Die Woche 44 im Rückblick

09.11.2021 - Der Meldeeingang beim NCSC war letzte Woche moderat. Neben zahlreichen Phishing-E-Mails sind vor allem Angriffe auf Microsoft Exchange-Server aufgefallen. Über die gehackten Server wurden E-Mails mit Schadsoftware versendet. Zudem zeigt eine neue Betrugsvariante, wie man nach einer Offerten-Anfrage für einen «Unterwasser-Schraubspanner» auf einer dubiosen Website landet.

Versand von Schadsoftware per E-Mail nach Angriff auf Exchange Server

Bereits vor zwei Wochen haben wir über die Zunahme von E-Mails berichtet, welche bestehende E-Mail-Kommunikation verwenden. Die wiederverwendeten E-Mails werden mit Links zu Schadsoftware angereichert und dann noch einmal an den Empfänger gesendet. Aufgrund der bestehenden Kommunikation wird das Opfer zum Öffnen eines Dokumentes und somit zur Installation einer Schadsoftware verleitet.

Um an diese Kommunikation zu kommen, müssen die Angreifer Zugriff auf das Konto des Senders, respektive des Empfängers haben. Die in den aktuellen Fällen verwendete Schadsoftware «Qakbot» hat hierzu ein Modul, welches mit gestohlenen Zugangsdaten die E-Mails aus dem Outlook-Client extrahieren und auf einen Remote-Server hochladen kann. Diese Kommunikation wird dann für weitere Angriffe verwendet. Der Versand der gefälschten E-Mails selbst wird normalerweise aber dann über die Infrastruktur der Angreifer getätigt und kann so als Fälschung identifiziert werden.

In den letzten Tagen häufen sich nun Meldungen, dass solche E-Mails über die tatsächliche E-Mail-Infrastruktur der Firma versendet werden. Die Angreifer verwenden für den Versand also zumindest die Zugangsdaten eines gehackten E-Mail-Accounts der Firma. Das NCSC hat allerdings Hinweise, dass der Zugriff nicht nur durch abgeflossene Zugangsdaten von E-Mail-Konten erfolgt, sondern dass auch direkt über eine Schwachstelle beim Exchange Server.  

  • Betreibern von Microsoft Exchange-Servern empfehlt das NCSC dringend, alle entsprechenden Patches einzuspielen und die Server auf dem neuesten Stand zu halten.
  • Exchange-Server dürfen nicht direkt aus dem Internet erreichbar sein. Schalten Sie entweder eine WAF (Web Application Firewall) vor oder setzen Sie einen SMTP-Filtering-Proxy vor den Exchange Server.

Offertanfrage mit betrügerischen Hintergedanken

Letzte Woche erhielt das NCSC den Hinweis auf eine eigenartige E-Mail, welche angeblich im Namen der SBB an verschiedene Unternehmen versendet wurde. Darin enthalten war eine Angebotsanfrage für ein sehr spezifisches Modell eines Schraubspanners, der Unterwasser eingesetzt werden kann. Schon in der E-Mail wurde darauf hingewiesen, dass dieses Produkt sehr exklusiv und wahrscheinlich nicht im Portfolio vorhanden sei, sondern von einer Drittfirma beschafft werden müsse. Zusätzlich wurde auf die Dringlichkeit des Auftrages hingewiesen.

Angebotsanfrage zu einem Unterwasser-Schraubspanner
Angebotsanfrage zu einem Unterwasser-Schraubspanner

Sucht man das Produkt auf Google, so wird als erster Treffer eine Firma eingeblendet, welche exakt das gewünschte Modell vertreibt. Die Bezeichnung des zu bestellenden Modells gibt es nur auf dieser Webseite und existiert sonst nirgends. Zufälligerweise hat diese Firma auch noch einen Sitz in der Schweiz und eine Schweizer Telefonnummer. Das seltene Teil kann so bequem bestellt werden. Der Auftrag scheint also schnell erledigt zu sein und dürfte auch einen entsprechenden Gewinn abwerfen.

Aber wo genau ist der Hacken bei dieser – anscheinend harmlosen – Anfrage? Die Angreifer gehen davon aus, dass sich das Unternehmen im Internet über den Schraubspanner informiert und insbesondere herausfinden will, wer ein solches Teil liefern könnte. Und genau hier lauert eine Falle!

Google Suche nach dem Modell des Unterwasser-Schraubspanners
Google Suche nach dem Modell des Unterwasser-Schraubspanners

Erst beim genaueren Hinsehen und der Analyse der Webseite ergeben sich dann die Ungereimtheiten. Die Website wurde erst am 1. Oktober 2021 gelöst - einen Monat vor dem eigentlichen Betrug, damit Google die Seite indexiert. Die angegebene Kontakt-Adresse existiert nicht und auch ein Handelsregistereintrag fehlt. Die Vermutung liegt also nahe, dass die Betrüger diese Website extra kreiert haben, um Interessenten des Unterwasser Schraubspanners auf die Seite zu locken und zu einer Vorauszahlung zu bewegen. Das Produkt wird selbstverständlich nie geliefert. Diese Betrugsart ist auch unter dem Namen «Request for Quotation» bekannt.

  • Prüfen Sie vor einem Kauf im Internet die entsprechende Firma auf ihre Seriosität.
  • Neben Informationen im Internet, kann die Überprüfung der Handelsregisternummer oder der Adresse ebenfalls Hinweise auf die Seriosität eines Unternehmens geben.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 09.11.2021

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/wochenrueckblick_44.html