Der Bund warnt Schweizer Computer-Nutzer vor gefälschten E-Mails, die im Namen der Fluggesellschaft Swiss verschickt werden. Das so genannte Computer Emergency Response Team des Bundes schreibt auf Twitter: «Achtung: Derzeit werden gefälschte E-Mails im Namen von @FlySWISS versendet mit dem Ziel, Bürgerinnen und Bürger mit dem eBanking Trojaner ‹Retefe› zu infizieren!»

Retefe ist ein bekannter Trojaner, der von Kriminellen seit Jahren gegen Windows-Nutzer eingesetzt wird. Seit 2017 wird Retefe auch gezielt gegen Mac-Nutzer eingesetzt. Zu den Hauptzielen des Trojaners zählen E-Banking-Nutzer in der Schweiz.

Bereits im letzten Jahr waren Hunderttausende dieser Phishing-Mails in Umlauf, warnte der Bund. Bei der aktuellen Malware-Welle erhalten die potenziellen Opfer eine E-Mail, die angeblich von Swiss stammt. Die orthografisch nicht ganz lupenreine Nachricht lautet:

Guten Tag

2 Flugtickets wurden auf Ihren Namen gebucht. 
Sie finden bezahlte Fahrkarten im Attachment. 

Mit freundlichen Grüssen
Swiss International Air Lines

Wer den Anhang der Nachricht mit dem Absender Swiss öffnet, fängt sich einen E-Banking-Trojaner ein.

Wer den Anhang der Nachricht mit dem Absender Swiss öffnet, fängt sich einen E-Banking-Trojaner ein.

Die Unbekannten setzen darauf, dass ein paar der angeschriebenen Schweizer Bürger tatsächlich gerade einen Flug bei Swiss gebucht haben und daher kaum Verdacht schöpfen werden. Im Anhang der gefälschten E-Mail befindet sich eine Word-Datei. Wer die Datei öffnet, installiert den E-Banking-Trojaner Retefe. Dieser hat es beispielsweise auf die Passwörter der Opfer abgesehen.

Microsoft Word schützt den Nutzer eigentlich vor Malware. Die Betrüger versuchen ihre Opfer aber dazu zu verleiten, den Schutz zu deaktivieren, damit sich Retefe installieren kann.

Die Betrüger senden den Trojaner vermutlich wieder an Tausende oder Hunderttausende Schweizer. Wenn nur ein, zwei Personen darauf hereinfallen, kann sich der Angriff für die Kriminellen bereits gelohnt haben.

Die Spionagesoftware Retefe kann sowohl Windows- als auch Mac-Computer befallen. Windows-Nutzer erhalten meist eine präparierte .doc-Datei, Mac-Nutzer eine Zip-Datei.

Der Retefe-Trojaner wird aktuell über E-Mails verbreitet. Denkbar ist auch, dass Spionage- und Verschlüsselungs-Trojaner künftig beispielsweise vermehrt über präparierte iMessage-Nachrichten auf den Mac gelangen. Die Angreifer werden ihre Taktik spätestens dann ändern, wenn die Nutzer auf Angriffe über E-Mails sensibilisiert sind.

Besonders versierte Angreifer hebeln die Sicherheitsmassnahmen von Windows und MacOS aus, indem sie gestohlene Entwicklerzertifikate nutzen, um ihre Schadsoftware als sichere Software zu signieren. Weder das Betriebssystem noch der Virenscanner erkennt den Trojaner in diesem Fall als Schadsoftware.

Phishing-Email erhalten? Das solltest du nun tun

Verdächtige Phishing-Emails können an die Adresse reports{at}antiphishing[punkt]ch weitergeleitet werden.

Auf der Webseite https://www.antiphishing.ch/de/ kann man verdächtige Phishing-Webseiten direkt melden. Die verlinkte Webseite wird von der Melde- und Analysestelle Informationssicherung (MELANI) des Bundes betrieben.

