[datensicherheit.de, 20.02.2025] Proofpoint meldet, dass eigene Sicherheitsexperten eine zunehmende Bedrohung durch sogenannte „Fake-Update“-Angriffe festgestellt hätten: „Bei diesen Angriffen werden gefälschte Update-Benachrichtigungen verwendet, um Benutzer zur Installation von Malware zu verleiten.“ Dabei tun sich demnach zwei neu identifizierte Bedrohungsakteure hervor („TA2726“ und „TA2727“), welche die Malware-Verbreitung über kompromittierte Webseiten vorantrieben.

Gefälschte Update-Benachrichtigungen, um Nutzer zum Download von Malware zu verleiten

Die Angreifer setzten dabei auf Techniken wie „Traffic Distribution Services“ (TDS), um den Datenverkehr gezielt auf kompromittierte Webseiten umzuleiten. „Auf diesen Websites werden den Nutzern gefälschte Update-Benachrichtigungen angezeigt, um sie zum Download von Malware zu verleiten.“

Besonders auffällig sei dabei, dass die Angreifer zunehmend maßgeschneiderte Malware einsetzten, „die für verschiedene Plattformen optimiert ist“. Während Malware für „Windows“ und „Android“ bereits weit verbreitet sei, habe Proofpoint auch eine neue „Mac“-Malware namens „FrigidStealer“ entdeckt: „Diese Malware erbeutet sensible Nutzerdaten wie Browser-Cookies und Passwörter und überträgt sie an die Angreifer.“

Angriffserkennung erschwert: Malware je nach Betriebssystem und Browser des Benutzers variiert

Ein weiteres beunruhigendes Detail sei die zunehmende Regionalisierung der Angriffsstrategien. „Proofpoint hat beobachtet, dass je nach geographischem Standort des Nutzers unterschiedliche ,Payloads’ ausgeliefert werden.“

Dies erschwere die Erkennung der Angriffe erheblich, weil die Malware je nach Betriebssystem und Browser des Benutzers variiere. „Dass ,TA2726‘ als Traffic-Distributor fungiert und den Datenverkehr gezielt zu anderen Akteuren wie ,TA569‘ und ,TA2727‘ umleitet, macht die Angriffe noch effizienter.“

Malware-Angriffe basieren auf gängigen Web-Techniken und Social-Engineering-Methoden

Weil diese Malware-Angriffe auf gängigen Web-Techniken und Social-Engineering-Methoden basierten, seien sie besonders schwer zu erkennen. Unternehmen schenkten der Sicherheit ihrer Websites und Webserver oft zu wenig Beachtung, „obwohl diese ein beliebtes Ziel für Angreifer sind“. Proofpoint empfiehlt daher, „die Netzwerksicherheit und den Endgeräteschutz zu verstärken, um solchen Bedrohungen vorzubeugen“.

Zudem sollten Unternehmen ihre Mitarbeiter regelmäßig schulen, um verdächtige Aktivitäten frühzeitig zu erkennen und zu melden. „Zudem empfiehlt Proofpoint weitere Schutzmaßnahmen wie den Einsatz von Browser-Isolationstechnologien, die verhindern, dass schädliche Webseiten auf den Endgeräten der Nutzer Schaden anrichten können.“ Darüber hinaus sollten Unternehmen auch das Öffnen von Skript-Dateien auf „Windows“-Geräten blockieren, um das Risiko sogenannter Web-Injections weiter zu reduzieren.

Weitere Informationen zum Thema:

proofpoint, The Proofpoint Threat Research Team, 18.02.2025
An Update on Fake Updates: Two New Actors, and New Mac Malware

[datensicherheit.de, 03.09.2024] Die Verbraucherzentrale Nordrhein-Westfalen (vz NRW) warnt aktuell vor Betrug mit „Fake-Immobilien“ und rät in diesem Zusammenhang dringend vor der Preisgabe sensibler Daten bei der Wohnungssuche. Der Druck auf dem Wohnungsmarkt ist in vielen Städten offensichtlich groß. Auf eine Anzeige melden sich oft etliche Interessenten – aber nicht alle erhalten dann die Chance, die angebotene Wohnung überhaupt zu besichtigen. Diese Notlage nutzen Immobilienbetrüger laut vz NRW aus, um mit gefälschten Wohnungsinseraten auf Plattformen wie „Immobilienscout24“, „Immowelt“ oder „Immonet“ Kasse zu machen. „Betrüger verlangen die Preisgabe sensibler Daten wie Gehaltsnachweise oder die Kopie des Personalausweises, noch vor der ersten Wohnungsbesichtigung. Mit diesen Informationen können sie dann weiter agieren und zum Beispiel Verträge im Namen der Betroffenen abschließen oder Konten eröffnen”, berichtet Ayten Öksüz, Expertin für Datenschutz bei der vz NRW. Sie erklärt, wie man sogenannte Fake-Inserate erkennt und worauf Wohnungssuchende bei Weitergabe personenbezogener Daten achten sollten:

1. Tipp zur Online-Wohnungssuche: Unseriöse Anzeigen erkennen!

Ein Hinweis auf gefälschte Immobilienanzeigen seien ungewöhnlich niedrige Kauf- und Mietpreise. Auch viel zu niedrig angesetzte Nebenkosten könnten ein Indiz für eine gefälschte Wohnungsanzeige sein. Viele Immobilienbetrüger lockten mit ansprechenden Immobilienbildern wie aus dem Prospekt. „Bei den Fotos handelt es sich jedoch oft um kopierte Bilder aus dem Internet.“ Um diese Masche zu entlarven, könnten die Bilder in die umgekehrte Bildersuche einer Suchmaschine hochgeladen werden. „So erkennt man, ob und wo das Bild im Netz noch verwendet wird.“

Auch könne es sich bei dem Inserat um eine Kopie einer oder mehrerer tatsächlich existierender Anzeigen handeln. Auch hierbei helfe die Überprüfung mit einer Suchmaschine. Schwieriger werde es, professionell gefälschte Anzeigen zu erkennen, welche mit Künstlicher Intelligenz erzeugt wurden – und täuschend echt wirkten.

