ho-service Blog

Willkommen auf unserem Blog.

Phishingmails: Anweisung zur Überweisung vom Chef?

Phishingmails: Anweisung zur Überweisung vom Chef?

"Bitte überweisen Sie schnellstmöglich..." - So oder so ähnlich klingt der Inhalt einer Phishingmail, die Mitarbeiter erhalten, um einen Geldbetrag an ein ausländisches Bankkonto zu überweisen. Angeblich stammen die Mails vom Chef. Mit welcher Dreistigkeit die Phisher vorgehen, haben wir in diesem Artikel erläutert.

Es stellt heute kein Problem mehr da, herauszufinden, wer in einem Unternehmen welche Position einnimmt. Interessant für Kriminelle sind Prokuristen und Buchhalter. Die Informationen lassen sich meist sehr leicht von Unternehmens-Webseiten abgreifen. Die Masche läuft meist so ab, dass eine E-Mail an einen Angestellten - Buchhaltung, Prokura o.ä. - verschickt wird. Angeblich stammt die E-Mail vom Geschäftsführer oder Inhaber. In der E-Mail wird auf die Notwendigkeit einer Überweisung eines bestimmten Betrages gedrängt, die zügig durchgeführt werden solle. Unter Umständen wird auch auf einen Notfall hingewiesen. Die E-Mails sind oft in fast perfektem Deutsch verfasst, sogar eine gewisse Freundlichkeit ist zu entnehmen:

Freundliche Anfrage

Interessant ist, was wohl passiert, wenn man auf diese E-Mail mal antwortet:

Aha, man erhält sogar eine Bankverbindung. Es ist klar, dass sich diese im Ausland befindet. Nun haben wir den vermeintlichen "Chef" gefragt, welche der Geschäftskonten wir verwenden sollten. Prompt folgt die Antwort:

Bis auf das Vergessen einiger Satzzeichen, ist die E-Mail (fast) glaubwürdig. Es ist logisch, dass "irgendein" Konto verwendet werden soll, woher soll der Angreifer auch wissen, welche Konten man führt. Es geht aber noch weiter, denn wir gauckeln vor, es gäbe Probleme mit dem Zugriff auf die Geschäftskonten...:

Nun wurde es allerdings etwas langweilig, also haben wir beschlossen keine weitere E-Mail an den Verfasser zu schicken. Aber wir haben uns etwas getäuscht, so leicht gibt der "angebliche Chef" nicht auf:

Analyse

Die vom Phisher verwendete E-Mail-Adresse existiert tatsächlich, denn es konnte eine Kommunikation mit ihm aufgebaut werden und er musste die Konto-Daten preisgeben, damit das Geld bei ihm oder einem Strohmann ankommt. Auch die Analysen der Log-Dateien auf dem Mailserver haben eine Kommunikation - in diesem Fall - mit den Server von AOL bestätigt.

Interessant ist auch die Art und Weise, in welcher der Angreifer die E-Mails formuliert. Er verzichtet auf eine Anrede, also "Hallo Herr/Frau..." oder "Sehr geehrte...". Dadurch entsteht eine Befehlsform und suggeriert auch eine gewisse "Eile". Bei internen E-Mails wird oft so vorgegangen, meist aber weil die Kommunikation schnell und unkompliziert verläuft, also Normalfall. Dennoch entsteht beim potentiellen Opfer eine Form von Druck. Was aber nach unserer Erfahrung neu ist, dass nicht in der ersten E-Mail direkt ein Bank-Konto angegeben ist. Er erwartet eine Rückmeldung. Diese Optimierung filtert beim Angreifer uninteressante Ziele aus, ergo weniger Arbeit. Zudem kann er seinen Druck unter Umständen verstärken: Die Überweisung muss schnell gehen, es handle sich um einen Notfall o.ä. Der Kreativität des Angreifers sind hier keine Grenzen gesetzt.

Es ist also nicht verwunderlich, dass diese Art des "Kapitalabgriffs" tatsächlich in einigen Fällen erfolgreich war. Laut Medienberichten flossen pro Phishing-Mail sogar 7-stellige Beträge an die Betrüger.

