Fiktiver Virenfund treibt Unternehmen in die Arme von Cyberkriminellen

Schadensbeispiele

Heute stellen wir Ihnen ein besonders tückisches und gleichzeitig beliebtes Angriffsmuster Cyberkrimineller vor: Die Scareware. Anhand eines aktuellen Beispiels eines Perseus-Versicherungsnehmers bringt unser Cyberexpertenteam Licht ins Dunkel und erklärt Schritt für Schritt, was die Scareware ausmacht und wie sich Unternehmen schützen können. Darüber hinaus lesen Sie, wie Scareware-Angriffe erkannt, verhindert und erfolgreich abgewehrt werden können.

Das ist passiert

Einem Perseus Versicherungsnehmer wurde auf seinem Bildschirm eine Warnung angezeigt, die besagte, dass seine Systeme infiziert seien und aus Sicherheitsgründen gesperrt wurden. Ihm wurde eine Telefonnummer angezeigt, über welche er augenscheinlich den Kunden-Support von Microsoft erreichen könne, um den Vorfall zu beheben.

Der Versicherungsnehmer rief die Nummer an und ein Mitarbeitender des “Microsoft-Kundendienstes” stellte eine Verbindung zum System her. Anschließend wurde dem Kunden für den Aufwand eine Rechnung im dreistelligen Bereich gestellt. Ihm wurde daraufhin bewusst, dass es sich bei dem Vorgang um einen Betrugsversuch handelte und meldete diesen seiner Versicherung. Das System wurde vollständig zurückgesetzt und wiederhergestellt – dennoch ereignete sich der Vorfall ca. 8 Wochen später erneut.

Das wurde unternommen

Der betroffene Kunde wandte sich daraufhin an das Incident Response Management Team von Perseus. Die Perseus-Experten führten eine Ursachenanalyse sowie eine Triage des Sachverhalts durch, um weiteren Schaden zu verhindern. Über eine Remote-Sitzung wurde nach Indikatoren für eine System-Kompromittierung oder Malware gesucht.

Analysen der Browsing-Aktivitäten ergaben, dass der Nutzende nicht unternehmensbezogene Webseiten besuchte. Eine dieser Webseiten aktivierte eine Schnittstelle, die dem Microsoft Defender zum Verwechseln ähnlich sah, aber Schadsoftware war. So konnte festgestellt werden, dass der Kunde einem Angriff mit Scareware zum Opfer gefallen war. Anschließend wurden die Links, die zu der Webseite führten, in einer sicheren Umgebung unter die Lupe genommen.  Zum Zeitpunkt der Untersuchung waren diese allerdings bereits offline.

Das Perseus-Expertenteam bereinigte die Systeme des Kunden und konnte Schlimmeres verhindern.

Das ist Scareware im Detail

Das vorliegende Angriffsmuster wird in der Fachsprache als Scareware bezeichnet, da Cyberkriminelle durch fiktive Virenfunde versuchen, ihren Opfern Angst einzujagen. Nutzern werden gefälschte Warnmeldungen über Sperrungen ihrer Systeme angezeigt, die sie in Panik versetzen und zu fahrlässigen Handlungen animieren. Zu diesem Zweck werden in der Regel gefälschte Webseiten eingerichtet, auf die die Zielpersonen geleitet werden (Watering-Hole-Angriff) oder es werden Schwachstellen in regulären Webseiten ausgenutzt, um die Nachrichten zu verbreiten.

Die eigentliche Infektion der Systeme findet jedoch während der vermeintlichen Bereinigung statt. Die Zielpersonen der Cyberkriminellen rufen die in der Warnung angezeigte Notfallnummer an und werden unmittelbar mit den Bedrohungsakteuren verbunden. Hier geben sie sensible Informationen weiter oder laden unwissentlich Malware herunter, die von den Kriminellen als Systembereinigungsdienste ausgegeben werden. Darüber hinaus wird den Opfern der angebliche Service in Rechnung gestellt.

So können Sie sich schützen

Die Scareware kann Ihnen in Ihrem Arbeits- aber auch privaten Alltag an vielen Stellen begegnen. Grundsätzlich sind Sie der Gefahr am stärksten ausgesetzt, wenn Sie im Internet auf Webseiten surfen, die Sie nicht kennen. Aber auch durch Sicherheitslücken in zuvor installierten Programmen kann es zu einer Verbreitung von Scareware kommen.

