Heute stellen wir Ihnen ein besonders tückisches und gleichzeitig beliebtes Angriffsmuster Cyberkrimineller vor: Die Scareware. Anhand eines aktuellen Beispiels eines Perseus-Versicherungsnehmers bringt unser Cyberexpertenteam Licht ins Dunkel und erklärt Schritt für Schritt, was die Scareware ausmacht und wie sich Unternehmen schützen können. Darüber hinaus lesen Sie, wie Scareware-Angriffe erkannt, verhindert und erfolgreich abgewehrt werden können.
Das ist passiert
Einem Perseus Versicherungsnehmer wurde auf seinem Bildschirm eine Warnung angezeigt, die besagte, dass seine Systeme infiziert seien und aus Sicherheitsgründen gesperrt wurden. Ihm wurde eine Telefonnummer angezeigt, über welche er augenscheinlich den Kunden-Support von Microsoft erreichen könne, um den Vorfall zu beheben.
Der Versicherungsnehmer rief die Nummer an und ein Mitarbeitender des “Microsoft-Kundendienstes” stellte eine Verbindung zum System her. Anschließend wurde dem Kunden für den Aufwand eine Rechnung im dreistelligen Bereich gestellt. Ihm wurde daraufhin bewusst, dass es sich bei dem Vorgang um einen Betrugsversuch handelte und meldete diesen seiner Versicherung. Das System wurde vollständig zurückgesetzt und wiederhergestellt – dennoch ereignete sich der Vorfall ca. 8 Wochen später erneut.
Das wurde unternommen
Der betroffene Kunde wandte sich daraufhin an das Incident Response Management Team von Perseus. Die Perseus-Experten führten eine Ursachenanalyse sowie eine Triage des Sachverhalts durch, um weiteren Schaden zu verhindern. Über eine Remote-Sitzung wurde nach Indikatoren für eine System-Kompromittierung oder Malware gesucht.
Analysen der Browsing-Aktivitäten ergaben, dass der Nutzende nicht unternehmensbezogene Webseiten besuchte. Eine dieser Webseiten aktivierte eine Schnittstelle, die dem Microsoft Defender zum Verwechseln ähnlich sah, aber Schadsoftware war. So konnte festgestellt werden, dass der Kunde einem Angriff mit Scareware zum Opfer gefallen war. Anschließend wurden die Links, die zu der Webseite führten, in einer sicheren Umgebung unter die Lupe genommen. Zum Zeitpunkt der Untersuchung waren diese allerdings bereits offline.
Das Perseus-Expertenteam bereinigte die Systeme des Kunden und konnte Schlimmeres verhindern.
Das ist Scareware im Detail
Das vorliegende Angriffsmuster wird in der Fachsprache als Scareware bezeichnet, da Cyberkriminelle durch fiktive Virenfunde versuchen, ihren Opfern Angst einzujagen. Nutzern werden gefälschte Warnmeldungen über Sperrungen ihrer Systeme angezeigt, die sie in Panik versetzen und zu fahrlässigen Handlungen animieren. Zu diesem Zweck werden in der Regel gefälschte Webseiten eingerichtet, auf die die Zielpersonen geleitet werden (Watering-Hole-Angriff) oder es werden Schwachstellen in regulären Webseiten ausgenutzt, um die Nachrichten zu verbreiten.
Die eigentliche Infektion der Systeme findet jedoch während der vermeintlichen Bereinigung statt. Die Zielpersonen der Cyberkriminellen rufen die in der Warnung angezeigte Notfallnummer an und werden unmittelbar mit den Bedrohungsakteuren verbunden. Hier geben sie sensible Informationen weiter oder laden unwissentlich Malware herunter, die von den Kriminellen als Systembereinigungsdienste ausgegeben werden. Darüber hinaus wird den Opfern der angebliche Service in Rechnung gestellt.
So können Sie sich schützen
Die Scareware kann Ihnen in Ihrem Arbeits- aber auch privaten Alltag an vielen Stellen begegnen. Grundsätzlich sind Sie der Gefahr am stärksten ausgesetzt, wenn Sie im Internet auf Webseiten surfen, die Sie nicht kennen. Aber auch durch Sicherheitslücken in zuvor installierten Programmen kann es zu einer Verbreitung von Scareware kommen.
Um Ihr Unternehmen zu schützen, empfiehlt es sich, Richtlinien zu implementieren, die die private Nutzung eines betrieblichen Rechners regulieren. So kann verhindert werden, dass nicht-autorisierte Webseiten besucht werden, die das Risiko erhöhen. Grundsätzlich ist die Schulung der Mitarbeitenden im richtigen Umgang mit Gefahren aus dem Internet die beste Cyberabwehr.
Für zusätzlichen technischen Schutz empfiehlt es sich, einen Script-Blocker zu installieren. Script-Blocker sind Sicherheitskomponenten, die in Ihren Browser eingebaut werden und dafür sorgen, dass Inhalte nur von Seiten ausgeführt werden, denen Sie vertrauen. Bösartige und schädliche Codes können so blockiert werden.
Sollten Sie den Verdacht haben, dass Sie von Scare-oder aber Malware betroffen sind, ist es essentiell, dass Sie Screenshots von dem Vorfall machen. Die Bildschirmfotos können Cyberforensiker dabei unterstützen, Ihren Vorfall schnell aufzuklären. Für ein nicht geschultes Auge ist es fast unmöglich, das eine vom anderen zu unterscheiden.
Rufen Sie keinesfalls Notfalldienste an, die Sie nicht kennen. Sobald Sie Dritten Zugang zu Ihren Systemen verschaffen – und das in diesem Fall willentlich – können Ihre Systeme infiltriert und verschlüsselt werden, sowie Ihre Daten abgegriffen werden.
Unsere 24/7 Notfallhotline steht den Kundinnen und Kunden von Perseus jederzeit zur Verfügung. Wenden Sie sich an unsere Cyberfachexperten bei einem Vorfall – und auch schon bei einem Verdachtsfall. Wir helfen Ihnen gerne.
Weitere Informationen zum Cybernotfall-Management von Perseus finden Sie hier.