Purple-Tec IT Services

Achtung – Phishing Warnung!!

von Willy | Feb 20, 2023 | Branchen-Info, Cyber-Kriminalität, Datenklau

Wir haben gestern, von einem uns bekannten Absender, eine Mail bekommen. Wir wussten, dass er Sharepoint nutzt. Deshalb haben wir uns nichts dabei gedacht, auch wenn wir gerade kein Thema am Laufen haben. Beim Anklicken geht wirklich sein Sharepoint auf. Er hat ein Dokument geteilt. Als wir mit der Maus dann über den Link gefahren sind und gerade klicken wollten, hats uns grissn :

Gut, da klick ma lieber nicht drauf.

Was ist passiert: Das Passwort des Mitarbeiters dürfte entweder selbst durch eine Phishing Attacke oder durch die mehrfache Verwendung auf unterschiedlichen Seiten abhanden gekommen sein. Weiters war die 2 Faktoren Authentifizierung nicht aktiviert, sodass er sich in der Cloud anmelden konnte. Danach platzierte der Angreifer den Link auf einer Sharepoint Seite und verschickt eine Einladung an Empfänger, mit denen das Opfer Kontakt hatte. Und natürlich hat er auch Zugriff auf alle Mails. Dort wird dann gerne nach dem Suchbegriff „Password“ oder „Passwort“ gesucht. Mit ein Grund, warum wir never ever Passwörter im Klartext per Mail verschicken.

Da sowohl der Absender, als auch das erste Ziel – die Sharepoint Seite – original und authentisch sind, klickt man gerne drauf. Auf den 2. Link ist man dann natürlich verleitet ebenfalls draufzuklicken – die Achtsamkeit ist hier schon unten.

Wir haben den Link dann in einer sicheren Umgebung ausprobiert und festgestellt, man kommt auf eine Seite mit einer russischen Domainendung und dort ist ein exakter Nachbau einer Office365 Anmeldung. Wer also dort seinen Office365 Usernamen und Passwort eintippt, ist dann gleich das nächste Opfer.

Und wenn so jemand vielleicht sogar Office365 Administrator ist, kann auch gleich der ganze Tenant übernommen werden. So vor einigen Monaten passiert. Die Kunden-eigenen Admins wurden ausgesperrt, neue Admins angelegt und dann im ersten Schwung am Freitag, 15 Minuten nach offiziellem Geschäftsschluss 80.000 Spammails verschickt. Gottseidank konnten wir diesen Kunden durch ein Hintertürdel schnell wieder bereinigen und auch gleich die 2 Faktoren Authentifizierung aktivieren.

Conclusio:

1. Verwende niemals Passwörter mehrfach. Auch wenn sich nur ein Zeichen unterscheidet, hilft es schon.

2. Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen und nichts, was in irgendeinem Wörterbuch steht. Ausnahme: 4 oder mehr Wörter aneinandergereiht (Passphrase) – ist aber eher unpraktisch. Die Anfangsbuchstaben eines Lieblingssatzes nehmen, Sonderzeichen einbauen, Hinweis auf die verwendete Website.
„Ich kann mir null Passwörter merken, drum schreib ich sie auf“ = Ikm0Pm,dsisa
Amazon = Ikm0Pm,dsisa#ama
Zalando = Ikm0Pm,dsisa#zal

3. Schütze unter allen Umständen deine Mailzugänge. Wer Zugriff auf die Mailbox hat, kann sich über die „Passwort vergessen“ Funktion gängiger Webseiten auch dort Zugriff verschaffen.

4. Aktivere die 2 Faktoren Authentifizierung, wo immer das geht. Ja, es ist mühsam, aber die Alternative ist noch viel mühsamer.

5. Sei vorsichtig, wenn du Links anklickst – auch in der 2. oder 3. Ebene

So seid ihr sicher!

Euer Purple-Tec Team

Wir starten die Woche mit zwei weiteren Opfern der Cyberkriminalität!

von Willy | Okt 24, 2022 | Branchen-Info, Cyber-Kriminalität, Datenklau

Es vergeht kaum noch ein Wochenstart ohne „gestohlene Daten“, „gehackte Passwörter“, „Schäden von tausenden Euros“, „Ausfälle oder Verzögerungen“ bei eigentlich normalen Tagesabläufen. Cyberattacken werden immer mehr und mehr, Artikel mit Warnungen oder bereits entstandenen Schäden, nehmen seit Monaten immer mehr zu.

Darum möchten wir diese Meldungen nun wieder zum Anlass nehmen, um darauf aufmerksam zu machen, wie wichtig es ist, sich um seine IT zu kümmern, sich um seine Passwörter zu kümmern und regelmäßig zu hinterfragen, ob der Stand der IT Security noch sicher genug ist. Wir unterstützen hier gerne bei jedem Schritt, der notwendig ist.

