Cyberschwindler tarnen Malware als Sicherheitsupdate

Wer eine Benachrichtigung über ein Sicherheitsupdate erhält, sollte rasch handeln - aber dennoch vorsichtig bleiben. Diese Lehre lässt sich aus einem Vorfall ziehen, den das Nationale Zentrum für Cybersicherheit (NCSC) in seinem aktuellen Wochenrückblick schildert. Im Beitrag lobt die Behörde, dass viele Nutzerinnen und Nutzer das rasche Einspielen von Sicherheitsupdates ernst nehmen und auf entsprechende Benachrichtigungen sehr sensibel reagieren.

Allerdings nutzen Cyberkriminelle diese gestiegene Awareness aus. In einem vom NCSC präsentierten Beispiel schickten Cyberkriminelle ihrem Opfer eine personalisierte E-Mail. Diese enthielt nicht nur den korrekten Vor- und Nachnamen des Opfers, sondern auch eine zu seinem Unternehmen passende Story: Es sei eine Sicherheitsverletzung detektiert worden, verschiedene Server der Firma seien mit Schadsoftware infiziert und Zahlungsinformationen und Vermögenswerte könnten dadurch gestohlen werden. Die Mail endete mit der Aufforderung, auf einen Link zu klicken, das dort angebotene "Update" zu installieren und so die Daten des Unternehmens zu schützen.

Abgeflossene Daten ausgenutzt

Doch in Wahrheit beseitigte das vermeintliche Update keine Malware, sondern installierte diese. Die Geschichte in der E-Mail über den angeblichen Sicherheitsvorfall war frei erfunden, wie das NCSC klarstellt.

Die Hacker gaben sich jedoch Mühe, ihren Schwindel nicht auffliegen zu lassen. So boten sie ihre Schadsoftware auf einer Domain an, deren Name sich nur in einem Buchstaben von der Domain der legitimen Software unterscheidet.

Und auch ihr Opfer wählten die Cyberbetrüger offenbar nicht willkürlich aus, wie das NCSC schreibt. Das betroffene Unternehmen habe vor einiger Zeit einen Datenabfluss zu verzeichnen gehabt. Dabei seien zwar keine sensiblen Daten wie Passwörter, sehr wohl aber Namen und E-Mail-Adressen abgeflossen. Daten, die die Cyberkriminellen jetzt nutzen konnten, um ihrer Malware-Kampagne glaubwürdiger zu machen.

"Für Unternehmen, die Kenntnis von einem Datenabfluss haben, ist es deshalb sehr wichtig, Kundinnen und Kunden zeitnah über einen Datenabfluss zu informieren, auch wenn keine sensiblen Daten darunter sind", schreibt das NCSC. Zudem rät die Behörde Nutzerinnen und Nutzern, von Zeit zu Zeit zu überprüfen, ob Daten zu ihren E-Mail-Adressen im Internet abgeflossen sind. Einen solchen Service bietet etwa iBarry an.

Um nicht auf solche Update-Betrügereien hereinzufallen, hält das NCSC fünf Empfehlungen bereit:

• Auch wenn Sicherheits-Updates wichtig sind, sollte man sich nicht überrumpeln lassen. Nehmen Sie sich Zeit und überprüfen Sie die Internet-Adresse, von der das Update heruntergeladen werden soll.

• Installieren Sie keine Software, welche Sie über einen Link in einer E-Mail geöffnet haben. Geben Sie die Adresse (URL) des offiziellen Anbieters manuell in der Adresszeile Ihres Browsers ein. Fragen Sie im Zweifelsfall beim Anbieter nach.

• Laden Sie Updates nur von der Herstellerseite herunter.

• Auch personalisierte E-Mails können bösartig sein. Fragen Sie im Zweifelsfall beim Anbieter nach.

• Aktivieren Sie, falls vorhanden, die automatische Update-Funktion.

Anfang Mai berichtete das NCSC von einem Schwindel mit einem Deepfake-Video. Darin macht ein vermeintlicher Elon Musk Werbung für einen "Give Away"-Betrug. Die Aktion liess bei den Gaunern gehörig die Kasse klingeln, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.