Schlagwort: Phishing-Angriff

Bundesamt für Sicherheit in der Informationstechnik warnt vor SMS-Phishing

13. April 2021

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt momentan vor dem sogenannten “Smishing” (Phishing per SMS). Dabei erhalten die Betroffenen eine SMS mit einem Link, den sie anklicken sollen. Aktuell geben sich die Absender der SMS vor allem als Logistikunternehmen aus, die dem Betroffenen ein Paket zustellen möchten. Dazu sei es notwendig, dem Link zu folgen und eine Paketverfolgungsapp herunterzuladen. Beispiele für den Wortlaut der SMS veröffentlichte z.B. das Landeskriminalamt Niedersachsen. Das Klicken auf den Link führt bei Android-Nutzern dazu, dass die Schadsoftware FluBot heruntergeladen wird. Bei Nutzern von iOS findet kein Download statt, stattdessen landen Sie auf einer Phishing-Seite.

Ziel dieser Smishing-Angriffe und dem daraus resultierenden Download von FluBot ist das Ausspähen der Daten der Betroffenen. Bei FluBot handelt es sich laut der Sicherheitssoftware-Firma ESET um einen Banking-Trojaner, der erstmals Ende 2020 auftrat. Wird er installiert, kann er u.a. SMS schreiben und lesen, Anrufe durchführen und die Kontaktliste einsehen. Dabei fängt FluBot SMS mit Einmalpasswörtern ab, die bei der Zwei-Faktor-Authentifizierung benötigt werden und verbreitet sich per SMS an die Kontaktliste des Betroffenen weiter. Sicherheitsexperte Lukas Stefanko von ESET veröffentlichte hierzu ein Twitter-Video, auf dem der Ablauf erkennbar ist.

Das BSI empfiehlt also dringend, solche SMS zu ignorieren und den Absender zu sperren. Eine Installation von Schadsoftware ist nur bei Folgen des Links möglich. Für Betroffene, die den Link bereits angeklickt haben, gibt es ebenfalls Hilfestellung. So sollen sie schnellstmöglich den Flugmodus ihres Gerätes einstellen, ihren Mobilfunkprovider informieren, sowie Strafanzeige erstatten. Hierfür sollte das Smartphone zu Beweiszwecken vorgelegt werden. Auch Kontobewegungen sollten überprüft werden. Danach wird empfohlen, das Gerät auf seine Werkseinstellungen zurück zu setzen.

Für den grundsätzlichen Umgang mit Smishing-Angriffen hat ESET Hinweise veröffentlicht. So wird empfohlen, sein Smartphone-Betriebssystem stets auf dem neusten Stand zu halten, nur Apps aus offiziellen App-Stores zu downloaden und ein Anti-Viren-Programm zu installieren.

Ein Zusammenhang der Smishing-Vorkommnisse mit dem jüngsten Datenschutzleck bei Facebook kann zurzeit nicht nachgewiesen werden.

EU-Richtlinie für schärfere Strafen bei Betrug im Rahmen von bargeldlosen Zahlungen

12. Dezember 2018

Am Dienstagabend haben sich Vertreter des Europäischen Parlaments, des Ministerrates sowie der Kommission auf einen Richtlinienentwurf geeinigt, um zukünftig mit einem schärferen Schwert gegen Betrugs- und Fälschungsfälle in Bezug auf den Umgang mit bargeldlosen Zahlungsmitteln wie Kredit- oder EC-Karten vorgehen zu können. Die Richtlinie umfasst dabei erstmalig auch die rechtswidrige Nutzung von virtuellen Währungen, wie z.B. Bitcoins oder die mobile Zahlung über Smartphones. Ziel der Richtlinie ist dabei die europaweite Harmonisierung von Mindeststrafrahmen bei Delikten, die die oben genannten Fälle der rechtswidrigen Datennutzung und Nutzung der Zahlungsmittel erfassen. Das Strafmaß reicht dabei, je nach Schwere des Delikts, von einem Jahr bis zu fünf Jahren Freiheitsstrafe.

Die Richtlinie erfasst zudem die Fälle, in denen Zahlungsdaten z.B. durch die Nutzung von Phishing-Mails, Skimming an Geldautomaten oder Terminals rechtswidrig erhoben und in der Folge rechtswidrig genutzt werden. Schätzungsweise werden mit solchen Betrugsfällen jährlich mindestens 1,8 Milliarden Euro rechtswidrig erwirtschaftet.

Die Richtlinie muss nun durch das Parlamantsplenum und dem Rat angenommen werden. Nach dem Inkrafttreten der Richtlinie werden die Mitgliedstaaten 2 Jahre Zeit haben, die Vorschriften in nationales Recht umzusetzen.

Google: Angriff gegen E-Mail-Dienst “Gmail”

3. Juni 2011

Unbekannte sollen in Hunderte E-Mail-Accounts von chinesischen Dissidenten, US-amerikanischen Regierungsvertretern, asiatischen Amtsträgern und Journalisten des E-Mail-Dienstes von Google eingedrungen sein, teilte der Sicherheitsexperte des Unternehmens im Firmenblog am vorgestrigen Tage mit. Die Täter sollen sich mittels Phishing und Einsatzes von Malware die Passwörter der Opfer erschlichen und in Folge verwendet haben, um u.a. die Einstellungen zur Weiterleitung von E-Mails zu verändern und den E-Mail-Verkehr zu überwachen. Der Angriff sei nunmehr gestoppt und weitere Angriffe verhindert worden. Außerdem seien die Betroffenen und die Behörden informiert worden und die E-Mail-Accounts nunmehr gesichert. Alle Gmail-Nutzer wurden allerdings zur Wachsamkeit und zur Kontrolle (z.B. auf ungewöhnliche Einstellungen) aufgerufen.

Nach ersten Untersuchungen soll der Angriff von China aus initiiert worden sein. Das FBI hat entsprechende Ermittlungen aufgenommen, das Außenministerium Chinas weist in einer ersten Stellungnahme die Vorwürfe von sich.

Kategorien: Allgemein
Schlagwörter: , ,