Security-Briefing November 2024: Immer mehr Betrug in der Schweiz

Das monatliche Abraxas Security Briefing mit den wichtigsten Cybernews für die Schweizer öffentliche Hand. Diesen Monat im Fokus: Deutlich mehr Betrugsfälle in der Schweiz. Weitere Themen: Behörden werden als Backdoor missbraucht, KI findet Zero-Day-Lücke und iPhone-Update sperrt Polizisten aus.

Von Martin Kupsky · 15. November 2024

Zum E-Gov-Briefing geht es hier entlang!
teaser-img
E-Gov-Briefing November 2024

Das Bundesamt für Cybersicherheit (BACS) hat seinen Halbjahresbericht zur Lage der Cybersicherheit veröffentlicht. Mediales Aufsehen hat dabei vor allem eine Statistik zu Cybervorfällen erregt: Laut Medienmittteilung ist beim BACS in der ersten Jahreshälfte durchschnittlich alle 7.5 Minuten (im Oktober waren es alle 8.5 Minuten) eine Meldung über einen Cybervorfall eingegangen (34'789 Meldungen).

Das entspricht beinahe einer Verdoppelung im Vergleich zum Vorjahr. Ursache hierfür sind insbesondere Betrugsmeldungen, welche mittlerweile rund zwei Drittel der Fälle ausmachen (23'104 Meldungen).

Doch auch weit über die medialen Schlagzeilen hinaus liefert der knapp vierzigseitige Bericht einen Überblick über die Bedrohungstypen und deren Entwicklungen. Im Zentrum stehen die Bereiche Phishing, Schadsoftware, Schwachstellen, Betrug, Störungen (DDoS), Datenvorfällen sowie Cyberspionage.

Zusätzlich zu den Erläuterungen liefert das BACS in jedem Kapitel einige Tipps zur Prävention sowie zum Umgang mit den beschriebenen Bedrohungen. Leser:innen des Abraxas Security Briefings werden dabei viele Themen bekannt vorkommen.

Den vollständigen Bericht ist auf der BACS-Webseite verfügbar (PDF). Alternativ empfiehlt sich das Management-Summary der Medienmitteilung.

Cyberangriffe

Vermeintliche Hilfe entpuppt sich als versteckter Angriff
Die Ransomware-Gruppe «Black Basta» verwendet eine raffinierte Methode, um Unternehmen mit Schadsoftware zu infizieren. Der Angriff beginnt mit dem massenhaften Versand von Spam-E-Mails, die oft Anmeldungen zu Newslettern oder Aufforderungen zum Zurücksetzen von Passwörtern enthalten. Ziel ist es, die Benutzer:innen dazu zu bringen, Hilfe beim Helpdesk zu suchen. In der nächsten Phase geben sich die Angreifer über Microsoft Teams als IT-Mitarbeiter:in aus und versenden gefälschte QR-Codes, die beim Scannen Schadsoftware herunterladen. Diese Strategie nutzt das Vertrauen der Benutzer aus und umgeht Sicherheitswarnungen. Zusätzlich setzen die Angreifer Voice over IP-Anrufe ein, um die Opfer weiter zu täuschen und Fernwartungsprogramme zu installieren.
Die Hintergründe sowie Empfehlungen zur Prävention liefert das BACS in ihrem Wochenrückblick.

Gehackte Behörden werden als Hintertür missbraucht
Das FBI warnt vor einer Zunahme von Betrugsfällen, bei denen Hacker durch gefälschte Notfall-Datenanfragen an Technologieunternehmen private Nutzerdaten wie E-Mails und Telefonnummern stehlen. Diese Angreifer nutzen kompromittierte E-Mail-Adressen von amerikanischen und ausländischen Behörden, um täuschend echte Anfragen zu stellen. Während in der Schweiz keine solchen Fälle medial bekannt geworden sind, ist ein solcher Missbrauch in der Theorie auch in der Schweiz möglich. Mehr dazu

Schweizer Medienlogin One Log erfährt Cyber-Sabotage
Das gemeinsame Login-System fast aller grosser Medienhäuser in der Schweiz ist für einige Tage ausgefallen. Hintergrund ist ein Hack respektive ein Sabotageakt, nach welchem laut diversen Medienberichten auch Backups des Loginsystems verschwunden sind. Während die Abklärungen mit Unterstützung von Behörden noch laufen, ist das Login sowie die Paywalls nun wieder online. Inhaber:innen von einem One Log Konto (u.a. 20 Minuten, Tagesanzeiger, Blick, etc.) werden dazu aufgefordert, ein neues Passwort zu setzen.