So verläuft der zweistufige Angriff auf Mac- und Windows-Nutzer

Die Angriffe werden immer spezifischer. So versuchen die Kriminellen zuerst herauszufinden, welches Betriebssystem und welche Software ihre potenziellen Opfer installiert haben. Hierzu senden sie zunächst eine E-Mail mit einem sogenannten Tracking-Pixel. Das ist ein 1 mal 1 Pixel grosses Bild, das für den Nutzer unsichtbar ist.

Wenn dieses Bild heruntergeladen wird (was abhängig von der E-Mail-Konfiguration automatisch geschehen kann), wird eine Verbindung mit dem Server der Angreifer aufgebaut, auf dem das Bild abgespeichert ist. Nun werden automatisch verschiedenste Daten über den Computer des Opfers (Mail-Programm, Webbrowser, Betriebssystem etc.) an die Angreifer übermittelt.

In einem zweiten Schritt senden sie eine präparierte E-Mail, die auf das entsprechende Betriebssystem – Windows oder Mac – zugeschnitten ist. Als Absender werden bekannte Schweizer Firmen wie Swisscom, Swiss oder Digitec missbraucht. Manche E-Mails tarnen sich auch als Nachrichten von Behörden wie der Polizei oder eines Steueramtes.

Die erste E-Mail versucht (automatisch) zu tracken, welches Mail-Programm, welchen Webbrowser und welches Betriebssystem das Opfer nutzt. Die zweite E-Mail versucht einen E-Banking-Trojaner (z.B. Retefe) zu installieren, der gezielt auf Windows- oder Mac zugeschnitten ist.

Die erste E-Mail versucht (automatisch) zu tracken, welches Mail-Programm, welchen Webbrowser und welches Betriebssystem das Opfer nutzt. Die zweite E-Mail versucht einen E-Banking-Trojaner (z.B. Retefe) zu installieren, der gezielt auf Windows- oder Mac zugeschnitten ist.

So können sich Mac- und Windows-Nutzer schützen

Der beste Schutz ist, das Betriebssystem aktuell zu halten, sprich neue Updates sofort zu installieren.

Windows 10 hat mit «Windows Defender» einen eigenen Virenscanner, der Bedrohungen durch Trojaner abwehren kann.

Die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes empfiehlt die folgenden Sicherheitsmassnahmen allen Computernutzenden – unabhängig davon, welches Betriebssystem sie benutzen:

  • «Stellen Sie sicher, dass Ihr E-Mail-Programm oder Webdienst das automatische Herunterladen von Bildern oder anderen Dateien, welche in einer E-Mail vorhanden sind, blockt. Oft ist dieser Schutz schon voreingestellt.
  • Laden Sie keine Bilder in einer E-Mail-Nachricht herunter, wenn Sie nicht vollständig sicher sind, woher das Bild stammt.
  • Misstrauen Sie E-Mails, die Sie unaufgefordert erhalten: Nicht nur bei E-Mails von unbekannten Personen sollte man kritisch sein, sondern auch bei bekannten Absendern von Firmen oder Schweizer Behörden. Es gilt Vorsicht walten zu lassen. Besonders bekannte und vertrauenswürdige Firmen (Apple, Microsoft, Post, Swisscom, Digitec, Kantonspolizei, Steueramt etc.) werden gerne als gefälschte Absenderadressen missbraucht.
  • Lassen Sie sich nicht unter Druck setzen. Nehmen Sie sich genügend Zeit für Abklärungen und fragen Sie im Zweifelsfall bei der Firma nach. Benutzen Sie dabei nicht die allenfalls in der E-Mail angegebene Telefonnummer, sondern suchen Sie die Telefonnummer beispielsweise auf der bekannten Firmenwebseite oder dem Onlinetelefonbuch heraus.
  • In seltenen Fällen kann es vorkommen, dass das Opfer zufälligerweise tatsächlich eine E-Mail von der Firma erwartet. Aber auch in diesen Fällen gibt es zahlreiche Hinweise, mit welchen man eine betrügerische E-Mail von einer echten E-Mail unterscheiden kann. Auch hier gilt: Nehmen Sie sich Zeit, die Plausibilität zu überprüfen.»
  • Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten (z.B. Word, Excel oder PowerPoint Anhänge mit Makros).

(oli)