Bei JÖ hat man versucht sich in Kundenkonten einzuloggen – man geht davon aus, dass die Jö-Kundinnen und -Kunden für ihren Zugang ein Passwort gewählt haben, das sie mehrfach nutzen und das an anderer Stelle gestohlen worden sein dürfte. Mehr unter folgendem Link:

https://www.derstandard.at/story/2000140242612/cyberattacke-auf-mitglieder-des-joe-bonus-club

Bei Metro fiel die IT-Infrastruktur aus – nach eingehender Untersuchung konnte ein Cyberangriff bestätigt werden. Artikel dazu unter folgendem Link:

https://www.heise.de/news/Grosshandel-Metro-wurde-Opfer-einer-Cyber-Attacke-7315514.html

Prüfe vielleicht gleich, ob e noch alles sicher ist, bevor du weiter arbeitest wink .

Euer Team von klenner.at

Phishing-Kampagne umgeht Multi-Faktor-Authentifizierung!

von Willy | Jul 19, 2022 | Allgemein, Cyber-Kriminalität, Datenklau, IT Sicherheit

Microsofts Sicherheitsforscher haben eine große Phishing-Kampagne aufgedeckt. Dabei stehlen Angreifer Session-Cookies, um MFA-Schutzmaßnahmen zu umgehen. Bislang seien über 10.000 Unternehmen auf diese Weise angegriffen worden.

Die aufgedeckte AiTM-Kampagne zielte auf Office-365-Nutzer ab, denen die Angreifer einen Proxy der Online-Office-Landingpage präsentierten.

Die Angreifer machen von sogenannten „Adversary in the Middle“-Phishing-Seiten (AiTM) Gebrauch, um Session-Cookies zu kapern und Anmeldedaten zu stehlen. War das erfolgreich, haben sie Zugriff auf die Postfächer der Opfer und können von dort aus Angriffe gegen weitere Ziele starten.

Der Bereicht ist unter folgendem Link zu lesen:

https://www.heise.de/news/Zahlungsbetrug-Gross-angelegte-Phishing-Kampagne-umgeht-MFA-7179750.html

Montagmorgen – der perfekte Zeitpunkt, um Ihre Security upzudaten!

von Willy | Jul 11, 2022 | Allgemein, Antiviren-Software, Cyber-Kriminalität, Datenklau, IT Sicherheit

Wer mit Trend Micro Maximum Security bis einschließlich Version 17.7.1179 arbeitet, sollte schnell updaten. Aufgrund einer Sicherheitslücke ist es für Angreifer leicht Mountpoints zu manipulieren und sich darüber höhere Nutzerrechte zu verschaffen.

Eine fehlerbereinigte Version steht zum Download bereit, somit gleich als Punkt 1 auf die Tages-Todo-Liste heften. 😊

https://www.heise.de/news/Sicherheitsupdate-Trend-Micro-Maximum-Security-koennte-Angreifer-auf-PCs-lassen-7162687.html?wt_mc=nl.red.security.security-nl.2022-07-07.link.link

Achtung Virenfalle! Phishing-Mails immer perfekter.

von Willy | Jun 27, 2019 | Antiviren-Software, Cyber-Kriminalität, Datenklau, Ransomware, Sicherheit

Letzte Woche landete ein unliebsamer Zeitgenosse in unserem Postfach. Auf den ersten Blick wirkte die Email wie eine übliche Konversation aus einem unserer Projekte. Doch ein zu schneller Klick auf das im Anhang abgelegte PDF zeigte schnell, hinter dem vermeintlichen Dokument verbarg sich gar kein PDF, sondern eine Bilddatei mit einem dubiosen Link.

In unserem Fall konnten wir durch einen kühlen Kopf und ein schnelles Schließen des Browserfensters, Schlimmeres verhindern. Doch solche Klick-Fallen gibt es derzeit leider zu Hauf und sie sind alles andere als ein Bagatelldelikt.

Der Übeltäter

Hinter derartigen Phishing-Mails, steckt oft die gefürchtete Schadsoftware „Emotet„. Ziel sind vor allem Firmen, Behörden und andere Institutionen sind, bei denen Geld zu holen ist.

Emotet knüpft dabei an zuvor gestohlene, existierende Kommunikationen an und schickt dem Opfer Emails, die sich von realen, eigenen Antworten kaum noch unterscheiden lassen. Ist die Kontamination erfolgreich, werden Verschlüsselungstrojaner platziert und Lösegeld erpresst. Der entstandene Schaden hat zumeist existenzgefährdendes Ausmaß und kann laut Emotet nur durch Zahlung hoher Geldbeträge rückgängig gemacht werden.