Um Ihr Unternehmen zu schützen, empfiehlt es sich, Richtlinien zu implementieren, die die private Nutzung eines betrieblichen Rechners regulieren. So kann verhindert werden, dass nicht-autorisierte Webseiten besucht werden, die das Risiko erhöhen. Grundsätzlich ist die Schulung der Mitarbeitenden im richtigen Umgang mit Gefahren aus dem Internet die beste Cyberabwehr.

Für zusätzlichen technischen Schutz empfiehlt es sich, einen Script-Blocker zu installieren. Script-Blocker sind Sicherheitskomponenten, die in Ihren Browser eingebaut werden und dafür sorgen, dass Inhalte nur von Seiten ausgeführt werden, denen Sie vertrauen. Bösartige und schädliche Codes können so blockiert werden.

Sollten Sie den Verdacht haben, dass Sie von Scare-oder aber Malware betroffen sind, ist es essentiell, dass Sie Screenshots von dem Vorfall machen. Die Bildschirmfotos können Cyberforensiker dabei unterstützen, Ihren Vorfall schnell aufzuklären. Für ein nicht geschultes Auge ist es fast unmöglich, das eine vom anderen zu unterscheiden.

Rufen Sie keinesfalls Notfalldienste an, die Sie nicht kennen. Sobald Sie Dritten Zugang zu Ihren Systemen verschaffen – und das in diesem Fall willentlich – können Ihre Systeme infiltriert und verschlüsselt werden, sowie Ihre Daten abgegriffen werden.

Unsere 24/7 Notfallhotline steht den Kundinnen und Kunden von Perseus jederzeit zur Verfügung. Wenden Sie sich an unsere Cyberfachexperten bei einem Vorfall – und auch schon bei einem Verdachtsfall. Wir helfen Ihnen gerne.

Weitere Informationen zum Cybernotfall-Management von Perseus finden Sie hier.

Wir nehmen Datenschutz ernst.

Wir nutzen Cookies, um Ihnen bestmögliche Funktionalitäten bieten zu können und Informationen zu erhalten, um die Webseite hinsichtlich Inhalt, Reichweite, Performance und Sicherheit ständig zu verbessern.

Essentielle Cookies (1)

Essentielle Cookies ermöglichen grundlegende Funktionen und sind daher für den reibungslosen Ablauf der Webseite notwendig, aus diesem Grund ist eine einzelne Deaktivierung nicht möglich. Sie werden ausschließlich von uns genutzt. Für die Nutzung von essentiellen Cookies ist Ihre Einwilligung nicht erforderlich.

Technische Cookies (1)

  • Google Tag Manager
    ?

    Der Google Tag Manager dient der Verwaltung von Webseiten-Tags. Er erfasst und verarbeitet keine personenbezogenen Daten. Allerdings kann er andere Cookies auslösen, die diese unter Umständen verarbeiten. Wir nutzen ihn für Cookie-Management. Über ihn wird die Einwilligung zum setzen von Cookies eingeholt und verwaltet.

    • Cookie-Namen:
      gtm, gtm_auth, gtm_debug, gtm_preview, eng_mt, trctestcookie
    • Ablaufdatum:
      2 Jahre, Sitzung, Sitzung, Sitzung, fortdauernd, Sitzung
    • Unternehmen:
      Google Ireland Ltd.

Funktionale Cookies (3)

Funktionale Cookies setzen wir ein, um personalisierte Daten, wie z.B. Ihre Sprachpräferenz anonymisiert zu speichern und so beim nächsten Mal automatisch wieder aufzurufen. Funktionale Cookies können außerdem dazu genutzt werden, angeforderte Funktionen wie das Abspielen von Videos zu ermöglichen. Die Daten werden nicht an Dritte weitergegeben und verfolgen nicht Ihre Bewegung auf anderen Internetseiten.

Darstellung (1)

  • Vimeo
    ?

    Mit Hilfe des Vimeo-Cookies können Sie die Erklärvideos auf unserer Webseite sehen.

