{"id":17403,"date":"2018-08-02T10:05:12","date_gmt":"2018-08-02T08:05:12","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=17403"},"modified":"2018-09-18T14:45:56","modified_gmt":"2018-09-18T12:45:56","slug":"industrial-financial-phishing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/industrial-financial-phishing\/17403\/","title":{"rendered":"Industrieunternehmen von Finanzbetrug betroffen"},"content":{"rendered":"

Unsere Forscher haben eine weitere Phishing<\/a>-Kampagne entdeckt, die es darauf abgesehen hat, Geld von Firmenkonten zu stehlen. Diesmal griffen die Kriminellen vor allem Produktionsunternehmen an. Normalerweise sind Angriffe auf solche Unternehmen mit Cyberspionage oder Sabotage verbunden. Nicht aber in diesem Fall \u2013 es scheint, als habe sich eine Gruppe Cyberkrimineller lediglich daran erinnert, dass derartige Unternehmen \u00fcber jede Menge Geld verf\u00fcgen.\"\"<\/a><\/p>\n

Gutes altes Phishing<\/strong><\/h2>\n

Diese Angriffe werden nicht mithilfe ausgefallener Tools durchgef\u00fchrt, sondern mit dem Einsatz standardm\u00e4\u00dfiger Phishing-Methoden: Schadsoftware wird \u00fcber E-Mails verteilt, die als kommerzielle Angebote und andere Finanzdokumente getarnt sind.<\/p>\n

Das charakteristische Unterscheidungsmerkmal dieser Angriffe ist das hohe Vorbereitungsniveau, denn die Betr\u00fcger adressieren einen spezifischen Mitarbeiter mit Vor- und Nachnamen und kennen die Unternehmensposition dieser Person sowie den allgemeinen Unternehmensfokus. Dar\u00fcber hinaus sehen alle Informationen \u00fcber die Quelle des Angebots auf den ersten Blick vollkommen legitim aus.<\/p>\n

In einigen F\u00e4llen f\u00fcgen die Phisher den E-Mails b\u00f6sartige Anh\u00e4nge hinzu, in anderen F\u00e4llen wiederum, senden sie Links zu sch\u00e4dlichen Websites. Eines haben aber alle E-Mails gemeinsam: Sie veranlassen das Opfer, Tools herunterzuladen, die von den Hackern zu ihrem eigenen Nutzen verwendet werden. So wurde beispielsweise mindestens einem Empf\u00e4nger mitgeteilt, dass sein Unternehmen f\u00fcr die Teilnahme an einer \u00f6ffentlichen Ausschreibung ausgew\u00e4hlt wurde. F\u00fcr die Teilnahme musste der Mitarbeiter die legitime Anwendung Seldon 1.7 installieren. Zwar enthielt der E-Mail-Anhang tats\u00e4chlich eine archivierte Ausf\u00fchrungsdatei der Software, auf dem Ger\u00e4t wurde allerdings gleichzeitig auch Malware installiert.<\/p>\n

Eine weitere E-Mail enthielt eine sch\u00e4dliche PDF-Datei in Form eines Zahlungsauftrags f\u00fcr einen Autoverkauf. Die Nachricht wurde sehr detailliert verfasst und enthielt reale Firmennamen mit echten Steuernummern sowie eine Fahrgestellnummer, die dem angegebenen Modell auch tats\u00e4chlich entsprach.<\/p>\n

Hacker nutzten Remote-Verwaltungstools, um Zugriff auf Unternehmenskonten zu erhalten und Geld zu stehlen.<\/p>Tweet<\/a><\/blockquote>\n

Legitime Software<\/strong><\/h3>\n

Die Kriminellen nutzten f\u00fcr ihre Angriffe legitime Remote-Verwaltungsanwendungen \u2013 entweder TeamViewer oder Remote-Manipulator-System (RMS). Diese Programme wurden verwendet, um Zugriff auf das Ger\u00e4t zu erhalten, und dann nach Informationen \u00fcber aktuelle Eink\u00e4ufe sowie Finanz- und Buchhaltungssoftware zu suchen. Die Angreifer benutzten dann verschiedene Betrugsmaschen, um das Geld des Unternehmens zu stehlen; beispielsweise indem sie die Bankdaten ersetzten.<\/p>\n

Um m\u00f6glichst lange auf das System zugreifen zu k\u00f6nnen, verwenden die Hacker verschiedene Methoden, um verd\u00e4chtige Informationen sowohl vor den Besitzern der Ger\u00e4te als auch vor Sicherheitsl\u00f6sungen zu verbergen.<\/p>\n

Zus\u00e4tzliches Arsenal<\/strong><\/h3>\n

Wenn n\u00f6tig, werden zus\u00e4tzliche Tools auf das kompromittierte Ger\u00e4t geladen, um zum Beispiel \u00fcbergeordnete Berechtigungen zu erhalten und zus\u00e4tzliche Informationen zu sammeln. Diese Anwendungen k\u00f6nnen Daten stehlen (von Anmeldeinformationen bis hin zu jeder auf dem Ger\u00e4t gespeicherten Datei), Screenshots erstellen, Videos vom Bildschirm machen, das Geschehen im B\u00fcro \u00fcber das Mikrofon des Ger\u00e4ts abh\u00f6ren, Anmeldedaten von anderen Ger\u00e4ten im lokalen Netzwerk sammeln, usw.<\/p>\n

Auf diese Weise sind die Kriminellen theoretisch in der Lage, deutlich mehr als nur die Gesellschaftsmittel zu stehlen. Sie k\u00f6nnen beispielsweise vertrauliche Informationen \u00fcber das Unternehmen, die Kunden und Partner entwenden, Mitarbeiter ausspionieren, Audio- und Videoaufzeichnungen von allem, was auf und um den infizierten Computer herum passiert, machen, oder ein kompromittiertes System f\u00fcr weitere Angriffe verwenden.<\/p>\n

Wer l\u00e4uft Gefahr?<\/strong><\/h3>\n

Momentan haben Kriminelle bereits versucht, etwa 800 Computer zu infizieren, die zu mindestens 400 Unternehmen verschiedener Branchen geh\u00f6ren: Produktion, \u00d6l und Gas, Metallurgie, Engineering, Energie, Bauwesen, Bergbau und Logistik. Die Phishing-Kampagne ist seit Oktober 2017 aktiv.<\/p>\n

So k\u00f6nnen Sie sich sch\u00fctzen<\/strong><\/h3>\n

Diese Phishing-Kampagne zeigt erneut, dass selbst legitime Tools gef\u00e4hrlich sein k\u00f6nnen und auch die besten Schutzl\u00f6sungen vollkommen nutzlos sind, wenn selbst erfahrene Mitarbeiter einem sorgf\u00e4ltig durchdachten Phishing-Angriff\u00a0zum Opfer fallen. Um Ihr Unternehmen zu sch\u00fctzen, empfehlen wir Folgendes:<\/p>\n