2. Tipp zur Online-Wohnungssuche: Kein Geld vorab überweisen!

Eine häufige Masche sei der Trick mit der Vorkasse: Ein angeblicher Wohnungseigentümer kontaktiere die Interessenten und teile mit, dass er selbst im Ausland sei und daher nicht zur Besichtigung kommen könne. „Gleichzeitig bietet er als Alternative an, den Schlüssel für die Wohnungsbesichtigung per Post zuzuschicken oder durch einen Mittler zu übergeben.“

Als Kaution hierfür sollten die Interessenten dann vorab Geld überweisen. „Sobald die Überweisung erfolgt ist, ist der vermeintliche Eigentümer plötzlich nicht mehr erreichbar.“ Die Betroffenen bekämen keinen passenden Wohnungsschlüssel – und das Geld sei auch weg.

3. Tipp zur Online-Wohnungssuche: Keine sensiblen Daten preisgeben!

Betrüger nutzten die Tatsache aus, dass bei der Wohnungssuche von Eigentümern oder Maklern in der Regel die Angabe von bestimmten Informationen verlangt werde: Dazu gehörten Gehaltsnachweise, Schufa-Auskunft und Angaben über die eigenen Lebensumstände im Rahmen einer Selbstauskunft. Viele forderten auch eine Kopie des Personalausweises – dazu hätten sie allerdings keine Berechtigung. Denn für die Prüfung der in der Selbstauskunft gemachten Angaben reiche es aus, sich den Personalausweis vorzeigen zu lassen. Betrüger könnten nämlich die gesammelten Daten auf unterschiedliche Weise nutzen. „Auf der Gehaltsabrechnung sind beispielsweise Daten wie Kontoinformationen, Arbeitgeber oder die Kontaktdaten der zuständigen Personalabteilung.“ Kriminelle könnten sich damit zum Beispiel beim Arbeitgeber als die betroffene Person ausgeben und über eine angebliche Änderung der Kontodaten für kommende Gehaltszahlungen informieren. Erst mit der ausbleibenden Gehaltszahlung falle ein solcher Betrug dann häufig auf.

Verbraucher sollten grundsätzlich sehr vorsichtig mit der Herausgabe von persönlichen Daten sein. „Eine Kopie des Personalausweises sollte grundsätzlich nicht verschickt werden, schon gar nicht vor der ersten Wohnungsbesichtigung. Wenn dies zum Abschluss des Mietvertrages unvermeidlich ist, sollten alle Stellen, die nicht relevant sind, geschwärzt werden.“ Auch könne ein quer auf der Kopie angebrachter Vermerk wie „Für Wohnungsbewerbung“ einem möglichen Missbrauch vorbeugen. Selbiges gelte auch für Gehaltsnachweise.

4. Tipp zur Online-Wohnungssuche: Betrug unverzüglich melden!

Wenn Verbraucher Opfer eines Betrugs geworden sind, sollten sie keine falsche Scham haben und sich in jedem Fall bei der zuständigen Polizeidienststelle melden, um Anzeige zu erstatten. Dies sei auch online möglich. „Zur Beweissicherung sollte jegliche Korrespondenz mit dem Betrüger aufbewahrt und der Anzeige beigelegt werden. Das ist insbesondere für mögliche weitere Konsequenzen, die sich aus dem Datenklau ergeben können, wichtig.“

So könnten Betroffene mit der Anzeige gegen unberechtigte Forderungen vorgehen. „Wer als Betroffener Rechnungen oder Mahnungen erhält, weil Betrüger Verträge in seinem Namen und mit seiner Identität abgeschlossen haben, sollte sich unbedingt an die Gläubiger wenden und auf den Identitätsdiebstahl hinweisen.“ Auch sollten Betroffene den Betrugsfall beim Plattformbetreiber melden, „damit dieser entsprechende Schritte einleiten kann, zum Beispiel die Fake-Wohnungsanzeige von der Plattform nehmen und weitere mögliche Betroffene über den Betrugsversuch informieren“.

Weitere Informationen zum Thema:

verbraucherzentrale Nordrhein-Westfalen, 02.09.2024
Fake-Wohnungen im Internet: So erkennen Sie falsche Immobilienanzeigen

[datensicherheit.de, 09.04.2024] Die Verbraucherzentrale Hamburg e.V. (vzhh) hat an die Nutzer von Webshops für Fahrräder und Fahrradzubehör eine aktuelle Warnung ausgesprochen: „Mit dem warmen Frühlingswetter hat die Fahrradsaison begonnen. Doch Verbraucherinnen und Verbraucher, die ein neues Fahrrad kaufen wollen, sollten vorsichtig sein. Die Verbraucherzentrale Hamburg erhält zurzeit regelmäßig Hinweise auf gefälschte Online-Shops, die angeblich Fahrräder und Fahrradzubehör anbieten.“ Die vzhh veröffentlicht auf ihrer Website regelmäßig URLs fragwürdiger Online-Shops und gibt Hinweise zum Erkennen von Fake-Shops (s.u.).

Fake-Webshops: Bestellt – bezahlt – betrogen…

Die betrügerischen Online-Händler locken demnach potenzielle Käufer mit vermeintlich günstigen Angeboten für hochwertige Räder und E-Bikes. Auch Ersatzteile und Zubehör wie Fahrradtaschen von Markenherstellern würden angeblich preiswerter angeboten.

