betrügerische Absichten enthalten können. Zudem wird mit Firma A vereinbart, dass die Bezahlung des Produkts durch Firma A erst nach Erhalt der Lieferung erfolgt. Hierbei kann es vorkommen, dass vermeintliche Verträge (mit augenscheinlich seriösen Stempeln etc.) unterschrieben und ausgetauscht werden.
3. Firma B nimmt die Bestellung an, muss jedoch das Produkt von einem fremden/externen Zulieferer beschaffen.
4. Über eine Internetrecherche findet Firma B die CSHTR GmbH, die vorgibt, das Produkt liefern zu können.
5. Firma B bestellt das Produkt und überweist einen beträchtlichen Betrag an die CSHTR GmbH (meist ausländische Konten), ohne zu wissen, dass die gesamte Anfrage von Firma A und die Webseite der erfundenen Firma CSHTR ein betrügerisches Konstrukt ist.
Das Ergebnis:
Firma A agiert hier als Täter und erzeugt eine fingierte Anfrage. Durch den anschließenden Abschluss der Bestellung erleidet Firma B einen finanziellen Schaden. Da Firma A und C i. d. R. die gleiche Tätergruppierung sind, können die Täter das überwiesene Geld rasch auf weitere Konten transferieren. Zudem besteht für Firma B ein erhöhtes Risiko für weitere Schäden, falls der Betrug nicht rechtzeitig erkannt wird.
Wie können Sie sich schützen?
Erhöhte Aufmerksamkeit bei der E-Mail-Kommunikation, insbesondere bei ungewöhnlichen Zahlungsbedingungen
Genaue Überprüfung der Identität und Seriosität der beteiligten Unternehmen
Überprüfung der Domains und E-Mail-Adressen (Whois)
29.12.2023 Ransomware, auch bekannt als Verschlüsselungstrojaner, ist eine immer noch währende Bedrohung für Ihr Unternehmen.
Die Täter nutzen eine technische Schwachstelle, schwache Passwörter oder E-Mails, um ihre IT-Infrastruktur zu infiltrieren. Sie kommen in das System, schauen sich dort um, um welches Unternehmen es sich handelt und sammeln erste Informationen.
In vielen Fällen werden Daten zuerst ausgeleitet, bevor diese dann anschließend alle wichtigen Daten und Dokumente und Datenbanken auf den infiltrierten Systemen verschlüsselt werden.
Im Falle einer erfolgreichen Kompromittierung werden zuerst Informationen über das Opfer gesammelt, wie z.B. um wen es sich bei dem Opfer überhaupt handelt und wie die IT-Infrastruktur aufgebaut ist.
Zu betonen ist, dass die Ransomware ungezielt verschickt wird, sodass auch kleine und mittelständische Unternehmen betroffen sein können.
Mögliche Einfallstore der Cyberkriminellen:
Maliziöse Anhänge in E-Mails
Excel-Tabellen oder Word-Dokumente, die Makros enthalten
Links in E-Mails oder QR Codes mit augenscheinlich echten Login-Masken
schwache Passwörter für Remote Verbindungen im Homeoffice
Nicht gepatchte Sicherheitslücken der Software
In der letzten Zeit haben wir häufiger beobachtet, dass nicht gepatchte Sicherheitslücken ausgenutzt werden, um die IT-Infrastruktur zu infiltrieren. Daher wollen wir nochmal besonders darauf aufmerksam machen, dauerhaft Ihre Software updaten zu lassen.
Falls es bereits zu einer Verschlüsselung gekommen ist, sollten Sie sich einen Forensik Dienstleister suchen, der durch das BSI zertifiziert wurde. Das BSI stellt die Liste unter folgendem Link zur Verfügung: Dienstleister APT-Response-Liste
Leider gibt es sehr viele unseriöse Angebote im Internet, die eine schnelle Lösung versprechen. Tatsächlich kosten diese Online Angebote nur Geld und liefern nicht den Erfolg, den die Website verspricht.
