IT-Sicherheit Der perfekte Köder: Cyberkriminelle nutzen die Corona-Panik
Experten raten zu einem besonders vorsichtigen Umgang mit E-Mails und Websites unbekannter Herkunft.
Düsseldorf Wie schlimm ist die Lage wirklich? Eine Website verspricht, Infektionen mit dem Coronavirus in Echtzeit anzuzeigen, auch in Deutschland. Wer darauf klickt, öffnet jedoch nicht nur eine Karte, sondern lädt gleichzeitig im Hintergrund ein Schnüffelprogramm herunter. Das – so zeigt eine Analyse der Firma Reason Cybersecurity – liest heimlich Informationen aus dem Browser aus, beispielsweise die besuchten Webseiten und Passwörter.
Je mehr sich das Coronavirus verbreitet, desto größer ist das Bedürfnis nach Informationen. Das nutzen Cyberkriminelle und Spione aus: Es gebe mehrere Akteure, „die Dokumente zum Thema Covid-19 als Köder verbreitet haben, um Opfer in einer Vielzahl von Regionen und Branchen ins Visier zu nehmen“, warnt beispielsweise die IT-Sicherheitsfirma FireEye. Dazu zählen neben Cyberkriminellen auch Hacker im Staatsauftrag. Auch andere Spezialisten beobachten eine Zunahme.
Auf Unternehmen und Privatnutzer in Deutschland scheinen diese Nachrichten bislang noch nicht zugeschnitten zu sein. Die massenhaft verbreiteten E-Mails und Websites sind nach Berichten verschiedener IT-Sicherheitsdienstleister größtenteils in englischer Sprache verfasst.
Auch gezielte Cyberangriffe mit Bezug auf das Coronavirus seien hierzulande bislang nicht festzustellen, erklärte das Bundesamt für Sicherheit in der Informationstechnik (BSI) gegenüber dem Handelsblatt. Eine „massive Verschärfung der Sicherheitslage“ sei deswegen bislang nicht zu beobachten.
Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.
Das ist indes eine Momentaufnahme: Die Aktivitäten dürften in nächster Zeit zunehmen, warnt der amerikanische Softwarehersteller Malwarebytes – zum Beispiel, weil deutlich mehr Beschäftigte im Homeoffice arbeiten. Er rät daher zu einem besonders achtsamen Umgang mit E-Mails und Websites unbekannter Herkunft.
Klickträchtige Betreffzeilen
Dass Cyberkriminelle die Angst vor dem Coronavirus ausnutzen wollen, verwundert wenig. E-Mails sind für sie das wichtigste Werkzeug, um in IT-Systeme einzudringen – daher bemühen sie sich um klickträchtige Betreffzeilen und Anhänge.
Aktuelle Ereignisse seien grundsätzlich geeignet, um die Glaubwürdigkeit von Spam-Mails zu erhöhen, erklärt das BSI. „Das reicht von jahreszeitlich bedingten Themen wie Weihnachtsgrüßen über gefälschte Einladungen zu aktuellen Konferenzen bis hin zu Themen aus den aktuellen Nachrichten.“
Die Coronaepidemie ist in dieser Hinsicht besonders geeignet: Sie habe, so das BSI, die Besonderheit, „eine hohe Aufmerksamkeit gerade bei Regierungsbehörden zu genießen, über einen längeren Zeitraum relevant zu bleiben und für viele Weltregionen wichtig zu sein.“
Die Webseiten sind präpariert, um Besuchern schädliche Software unterzuschieben oder sie zur Preisgabe von Informationen zu bewegen.
Wie die Kriminellen und Schnüffler vorgehen, zeigen einige Beispiele. So kursieren verschiedene Dokumente, die angeblich Informationen zum Schutz vor dem Coronavirus enthalten – Texte in Word- und PDF-Dateien, aber auch Audioaufnahmen im MP4-Format.
Dahinter verbergen sich jedoch schädliche Programme. Diese stehlen beispielsweise Informationen oder verschlüsseln wichtige Dateien, um von den Nutzern anschließend Lösegeld zu erpressen – die derzeit vermutlich lukrativste Betrugsmasche im Internet.
Diese Erpressungssoftware, im Fachjargon Ransomware genannt, bezieht sich neuerdings sogar explizit auf die Pandemie: „Coronavirus is there. All your files are crypted“, schreiben Täter in einer Mitteilung, die Opfer in schlechtem Englisch dazu auffordert, ein Lösegeld in Bitcoins an eine Adresse zu überweisen. Zudem wird der Name des Laufwerks in „Coronavirus“ umbenannt.
Diverse Webseiten, die das Virus in irgendeiner Form im Namen tragen, versprechen ebenfalls Informationen über die Krankheit, beispielsweise eine Karte mit Infektionen unter coronavirus-map.com. Sie sind präpariert, um Besuchern schädliche Software unterzuschieben oder sie zur Preisgabe von Informationen zu bewegen.
Informationen über das neuartige Virus dienen als Köder, und auch Nutzer in Deutschland beißen an,
Das amerikanische Cybersicherheitsunternehmen Recorded Future hat festgestellt, dass jüngst zahlreiche Adressen mit Bezug zu Corona registriert worden sind und möglicherweise in den kommenden Wochen für kriminelle Aktivitäten genutzt werden.
Es ist ein typisches Vorgehen im digitalen Untergrund: Die Akteure nutzen aktuelle Anlässe, um bekannte Software neu zu verbreiten, meist per E-Mail oder über manipulierte Webseiten. Es sei zu beobachten, „dass die Gruppen ihre gewohnten Ziele angreifen und ihre etablierten Angriffstechniken verwenden“, erklärt das BSI. Auch wenn Aufmerksamkeit angebracht ist: Eine grundsätzlich neue Lage ergibt sich zumindest nicht.
Informationen über das neuartige Virus dienen als Köder, und auch Nutzer in Deutschland beißen an – wenngleich noch nicht so viele. „Wir sehen noch keine schädliche Software in deutscher Sprache, aber auf deutschen Rechnern“, sagt Karsten Hahn, Virenanalyst beim Bochumer IT-Sicherheitsunternehmen G-Data Cyber Defense. Das sei im Moment allerdings bei Weitem nicht der Hauptteil der Infektionen.
„Deutscher Markt ist groß“
In den kommenden Wochen dürfte indes deutlich mehr schädliche Software mit Bezug zum Coronavirus in den E-Mail-Postfächern ankommen: Hahn erwartet, dass immer mehr Gruppen auf den Trend aufspringen – Spezialisten identifizieren diese anhand von Schadsoftware-Familien mit großen Ähnlichkeiten, die auf die Urheber schließen lassen. Auch eine App, die auf Android-Smartphones vertrauliche Daten ausspioniert, ist bereits im Umlauf.
Mit Nachrichten auf Deutsch ist über kurz oder lang ebenfalls zu rechnen. „Der deutschsprachige Markt ist groß, daher werden englischsprachige Kampagnen häufig lokalisiert“, sagt Niklas Hellemann. Er ist Chef der Firma So Safe, die eine Schulungsplattform für IT-Sicherheit betreibt und dafür die Trends bei schädlicher Software analysiert. „Da wir noch am Anfang der Pandemie stehen, ist wahrscheinlich, dass noch einiges passiert.“
Mehr: Konferieren ohne Corona-Angst – wie Homeoffice gelingen kann
Das Kommentieren dieses Artikels wurde deaktiviert.