„Aber nach Bezahlung der Ware per Überweisung oder Kreditkarte werden die Bestellungen nicht geliefert und die vermeintlichen Betreiber der Shops sind nicht erreichbar. Zuletzt wurden unter anderen die Adressen ,eradprofi.com’, ,gravelbikede.com’, ,fahrradmeierigm.com’ und ,bikeboys-onlineshop.net’ gemeldet und von der Verbraucherzentrale Hamburg als dubios eingestuft.“

Insbesondere beim Kauf von Saisonware in Webshops ist Vorsicht geboten

Julia Rehberg von der vzhh kommentiert: „Gerade beim Kauf von Saisonware ist Vorsicht geboten. Je attraktiver das Angebot, desto genauer sollte ein Shop geprüft werden.“ Ein kurzer Blick ins Impressum der oft professionell gestalteten Internetseiten reiche leider oft nicht mehr aus:

Meist würden plausible Adressen in Deutschland mit Telefonnummer, Registernummer und Namen der Geschäftsführung angegeben. Verbraucherschützerin Rehberg empfiehlt nach eigenen Angaben, vor einer Bestellung zu kontrollieren, ob das Unternehmen tatsächlich unter der angegebenen Handelsregisternummer im Registerportal geführt wird und die Telefonnummer testweise anzurufen.

Weitere Informationen zum Thema:

verbraucherzentrale Hamburg, 08.04.2024
Einkauf und Online-Shopping / Fake Shop Liste: Wenn günstig richtig teuer wird!

[datensicherheit.de, 10.12.2020] Weihnachten 2020 steht vor der Tür und damit die im Regelfall wichtigste und umsatzstärkste Zeit im Online-Handel. Schon 2019 habe die Mehrheit der Deutschen Weihnachtsgeschenke im Netz gekauft, so der Branchenverband Bitkom. „Die anhaltende ,Corona-Krise‘ wird den Online-Shops wohl ein weiteres Plus bescheren. Und das ist auch Cyber-Kriminellen bekannt: Sie nutzen den vorweihnachtlichen Kaufrausch vieler Verbraucher, um ihren ganz eigenen Geschäften nachzugehen“, warnt Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Foto: PSW GROUP

Patrycja Schrenk: Cyber-Kriminelle nutzen vorweihnachtlichen Kaufrausch vieler Verbraucher aus

„Fake Shops“ wirken wie täuschend echte Online-Shops

Schrenk warnt insbesondere vor sogenannten Fake Shops: „Online-Shops, die täuschend echt wirken, ihre Kunden jedoch mit ausbleibenden Warenlieferungen oder anderen Machenschaften betrügen.“ Dabei gebe es Merkmale und Kriterien, anhand derer sich „Fake Shops“ identifizieren ließen: „Verbraucher können und sollten vor dem Einkauf in einem Online-Shop die eigentliche Web-Adresse, die Verschlüsselung der Website, die Rechtstexte wie Impressum und AGB, die angebotenen Zahlungsmöglichkeiten, die Bewertung anderer Verbraucher und die vom Shop verwendeten Gütesiegel oder Zertifikate einsehen oder prüfen“, rät Schrenk.

Internet-Adresse und Verschlüsselung des Online-Shops prüfen

Oft verwendeten Cyber-Kriminelle Web-Adressen, die an bestehende und seriöse Shops erinnerten, sich jedoch im Detail unterschieden. So könnte beispielsweise die Domain „www.onlineshop.de“ von Cyber-Kriminellen unter „www.onlinshop.de“ ausgenutzt werden. Skepsis sei insbesondere geboten, „wenn die Internetadresse überhaupt nicht zum Thema des Shops passt, beispielsweise wenn unter ,pflanzenwelt.de‘ Bademode angeboten wird“.

Verschlüsselung alleine noch keine Garantie für seriösen Online-Shop

Verschlüsselung alleine biete keine Garantie für einen seriösen Online-Shop – dahinter könnten auch Cyber-Kriminelle mit kostenfreien SSL-Zertifikaten stecken, die ohne nähere Prüfung der zu schützenden Domain oder des Domaininhabers ausgestellt würden. „Um die Verschlüsselung und Identität einer Website zu überprüfen, lohnt ein Klick auf das kleine Schlosssymbol vor der eigentlichen Adresse in der Adresszeile. Dort befindet sich im Menüpunkt ,Zertifikat‘ die Information, ob eine gültige Verschlüsselung aktiviert ist.“ Ein Klick darauf zeige weiterführende Informationen über das SSL-Zertifikat an – „vor allem für wen es ausgestellt wurde, wer es ausgestellt hat und bis wann es gültig ist“, erläutert Schrenk.

Auf Gütesiegel, Prüfzeichen und Zertifikate des Online-Shops achten

Gütesiegel wie „Trusted Shops“ erhielten nur Anbieter, deren Webshops entsprechend geprüft worden seien. „Handelt es sich um ein echtes Gütesiegel, ist auf dem Online-Shop ein entsprechendes Zertifikat zu finden.“ Dieses lasse sich anklicken und leite auf den Zertifikate-Anbieter weiter. Andersherum sei jeder zertifizierte Webshop auch auf der Website der Prüfstelle finden. „Gütesiegel, Prüfzeichen und Zertifikate haben jedoch einen Nachteil: Startups und kleine Anbieter können es sich oft einfach nicht leisten, ein Siegel zu tragen“, gibt Schrenk zu bedenken und verdeutlicht: „Unternehmen und Organisationen, die mit Prüfsiegeln werben möchten, müssen für den Prüfvorgang zahlen. Siegel sind also kein Muss – viele Shops existieren ohne Siegel und agieren dennoch seriös.“

Bewertungen anderer Kunden über Online-Shop aus mehreren Quellen lesen

Eng verbunden mit Siegeln sei das Thema Bewertungen. Doch Vorsicht: Nicht jede Bewertung stamme von echten Kunden: Es komme vor, „dass Fake-Bewertungen einen Shop besser dastehen lassen sollen, als er ist“. Oder dass die Konkurrenz schlecht bewertet werde, um deren Image zu schädigen. „Deshalb besser nicht auf eine einzige Bewertungsquelle verlassen. Shops mit Prüfsiegeln können beim Siegel-Anbieter auf Bewertungen geprüft werden. Bei Shops ohne Siegel rate ich zu ein wenig Recherche, denn Bewertungen hinterlassen Kunden sowohl auf ,Google‘ als auch in Foren, Sozialen Netzwerken oder direkt auf der Anbieter-Website. Wer mehrere Bewertungen aus unterschiedlichen Quellen in sein Meinungsbild einfließen lässt, erhält realistische Ergebnisse“, führt Schrenk aus.