    • Cookie-Namen:
      vuid
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Vimeo LLC

Kommunikation (2)

  • Freshworks Webforms
    ?

    Mit Hilfe des Cloudflare-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      _cfduid
    • Ablaufdatum:
      30 Tage
    • Unternehmen:
      Cloudflare, Inc. im Formular von Freshworks, Inc.
  • SendInBlue
    ?

    Mit Hilfe des sib-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      sib_cuid
    • Ablaufdatum:
      6 Monate
    • Unternehmen:
      Sendinblue

Analysen und Statistiken (3)

Statistik-Cookies erfassen Informationen pseudonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher die Webseite nutzen, zum Beispiel welche Seiten besonders häufig geklickt werden. Dadurch können wir unsere Inhalte und Funktionen an ihre Interessen anpassen. Bei Deaktivierung können Probleme mit einzelnen Funktionalitäten der Webseite auftreten.

Analytische Cookies (3)

  • Google Analytics / Google Analytics Audiences
    ?

    Google Analytics: Die Cookies von Google Analytics liefern uns durch statistische Auswertungen Informationen zur optimalen Gestaltung der Webseite für unsere Kunden. Google Analytics Audiences: Cookies von Google für Zielgruppen-Analyse. Dient der Gruppierung von Benutzern auf der Grundlage einer beliebigen Kombination von Attributen.

    • Cookie-Namen:
      _ga, _gat, _gid, ads/ga-audiences
    • Ablaufdatum:
      2 Jahre, 1 Tag, 1 Tag, Sitzung
    • Unternehmen:
      Google Ireland Ltd.
  • Google Optimize / Double Click
    ?

    Mit Google Optimize-Cookies können wir die Nutzererfahrung auf unserer Webseite verbessern.

    • Cookie-Namen:
      _gat
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Google Irland Ltd.
  • Hotjar
    ?

    Cookies von Hotjar für Webseiten-Analyse. Damit lassen sich die Bewegungen der Nutzer unserer Internetseite anonymisiert nachvollziehen (sog. Heatmaps) zur Verbesserung ihrer Bedienungsfreundlichkeit.

    • Cookie-Namen:
      _hjid, _hjid, _hjIncludedInSampl, _hjViewportId, _hjRecordingEnabled, _hjRecordingLastActivity, _hjTLDTest
    • Ablaufdatum:
      1 Jahr, fortdauernd, Sitzung, Sitzung, Sitzung, Sitzung, Sitzung
    • Unternehmen:
      Hotjar Ltd.

Marketing- und sonstige Third-Party-Cookies (2)

Cookies für Marketing und Cookies von Dritten (Third-Party-Cookies) werden bei uns genutzt, um den Erfolg von Marketingmaßnahmen messen zu können z.B. ob man eine Webseite besucht hat. Sie können auch dazu dienen, diese im Anschluss entsprechend zu steuern z.B. die Häufigkeit einer angezeigten Anzeige zu limitieren. Es ist möglich, dass diese Information mit Dritten, wie z.B. Werbetreibenden, geteilt wird. Häufig werden diese Cookies auch mit Seitenfunktionalitäten von Dritten verbunden.

Social Media (1)

  • Facebook Connect/ Facebook Pixel
    ?

    Durch den Einsatz des Facebook Pixels können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine Facebook-Anzeige angesehen oder angeklickt haben. Facebook kann die Daten für die zielgerichtete Ausspielung von Werbeanzeigen nutzen.

    • Cookie-Namen:
      _fbp, fr, tr
    • Ablaufdatum:
      3 Monate, 3 Monate, Sitzung
    • Unternehmen:
      Facebook Ireland Ltd.

Personalisierte Werbung (1)

  • LinkedIn Marketing Solutions/LinkedIn Ads
    ?

    Durch den Einsatz der LinkedIn Marketinglösung-Cookies können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine LinkedIn-Anzeige angesehen oder angeklickt haben.

    • Cookie-Namen:
      lang (2x), bcookie, bscookie, lidc, UserMatchHistory
    • Ablaufdatum:
      Sitzung, 2 Jahre, 2 Jahre, 1 Tag, 29 Tage
    • Unternehmen:
      LinkedIn Ireland Unlimited