Prävention

Das Perfide an dieser Art der Phishing-Angriffen ist die Benutzung tatsächlicher Daten durch den Angreifer. Er kennt die korrekte E-Mail-Adresse der Buchhaltung, auch die Namen der Geschäftsführung. Um an diese Informationen zu gelangen braucht es keinen Hacker-Angriff, ein einfacher Aufruf der Unternehmens-Webseite reicht aus.

Die meisten Phisher verwenden kostenlose E-Mail-Adressen von Massenanbietern. Mittlerweile zeigt z.B. auch Outlook die tatsächliche E-Mail-Adresse in der Nachricht an:

Hier sollten sich alle Mitarbeiter angewöhnen, diese Adresse zu überprüfen. Nur bei bekannten eingetragenen Kontakten, zeigt Outlook die tatsächliche Adresse nicht an, was unserer Meinung nach nicht gut gelöst ist.

Bei manchen Links, die in der E-Mail vorhanden sind, reicht ein überfahren mit der Maus über den Link, worauf ein kleines Fenster mit der tatsächlichen Internet-Adresse angezeigt wird. Daran erkennbar ist z.B., dass nicht auf "paypal.com", sondern auf "paypal.mafiahosting.ru" verwiesen wird (man verzeihe uns die TLD ".ru").

Einer der wichtigsten Punkte ist die Optimierung der internen Kommunikation innerhalb des Betriebes:

  • Bei fragwürdigen Anfragen per E-Mail, telefonische Klärung (wird tatsächlich mal "vergessen").
  • Geschäftsführende Personen sollten ihrem Personal ggf. auch private E-Mail-Adressen mitteilen. Es kann durchaus sein, dass sich ein Geschäftsführer mit seiner privaten E-Mail-Adresse aus dem Urlaub bei seiner Firma meldet.
  • Interne Prozesse für Kapitaltransfers erstellen (wer darf überweisen, wer ist zeichnungsbefugt und grundsätzlich gegenseitige Absicherungen vor Überweisungen).

Angriffe über Phishing funktionieren auch durch psychologische Manipulation, wie dem Erwecken von Neugier, Angst oder Panik (z.B. "Ihr Paypal-Konto wurde gesperrt"), Verwenden von befehlsartiger Schreibweise um Druck zu erzeugen. Alle diese Mittel sollen dem Opfer die Rationalität rauben, es soll nicht mehr auf die verräterischen Spuren in der Mail achten. Das dies durchaus funktioniert, zeigen Fälle, in denen die Betrugsmaschen immer wieder Schaden anrichten.

Tags: Sicherheit, spam, Phishing
Categories: Sicherheit

HP entfernt Keylogger

HP entfernt Keylogger

Nach Bekanntwerden der Sicherheitslücke innerhalb von HP Notebooks liefert der Hersteller nun ein Update, dass die Keylogger-Funktion innerhalb seiner Treiber deaktiviert.

Wie im Beitrag erwähnt, liest ein Audio-Treiber bei HP Notebooks sämtliche Tastatureingaben des Anwenders mit und protokolliert diese ausführlich in einer Datei. Hewlett Packard hat nun reagiert und stellt ein Update für den Treiber auf seinen Download-Seiten bereit, der das Keylogging deaktiviert.

Links

Kommentar: WannaCry und Konsorten

Kommentar: WannaCry und Konsorten

Da macht wieder ein Kollege namens "WannCry" die Medien unsicher. Sogar die Anzeigetafeln der Deutschen Bahn sind betroffen. Natürlich sind die Betreiber des Wurms und Kryptotrojaners die Hauptschuldigen. Doch wie kann es sein, dass ein kleiner Trojaner ganze Infrastrukturen lahm legt?

Der Aktionismus von Europol und Konsorten ist schon beeindruckend, es wird mit Hochdruck nach den Betreibern des Kryptotrojaners "WannaCry" gefahndet. Und dann? Vielmehr sollten auch Organisationen wie der NHS (National Health Service), die eine große Anzahl an Krankenhäuser in Großbritannien betreibt, einen auf den Deckel bekommen. Immerhin hat die Organisation bei der Wartung ihrer Systeme geschlampt. Aber auch das Sicherheitskonzept ist zu hinterfragen. Denn nicht anders ist es zu erklären, warum zum Teil Operationen verschoben werden mussten und ein immenses Chaos in den Krankenhäusern ausgebrochen ist. Eine regelrecht lebensbedrohliche Situation ist aufgrund simpler monetärer Gründe für die Patienten dort entstanden.