Im Schadensfall nehmen wir die Strafanzeige auf und beraten Sie für alle weiteren Schritte, die wichtig sind. Auch bieten wir Ihnen gerne einen Austausch an, bevor es zu einem Cyberangriff gekommen ist.
Alle Möglichkeiten der Kontaktaufnahme und die Nummer unserer Hotline finden Sie unter dem Reiter Kontakt oder nutzen Sie unser Kontaktformular.
01.12.2023
Unsere Kollegen vom Ratgeber Internetkriminalität machen heute auf ein aktuelles Phänomen aufmerksam, welches in erster Linie Restaurants betrifft:
08.08.2023
Seit gestern gibt es eine interessante Welle von Phishing-Mails. Darin behauptet der Absender im Namen des "Bundesministerium des Innern" folgendes:
Betreff: Bestätigen Sie Ihre Identität !
Sehr geehrter Kunde,
dies ist eine automatisierte E-Mail, die Sie über tägliche Sicherheitsupdates informiert.
Wir hoffen, dass für Sie alles in Ordnung ist. Im Rahmen unserer dauerhaften Maßnahmen zur Stärkung der Sicherheit der Bürger kontaktieren wir Sie im Namen des Bundesministeriums des Innern mit der Bitte um eine dringende Überprüfung Ihrer Identitätsdaten, insbesondere Ihres EU-Personalausweises.
Die Gewährleistung der Richtigkeit und Sicherheit Ihrer Daten ist für uns von größter Bedeutung.
...
Die Verifizierung soll über den dann folgenden Link gestartet werden:
Wir haben uns die nun folgende Webseite angeschaut und stellen hier Screenshots zur Verfügung.
Die Seiten sind Fake, es handelt sich um einen Versuch Ihre Ausweisdaten zu erlangen und für illegale Aktivitäten zu nutzen!
Im ersten Schritt sollen zunächst Vorder- und Rückseite des Ausweises hochgeladen werden:
Im nächsten Schritt möchten die Täter dann noch ein Video, in dem das Gesicht von allen Seiten zu sehen ist:
Sehr enttäuschend ist aus unserer Sicht, dass man nach dem Hochladen des Ausweises und des Videos wieder auf der Ausgangsseite landet. Schön wäre doch zumindest ein kleiner Dank gewesen.
Lassen Sie sich nicht täuschen und seien sie insbesondere bei der Verwendung Ihres Ausweises im Internet sehr vorsichtig!
Ebenfalls gestern erreichten uns E-Mails, in denen ein vermeintlicher Anwalt wegen einer angeblichen Urheberrechtsverletzung ebenfalls die Verifizierung mit Ausweisdaten fordert. Der Betreff dieser E-Mails lautet:
Aktenzeichen 20035812 - Abmahnung aufgrund von Urheberrechtsverletzung
Auch hier steckt der Wunsch der Täter nach frischen Ausweisen dahinter.
Unterstützen Sie unsere Arbeit gerne weiterhin durch die Einsendung von Spam-Mails an unser sog. "Trojanerkonto", weitere Informationen finden Sie unter https://polizeilabor.de.
Maliziöse Google Ads verbreiten schadhafte Software
31.01.2023
Zur Zeit häufen sich die Berichte über Google Ads, die vorgeben eine legitime und nützliche Software als Download bereitzustellen (u.a. LibreOffice, gimp, OBS), aber tatsächlich eine schadhafte Datei enthalten, die nach dem Herunterladen und anschließender Ausführung Ihren Rechner mit Malware infiziert. Was sind eigentlich Google Ads?
„…mit dem Dienst können Unternehmen und Werbetreibende Milliarden von Nutzern ansprechen, während diese z. B. Anfragen in der Google-Suche durchführen, Videos auf YouTube ansehen, neue Orte mit Google Maps erkunden, Apps auf Google Play entdecken oder Inhalte im Web durchforsten.“
Die beworbene Google Ad wird in der Regel innerhalb der Google-Suche ganz oben angezeigt.
