e-Banking Trojaner hat Schweizer KMUs im Visier
In den vergangenen Tagen gingen bei der Melde- und Analysestelle Informationssicherung MELANI vermehrt Meldungen von Schweizer KMUs ein, welche verdächtige Spam E-Mails erhalten haben. Die gemeldeten E-Mails stammen dabei offensichtlich von angeblichen Geschäftspartnern und versuchen, den Empfänger der E-Mail mit einem e-Banking Trojaner zu infizieren.
Bei einem kürzlich bekannt gewordenen Fall, welcher ein Freiburger Unternehmen betraf, wurde mittels demselben Trojaner ein siebenstelliger Betrag gestohlen. In vielen Fällen handelt es sich dabei um eine angebliche Fax-Nachricht, welche per E-Mail versendet wird. Ein üblicher Betreff solcher E-Mails ist „Fax message has been receive“ mit einem Dateianhang Namens „FAX_XXXXXXXXXXXX.zip“, wobei X für eine beliebige Zahl steht.
Diese Emails werden nicht, wie sonst üblich, über Spam-Botnetze versendet sondern tatsächlich über das Konto des Absenders, welches zu diesem Zweck kompromittiert wurde. Die Schadsoftware (Malware), welche sich in der zip-Datei befindet, stiehlt dazu das Adressbuch des Opfers und versendet sich danach selber an die darin enthaltenen Empfänger.
Da die Absender dieser E-Mails nicht gefälscht und zudem in vielen Fällen tatsächlich Geschäftspartner der Adressaten sind, besteht ein erhöhtes Risiko, dass Letztere den Anhang öffnen und sich mit Malware infizieren.
––––––––––––––––––––––––––––––––––––––––––––––––
Beispiel einer Spam-Mail:
Betreff: Fax message has been receive
Von: X Datum: 22.01.2015 12:52
An: Undisclosed recipients;
Anhang: FAX_947188278124.zip (FAX_947188278124.scr)
I have sent you a fax message. Please check document attached.
––––––––––––––––––––––––––––––––––––––––––––––––
Die Spam E-Mail ist vergleichsweise einfach aufgebaut und lässt sich z.B. anhand fehlender E-Mail Signatur und Schreibfehler einfach erkennen. Trotzdem wurden anscheinend zahlreiche Empfänger in den vergangenen Tagen dazu verleitet, den Dateianhang zu öffnen und sich somit mit Malware zu infizieren.
Bei der Malware handelt es sich um einen sogenannten Dropper namens Upatre. Zweck eines Droppers ist es, weitere Malware aus dem Internet nachzuladen. Bei den uns bekannten Fällen wurde dabei ein e-Banking Trojaner namens Dyre aus dem Internet nachgeladen. Wir stellen in den letzten Monaten fest, dass die Angreifer immer stärker auch KMUs ins Visier nehmen. Dies wird dadurch begünstigt, dass viele KMUs sich gegen Gefahren aus dem Cyberspace ungenügend schützen. So sind MELANI Fälle bekannt, bei welchen ein veralteter oder gar kein Virenschutz auf den Firmencomputern installiert war.
Das Problem liegt dabei nicht zwingend bei den KMUs, sondern oft auch an den beauftragten IT-Dienstleistern, welche die IT-Sicherheit teilweise stark vernachlässigen. Dies wird noch dadurch verstärkt, dass die Verantwortlichkeiten zwischen Kunde und Anbieter unzureichend geregelt sind.
Neben den üblichen Verhaltensregeln (http://www.melani.admin.ch/themen/00166/00172/index.html?lang=de) empfiehlt MELANI:
* Stellen Sie sicher, dass Sie regelmässig ein Backup Ihrer Daten erstellen (täglich) und an einem sicheren Ort aufbewahren (offline). Testen Sie die Funktionsfähigkeit Ihres Backups regelmässig.
* Stellen Sie sicher, dass auf Ihrem Computer ein aktuelles Virenschutzprogramm installiert ist.
* Scannen Sie Ihren Computer regelmässig mit einem aktuellen Virenschutzprogramm (Vollständiger Systemscan).
* Seien Sie vorsichtig beim Umgang mit E-Mails, auch wenn diese von vertrauenswürdigen Absendern stammen. Im Zweifelsfall fragen Sie beim Absender der E-Mail telefonisch nach.
* Sollten Sie beim Login ins e-Banking nach Eingabe der Anmeldeinformationen (Passwort, mTAN/Token) einen Sperrbildschirm erhalten, z.B. „Das eBanking steht derzeit nicht zur Verfügung“, kontaktieren Sie bitte Ihre Bank.
* Falls beim Login-Prozess aussergewöhnliche Vorkommnisse auftreten (z.B. Anzeige von Minuten-Timer, usw.) sollte die Bank kontaktiert werden.
Sollten Sie bereits solche E-Mails erhalten und den Dateianhang geöffnet haben, empfehlen wir Ihnen, Ihr System mit einem Virenscanner oder einem Malware Removal Tool zu überprüfen. Eine entsprechende Anleitung dazu finden Sie unter folgendem Link:
Anleitung zur Entfernung von Schadsoftware (http://www.melani.admin.ch/dienstleistungen/00132/01562/index.html?lang=de)
MELANI stellt ein Merkblatt bereit, welches Schweizer KMUs dabei helfen soll, die IT-Sicherheit im Unternehmensnetzwerk zu erhöhen.
Das Merkblatt finden Sie hier:
Merkblatt IT-Sicherheit für KMU (http://www.melani.admin.ch/dienstleistungen/00132/01595/index.html?lang=de)
Zudem finden Sie ein 10-Punkte Programm zur Erhöhung der IT-Sicherheit auf dem KMU Portal des Bundes:
Sicherheitsvorkehrungen für die IT-Infrastruktur KMU (http://www.kmu.admin.ch/kmu-betreiben/03710/03712/03715/index.html?lang=de)
Veröffentlicht/zuletzt geändert: 2. Februar 2015
Quelle: MELANI