Impressum, Datenschutzerklärung und AGB für seriösen Online-Shop erforderlich

„Rechtstexte – darunter fallen das Impressum, die Datenschutzerklärung oder auch die AGB – sollten immer vorhanden, vollständig und individuell, also nicht einfach von anderen Seiten kopiert sein.“ Fehlten sie oder seien sie unvollständig: „Finger weg vom Shop!“ Gefälschte AGB und Datenschutzerklärungen seien nicht immer leicht zu erkennen, warnt Schrenk und ergänzt: „Sind sie jedoch in schlechtem Deutsch gehalten, dem man anlesen kann, dass es aus einem Übersetzer stammt, ist Skepsis geboten. Auch wenn die AGB, die Datenschutzerklärung oder das Impressum fehlen, rate ich von Bestellung in diesem Shop ab.“

Informationen des Online-Shops zum Widerrufs- und Rückgaberecht etc. sollten vorhanden sein

Ein vollständiges Impressum enthalte mindestens Adresse, einen Vertretungsberechtigten sowie eine E-Mail-Adresse. Idealerweise existiere ein Verweis auf das Handelsregister mit Nummer und die Umsatzsteuer-Identifikationsnummer sei angegeben. „Auf der Website des Handelsregisters lässt sich gezielt nach der Registernummer suchen und im Eintrag erkennen, ob der Shop tatsächlich existiert“, gibt Schrenk als Tipp. In den Allgemeinen Geschäftsbedingungen müssten Informationen zum Widerrufsrecht, zum Rückgaberecht, zu etwaigen Kaufpreisrückerstattungen sowie Versand- und Rücksendekosten zu finden sein. Die Datenschutzerklärung müsse Informationen geben, „wie das Unternehmen mit Datenschutz und Datensicherheit umgeht“.

Angebote und Zahlungsoptionen des Online-Shops prüfen

Gerade in der Vorweihnachtszeit überträfen sich Online-Shops mit Angeboten gegenseitig – hier ein „Schnäppchen“, dort ein „Mega-Deal“. „Niemand hat aber etwas zu verschenken. Sind Angebote zu günstig, um wahr zu sein, sind sie es in der Regel auch nicht. Wird also das neuste TV-Modell mit einer UVP von knappen 750 Euro für schlappe 150 Euro verkauft, ist es recht wahrscheinlich, dass die 150 Euro zwar weg sind, der Fernseher aber nie ankommt“, nennt Schrenk als ein Beispiel.

Texte und Produkt-Angaben des Online-Shops auf Plausibilität prüfen

Sinnvoll sei es auch, Texte und Produkt-Angaben genau zu prüfen: In „Fake Shops“ seien inhaltliche Ungereimtheiten sowie offensichtliche Rechtschreibfehler sehr häufig. Weder Informationen noch Kosten sollten verschleiert werden. „Seriöse Online-Shops bieten außerdem in aller Regel verschiedene Zahlungsmöglichkeiten an. Finden sich nur Vorkasse oder andere den Verbraucher einschränkende Zahlweisen, ist das ein Grund, den Shop zu verlassen“, empfiehlt Schrenk.

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 24.11.2020
Bedrohungslage / Sicheres Online-Shopping – auch zur Weihnachtszeit

datensicherheit.de, 24.11.2020
Statt bequemem Online-Kauf grenzenloser Ärger / Verbraucher haben bei außereuropäischen Bestellungen über Online-Marktplätze vielfältige Probleme

[datensicherheit.de, 02.08.2019] Die PSW GROUP kommentiert die Ergebnisse des aktuellen „Domain Fraud Report 2019“ aus dem Hause Proofpoint – diese ließen aufhorchen, denn 2018 sei die Anzahl von Fake-Webseiten im Internet um elf Prozent angestiegen. Noch schwerwiegender jedoch sei die „Tatsache, dass für 96 Prozent aller echten Unternehmen Fake-Domains existieren“. Cyber-Kriminelle tarnten ihre Fake-Webseiten sehr gut, „insbesondere, wenn sie bekannte Online-Shops imitieren“. Verbrauchern falle eine solche Fälschung zunächst oft gar nicht auf.

Foto: PSW GROUP

Patrycja Tulinska: Bei Verdacht auf einen Fake-Shop sofort den Kauf abbrechen!

Warnung insbesondere vor Lookalike-Domains

„Es gibt jedoch Anzeichen, die dabei helfen, eine seriöse Seite von einem Fake-Shop zu unterscheiden“, erläutert die IT-Sicherheitsexpertin Patrycja Tulinska, Geschäftsführerin der PSW GROUP. Tulinska führt aus: „Weist eine eigentlich bekannte Webadresse Ungereimtheiten auf, beispielsweise wenn statt der Domain-Endung ,de‘ noch weitere, zusätzliche Domainendungen wie ,.de.com‘ erkennbar sind, oder wenn die Webadresse gar nicht zum Inhalt der Site passt, sollte Skepsis angebracht sein.“
Schnell zu übersehen seien sogenannte Lookalike-Domains, „bei denen der Markenname geringfügig abgeändert wird und beispielsweise ein ,O‘ durch eine Null ersetzt wurde. Da muss man schon genau hinschauen. Auch wenn die Preise eines Online-Shops zu gut sind, um wahr zu sein, ist dies ein Indiz für einen Fake-Shop.“ Bleibt dann auch noch als einzige Bezahlmöglichkeit nur Vorkasse, räte Tulinska, „sofort den Kauf abzubrechen“. Denn dann sei das Risiko zu hoch, dass die bestellte Ware „niemals ankommt“.

