SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 23.05.2013
Nummer: NL-T13/0011

Die Themen dieses Newsletters:
1. mTAN-Trojaner: Aufforderung zur Installation einer App kommt per SMS
2. Gefälschte Buchungsbestätigungen: Trojanische Pferde im Namen der Deutschen Bahn
3. Gefährliche Post: Gefälschte Telekomrechnungen verbreiten Schadsoftware
4. Gestopft: Update für Sicherheitslücke im IE8
5. Erpressungs-Schadsoftware: Antivirensoftware beseitigt auch verbotene Dateien
6. End of Life: Ubuntu stellt Support für drei Versionen ein
7. Adobe, Microsoft, Mozilla: Zahlreiche Sicherheitslücken gestopft
8. Polizeiliche Kriminalstatistik 2012: Zunahme der Cyberkriminalität
9. Spam im Frühjahr 2013: Kaspersky Lab meldet rekordverdächtigen Spam-Rückgang

EDITORIAL
Guten Tag,

wieder einmal haben wir es schwarz auf weiß: Die Zahl der Straftaten, die
mit Hilfe moderner Informations- und Kommunikationstechnik begangen
werden, steigt immer weiter. Die aktuelle Polizeiliche Kriminalstatistik
weist einen Anstieg um 7,5 Prozent auf fast 64.000 Fälle in 2012 aus –
von einer hohen Dunkelziffer darf zusätzlich ausgegangen werden. Vor
diesem Hintergrund verwundern auch die weiteren Meldungen der Woche
nicht: Ob per SMS oder Mail – Trojaner verstecken sich wieder zu Hauf in
gefälschten Rechnungen, Buchungsbestätigungen und vermeintlichen
Banknachrichten.
Neben einer gesunden Portion Skepsis sollten Internetnutzer daher vor
allem auf einen aktuellen Antivirenschutz achten und prüfen, ob Updates
für die von ihnen verwendete Software vorliegen. Mozilla, Adobe und
Microsoft haben mit ihren aktuellen Patchdays im Mai zahlreiche
Sicherheitslücken in ihren Produkten geschlossen.

Dies und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
globalen Netz wünscht Ihnen
Ihr BUERGER-CERT-Team

STÖRENFRIEDE
1. mTAN-Trojaner: Aufforderung zur Installation einer App kommt per SMS

Ein mTAN-Trojaner verunsichert erneut Nutzer des mobilen TAN-Service.
Laut einer Meldung von
heise.de http://www.heise.de/-1858695.html enthalten die
gefälschten Banknachrichten den Hinweis, das die Nutzung des mTAN-Service
nur noch mit einer Zertifikat-App möglich sei, die unter einem
angegebenen Link heruntergeladen werden müsse. Dahinter versteckt sich
jedoch ein Trojaner für Android Smartphones, der die mTANS abfangen soll.

Die Schadsoftware selbst ist zwar nicht neu. Jedoch ist es laut heise.de
den Angreifern offensichtlich in vielen Fällen gelungen, sowohl die
korrekten Namen als auch die Handynummern der Opfer herauszubekommen,
sodass die Betrüger mit der gefälschten Nachricht ein hohes Maß an
Authentizität vorgaukeln können.

Nutzer sollten wie üblich wachsam sein, wenn Sie vermeintliche
Nachrichten Ihrer Bank erhalten. Der wichtigste Schutz vor der
Schadsoftware besteht darin, das Installieren von Apps aus unbekannten
Quellen zu unterbinden. Dies ist bei Android-Smartphones voreingestellt
und sollte nicht verändert werden. Nutzer sollten stutzig werden, wenn
Sie in Nachrichten oder auf Webseiten dazu aufgefordert werden, die
Installation von Apps aus unbekannten Quellen zuzulassen – dahinter
stecken oft die Betrüger selbst.

2. Gefälschte Buchungsbestätigungen: Trojanische Pferde im Namen der
Deutschen Bahn

Zurzeit sind gefälschte E-Mails mit Buchungsbestätigungen für Bahnreisen
im Umlauf, die Schadsoftware für Windows-Systeme verbreiten. Als Absender
wird die Deutsche Bahn angegeben. Im Anhang der Mails befindet sich ein
Zip-Archiv, das eine als PDF-Datei getarnte ausführbare Datei (.exe)
enthält. Wenn der Nutzer diese anklickt, wird die Schadsoftware auf dem
Rechner installiert. Bei der Malware handele es sich um einen Trojaner,
der derzeit nur von sehr wenigen Virenscannern erkannt werde, berichtet
Eleven Security http://www.eleven-securityblog.de/2013/05/gefalschte-bahn-buchungsbestatigungen-verbreiten-virus/
Die Deutsche Bahn http://www.bahn.de/p/view/hinweis_datensicherheit.shtml weißt darauf
hin, dass sie Buchungsbestätigungen ausschließlich unmittelbar nach der
Buchung versendet und empfiehlt, die in der Buchungsrückschau genannte
Auftragsnummer mit der im Betreff der E-Mail genannten Auftragsnummer zu
vergleichen. Alle Kunden, die gefälschte E-Mails erhalten haben, sollten
diese sofort ungeöffnet löschen.

