Woche 11: Ein interessanter CEO-Betrugsversuch und Schadsoftware-Versand bei Visumserneuerung

22.03.2022 - Letzte Woche blieb der Meldeeingang beim NCSC auf hohem Niveau. Ein aufwändig gemachter CEO-Betrugsversuch scheiterte an der «Du-Kultur» einer Unternehmung und rückte den Missbrauch parkierter Domänen in den Fokus. Zudem wurde unter dem Vorwand einer Visumserneuerung eine Schadsoftware verteilt.

Aufwändig gestalteter CEO-Betrugsversuch wird schnell erkannt

Die Betrugsform, bei der der angebliche CEO einer Firma oder der Präsident eines Vereins dem Finanzchef oder Kassier einen «vertraulichen» Zahlungsauftrag erteilt, nennt sich «CEO-Fraud». Die Betrüger fälschen die Absenderadresse der E-Mail und versuchen so, das Vertrauen des Opfers zu gewinnen und es zu einer E-Mail-Kommunikation mit dem angeblichen CEO zu bringen. Hierzu versuchen sie, die gefälschten Adressen möglichst plausibel wirken zu lassen. Diese Adressen erwerben sie von einem sogenannten Domaingrabber – eine Firma, welche viele Domains registriert, um diese dann teuer weiter zu verkaufen. Der Domaingrabber lässt zu, dass die geparkten Domains für den E-Mail Versand und Empfang verwendet werden können.  Für ihn ist es ein Geschäftsmodell und die Betrüger nutzen dies aus.

In einem dem NCSC gemeldeten CEO-Betrugsversuch im Umfeld des Gesundheitswesens wurden auf diese Weise die Domänen «dr.com» und «consultant.com» missbraucht.

CEO-Betrugs-E-Mail. Die missbräuchlich verwendeten Domänennamen sind rot hervorgehoben.
CEO-Betrugs-E-Mail. Die missbräuchlich verwendeten Domänennamen sind rot hervorgehoben.

Obwohl die betrügerische E-Mail aufwändig und sehr echt gestaltet war, wurde der Betrug durch die angeschriebene und sehr aufmerksame Person sofort bemerkt. Die Betrüger wussten nicht, dass in dieser Firma eine «Du-Kultur» herrscht und verwendeten im E-Mail eine formelle Anrede.

  • Sensibilisieren Sie alle Mitarbeitenden bezüglich CEO-Fraud! Insbesondere die Mitarbeitenden in den Finanzabteilungen und in Schlüsselpositionen sind über diese möglichen Angriffsweisen zu informieren. Bei Vereinen sind alle Mitglieder mit Präsidenten- oder Kassier-Funktion zu schulen.
  • Sämtliche Prozesse, welche den Zahlungsverkehr betreffen, sollten firmenintern klar geregelt sein und von den Mitarbeitenden in allen Fällen eingehalten werden. (z. B. Vier-Augen-Prinzip, Unterschrift Kollektiv zu zweien).
  • Allgemein gilt: Geben Sie keine internen Informationen preis und seien Sie bei Zahlungsaufforderungen vorsichtig: Kommen Sie keinen ungewöhnlichen Zahlungsaufforderungen nach.

Schadsoftware anstelle eines Visums für Thailand

Dem NCSC wurde eine neue Methode gemeldet, um Schadsoftware zu verteilen. Eine Person, welche regelmässig nach Thailand reist, erhielt per E-Mail die Aufforderung, ihre Angaben für das Visum für Thailand zu erneuern. Da die angeschriebene Person plant, demnächst wieder nach Thailand zu reisen, kam sie dieser Aufforderung nach. Anschliessend erhielt sie eine E-Mail mit einem Link auf ein angebliches Visa-Antragsformular.

E-Mail mit einem Link auf ein angebliches Visa-Antragsformular
E-Mail mit einem Link auf ein angebliches Visa-Antragsformular

Der Link führte zum Download eines HTML-Dokuments. Dieses Dokument wurde im jeweiligen Browser teilweise direkt ausgeführt.

Beim Öffnen der HTML-Datei wird eine offiziell aussehende Webseite angezeigt und sofort mit dem Ausführen des schädlichen ISO-Images begonnen.
Beim Öffnen der HTML-Datei wird eine offiziell aussehende Webseite angezeigt und sofort mit dem Ausführen des schädlichen ISO-Images begonnen.

Das HTML-Dokument selbst zeigte eine angebliche Pass-Registrierung-Webseite an und enthielt ein ISO-Image, welches sofort als angeblicher Download angezeigt wurde. ISO-Formate werden von Computern wie ausführbare CDs oder DVDs behandelt und beinhalten häufig Installationsmedien zum Beispiel für Spiele oder Büroprogramme. ISO-Images werden daher häufig sofort ausgeführt.

Das gemeldete ISO-Image enthielt einen bösartigen Downloader, welcher versucht, einen Trojaner auf dem System zu installieren.

  • Misstrauen Sie allen E-Mail-Benachrichtigungen, welche Sie unaufgefordert erhalten;
  • Seien Sie besonders misstrauisch, wenn Sie eine Datei öffnen oder herunterladen sollen;
  • Erlauben Sie Ihrem Computer in keinem Fall, auf diese Weise erhaltene Dateien auszuführen;
  • Melden Sie Cybervorfälle dem NCSC und senden Sie uns falls möglich die betreffende E-Mail zu.
    NCSC-Meldeformular

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 22.03.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2022/wochenrueckblick_11.html