Aktuelle Bedrohungen

Meldungen über Bedrohungen im Bereich Konto-Phishing

29.12.2015 - Spürbarer Anstieg von Schadcodeverteilung via E-Mail

Seit Kurzem ist ein spürbarer Anstieg von E-Mails zu verzeichnen, mittels derer Schadcode an die Empfänger ausgeliefert werden soll. Die Mails werden teilweise von Viren- und Spamfiltern nicht als solche erkannt, auch die Erkennung des Schadcodes durch Virenscanner ist oftmals erst verzögert gegeben.

Mittels unterschiedlicher Phishingwellen wird derzeit verstärkt versucht, diverse Trojaner bzw. Downloader für Trojaner zu verteilen. Die Zustellung der Mails scheint hierbei nicht zielgerichtet zu sein, sondern darauf ausgelegt zu sein, eine große Masse an Empfängern zu erreichen. Teilweise werden hierbei auch Phishingmails an deutsche Empfängerkonten zugestellt, bei denen der nachgeladene Online-Banking-Trojaner auf deutschen Bankingseiten momentan gar nicht funktioniert.

Die offenbar am stärksten verbreitete Phishingwelle wird derzeit in Kombination mit dem Trojaner Dridex beobachtet. Dridex entstammt der gleichen Familie wie der Online-Banking-Trojaner GEODO und nutzt auf deutschen Bankingseiten unserer Kenntnis nach auch ähnliche oder identische "Webinjects" (Masche "Demokonto"). Um Dridex auf die Systeme der Mailempfänger zu bekommen verschicken die Betrüger Mails mit Word- oder Excel-Dateien im Anhang, welche ein schädliches Macro enthalten. Durch das Macro wird der Downloader "MDropper" oder ein anderer Downloader auf das System geladen, welcher wiederum Dridex nachlädt. Die meisten derzeit im Umlauf befindlichen Mails dieser Phishingwelle sind auf englisch verfasst, viele von ihnen beinhalten im Betreff bzw. im Namen des Attachments den Begriff "Invoice".

23.12.2015 - Neue Welle: Phishingmails angeblich im Namen von DHL

Aktuell werden wieder Mails angeblich im Namen von DHL versendet. Die Mails erinnern an eine der GEODO-Wellen und haben den Zweck, einen Downloader für weiteren Schadcode auf dem System des Empfängers zu installieren.

Die Schadcodeanalyse hat ergeben, dass der Downloader einen ZeuS-Trojaner nachlädt.

Im Gegensatz zu früheren angeblichen DHL-Mails enthält diese Masche keine Links auf verseuchte Webserver, sondern liefert den Schadcode direkt als ZIP-Archiv mit.

26.02.2015 - wieder betrügerische E-Mails (DHL)

Erneut werden wieder flächendeckend und in betrügerischer Absicht E-Mails scheinbar im Namen der DHL versendet. Wie bereits im letzten Jahr (Januar/Mai/Juni/November/Dezember) wird über diese Emails versucht, die Benutzer auf Webseiten zu locken, die den Online-Banking-Trojaner GEODO verteilen. Die Mails sind als Paketankündigung der DHL getarnt.

Die Mail sieht dem Original der DHL Mail sehr ähnlich. Erkennen kann man die Methode daran, dass sich die Originalabsendeadresse von einer DHL-Mailadresse unterscheidet. Allerdings werden diese Adressen je nach Einstellung nicht von jedem Mailclient angezeigt.

Mit Klick auf den Link wird man zu einem Webserver weitergeleitet, auf dem man ein ZIP-File zum Download erhält. Das Zip-File erhält eine exe-Datei, die bei Ausführung Schadcode auf dem Rechner installiert.

 

10.11.2014 - Neue Phishingmasche "Fiducia Online" - angebliche Bestellbestätigung

Am heutigen Tag erreichten uns mehrere Mails , die wieder auf aktive Phishingseiten im Internet verlinkt waren. Die Rücksprache mit IT-Sicherheitsdienstleistern ergab Hinweise darauf, dass hier möglicherweise wieder eine neue Infrastruktur aufgebaut wird, um Computer von Privatpersonen zu infizieren. Bei weiteren Erkenntnissen werden wir Sie wie gewohnt zeitnah an dieser Stelle informieren.

Die Betrüger, welche das GEODO-Botnetz betreiben, welches unter anderem Phishingmails im Namen der Fiducia und der Volksbanken versendet, haben am Wochenende eine neue Variante der Phishingmails in Umlauf gebracht. Diese neue Methode suggeriert eine Bestellbestätigung.

 

Beachen Sie bitte:

- die E-Mails stammen nicht von der Fiducia oder den Volksbanken Raiffeisenbanken

- die Links enthalten Schadcode und dürfen nicht geöffnet werden

- sofern trotzdem bereits geschehen ist, lassen Sie Ihren Computer von einem Sicherheitsexperten untersuchen oder neu bespielen.

30.06.2014 - Personalisierte SEPA-Phishingmails

In einer uns vorliegenden Phishingmail wird der Empfänger aufgefordert, einem Link in der Mail zu folgen und seine Daten zu bestätigen bzw. zu aktualisieren. Das fatale an der Mail ist, dass sie valide personenbezogene Daten wie korrekter Name, Adresse und Telefonnummer enthält.

Woher die Daten stammen, die in der Mail verwendet werden, können wir zum jetzigen Zeitpunkt nicht sagen. Vermutlich handelt es sich um klassisches Phishing zum Erlangen weiterer Daten wie PINS oder Kreditkartendaten.