Kriterien zur Abschätzung der Seriosität

Ein schlechtes Zeichen sei immer auch ein fehlendes oder unvollständige Impressum sowie mangelnde Angaben zur Erreichbarkeit. In das Impressum gehörten neben der Postadresse auch ein Vertretungsberechtigter sowie eine E-Mail-Adresse und die Handelsregisternummer – deren Echtheit lasse sich unter „handelsregister.de“ prüfen.
Tulinska: „Fehlen dann auch noch die Allgemeinen Geschäftsbedingungen, rate ich in solchen Online-Shops gar nicht erst zu bestellen. Dasselbe gilt, wenn diese offensichtlich zusammenkopiert oder mit einem Übersetzungsprogramm in schlechtes Deutsch übersetzt wurden.“

SSL-Zertifikat als Prüfstein

Laut Tulinska gilt: Egal ob Online-Shop oder Online-Banking – Hände weg von einer Website, wenn sie nicht verschlüsselt ist oder Passwörter, persönliche Daten oder auch die Zahlungsdaten unverschlüsselt übermittelt werden. „Selbst, wenn die Website sicher erscheint, also mittels HTTPS verschlüsselt ist, empfehle ich das Zertifikat genau zu prüfen, indem in der Adresszeile des Browsers das Schloss oder das Feld vor ,https‘ angeklickt wird. Sogleich wird angezeigt, wer Zertifikats- und Domaininhaber ist und welche Zertifizierungsstelle die Identität geprüft hat“, so Tulinska.
Kostenfreie SSL-Zertifikate seien in aller Regel nur domainvalidiert, „das heißt eine Identitätsprüfung des Website-Betreibers fand nicht statt“. Gerade solche Zertifikate würden gern von Fake-Shops genutzt, warnt Tulinska. Tatsächlich machten sich die wenigsten Fake-Shops die Mühe, ein sogenanntes „Extended Validation SSL“-Zertifikat (EV-Zertifikat) anzufordern, da dieses eine genaue Prüfung der Identität des Zertifikatbesitzers durch die Zertifizierungsstelle erfordere.

Gütesiegel überprüfen und Bewertungen kritisch betrachten

Um seriöse Online-Shops auch als solche zu kennzeichnen, seien Gütesiegel entwickelt worden. Um ein solches Siegel zu erhalten, würden Online-Shops auf verschiedene Parameter geprüft, die sich von Siegel zu Siegel unterscheiden könnten. Anstatt jedoch blind auf diese Siegel zu vertrauen, lohne es sich, genauer hinzuschauen, denn Fake-Shops setzten auf frei erfundene Siegel.
„Ein Klick auf das jeweilige Siegel zeigt, ob es echt ist. Wer zum Zertifikat des Siegel-Anbieters weitergeleitet wird, kann sicher sein, dass das Siegel und damit auch der Shop echt sind. Handelt es sich um einen Fake, ist in aller Regel kein Link hinterlegt“, berichtet Tulinska und rät ferner, auch einen Blick auf Kundenbewertungen zu werfen: „Existieren die nur innerhalb des Shops, sind sie ausschließlich positiv oder überschlagen sich Bewerter regelrecht mit Lobeshymnen, ist Vorsicht geboten.“

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 23.07.2019
Verschlüsselung / Fake-Seiten erkennen: Millionen Betrugs-Domains

Gemeinsames Registerportal der Länder
Suchanfrage (normale Suche)

proofpoint
2019 DOMAIN FRAUD REPORT

datensicherheit.de, 25.06.2019
PSW GROUP warnt vor versteckter Malware

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je

[datensicherheit.de, 07.04.2019] Sicherheitsforscher des „Zscaler-ThreatLabZ“ haben nach eigenen Angaben in den letzten Monaten mehrere hundert „WordPress“- und „Joomla“-Sites entdeckt, die „Shade/Troldesh“-Ransomware, „Backdoors“, sowie „Redirectors“ beherbergten und auf unterschiedliche Phishing-Seiten umleiteten. Die durch diese „Content Management Systeme“ (CMS) verbreiteten Bedrohungen basierten auf Schwachstellen, die durch Plugins, Themen und Erweiterungen eingeschleust würden.

Kompromittierte „WordPress“-Sites beruhen auf Versionen 4.8.9 bis 5.1.1.

Die von Zscaler-Forschern entdeckten, kompromittierten „WordPress“-Sites beruhten auf den Versionen 4.8.9 bis 5.1.1. Sie verwenden demnach SSL-Zertifikate, die von den „Automatic Certificate Management Environment“-gesteuerten Zertifizierungsstellen, wie „Let’s Encrypt“, „GlobalSign“, „cPanel“ und „DigiCert“, ausgestellt wurden.
Diese kompromittierten „WordPress“-Seiten könnten veraltete CMS-Plugins/Themen oder serverseitige Software beinhalten, die möglicherweise der Grund für die Kompromittierung sein könnten.

Malware- und Phishing-Seiten vor Administratoren versteckt

Die Angreifer bevorzugten ein bekanntes, aber verstecktes Verzeichnis auf der HTTPS-Website, um Shade-Ransomware- und Phishing-Seiten zu verbreiten. Das versteckte Verzeichnis „/.well-known/“ in einer Website sei ein URI-Präfix für bekannte Standorte, das von der IETF definiert worden sei und häufig verwendet werde, um den Besitz einer Domain nachzuweisen.
Die Administratoren von HTTPS-Websites, die ACME zur Verwaltung von SSL-Zertifikaten verwenden, platzierten ein eindeutiges Token in den Verzeichnissen „/.well-known/acme-challenge/“ oder „/.well-known/pki-validation/“, um der Zertifizierungsstelle (CA) zu zeigen, dass sie die Domain kontrollierten. Die CA sende ihnen einen spezifischen Code für eine HTML-Seite, die sich in diesem speziellen Verzeichnis befinden müsse. Die CA suche dann nach diesem Code, um die Domäne zu validieren. Die Angreifer nutzten diese Orte, um Malware- und Phishing-Seiten vor den Administratoren zu verstecken.