Neue Ransomware-Gruppe ist auch in der Schweiz aktiv
Ransomhub, ein neuer Akteur in der Ransomware-Szene, hat seit seinem ersten Auftreten im Februar 2024 erhebliche Erfolge erzielt. Laut einer Analyse von Check Point ist Ransomhub für 19% aller gemeldeten Ransomware-Opfer im September 2024 verantwortlich, wobei fast die Hälfte der Opfer aus den USA kommt. Auch in der Schweiz hat die Gruppe bereits mehrere Unternehmen erfolgreich angegriffen. Vermutungen zufolge stecken unter anderem Personen von Alphv hinter Ransomhub. Die Kriminellen profitierten nun davon, dass die Behörden die vormals dominante Lockbit-Gruppe spürbar geschwächt haben. Mehr dazu

Fake-CAPTCHAs
Betrügerische CAPTCHAs werden von Angreifern genutzt, um Schadsoftware zu verbreiten. Besucher von Webseiten werden auf gefälschte CAPTCHA-Seiten gelockt, oft über kompromittierte legitime Dienste. Durch das Klicken auf „Ich bin kein Roboter“ wird ein bösartiges PowerShell-Skript in die Zwischenablage kopiert. Die Benutzer werden dann verleitet, zur angeblichen Verifikation dieses Skript auszuführen, woraufhin der Computer mit einem Server der Angreifer verbunden und Schadsoftware installiert wird.

Beispielbilder der betrügerischen CAPTCHAs sowie Empfehlungen hält das BACS im Wochenrückblick fest.

Kriminelle verschicken RDP-Files
Wie Microsoft berichtet, wurden diverse Firmen mit Remote-Desktop-Files (RDP) als Mailbeilagen angegriffen. Wird das RDP-File installiert, baut sich eine Remote-Verbindung zu den Angreifern auf. Diese installieren anschliessend Schadsoftware auf dem Rechner, mit welcher Zugangsdaten gestohlen oder weitere Schadsoftware nachgeladen werden kann. Das NCSC empfiehlt, RDP-Files in Mails zu sperren.

Data Breach / Datenschutz

Hochrangige Politiker:innen per Fitness-App Strava getrackt
Erneut kam es zu Berichten, dass hochrangige Politiker per Strava (Lauf-App) getrackt werden können. Auch wenn die Politiker:innen selbst die App nicht verwenden, verraten die aufgezeichneten Trainingsläufe ihrer Bodyguards den jeweiligen Standort der zu beschützenden VIP. In der Vergangenheit haben findige Personen so auch geheime Militärbasen entdeckt. Ähnliche Meldungen gab es zudem auch mit Anwendungen wie Google Maps, welche den Standort von Truppen in Kriegsgebieten über Stau- und Echtzeitdaten ungeplant verrieten. Mehr dazu

Datenverkauf von Temenos Quantum Fabric
In einem Hackerforum werden Daten zum Verkauf angeboten, welche angeblich zu Temenos Quantum Fabric gehören. Das Unternehmen bietet unter anderem Dienste zur Identitätsprüfung und Echtzeit-Messaging für Banken und Grossunternehmen an. Zurzeit führe Temenos Abklärungen durch und ist sich einem Sicherheitsvorfall bewusst. Einschränkungen im Betrieb gab es indes laut Inside-IT nicht.

US-Wähler:innen werden automatisch «gedoxt»
Das Digitalmedium 404-Media berichtet von einer skurrilen Problematik in den USA im Rahmen der nationalen Wahlen. Die Website VoteRef ermöglicht es, detaillierte Wählerinformationen wie Namen, physische Adresse, Alter, Parteizugehörigkeit und Wahlbeteiligung von Personen in den meisten US-Staaten kostenlos abzurufen. Dies betrifft normale Bürger, Prominente wie auch Überlebende häuslicher Gewalt. Dahinter steckt eine rechtsorientierte Interessensgruppe. Während die Wählerverzeichnisse generell öffentlich sind, stellt die digitale Aggregation und vereinfachte Zugänglichkeit dieser Daten ein erhebliches Sicherheits- und Datenschutzrisiko für viele Menschen dar. Zudem werden die Daten auch dazu missbraucht, falsche Informationen auf Social Media zu verbreiten.

Hintergrund

Hinter den Kulissen der grossen Hacker-Organisationen
Die Branche der Cyberkriminellen professionalisiert sich ständig. Moderne Unternehmensstrukturen, Arbeitsteilung und Ransom-as-a-Service sind seit einiger Zeit Realität. Nach Recherchen von 404 Media berichten nun mehrere Medien über die Strukturen, welche hinter einigen der grössten Hacks der letzten Zeit stecken. Eine verständliche Übersicht über die Recherche liefert die Aufarbeitung von Wired.

Schweizer Verwaltungen investieren zunehmend in IT-Sicherheit
In den vergangenen Wochen gab es diverse Meldungen rund um geplante Investitionen für bessere Cyber Security bei Behörden. Parallel zur Digitalisierung verstehen immer mehr IT-Verantwortliche, welche Relevanz die proaktive Prävention und Vorbereitung auf Cybervorfälle besitzt. Die Stadtverwaltung Luzern möchte so beispielsweise mehr als zehn Millionen Franken in interne und externe Cyber Security-Fähigkeiten investieren. Mehr dazu