11.06.2014 - Neue Phishingmasche "Fiducia Online" - angebliche Bestellbestätigung

Seit dem Pfingswochenende ist eine neue Variante der Phishingmails im Umlauf. Die Mails werden als angebliche Bestellbestätigung getarnt. Die Phishingwelle wird durch das GEODO-Botnetz verursacht, welches bereits seit Mai Phishingmails im Namen der Fiducia versendet.

Die Betrüger, welche das GEODO-Botnetz betreiben, welches unter anderem Phishingmails im Namen der Fiducia und der Volksbanken versendet, haben am Wochenende eine neue Variante der Phishingmails in Umlauf gebracht. Diese neue Methode suggeriert eine Bestellbestätigung:

Wie bei den letzten aufgetretenen Phishingmails im Namen der Fiducia ist es auch hier so, dass man beim Klicken auf den eingebetteten Link auf einer Webseite landet, die einen Online-Banking-Trojaner verteilt.

Möglicherweise wird über die aktuellen Phishingmails auch teilweise direkt Schadcode verteilt. Informationen hierzu werden derzeit ausgewertet.

03.06.2014 - Aktuelles zur "Fiducia-Masche" / Neue Phishingmails enthalten selbst Schadcode

Das Sicherheitsunternehmen G DATA warnt auf seiner Webseite vor aktuell auftretenden Phishingwellen. Unter anderem ist die derzeit angewandte Methode beschrieben, um im Namen unseres Rechenzentrums Fiducia bzw. der Volksbanken Phishing-Mails zu versenden. Eine weitere Methode beschreibt eine Phishingwelle, in welcher der Trojaner im Anhang mitversendet wird.

G DATA geht in seinem SecurityBlog-Eintrag vom 30.05.2014 auf die aktuellen Phishingwellen ein, über welche derzeit massiv versucht wird, Online-Banking-Trojaner auf PCs zu verteilen.

Der erste in dem Beitrag beschriebene Fall wird als "Swatbanker" bezeichnet. Andere Sicherheitsunternehmen führen den Trojaner unter der Bezeichnung "GEODO" - Nachfolger des Trojaners FEODO. Dies ist die Masche, mittels derer auch Mails versandt werden, die hierzu den Namen der Fiducia und der Volksbanken missbrauchen. G DATA identifizierte als weitere betroffene Unternehmen beispielsweise:

  • Telekom
  • Vodafone
  • O2
  • Sparkassen
  • UBS
  • Weltbild

Beispiel für eine "Telekom-Mail":

Wie bei den Phishing-Mails, die im Namen der Fiducia und der Volksbanken verschickt werden, wird auch hier auf eine Webseite verlinkt, die den Schadcode - getarnt als Rechnung - zum Download bereitstellt:

21.05.2014 - Phishingmasche "Testüberweisung" wird personalisiert, TAN wird umgehend zugestellt

In einem uns weitergeleiteten Screenshot eines Phishingversuchs wird ersichtlich, dass Betrüger vermehrt auf das Verwenden persönlicher Daten setzen, um bei den Betroffenen Vertrauen zu erwecken. Verwendet wurde in dem uns bekannten Fall die Phishingmethode der "Testüberweisung". Auffallend ist, dass die Betrüger das Generieren der TAN parallel veranlassen.

In dem uns vorliegenden Fall hat der Trojaner im Vorfeld persönliche Daten des Benutzers abgegriffen. Im Textabsatz "SMS wurde an [...] versandt" wurde nach unseren Informationen die Bezeichnung des Smartphones eingeblendet. Dies lässt darauf schließen, dass die Betrüger durch die im Vorfeld abgegriffenen Daten auf das konkrete Handy des Benutzers schließen konnten. Die Betrüger können an die Daten gelangt sein, als der Benutzer seine Daten an anderer Stelle (z. B. ein Formular in einem Online-Shop) hinterlegte oder beim Synchronisieren des Smartphones mit dem PC.

Auffällig ist ebenfalls, dass die TAN ohne Zutun des Benutzers generiert wird. Anscheinend werden die Überweisungsdaten bereits an das Rechenzentrum versandt, sobald der Benutzer das Online-Banking aufruft und er die Meldung des Trojaners angezeigt bekommt.

Benutzer, welche diese Masche auf ihrem PC beobachten, sollten nicht nur dem gängigen Vorgehen bei Trojanerbefall folgen (Neuinstallation des PCs, Ändern sämtlicher Zugangsdaten), sondern auch das eingebundene Smartphone auf Schadcodebefall hin prüfen lassen.

  

20.05.2014 - betrügerische E-Mails

Die Raiffeisenbank Schaafheim eG warnt aktuell vor gefälschten E-Mails, die in betrügerischer Absicht scheinbar im Namen der Bank beziehungsweise ihres IT-Dienstleisters Fiducia IT AG flächendeckend versendet werden. Darin werden die Empfänger darauf hingewiesen, dass ihr Zugang zum Online-Banking bald auslaufe oder dass Unregelmäßigkeiten beim Einsatz der Kreditkarte festgestellt wurden. In beiden Fällen werden sie aufgefordert, auf einen Link zu klicken. Dieser Link dient jedoch einzig dem Zweck, den Computer des Nutzers mit Schadcode („Trojaner“) zu kompromittieren. Empfänger dieser E-Mail sollten sie daher unverzüglich löschen und keinesfalls auf den angegebenen Link klicken.