Erscheinungsbild von bekannten Websites nachgeahmt

Diese Taktik sei effektiv, da dieses bereits auf den meisten HTTPS-Sites vorhandene Verzeichnis gut versteckt sei, so dass die Lebensdauer des bösartigen Inhalts auf der infizierten Website verlängert werde. Beispiele für Phishing-Webseiten, die bisher nach Angaben von Zscaler entdeckt wurden, ahmten unter anderem das Erscheinungsbild von „Office 365“, „Microsoft OneDrive“, „Dropbox“, „Yahoo“ und „Gmail“ nach.
„Wie wir an den Beispielen sehen, wird es für den Anwender immer schwieriger zu erkennen, ob er sich noch auf der korrekten Seite oder auf einer nachgemachten Kopie befindet. Eine sichere Alternative zum Aufrufen einer wirklich gewünschten Webseite ist mit einem gewissen Aufwand verbunden, kann sich aber aus Sicht der Internet-Sicherheit auszahlen. Durch Schutzmechanismen innerhalb geeigneter Security-Plattformen, die auch Sandbox-Funktionalität enthalten, kann dieser eigene Schutz wirkungsvoll ergänzt werden“, erläutert Rainer Rehm, „CISO EMEA Central“ bei Zscaler.

Foto: Zscaler

Rainer Rehm: Schutzmechanismen mit Sandbox-Funktionalität!

Abbildung: Zscaler

Beispiel Phishing-Webseite im Yahoo-Stil

Weitere Informationen zum Thema:

zscaler, Mohd Sadique, 26.03.2019
Abuse of hidden “well-known” directory in HTTPS sites / Compromised CMS sites leading to ransomware and phishing pages

datensicherheit.de, 16.03.2019
Zscaler meldet Aufdeckung aktueller Scamming-Kampagnen

datensicherheit.de, 11.03.2019
Warum ein CISO auch als Data Privacy Officer tätig wird

datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

datensicherheit.de, 12.021.2019
Valentinstag am 14. Februar: Wieder droht Love Scam

datensicherheit.de, 28.01.2019
Zscaler: Statement zum Data Privacy Day 2019

[datensicherheit.de, 25.02.2019] McAfee hat am 25. Februar 2019 im Rahmen des „Mobile World Congress“ in Barcelona seinen „Mobile Threat Report“ veröffentlicht – dieser deckt demnach die neusten Erkenntnisse rund um „Mobile Malware“ und Angriffe auf Smartphones auf. So hätten sich Hacker im Laufe von 2018 hauptsächlich durch Hintertüren wie Kryptomining-Malware, Fake-Apps und Banking-Trojaner Zugang zu den Smartphones von Verbrauchern beschafft. Besonders erschreckend sei der rasante Anstieg an gefälschten Apps: Während im Juni 2018 ca. 10.000 Fake-Apps gefunden worden seien, „waren es im Dezember 2018 bereits 65.000“.

2019 entwickelt sich zum „Jahr der überall vorhandenen Malware“

Der neue „Mobile Threat Report“ zeigt nach eigenen Angaben von McAfee auf, „dass 2018 das Jahr der mobilen Malware war“, doch 2019 entwickele sich bereits zum „Jahr der überall vorhandenen Malware“.
Da mobile Plattformen aber auch weiterhin ein Schlüsselziel für Ransomware-Entwickler, Identitätsdiebe und Nationalstaaten seien, „ist nach wie vor Sorgfalt geboten, wenn man Apps installieren oder unbekannten Links folgen möchte“.

„Android“-Geräte: Fake-Apps sehr effektive Methode zur Schädigung

Fake-Apps seien und blieben eine der effektivsten Methoden, um Benutzer dazu zu bringen, schädliche Anwendungen auf „Android“-Geräten zu installieren.
Ein Beispiel: Mit mehr als 200 Millionen Spielern weltweit sei das Videospiel „Fortnite“ ein Riesenerfolg. Auch die mobile App sei von über 60 Millionen Menschen heruntergeladen worden. Daraufhin seien mehrere Fake-Apps entstanden, die vorgegeben hätten, verschiedene Versionen dieses Spiels zu sein.

Banking-Trojaner: Cyber-Kriminelle kreieren neue Angriffsvektoren

Die weltweite Zunahme an Banking-Trojanern setze sich fort und bedrohe Kunden großer internationaler Geldinstitute ebenso wie die kleiner regionaler Banken. Auch hierbei zeigten sich Cyber-Kriminelle innovationsfreudig und kreierten neue Angriffsvektoren:
Diese reichten von SMS-Phishing bis hin zu Anwendungen mit vordergründiger tatsächlicher Funktionalität für den Nutzer, die so bösartigen Code an den Sicherheitschecks in App-Stores wie „Google Play“ vorbeischmuggelten.

Kryptomining: Cyber-Kriminelle schöpfen selbst kostenlos Mehrwert ab

Cyber-Kriminelle seien stets auf der Suche nach Möglichkeiten, den Mehrwert von Kryptomining abzuschöpfen, ohne selbst die Kosten dafür zu tragen.
Nicht nur „Android“-Smartphones seien aufgrund ihrer Verbreitung ein beliebtes Ziel, neue Kryptomining-Malware könne sogar vom Telefon oder „Tablet“ zum „Smart TV“ springen.

Mobilgeräte weiterhin lohnendes Ziel für Spionage

Angriffe wie „Operation RedDawn“, das nordkoreanische Überläufer ins Visier genommen habe, oder das möglicherweise auf israelische Fußballfans abzielende „FoulGoal“ zeigten, dass Mobilgeräte auch weiterhin ein lohnendes Ziel für die Spionageabsichten nationalstaatlicher Akteure seien.

Mobile Hintertüren laden zum Einbruch ein

Smartphones seien heute mit vielen Geräten in den Haushalten der Menschen verbunden und Cyber-Kriminelle suchten immer neue Wege, um darüber digital in unsere Wohnungen einzudringen. „2018 konnten wir beobachten, wie ,TimpDoor‘ zur führenden Familie mobiler Hintertüren heranwuchs und bewies, dass Phishing per SMS noch immer ein wirksames Mittel ist, um Nutzer zur Installation unbekannter Applikationen zu verführen“.
So steigt das Risiko von IoT-Attacken auf das Zuhause durch eine steigende Zahl an Geräten mit jeweils potenziellen Angriffspunkten.