3. Gefährliche Post: Gefälschte Telekomrechnungen verbreiten
Schadsoftware

Auch gefälschte Telefonrechnungen verbreiten derzeit Schadsoftware wie
heise.de http://heise.de/-1864889 berichtet. Die
vermeintlichen Rechnungen der Telekom sind sowohl grafisch als auch
inhaltlich nur schwer vom Original zu unterscheiden. Der Betreff lautet
beispielsweise "RechungOnline Monat April 2013" und entspricht damit
genau den Mails, die die Telekom als ihre Aprilrechnungen versendet hat.
Im Zip-Archiv in der Anlage der Mail verbirgt sich eine als pdf getarnte
ausführbare Datei mit der Endung pdf.exe. Nutzer sollten ihre Mails und
die Anhänge besonders kritisch prüfen und auf den Virenschutz achten –
aktuelle Antivirensoftware erkenne den Trojaner bereits, schreibt die
Telekom http://www.t-online.de/computer/sicherheit/id_63436606/vorsicht-trojaner-in-gefaelschter-telekom-rechnung.html.
Das Unternehmen erklärt, die aktuellen Angriffe seine daran zu erkennen,
dass im Betreff der Mail die individuelle Buchungskontonummer fehle.
Außerdem befinde sich ein Punkt vor dem @ der Absender-Adresse:
"rechnungonline.@telekom.de".

SCHUTZMASSNAHMEN
4. Gestopft: Update für Sicherheitslücke im IE8

In der letzten Ausgabe des Newsletters haben wir auf eine ungeschützte
Schwachstelle im Internet Explorer 8 hingewiesen. Mittlerweile hat
Microsoft https://technet.microsoft.com/de-de/security/bulletin/ms13-038 ein
entsprechendes Sicherheitsupdate herausgebracht, das die gemeldete
Sicherheitsanfälligkeit behebt. Das BSI empfiehlt Nutzern des Internet
Explorer 8 das Update sofort einzuspielen, denn die Sicherheitslücke wird
aktiv ausgenutzt. Die Installation der Sicherheitsupdates geschieht für
Windows Systeme am einfachsten über die Aktivierung von automatischen
Updates im Microsoft Sicherheitscenter oder über einen Besuch der
“Windows Update"-Webseite
http://www.windowsupdate.com/.

Bleibt die Schwachstelle ungepatcht, könnten Online-Kriminelle Schadcode
ausführen, wenn der Nutzer eine präparierte Webseite besucht. Ein
Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann
die gleichen Benutzerrechte wie der aktuelle Benutzer erlangen. Dieses
Beispiel zeigt einmal mehr, dass es sinnvoll ist, nicht mit
Administratorrechten im Internet zu surfen, sondern ein eigenes
Benutzerkonto mit eingeschränkten Rechten für alle Nutzer einzurichten.
So können Angreifer weniger Schaden anrichten. Mehr Informationen dazu
finden Sie bei BSI für Bürger
https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/BenutzerkontenNetzwerk/PCMehrfachnutzung/mehrfachnutzung.html

5. Erpressungs-Schadsoftware: Antivirensoftware beseitigt auch verbotene
Dateien

Weiterhin ist die Erpressungs-Schadsoftware aktiv, die – vermeintlich im
Namen des Bundeskriminalamts oder anderer Institutionen – Windows-PCs
befällt, sperrt und den Nutzer zu einer Geldzahlung auffordert. Aktuelle
Versionen der Schadsoftware laden unter anderem Bilder mit
Kinderpornographie auf den Rechner der Opfer. Bisher konnte es trotz
einer Reinigung des PCs mit einer Antivirensoftware häufig passieren,
dass die Dateien auf dem PC verbleiben. Da deren Besitz strafbar ist,
haben einige Hersteller von Antivirensoftware reagiert und erkennen und
löschen diesen Dateien jetzt ebenfalls.
Das BSI hat dazu Hersteller von Antivirensoftware kontaktiert, die zum
Teil schnell reagiert und entsprechende Signaturen bereit gestellt haben.
heise.de [http://heise.de/-1862799] führt in einem Artikel
die zur Verfügung stehenden Antivirenprodukte auf.

6. End of Life: Ubuntu stellt Support für drei Versionen ein

Das Ubuntu-Projekt https://wiki.ubuntu.com/Releases#Stable
hat die Wartung von drei Distributionen eingestellt. Darunter fallen die
Versionen Ubuntu 11.10, Ubuntu 10.04 Desktop und Ubuntu 8.04. Sie haben
nun den Status "End-of-Life" (EOL) erreicht und erhalten keine
Korrekturen für Sicherheitslücken oder schwerwiegende Fehler mehr. Nutzer
haben aber die Möglichkeit, auf neuere, weiterhin gepflegte Versionen von
Ubuntu umzusteigen.

