Cyberkriminelle kommen mit alter Schadsoftware und neuer Erpressermasche
Der Trojaner FluBot ist zurück in der Schweiz. Das NCSC warnt vor SMS-Nachrichten, die einen Link zur Android-Schadsoftware enthalten. Webmaster sollten sich ausserdem vor E-Mails vermeintlicher ukrainischer Hacker in Acht nehmen.
Wer die Tage per SMS über eine angebliche Paketlieferung informiert wird, sollte stutzig werden. Das Nationale Zentrum für Cybersicherheit (NCSC) warnt in seinem neuesten Wochenrückblick vor den Nachrichten. Demnach unterscheiden sich die genauen Texte jeweils voneinander, aber bei der Formatierung gibt es Gemeinsamkeiten: "In den Wörtern waren jeweils zahlreiche Leerzeichen enthalten", schreibt das NCSC.
Zudem enthalten die SMS-Nachrichten einen Link. Wer darauf klickt, wird aufgefordert, eine vermeintliche Software des Paketdienstleisters auf das Android Smartphone herunterzuladen. Was aber tatsächlich installiert wird, ist FluBot. Dabei handelt es sich um einen Trojaner, der unter anderem SMS-Nachrichten nach Login-Codes durchforstet, das Adressbuch an die kriminellen Betreiber der Schadsoftware überträgt und schliesslich sich selbst per SMS weiter verteilt.
Neu ist die Schadsoftware übrigens nicht. Die letzte grosse FlouBot-Welle habe die Schweiz im vergangenen Herbst getroffen, schreibt das NCSC. Damals enthielten die Köder-SMS Hinweise auf angebliche sprachnachrichten, wie Sie hier lesen können. Es seien auch schon Nachrichten mit dem Text "Bist du das auf dem Foto?" beobachtet worden. Laut dem NCSC wechseln die FluBot-Angreifer ihre Zielgebiete in kürzester Zeit, meistens bereits nach wenigen Tagen. Die vergifteten Nachrichten zum Paketversand habe man seit dem 18. März beobachtet.
Das NCSC warnt grundsätzliche davor, Links in SMS-Nachrichten anzuklicken. Dies gelte auch für iPhone-Nutzerinnen und Nutzer, obwohl sich FluBot nur auf Android-Handys ausbreiten kann. Weiter rät die Behörde:
Installieren Sie keine Software, die ausserhalb der offiziellen Stores der Betriebssysteme angeboten wird.
Insbesondere sollten Sie keine Software installieren, welche Sie über einen Link in einer SMS oder über einen anderen Messenger-Dienst (WhatsApp, Telegram usw.) erhalten haben.
Falls Sie dennoch eine solche Software installiert haben, sollten Sie das Gerät von einer Fachperson überprüfen lassen und während dieser Zeit weder Bankgeschäft noch Online-Einkäufe tätigen. Geben Sie auch keine Passwörter ein.
Das Zurücksetzen des befallenen Geräts auf die Werkseinstellungen ist nahezu die einzige Möglichkeit, diese Schadsoftware vom Gerät zu entfernen.
Heisse Luft angeblicher Hacker aus der Ukraine
Während FluBot schon eine Weile sein Unwesen treibt, hat das NCSC auch eine neue Erpressermasche beobachtet, die vor allem Admins von Websites betrifft. Diese erhielten laut dem NCSC Drohnachrichten von angeblichen ukrainischen Hackern. Die Kriminellen behaupten darin, eine Schwachstelle in der Website gefunden zu haben und fordern nun eine "Spende" in der Höhe von 0,05 Bitcoins (aktuell etwa 2000 Franken). Zahle der Admin nicht, werde man die Website kapern und ein Spendenbanner für die Ukraine darauf platzieren. Schlimmstenfalls drohen die Cyberkriminellen damit, die Domain bei der Registrierungsstelle dauerhaft zu löschen.
Das Urteil des NCSC ist deutlich: "Dieses Schreiben war selbstverständlich nur ein Bluff". Allerdings zeige der Fall auch, dass die Tragödie des Krieges in verschiedenster Weise von Betrügern für ihre Zwecke ausgenutzt werde. Es ist auch nicht das erste Mal, dass die Bundesbehörde vor Gaunereien in Zusammenhang mit dem Krieg in der Ukraine warnt.
Die Tipps des NCSC:
Lassen Sie sich nicht einschüchtern. Melden Sie im Zweifelsfall verdächtige Nachrichten dem NCSC oder der Polizei.
Natürlich sollten Sie aber Webserver und alle Webapplikationen auf dem neuesten Stand halten.
Generell für Spenden gilt:
Gehen Sie nicht auf Kontaktaufnahmen per E-Mail ein.
Vermeiden Sie Spendenzahlungen per Kreditkarte.
Überweisen Sie keine Kryptowährungsguthaben.
Versenden Sie keine Geschenkgutschein Codes (Google Play, Apple iTunes etc.)
Am besten nutzen Sie nur IBAN-Konten von Hilfswerken, welche ZEWO zertifiziert sind:
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.