IoT-Geräte: Leichter Zugang für Hacker

So hätten Forscher von McAfee erkannt, dass Cyber-Kriminelle immer öfter auf IoT-Geräte abzielten. Mittlerweile gebe es weltweit unzählige Sprachassistenten, „die oft mit anderen Geräten in der Wohnung verbunden sind – Kontrollleuchten, Thermostate, Türschlösser und vieles mehr“. Mehr Geräte bedeuteten mehr Vernetzung und Komfort für Verbraucher, aber gleichzeitig auch mehr Möglichkeiten für Cyber-Kriminelle, in das Heimnetz einzudringen.
„Die meisten IoT-Geräte werden durch die Ausnutzung rudimentärer Schwachstellen wie schwache Passwörter und unsichere Standardeinstellungen gefährdet“, erläutert Raj Samani, „Chief-Scientist“ bei McAfee. „Cyber-Kriminelle setzen etliche Methoden ein – vom Aufbau von Bot-Netzwerken über den Diebstahl von Bankdaten bis hin zum Klickbetrug – um ihr ultimatives Ziel zu erreichen: Geld.“
Das rasante Wachstum und der breite Zugang zu vernetzten IoT-Geräten erforderten innovative Lösungen, die über traditionelle Anti-Virus-Software hinausgingen, „um sich den Herausforderungen der heutigen digitalen Welt stellen zu können“, ergänzt Gary Davis, „Chief Consumer Security Evangelist“ bei McAfee.

Weitere Informationen zum Thema:

McAfee
McAfee Mobile Threat Report Q1, 2019

datensicherheit.de, 20.02.2019
Check Point Security Report 2019: Cloud und Mobile Deployments schwächste Verbindungen in Unternehmensnetzwerken

[datensicherheit.de, 10.05.2016] Mit schädlicher Software präparierte Websites, Hackerangriffe, Spam- und Phishing-Mails… – im World Wide Web wird es offenbar immer gefährlicher. Das Risiko nehme zu, unfreiwillig sensible Daten preiszugeben oder Endgeräte mit Malware zu infizieren, warnt Maximilian Pohl vom Berliner Startup RelaxInternet.

Im Hintergrund Prüfung auf Virenbefall und Vertrauenswürdigkeit

Unaufmerksames und leichtfertiges Surfen sowie eine mangelnde Ausstattung mit Sicherheitssoftware spielten Hackern und Verbreitern von Viren in die Hände. Schädliche Software lauere in vielen Formen im Netz, erläutert Pohl, von meist harmlosen aber nervigen Toolbars, die den Browser manipulierten über falsche Download-Buttons bis hin zu Hackerangriffen, die den PC lahmlegten oder im schlimmsten Fall für illegale Zwecke entfremdeten.
Der effektivste Schutz gegen Malware seien Programme, die im Hintergrund alle Daten und Websites auf Viren und Vertrauenswürdigkeit prüften. Die „RelaxBox“ aus seinem Hause habe dafür zum Beispiel Module an Bord, die Malware erkennen und den Nutzer davor warnen würden, so Pohl. Außerdem sei eine Firewall integriert, die nur die wirklich zum Surfen benötigten Ports zum Heimnetzwerk des Betreibers zulasse und Angriffe so aktiv erkennen könne.

Professionell gefälschte Websites und Spam-Mails als Problem

Websites für den Umgang mit sensiblen Daten, wie etwa Banking-Portale, sind besonders beliebt für sogenannte Phishing-Angriffe. Daher werden Webseiten erstellt, die dem Original zum Verwechseln ähnlich sehen, um so an die Login-Daten der Nutzer heranzukommen.
Das Problem sei, dass vor einigen Jahren solche Fälschungen noch leicht zu erkennen gewesen seien, sie heute aber „immer professioneller und täuschender“ erschienen. Nachgemachte Seiten seien oft an kleinen Fehlern in der URL-Adresse zu erkennen, erklärt Pohl. Deshalb gelte, dass vor Eingabe der Login-Daten immer die URL überprüft oder besser gleich ein Lesezeichen für die betreffende Seite gesetzt werden sollte – so ließe sich vermeiden, überhaupt erst auf eine falsche Website zu gelangen.
Auch im E-Mail-Postfach landeten täglich unerwünschte Nachrichten, die vom Anbieter häufig schon als Spam herausgefiltert würden. Wenn es doch mal eine Mail schafft, diese Filter zu umgehen, könnten Nutzer eine schädliche Nachricht ggf. daran erkennen: „Fake-Mails fallen manchmal durch eine miserable Rechtschreibung oder seltsame Formatierung auf. Auch ist der Absender häufig eine kryptische oder unbekannte Adresse. Zudem zeigt sich meist beim Scrollen über die angegebenen Links, dass der Link nichts mit dem vermeintlich seriösen Anbieter zu tun hat.“ Solche E-Mails sollte man am besten gleich löschen, zumindest keinesfalls Anhänge herunterladen oder einen Link aus der Nachricht kopieren oder klicken, rät Pohl. Einige Banking-Portale oder Webshops veröffentlichten zudem regelmäßige Warnungen vor Phishing-Mails.

Vorsicht vor falschen Freunden in Sozialen Netzwerken

In Sozialen Netzwerken wie facebook sei nicht jede Freundschaftsanfrage echt. Viele Profile würden nur zu dem Zweck angelegt, Kontakte zu sammeln oder Malware zu verbreiten. Viele Nutzer stuften Soziale Netzwerke als sehr vertrauenswürdige Umgebung ein, weiß Pohl. Aber auch dort gelte, nicht gedankenlos jeden Link zu öffnen und Profile erst sorgfältig zu checken.