Leider muss man inzwischen davon ausgehen, dass selbst top geschulte Mitarbeiter früher oder später auf derartige Phishing-Mails reinfallen könnten.

Angriff auf Heise-Verlag

Am Beispiel Heise Verlag sieht man ganz klar, dass es selbst die Vorsichtigsten erwischen kann.

Beim konkreten Fall hat ein Mitarbeiter irrtümlich den kontaminierten Inhalt einer getarnten Emotet Phishing-Mail geöffnet. Daraufhin begann die Malware sofort mit der Ausbreitung im gesamten Heise-Netz. Nach kurzer Zeit eskalierte die Situation derart, dass die Admins sich für einen vollständigen Lock-Down entschieden. Dafür wurden sämtliche Internet-Verbindungen zu den betroffenen Netzwerken umgehend gekappt.

Seither arbeiten mehrere Forensiker und Incident-Response-Spezialisten gemeinsam mit der hauseigenen IT daran, die Vorgänge aufzuklären. Ziel ist es, in einen normalen IT-Betrieb überzugehen, ohne erneute Infektionen zu riskieren. Darüber hinaus wird laut Heise aktuell das gesamte Sicherheitskonzept hinterfragt und Konzepte erarbeitet, welche derartige Super-Gaus zukünftig verhindern sollen.

Heise dokumentiert den Fall äußerst transparent um anderen Firmen die Möglichkeit zu geben aus den eigenen Fehlern zu lernen.

→ Trojaner Befall bei Heise

Die Conclusio

Wie man sieht, reichen Standard-Viren Programme zumeist nicht aus um einen echten Schutz gegen Schadsoftware wie Emotet zu bieten. Unsere persönliche Empfehlung ist nach wie vor der Antivirenschutz von Bitdefender.

Bitdefender entwickelt laufend Updates um Kundensysteme fortwährend zu schützen. Der aktuelle Fall → GandCrab zeigt, dass diese Anstrengungen durchwegs von Erfolg gekrönt sind.

→ Hier erfahrt ihr mehr über den Antivirenschutz von Bitdefender.

Euer Klenner.at-Team

Update für Bitdefender Entschlüsselungstool „GandCrab“

von Willy | Jun 27, 2019 | Bitdefender, Cyber-Kriminalität, Datenklau, Sicherheit

Die, in Zusammenarbeit von Bitdefender und einiger Strafverfolgungsbehörden, entwickelte Entschlüsselungssoftware, wurde aktualisiert! Sie wirkt nun den neuesten Versionen von GandCrab entgegen.
Laut Schätzungen konnten dadurch bisher, über 30.000 Opfer vor Lösegeldzahlungen bewahrt werden. Dies entspricht einem Gesamtwert von etwa 50 Millionen US-Dollar.

GandCrab

Die Erpressersoftware arbeitet nach einem „Affiliate-Modell“ bei dem die Entwickler ihre Malware an Interessierte zu Verfügung stellen und im Gegenzug einen Teil des Gewinnes erhalten. Sie ist seit Beginn 2018 aktiv im Einsatz und erreichte bereits im August 2018 einen Ransomware-„Marktanteil“ von über 50 Prozent. Insgesamt konnten laut der Betreiber, bereits mehr als 2 Milliarden US-Dollar erpresst werden.

Neutralisierung durch Entschlüsselungstool

Die bisher entwickelten Decryption-Tools für GandCrab helfen dabei verschlüsselte Daten wiederherzustellen. Dadurch wird die Auszahlung von Lösegeldforderungen überflüssig was wiederum eine deutliche Verschlechterung der Marktposition von GandCrab zur Folge hatte. Kriminelle Partner fürchteten die Gegenmaßnahmen so sehr, dass sie den Betrieb der Malware lieber einstellten.
„Unsere Anstrengungen, Entschlüsselungstools für die Opfer von GandCrab bereitzustellen, haben die kriminellen Betreiber dahingehend geschwächt, dass sie ihr Geldbeschaffungsmodell aufgaben“, so Bitdefender-Vertreter. „Damit schufen wir bei neuen Opfern ein Vertrauen, so dass sie lieber auf ein Entschlüsselungsupdate warten, als den Lösegeldforderungen von Kriminellen nachzugeben.“

Wie verhindere ich Infektionen?

Um Ransomware-Infektionen zu verhindern, sollten Benutzer eine Sicherheitslösung mit einer mehrschichtigen Anti-Ransomware-Abwehr implementieren und Daten in regelmäßigen Abständen, vollständig sichern.
Das Entschlüsselungstool für GandCrab ist kostenfrei auf den Webseiten der Bitdefender Labs oder des No More Ransom Project verfügbar.
Vor allem gilt wie immer: Verdächtige Anhänge keinesfalls öffnen!
Euer Klenner.at-Team