Corona-Zeit ist Phishing-Zeit

Phishing-Mails in Corona Zeiten

Cyberkriminelle sind grundsätzlich sehr einfallsreich. Vor allem dann, wenn sie versuchen ihre Phishing- und Hacking-Attacken hinter aktuellen Themen zu verstecken. Drehte sich der Kontext von Phishing Mails bislang hauptsächlich rund um Banken, Zahlungsdienstleister, Online-Shops und Paket-Zusteller, herrscht derzeit eindeutig das Thema „Corona“ vor. Kommt also eine E-Mail zu diesem Thema angeflogen und hat dann auch noch einen „hochoffiziellen amtlichen“ Anhang dabei, ist sofort Misstrauen angebracht.

Schadsoftware aus dem Gesundheitsministerium

Seit September macht ein aktuelles E-Mail die Runde, das angeblich vom Bundesgesundheitsministerium in Deutschland stammt. Statt diverser Corona-Ampelschaltungen enthält das E-Mail aber einen Downloader für eine Schadsoftware.

Der Dateianhang mit dem Namen „Bund-Arbeitsschutzregel-Corona-September.zip“ (Namen können variieren) enthält vorgeblich ein Dokument mit aktualisierten und ab sofort verbindlichen Regeln für den Infektionsschutz am Arbeitsplatz.

Im Text der E-Mail wird auf ein Treffen zwischen den Gesundheitsministern der EU hingewiesen, bei dem die aktualisierten Vorschriften angeblich überarbeitet worden seien. Dass es solch ein Treffen gegeben hat, mag vielleicht stimmen – allerdings werden solche Informationen in der Regel nicht per E-Mail von den Ministerien versendet, sondern auf dem eigenen Portal bzw. via Medien veröffentlicht.

Auffällig sind auch die Zeichenfehler in der Mail, vor allem bei den Buchstaben U, W, C und D sowie bei Umlauten. Zudem enthält das E-Mail eine falsche Absenderadresse, die auf „bundesministerium-gesundheit.com“ verweist – diese Domain gehört jedoch nicht zum Gesundheitsministerium – weder zum österreichischen Ministerium noch zum Deutschen. Die im Mailtext erwähnte Adresse „poststelle@bmg.bund.de“ ist allerdings wirklich korrekt.

Gefälschte Bewerbungsschreiben

Eine weitere Mail mit identischer Schadfunktion ist derzeit in Form eines gefälschten Bewerbungsschreibens unterwegs. Einer der verwendeten Namen für die vermeintliche Bewerbung lautet „Claudia Alick“.

Nach G DATA-Erkenntnissen enthält der Mailanhang einen JScript-Loader namens „Buer“ – dieser wiederum lädt aus dem Internet eine weitere Schadsoftware nach. Bei dieser handelt es sich um NuclearBot – ein Bankingtrojaner, der es unter anderem auf die Passwörter von Bankkonten abgesehen hat.

Cyberkriminelle werden immer professioneller

Die aktuelle Situation rund um die Unsicherheiten bei COVID-19 wird von den Cyberkriminellen eiskalt ausgenützt und macht sich in einem sprunghaften Anstieg von Phishing-Attacken bemerkbar.

Die äußerst gut organsierten Hacker agieren höchst professionell und verwenden viel Zeit, Geld und Mühe, um immer komplexere und raffiniertere Angriff-Strategien zu entwickeln.

So gehört „Social Engineering“ und „CEO Fraud“ inzwischen zum Standard-Repertoire der Kriminellen und können auch Fachleute in der täglichen Hektik schnell täuschen. Laut dem aktuellen Microsoft Defense Report hat sich auch die Zeit zwischen der Kompromittierung des Netzwerkes und der Lösegeldforderung drastisch reduziert. In einigen Fällen lagen zwischen den beiden Ereignissen nur 45 Minuten.

Home Office als neues Einfallstor

Der Wechsel von Millionen von Menschen vom Büro ins Home Office hat den Cyberkriminellen ein zusätzliches Einfallstor eröffnet. So versuchen Angreifer, über DDoS-Attacken die Zugriffe von Nutzern auf die in der Cloud befindlichen Anwendungen zu stören – zudem wurden andere Angriffe auf die jeweiligen Systeme damit verschleiert. Auch registriert Microsoft seit Jahresbeginn eine zunehmende Anzahl von Brute-Force-Attacken auf Unternehmenskonten

Preisverfall im Darknet – Passwörter billig wie nie

Die düstere wirtschaftliche Situation macht auch vor den dunklen IT-Gestalten nicht Halt. Gestohlene Login-Passwörter von Unternehmen sind im Jahr 2020 nämlich billiger denn je zuvor.

Die Analysten des Cybersecurity Unternehmens Armor haben 15 verschiedene Marktplätze und Foren im Darknet untersucht und dabei festgestellt, dass Hacker die ergaunerten Fernzugriffe deutlich billiger anbieten als noch vor einem Jahr. So bieten Hacker Passwörter schon ab 14 Dollar an. 2019 gab’s diese Passwörter nicht unter 20 Dollar.

Die viel schlechtere IT-Sicherheit im Home Office sorgt offenbar dafür, dass der Markt mit Passwörtern inzwischen überschwemmt ist. Die Passwörter ermöglichen es den Angreifern, sich sensible Information oder auch weitere Zugangsdaten zu erschleichen. Auch schädliche Programme geraten so in das System.

Aktuelle Betrugswarnungen

Auf der WKO-Webseite gibt es eine aktuelle Übersicht von Betrugswarnungen, wo auch viele Phishing E-Mails, die in Namen von Behörden versendet werden, aufgeführt sind.

Und während des Schreibens des Artikels startet gerade eine neue Welle an ELBA-Phishing Mails, siehe hier: https://www.raiffeisen.at/de/meine-bank/sicherheit/aktuelle-warnungen

Mehr Sicherheit durch Multi-Faktor Authentifizierung

Um sich besser vor Phishing-Attacken und dem einhergehenden Diebstahl von Identitäten zu schützen, empfehlen alle Experten die Aktivierung von Multi-Faktor Authentifizierung. Mit dieser meist simplen Maßnahme wird der Sicherheitslevel der Online Zugänge drastisch erhöht.

Hier weiterlesen: Ausgefischt! Phishing-Mails auf der Spur

Quellen:

G DATA, https://www.gdata.de/blog/corona-spam-arbeitsschutz-bankingtrojaner
Microsoft, https://news.microsoft.com/de-de/digital-defense-report-2020/


Du hast weitere Fragen zum Schutz vor Cyberkriminalität?

Dafür stehen wir sehr gerne zur Verfügung. Kontaktiere uns über das Kontaktformular
oder unter +43 1 3434333 bzw. office@techbold.at. Unsere vollständigen Kontaktdaten findest du hier.

Sebastian Hinterseer, Leiter Kundenbetreuung

Sebastian Hinterseer

Leitung Kundenbetreuung

oder ein Account Manager aus seinem Team meldet sich umgehend.