Sicherheit kostet Geld

Es spielt keine Rolle, ob es sich um ein kleines oder großes Unternehmen handelt, oder gar um kritische Infrastrukturen, wie einem Krankenhaus. Die Sicherheit geht einher mit Komfortverlust und erzeugt Kosten. Selbst das regelmäßige Einspielen der Betriebssystem-Updates kostet Geld. In manchen Fällen müssen Rücksprachen mit Soft- und Hardwareherstellern getroffen werden, um zu prüfen, ob ein Update nicht die Funktionsfähigkeit eines Systems gefährdet.

Waren "Locky" & Co. noch als reine Kryptotrojaner unterwegs, so nutzt der aktuelle "WannaCry", einmal auf einem Rechner eingenistet, eine Sicherheitslücke innerhalb des Windows-Betriebssystems von Microsoft um sich im lokalen Netz zu verbreiten. Erinnert stark an den Wurm "Code Red" und den "Blaster-Virus" aus lang vergangenen Tagen. Doch kann man Microsoft den schwarzen Peter zuschieben? In diesem Falle nicht, denn zu allererst hatte der amerikanische Geheimdienst eine Sicherheitslücke in Windows für seine Zwecke ausgenutzt. Die Informationen über diese Lücke ist schließlich doch veröffentlicht worden und Microsoft stellte einen Patch bereit, der die Sicherheitslücke geschlossen hat. Dieser Patch wurde vor ca. 2 Monaten veröffentlicht. Nur Windows XP wurde mit dem Stopfen der Sicherheitslücke außen vor gelassen. Immerhin ist der Support für Windows XP schon seit 2014 eingestellt. Zusammenfassend lässt sich sagen, dass eine vernünftige Wartung dem Fiesling "WannaCry" die Butter vom Brot genommen hätte.

Medizin

Der einzig wirksame Schutz gegen Trojaner und Viren ist neben dem obligatorischen Virenschutz auch ein regelmäßiges Einspielen von Hersteller-Updates und die Einführung einer regelmäßigen Datensicherung, denn nur letztere kann gegen eine Verschlüsselung von Daten wirklich helfen. Diese Vorkehrungen sollten sowohl auf Servern als auch auf PCs durchgeführt werden.

Man denke an den Pkw: Wird dieser nicht regelmäßig gewartet, bleibt er irgendwann liegen - oder im schlimmsten Falle fährt man aufgrund von Materialermüdung gegen einen Baum...

(Bild: © Gunnar Assmy - Fotolia)

Hewlett Packard Notebooks lesen mit

Hewlett Packard Notebooks lesen mit

Das Unternehmen HP hat sich bei seinen Notebooks einen schwerwiegenden Fehler erlaubt. Ein Audio-Treiber protokolliert alle Tastatureingaben des Anwenders, also auch dessen Passwörter.

Wie konnte das nur passieren? Auf den HP-Notebooks der Serien EliteBook, ProBook, Elite x2 und ZBook befindet sich ein Audio-Treiber, der sich in die Windows-Tastatur-Eingabe-Funktionen einklinkt, um dort die Spezialtasten für die Lautstärke-Änderungen (Hot-Keys) abzufangen. Nur leider ist dem Lieferanten des Treibers ein Fehler unterlaufen: Eine sogenannte "Debug"-Funktion zur Fehlerbehebung für die Entwickler ist noch aktiv. Es werden sämtliche Tastatureingaben, die der Anwender vornimmt, in eine Datei C:\Users\Public\MicTray.log geschrieben. In der Datei landen alle Tasten-Codes, die mit einfachen Mitteln in die entsprechenden Zeichenketten umgewandelt werden können. Ein Trojaner könnte so beispielsweise Kennwörter zum Online-Banking, Online-Shops usw. ohne Probleme auslesen und an den Angreifer übermitteln.

Hewlett Packard hat sich zu dem Fehler mittlerweile geäußert, bietet allerdings zur Zeit noch keine Fehlerbehebung an. Um diese Sicherheitslücke zu schließen, sollten Anwender die Datei MicTray64.exe vom System entfernen. Sie befindet sich im Verzeichnis C:\Windows\System32. Allerdings verliert das Notebook nach Entfernung der Datei sämtliche Komfortfunktionen für die Nutzung der "Hot-Keys".