7. Adobe, Microsoft, Mozilla: Zahlreiche Sicherheitslücken gestopft

Adobe hat anlässlich seines Mai-Patchdays http://www.adobe.com/support/security/bulletins/apsb13-14.html nicht nur diverse kritische Schwachstellen in Adobe Reader, Acrobat und Flash
geschlossen, sondern auch einen wichtigen Hotfix für ColdFusion 9 bis 10
herausgegeben. Er dichtet ein Sicherheitsloch ab, durch das bereits
etliche Server kompromittiert wurden.

Auch bei Microsoft http://technet.microsoft.com/de-de/security/bulletin/ms13-may
ist der Mai-Patchday umfangreich ausgefallen: Das Unternehmen gab zehn
Patch-Pakete (Bulletins) heraus, die insgesamt 33 Sicherheitslöcher
abdichten sollen. Kritische Lücken beheben zwei der Bulletins, allesamt
im Internet Explorer. Darüber hinaus gab es unter anderem Patches für
sämtliche Windows-Versionen, Office und die Windows Essentials.

Auch Mozilla https://www.mozilla.org/security/known-vulnerabilities/
hat zahlreiche Schwachstellen in Firefox und Thunderbird geschlossen.
Neben einigen kritischen, befindet sich darunter auch eine Lücke im
Mozilla Maintenance Service für Windows, die zu einer Rechteausweitung
führen kann. Würde es einer Malware gelingen, im Kontext des angemeldeten
Benutzers ausgeführt zu werden, könnte sie so an Systemrechte gelangen.

PRISMA
8. Polizeiliche Kriminalstatistik 2012: Zunahme der Cyberkriminalität

Zunehmend beschäftigt die Cyberkriminalität die Polizeien des Bundes und
der Länder. Gemeint sind Straftaten, die unter Ausnutzung moderner
Informations- und Kommunikationstechnik begangen werden, indem etwa Daten
ausgespäht und abgefangen werden oder indem mit einer Schadsoftware Daten
verändert oder Computer beschädigt werden. 2012 sind solche Delikte im
Vergleich zum Vorjahr um 7,5 Prozent auf 63.959 Fälle angestiegen,
berichtet das Bundesministerium des Innern http://www.bmi.bund.de/SharedDocs/Pressemitteilungen/DE/2013/05/pks.html
Es gebe darüber hinaus vermutlich ein erhebliches Dunkelfeld. "Die
Bedrohungslagen werden vielfältiger und es steigen die Schadenssummen.
Cyberkriminalität ist ein flexibler und anonymer Deliktsbereich. Darauf
muss die Sicherheitspolitik reagieren. Hier dürfen wir in unseren
Anstrengungen nicht nachlassen," betonte Bundesinnenminister Friedrich.
Besonders stark angestiegen sind 2012 die Fälle im Bereich
Datenveränderung/ Computersabotage. Hier stieg die Zahl der registrierten
Fälle um 133 Prozent von 4644 in 2011 auf 10.857 in 2012.

9. Spam im Frühjahr 2013: Kaspersky Lab meldet rekordverdächtigen
Spam-Rückgang

Kaspersky Lab hat für das erste Quartal 2013 einen signifikanten Rückgang
des Spam-Aufkommens gemeldet. Laut dem
Kaspersky-Spam-Report
http://www.securelist.com/en/analysis/204792291/Spam_in_Q1_2013 betrug
der Spam-Anteil 66,5 Prozent. Das entspricht einem Rückgang von über zehn
Prozentpunkten im Vergleich zum ersten Quartal des Vorjahres, als der
Spam-Anteil am gesamten Mail-Traffic bei 76,6 Prozent lag. Auch im
Vergleich zum Jahresdurchschnitt 2012 sank der Spam-Anteil im Zeitraum
Januar bis März 2013 immerhin um 5,6 Prozentpunkte.

Allerdings erhalten deutsche Nutzer im weltweiten Vergleich nach den USA
nach wie vor den gefährlichsten Spam. 11,2 Prozent der Mails enthalten
schädliche Anhänge oder gefährliche Links auf infizierte Webseiten.
Dieser Wert entspricht im Vergleich zum ersten Quartal des Vorjahres
(5,79 Prozent) fast einer Verdoppelung. Damit liegt Deutschland in dieser
Kategorie (hinter den USA mit 13,2 Prozent) auf dem zweiten Platz – vor
Italien, Indien und Australien.

Auch das BSI bestätigt den Trend, dass das Spam-Aufkommen stetig zurück
geht. Allerdings lässt sich zugleich beobachten, dass die Spam-Mails
immer schwieriger als solche zu erkennen sind. Fehlerfreie Sprache und
personalisierte Anrede lassen im Gegensatz zu früher viele Spam-Mails
erstaunlich echt wirken.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de