17.08.2021 - In der letzten Woche verzeichnete das NCSC einen niedrigen Meldeeingang. Mit einer gefälschten Google-Anzeige versuchten Betrüger, Bankkunden auf eine falsche Seite zu locken. In einem anderen Fall wurde ein grosser Aufwand betrieben, um ein Facebook-Konto zu hacken. Zudem werden in der Schweiz und auch weltweit vermehrt Angriffsversuche auf Netzwerkspeicher-Geräte des Herstellers Synology gemeldet. Benutzende sollten hier unbedingt starke Passwörter verwenden.
Grosser Aufwand, um Facebook-Konto zu hacken
Um an Zugangsdaten von Facebook-Konten zu kommen, verwenden die Betrüger in der Regel Phishing. Mit irgendwelchen mehr oder weniger glaubwürdigen Geschichten wird dabei das Opfer dazu verleitet, sein Passwort anzugeben.
Dass die Angreifer manchmal auch mehr Aufwand betreiben, zeigt ein Fall, der dem NCSC letzte Woche gemeldet wurde. Dabei haben die Angreifer versucht, Zugriff auf eine vom Inhaber bei Facebook registrierte Recovery-E-Mail-Adresse zu bekommen. Im Fall, dass ein Inhaber oder eine Inhaberin das Passwort vergessen hat, kann er oder sie sich ein temporäres Passwort an diese vordefinierten E-Mail-Adressen senden lassen. In Facebook können neben der primären E-Mail-Adresse noch weitere E-Mail-Adressen registriert werden. Auch an diese E-Mail-Adressen kann der Code zur Wiederherstellung gesendet werden.
Solange der Inhaber des Facebook-Kontos Kontrolle über alle Recovery-E-Mail-Adressen hat, ist dies unproblematisch. Im aktuellen Fall handelte es sich bei einer dieser Adressen allerdings um eine alte Geschäftsadresse. Das Geschäft existiert mittlerweile nicht mehr und auch die Domäne, unter welcher das Geschäft früher erreichbar war, wurde nicht mehr erneuert. Findige Angreifer haben sich dies zu Nutze gemacht und nun diese Domäne registriert. Sobald die Angreifer Kontrolle über diese Domäne haben, können sie sämtliche E-Mails, die an beliebige und auch «alte» E-Mail-Adressen dieser Domäne gesendet werden, abfangen und lesen. Mit dieser Methode konnten die Angreifer auch Zugriff auf die Recovery-Adresse des Facebook-Kontos erlangen, den Verifikationscode abfangen und das Facebook-Konto übernehmen.
- E-Mail-Adressen sind mittlerweile Dreh- und Angelpunkt von Zugriffen auf Social Media-Konten, Webshops und andere Online-Dienstleistungen. Dies heisst aber auch, dass der Verlust der E-Mail-Adresse gravierende Auswirkungen hat. Schützen Sie Ihr E-Mail-Konto entsprechend. Verwenden Sie wenn immer möglich eine Zweifaktor Authentifizierung.
- Wird eine Domäne aufgegeben und nicht mehr weitergeführt, sollte man sich stets bewusst sein, dass der neue Besitzer die Möglichkeit hat, die E-Mail-Kommunikation sämtlicher E-Mail-Adressen, die an diese Domäne gehen, abzufangen und zu lesen.
Google-Anzeige führt auf betrügerische Seite
Auch letzte Woche waren betrügerische Google-Anzeigen beim NCSC ein Thema. Bei einer Google-Suche nach dem Finanzdienstleister «Postfinance», wurde bei einigen Personen eine Anzeige eingeblendet, die zwar auf den ersten Blick so aussah, als ob diese von «Postfinance» stammt. Bei einem Klick wurde dann aber die Seite «poosttfinance. xyz» geöffnet, welche von Betrügern registriert wurde.
Anschliessend erschien plötzlich eine Fehlermeldung mit der Aufforderung, dass man eine Schweizer Telefonnummer anrufen soll. Bei einem Anruf auf diese Telefonnummer nahmen aber keine Mitarbeitenden der Postfinance ab, sondern Betrüger. Was genau der Hintergrund des Anrufs war, konnte noch nicht abschliessend geklärt werden. Denkbar wäre beispielsweise ein Voice Phishing, bei dem das Opfer unter irgendwelchen Vorgaben Login und Passwort angeben soll. Anschliessend wird dem Opfer dann noch der Code genannt, den es in das gelbe Kartenlesegerät eingeben soll und welches den zweiten Authentifizierungsfaktor berechnet. Wenn dieses Resultat ebenfalls an die Betrüger weitergegeben wird, haben diese vollen Zugriff auf das E-Banking Konto und können Überweisungen tätigen. Die Webseite wurde deaktiviert.
- Bei einer Suche auf Google werden in vielen Fällen vor den eigentlichen Treffern zuerst Anzeigen eingeblendet. Diese Treffer sind entsprechend als «Anzeigen» markiert und werden bezahlt, damit sie als erste Treffer aufgelistet werden. Wie oben beschriebener Fall aufzeigt, können Google-Anzeigen missbraucht werden.
- Seien Sie deshalb bei einer Google-Suche aufmerksam, insbesondere bei «Anzeigen».
- Keine Firma wird Sie je per E-Mail, SMS, Telefon oder Social Media auffordern, Ihr Passwort anzugeben. Solche Versuche sind immer betrügerisch.
Vermehrte Meldungen zu gehackten NAS-Geräten von Synology
Dem NCSC wurden letzte Woche einige Meldungen zu Angriffsversuchen auf NAS-Geräte des Herstellers Synology gemeldet. Network Attached Storage (NAS) bezeichnet man einfach zu verwaltende Dateiserver, die mit wenig Aufwand an ein Netzwerk angeschlossen werden können. Laut Warnung von Synology, wurde in den letzten Tagen eine Zunahme von sogenannten Brute-Force Angriffen beobachtet. Bei dieser Angriffsart wird eine Liste von Passwörten durchprobiert, um schliesslich den Server-Zugriff zu erlangen. Die Angriffe sollen vor allem durch die Malware-Familie «StealthWorker» verübt werden.
Bei einem erfolgreichen Angriff besteht beispielsweise das Risiko, dass die Angreifer eine Ransomware installieren und so der ganze Netzwerkspeicher verschlüsselt wird.
Synology empfiehlt allen Systemadministratoren dringend, ihre Systeme auf schwache Passwörter hin zu überprüfen, die automatische Blockierung und den Kontenschutz zu aktivieren und gegebenenfalls eine mehrstufige Authentifizierung einzurichten.
Halten Sie zudem Ihre Geräte stets auf dem neuesten Stand und spielen Sie alle verfügbaren Updates ein. Generell sollte ein Netzwerkspeicher nur falls unbedingt notwendig direkt aus dem Internet erreichbar sein.
Mehr Informationen finden Sie auf den Seiten von Synology:
https://www.synology.com/en-global/company/news/article/BruteForce/Synology
https://kb.synology.com/DSM/tutorial/Synology_NAS
https://blog.synology.com/10-security-tips-to-keep-your-data-safe
Aktuelle Statistiken
Anzahl Meldungen der letzten Woche nach Kategorien
Anzahl Meldungen pro Woche während der letzten 12 Monate
Letzte Änderung 17.08.2021