Wie funktioniert das nun im Detail?
Sie sind auf der Suche nach einer bestimmten Software und benutzen hierzu die Google-Suchmaschine. Nehmen wir hier das Beispiel „gimp“. Nun kann es passieren, dass der erste Treffer eine Google Ad ist. Hier wird nun der oben beschriebene Dienst von kriminellen Akteuren missbraucht, indem legitime Webseiten täuschend echt kopiert werden und per Umleitung über eine meist ähnliche URL eine schadhafte Datei als Download bereitstellen.
Ziel ist es, Malware zu verbreiten, Zugangsdaten und sensible Informationen zu stehlen und im schlimmsten Fall komplette Systeme mit Ransomware zu verschlüsseln.
Hier wurde beispielsweise in einer Google Ad die Adresse https://www.gimp.org mit kyrillischen Ziffern täuschend echt dargestellt:
Nachdem die Google Ad angeklickt wird, erfolgt eine Weiterleitung zu der Fake-Webseite, die die schadhafte Software zur Verfügung stellt. In diesem Beispiel ist es http://www.gilimp.org:
In den meisten Fällen werden die legitimen Webseiten mit ähnlichen Namen dargestellt, d.h. es werden z. B. Ziffern vertauscht. Durch die Verwendung von Begriffen wie „official“ wird darüber hinaus ein authentischer Eindruck erzeugt. Softwareprojekte wie z. B. Anydesk, Notepad ++, OBS, VLC, Teamviewer, Rufus, gimp und LibreOffice sind nur wenige Beispiele, die für die aktuellen Malware-Kampagnen missbraucht werden.
Beispiel "Teamviewer":
Es sollen u. a. die Malware-Varianten „Aurora Stealer“, „IcedID“, „Raccoon Stealer“, "RedLine" und „Vidar Stealer“ über diese Methode verbreitet werden.
Einen bösartigen Befall mit einer solchen Malware könne im schlimmsten Fall zur Ausführung einer Ransomware führen:
Quelle:https://twitter.com/1ZRR4H/status/1616682530832252930 Google? Wieso werden diese Ads zuglassen und wie gelangt die Malware auf das System?
„Wenn Google feststellt, dass die Fake-Webseite (Landing Page) bösartig ist, wird die Kampagne blockiert und die Anzeigen werden entfernt, so dass Bedrohungsakteure in diesem Schritt einen Trick anwenden müssen, um die automatischen Prüfungen von Google zu umgehen.“
Laut Guardio und Trend Micro besteht der Trick darin, dass die Webseite, die über Google Ad angezeigt wird gutartig und irrelevant ist. Erst nachdem man die Anzeige anklickt, soll eine direkte Umleitung auf die bösartige Webseite erfolgen.
Der Download bzw. die schadhafte Datei soll vor allem im ZIP- oder MSI-Format (Microsoft Installer) verfügbar sein. Zudem sollen die schadhaften Dateien von seriösen File-Sharing – und Code-Hosting-Diensten wie GitHub, Dropbox oder dem CDN von Discord heruntergeladen werden. Somit könne eine Erkennung durch Antivirenprogramme erschwert werden.
Ablauf: Siehe nachfolgenden Link.
Aktivieren Sie innerhalb Ihres Browsers einen Ad-Blocker
Angezeigte Ads sollten Sie ignorieren und etwas nach unten scrollen, um die offizielle Webseite zu sehen. Sollten Sie Zweifel haben, können Sie den Wikipedia-Eintrag zur gesuchten Software aufrufen
Wird die Webseite der gewünschten Software häufiger besucht, können Sie diese als Lesezeichen markieren und können somit die offizielle Webseite immer direkt aufrufen. So kann eine Google-Suche vermieden werden
Nutzen Sie zur Installation von Software den Microsoft Store
Sollten Sie eine maliziöse Datei ausgeführt haben, benachrichtigen Sie bestenfalls unverzüglich Ihre IT-Abteilung und/oder zuständige Stelle/Person