KI als Sicherheitsforscher genutzt
Seit einigen Jahren wird darüber diskutiert, wie KI zum Finden (und Patchen) von Sicherheitslücken verwendet werden kann. Während sich das Feld ständig weiterentwickelt, hat zuletzt eine KI von Google einen Erfolg gefeiert: Sleep LLM hat eine zuvor unbekannte Lücke (Zero Day) in SQLite entdeckt, welche effektiv hätte missbraucht werden können. Die Lücke ist insbesondere deshalb interessant, weil sie mit bestehenden technischen Hilfsmitteln nur deutlich schwerer hätte gefunden werden können. Mehr dazu

Apple schützt iPhones vor Kriminellen – und der Polizei
Diverse Behörden beobachteten mit Verwunderung, dass sich festgestellte iPhones nach einiger Zeit plötzlich neu starteten. Dies stellt insofern ein Problem dar, als dass sich die Smartphones nach einem Neustart in einem gesicherten Modus befinden, welcher sich nur deutlich schwerer knacken lässt. Diese Erschwerung betrifft sowohl die Arbeit krimineller Hacker wie auch die von polizeilichen Behörden. Wie einige Sicherheitsforscher auf Mastodon geteilt haben, scheint es sich bei diesen Neustarts um ein neues und nicht kommuniziertes Sicherheitsfeature in iOS 18.1 zu handeln. Mehr dazu

Testen Sie jetzt Ihre Cybersicherheit
Kostenloser Abraxas Security-Check

Schwachstellen

Zur verbesserten Sichtbarkeit von ausserordentlichen Schwachstellen werden Sicherheitslücken von Standardsoftware (z.B. Windows oder iOS) mit wöchentlichen bis monatlichen Updates gesammelt dargestellt.

Adobe
Diverse Anwenderprodukte von Adobe erhalten sicherheitsrelevante Updates. Betroffen sind unter anderem Adobe Photoshop, Illustrator, InDesign und After Effects. Die aktuellen Releases sowie Patch-Informationen teilt der Hersteller auf der Security Incident Response Team Seite.

Nvidia
Bei den Grafiktreibern von Nvidia wurden gleich mehrere Lücken geschlossen. Diese hätten unter anderem die Ausweitung der Rechte auf Windows und Linux ermöglicht. Patches stehen für die betroffenen Produkte bereit. Eine Übersicht über alle betroffenen Produkte sowie den gepatchten Treiberversionen liefert der Artikel von Heise.

Atlassian
Der Hersteller von Jira, Confluence und Bitbucket hat im Oktober gleich mehrere Lücken für seine Produkte geschlossen. Diese ermöglichten unter anderem unbefugten Zugriff auf Daten sowie Denial-of-Service-Angriffe. Patches stehen auf der Atlassian-Update-Seite bereit.

HP DesignJet
Zwei Druckermodelle von HP sind mit veralteter Firmware angreifbar. Dank dem Fehler können Angreifer sonst unzugängliche SMTP-Server-Zugangsdaten einsehen. Betroffen sind die HP DesignJet-Modelle T730 und T830. Mehr dazu

Veritas Netbackup
Der Netbackup-Hersteller Veritas warnt vor einer Sicherheitslücke, über welche bösartige DLL (Dynamic Link Libraries) geladen werden können. Betroffen sind die Primary- und Mediaserver sowie Clients von Netbackup. Patches sowie eine alternative, temporäre Gegenmassnahme werden angeboten.

Cisco
Im November behebt Cisco gleich eine Reihe an «kritischen» bis «mittleren» Sicherheitslücken. Betroffen ist unter anderem die Unified Industrial Wireless Software, welche mit einem CVSS-Rating von 10 als kritisch gilt (CVE-2024-20418). Mehr dazu

Zoom
Soeben wurden Patches für den Zoom Room Client veröffentlicht. Betroffen waren unter anderem Clients für alle gängigen Betriebssysteme (Windows, macOS, Linux, iOS, Android). Angreifer hätten so ihre Nutzerrechte erweitern können. Zurzeit sind keine Fälle von aktiver Ausnutzung der Lücke bekannt. Mehr dazu

Fortinet und Ivanti
Auch die Hersteller Fortinet und Ivanti haben wie gewohnt in diesem Monat Sicherheitslücken geschlossen. Die mit «hoch» (Fortinet) respektive «kritisch» (Ivanti) bewerteten Lücken sollten alle von der aktuellen Version abgedeckt sein. Da die Produkte der beiden Anbieter besonders häufig angegriffen werden, wird eine schnelle Aktualisierung empfohlen.


Betriebssysteme
Für alle grossen Betriebssysteme gab es im November sicherheitsrelevante Updates. Eine Übersicht kann beim Update Guide von Microsoft respektive der Security Release Page von Apple gefunden werden:

Browser
Analog wurden mehrere Sicherheitslücken für Chrome, Firefox und Safari gepatcht. Hinweise zu den jeweiligen Updates können basierend auf dem Release-Channel auf der jeweiligen Herstellerseite gefunden werden.

Martin Kupsky

Über Martin Kupsky

Martin Kupsky ist freier Autor für das Abraxas Magazin und schreibt an der Schnittstelle zwischen Wirtschaft und Technik. Er besitzt einen Bachelor in Betriebswirtschaftslehre und studiert Business Innovation sowie digitale Kommunikation und Journalismus an der Universität St. Gallen.