[datensicherheit.de, 24.08.2011] Einer der wichtigsten Trends in der ersten Jahreshälfte 2011 sei die erneute Zunahme von Schadsoftware, die vorgibt, eine Antiviren-Software zu sein, letztlich aber dazu diene, die Taschen der Cyber-Kriminellen zu füllen, meldet KASPERSKY lab:
Darüber hinaus sei das Surfen im Web vor allem in einigen Industrienationen und Schwellenländern gefährlich. 87 Prozent der infizierten Webseiten konzentrierten sich auf zehn dieser Länder. Bei lokalen Gefahren auf Anwender-PCs seien lückenhafte Betriebssysteme und Anwendungen das Hauptrisiko. Während Windows sich inzwischen als sehr sicher erweise, sieht der Report Flash-Anwendungen in Adobe- und Java-Software von Oracle in einem kritischen Licht. Der Artikel beschäftigt sich überdies mit der Entwicklung rund um Smartphones, der rechtlichen Situation „Hacktivismus“, Reputationsverlusten und der digitale Währung „Bitcoin“.
Im Gegensatz zum Jahr 2009, als Cyber-Kriminelle versucht hätten, Anwender-Computer auf der ganzen Welt mit fingierter Antiviren-Software zu infizieren, seien die Entwickler von Fake-Antiviren-Programmen nun ausschließlich an Angriffszielen in den Industrienationen und einigen Schwellenländern interessiert – etwa in den USA, Kanada, Großbritannien, Australien und Indien. Dabei seien die Angriffszahlen seit März 2009 um rund 300 Prozent gestiegen. Spezielle Fake-Antiviren-Programme für den „Mac“ erlebten ebenfalls eine Renaissance und zeigten, dass Besitzer von „Apple Macs“ zunehmend unter Beschuss stünden.
Die Hauptinfektionsquelle von Anwender-PCs sei heute das Surfen im Web – und zwar über sogenannte Drive-by-Downloads. Bei den verseuchten Webseiten handele es sich um von Cyber-Kriminellen erstellte Seiten. In gefährdeten Ländern wie Russland, dem Irak und Oman seien 40 bis 60 Prozent der Surfer Webangriffen ausgesetzt. Doch schon bei 40,2 Prozent der Angriffsorte seien die USA zu finden – nicht zuletzt wohl aufgrund der gestiegenen Angriffe durch Fake-Antiviren-Software. Zur Mittelgruppe zählten China (34,8 Prozent), Großbritannien (34,6 Prozent), Spanien (27,4 Prozent), Italien (26,5 Prozent), Frankreich (26,1 Prozent) und schließlich die Niederlande mit 22,3 Prozent. Zu den relativ sicheren Ländern zählten unter anderem die Schweiz (20,9 Prozent), Polen (20,2 Prozent) und Deutschland (19,1 Prozent).
Das Beispiel der Niederlande beweise, dass ein entschlossenes Vorgehen der Polizei gegen Cyber-Kriminalität durchaus helfe – die Zahl der in den Niederlanden gehosteten kriminellen Websites habe nach dem Vorgehen der Polizei gegen Botnetze wie „Rustock“ und „Bredolab“ um über vier Prozentpunkte abgenommen.
Das Hauptinfektionsrisiko im lokalen Bereich gehe von verseuchten Datenträgern wie USB-Sticks aus. Egal, wie der Schädling auf den Computer gelangt sei – einmal eingenistet stelle er eine Gefahr für die gesamte Internet-Gemeinschaft dar. Zwei Faktoren nährten die Infektionsrate von PCs – die Sorglosigkeit der Anwender und die Patch-Politik der Software-Anbieter. So sei Indien derzeit der Spitzenreiter bei sowohl ungeschützten als auch mangelhaft gepatchten Rechnern. Deutschland zählt hingegen mit 9,4 Prozent an infizierten Anwender-PCs nach Japan (8,2 Prozent) zu den am geringsten von lokalen Bedrohungen betroffenen Ländern.

Weitere Informationen zum Thema:

Viruslist.com, 24.08.2011
Malware-Report, zweites Quartal 2011

[datensicherheit.de, 12.08.2011] Der Virenschutzexperte BitDefender warnt aktuelle vor einer neuen Spam-Welle auf facebook:
[datensicherheit.de, 12.08.2011]Die Idee der Betrüger sei zwar nicht neu, aber umso erfolgreicher – seit 8. August 2011 erhalten Tausende facebook-User eine Ködermeldung, wie zum Beispiel „See who viewed your profile“ bzw. auf Deutsch „Willst Du sehen, wer dein Facebook angesehen hat“ o.Ä. In vielen Fällen siege die Neugier leider über die Vorsicht, mit der Folge, dass Datendieben Tür und Tor geöffnet werde. Vielen facebook-Nutzern brenne anscheinend die Frage unter den Nägeln, welche Netzwerker sich für ihr Profil interessieren. Folglich suchten sie nach einer App, die solche Analysen vornimmt, aber eine derartige Analyse-App gebe es definitiv nicht.

Abbildung: BitDefender GmbH, Holzwickede

Spam-Köder als Pinnwand-Eintrag auf facebook

facebook-User, die den Köder schlucken, infizieren ihre Rechner im schlimmsten Fall mit raffinierter Spyware oder Spam-Mails verursachender Malware. Viele Netzwerker verbreiten sogar unbewusst selbst Malware, in dem Glauben, informative Nachrichten, Apps oder Links weiter zu posten. Um facebook-User zu schützen, hat BitDefender die Security-App „safego“ entwickelt. Das kostenfrei herunterladbare Tool schütze dabei nicht nur den Anwender selbst, sondern auch dessen Kontakte. Erst kürzlich sei bei einer safego-Analyse heraus gekommen, dass jeder fünfte facebook-User durch „Newsfeeds“, die ihn über die Aktivitäten seiner Freunde auf dem Laufenden halten, der Gefahr von verseuchten Nachrichten ausgesetzt sei.
Eine statistische Auswertung zeige zudem, dass mehr als 60 Prozent der Attacken von kompromittierten Apps stammten, die Drittanbieter über facebook anbieten. Dabei seien 21,5 Prozent sogenannte „Fake Apps“ mit Funktionen, über die facebook normalerweise nicht verfügt.

Weitere Informationen zum Thema:

facebook
Bitdefender safego / Schutz in sozialen Netzwerken für dich und deine Freunde