Die Sicherheitslücke wurde Thorsten Schröder, einem Sicherheitsexperten von modzero, gefunden. Im begefügten Link sind die betroffenen Modelle der Notebooks aufgeführt.

Links

Vorsicht vor gefälschter DATEV-Rechnung

Vorsicht vor gefälschter DATEV-Rechnung

Soeben haben wir erfahren, dass gefälschte DATEV-Rechnungen per E-Mail im Umlauf sind.

In der angeblichen Rechnung ist ein Download-Link, der keinesfalls angeklickt werden sollte. Durch einen Klick wird Schadsoftware auf den Rechner heruntergeladen und ausgeführt. Die DATEV selbst hat diese Warnung auf ihrer Homepage veröffentlicht.

Hier ein Screenshot der gefälschten Rechnung (Quelle: DATEV eG):

Screenshot Fake-Rechnung

Grundsätzlich sollten bei E-Mails, die Rechnungen enthalten sollten, keine Anhänge oder Links geklickt werden. Häufig befinden sich in den Anhängen Schadcode.

Tags: Sicherheit, DATEV, Virus, Malware
Categories: Sicherheit | DATEV

Verschlüsselung von Dokumenten mit VeraCrypt

Verschlüsselung von Dokumenten mit VeraCrypt

Aufgrund der Zunahme von Datenschutzskandalen und der Befugnisse von Regierungsbehörden führt früher oder später kein Weg an der Nutzung von Verschlüsselungstechniken vorbei. Sei es nun, um die eigene Privatsphäre oder um vertrauliche Dokumente zu schützen.

Das kostenlose Werkzeug VeraCrypt unterstützt den Anwender bei der Verschlüsselung von Dokumenten oder sogar kompletter Festplatten inklusive Betriebssystem. Der Anwender kann das Tool auch bei der Nutzung von Cloud-Dienste, wie z.B. DropBox o.ä., nutzen, um die Datensicherheit zu erhöhen. VeraCrypt ist der Nachfolger des bewährten TrueCrypt, welches nicht mehr weiterentwickelt wird.

Wie funktioniert VeraCrypt?

Container für VeraCrypt erstellen

Im einfachsten Fall wird mit Hilfe eines Assistenten innerhalb von VeraCrypt eine Container-Datei erstellt, in welche die zu schützenden Dateien gespeichert werden. Der Container selbst ist hochgradig verschlüsselt und wird als Laufwerk in das Dateisystem eingebunden. So können sehr leicht von allen Anwendungen die Dokumente darin gespeichert oder geöffnet werden. Nach getaner Arbeit wird der Container aus dem Dateisystem wieder entfernt. Die Aktionen für das Einbinden und Ausklinken des verschlüsselten Containers sorgt VeraCrypt selbst und lässt sich dementsprechend einfach bedienen.

Einklinken eines Containers in das Dateisystem

Im obigen Bild wird ein Container mit dem Namen "VPN" in das Dateisystem eingebunden und ist unter dem Laufwerksbuchstaben "I:" für Anwendungen erreichbar.

Container und mehr

Die Container können mit einem Kennwort oder mit einem Zertifikat geschützt werden. In den meisten Fällen reicht ein gut gewähltes Kennwort aus. VeraCrypt kann auch auf Wunsch komplette Festplatten verschlüsseln, damit ist z.B. ein verschlüsseltes Windows-System möglich. Ideal ist diese Konstellation für ein Notebooks, falls dieses mal verloren gehen sollte.

Die Container-Variante ist jedoch flexibler, erlaubt sie durch ein wenig Einstellungsarbeiten auch den Einsatz in Online-Speichern, wie z.B. DropBox. Für gängige Smartphones und Tablet-Computer gibt es auch Apps, die mit den VeraCrypt-Containern umgehen können. Beim Einsatz in der Cloud sollten allerdings kleinere Container gewählt werden, da immer der gesamte Container synchronisiert wird.

Sollten Sie sich für die Verschlüsselung per VeraCrypt interessieren, wir beraten Sie gern.

Links

VeraCrypt-Projektseite: https://veracrypt.codeplex.com (englisch)