Novalnet warnt vor gefälschten E-Mails

Die Novalnet AG warnt derzeit vor betrügerischen E-Mails, die Unbekannte im Namen des Zahlungsdienstleisters aus Ismaning verschicken. Im Dateianhang der Rechnungs-Mails befindet sich eine zip-verpackte Exe-Datei, in der sich höchstwahrscheinlich schadenverursachende Software verbirgt. Die Novalnet AG rät Empfängern, den Anhang auf keinen Fall zu öffnen und die E-Mail bestenfalls ungelesen zu löschen. Das Unternehmen hat bereits rechtliche Schritte eingeleitet. Gefälschte Rechnungen sind eine von Kriminellen weit verbreitete Methode, um Schadsoftware zu verbreiten.

Ein mutmaßlicher Trojaner versucht derzeit, als unbezahlte Rechnung getarnt, Fuß auf den Rechnern argloser Computer-Nutzer zu fassen. In gefälschten E-Mails, die einen Anhang mit Zip-Datei enthalten, wird behauptet, der Empfänger habe eine Rechnung nicht bezahlt. Als Absender dieser gefälschten E-Mails werden diverse Adressen mit den Domains @novalnet.de und @novalnet.com angegeben.

Die Novalnet AG hat erklärt, dass sie nicht Urheber dieser E-Mails ist und sich davon strikt distanziert. Diese werden auch nicht vom Mailserver der Novalnet AG, sondern von einem fremden Mailserver versandt. Das Unternehmen hat bereits sämtliche Schritte unternommen, um den Missbrauch des Namens der Novalnet AG strafrechtlich zu ahnden. Der offensive Umgang mit dem Namensmissbrauch ergibt sich nicht zuletzt aus einem befürchteten Imageschaden. Ein solcher Missbrauch kann zur Folge haben, dass eine Vielzahl von Betroffenen sich bei Verbraucherzentralen, Foren, Blogs etc. über das ebenso betroffene Unternehmen beschweren, dessen Name missbräuchlich verwendet wurde.

Daten stammen nicht von Novalnet

In den gefälschten E-Mails werden auch Namen und Adressen der angesprochenen Personen genannt. Die Novalnet AG hat nach eingehender Prüfung erklärt, dass diese Daten eindeutig nicht aus dem Datenbestand von Novalnet, sondern mutmaßlich aus dem Darknet stammen. Dies ergibt sich unter anderem daraus, dass die betroffenen Personen bisher mit Novalnet nicht in Berührung gekommen sind und daher ihre Daten bei Novalnet nicht gespeichert waren oder sind. Auch die Systeme der Novalnet AG haben sich bei einer eingehenden Überprüfung als vollkommen sicher erwiesen.

Woran erkennen Sie die gefälschte E-Mail?

Im Betreff oder Text der E-Mail ist meist von Novalnet GmbH, Novalnet KG o.ä. die Rede, manchmal auch von Novalnet AG. Nach der Grußformel ist meist eine Firma Novalnet mit von E-Mail zu E-Mail unterschiedlichen Orten genannt. Die echte Novalnet AG hat ihren Sitz in Ismaning bei München. Auch ein in der Geschäftswelt übliches Impressum ist nicht angegeben. Die Novalnet AG jedoch verschickt immer ein solches Impressum.

Der Anhang der E-Mail enthält in der zip.-Datei eine ausführbare Datei (*.exe), welche den eigentlichen Schadcode enthält. Diese darf auf keinen Fall geöffnet werden. Jedoch verschickt die Novalnet AG niemals E-Mails mit angehängter .zip- oder .exe-Datei.

Was können Sie tun, wenn Sie eine gefälschte Rechnungs-E-Mail bekommen haben?

Als Erstes sollten Sie nach den oben genannten Kriterien prüfen, ob es sich um eine gefälschte E-Mail handelt. Öffnen Sie auf keinen Fall den Anhang, wie z.B. die .zip-Datei. Generell empfiehlt Novalnet bei sämtlichen E-Mails, die ungewöhnlich wirken, vorsichtig zu sein.

Was können Sie tun, wenn Sie den E-Mail-Anhang geöffnet haben?

Sollten Sie den Anhang doch geöffnet haben, überprüfen Sie bitte Ihren Rechner sofort mithilfe eines zuverlässigen Virenscanners nach eventuell vorhandener Schadsoftware und löschen Sie diese.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Cold Boot: Totgeglaubte leben länger

Ein verschlüsseltes Laufwerk ist eine übliche und logische Maßnahme, um Daten vor unbefugtem Zugriff zu schützen. Nun haben jedoch Sicherheitsforscher von F-Secure eine eigentlich sehr alte Methode entdeckt, diese Verschlüsselung auszuhebeln. Zuvor war die Branche davon ausgegangen, dass ein solcher Angriff seit rund zehn Jahren nicht mehr möglich sei. Doch das war offenbar ein Irrtum. Und das Schlimmste: Es funktioniert bei fast jedem Computer!

Basis des neuen Angriffs ist eine altbekannte Technik namens Cold Boot. Dabei wird der Rechner abrupt abgeschaltet, beispielsweise indem man den Stecker zieht. Beim Neustart wird dann ein USB-Stick mit Schadcode genutzt, um die Daten im Arbeitsspeicher des Rechners auszulesen. Daraus wiederum lassen sich die kryptografischen Codes für den Rest der Festplatte ableiten. Vor zehn Jahren haben die Hersteller dem jedoch einen Riegel vorgeschoben und den Arbeitsspeicher besser abgesichert. Dabei setzt das Betriebssystem einen Marker, dass im Arbeitsspeicher noch Daten vorliegen. Wird der Rechner normal heruntergefahren, wird dieser Marker zusammen mit den Daten im Arbeitsspeicher gelöscht. Falls nicht, bleibt er bestehen und signalisiert dem System, dass es erst die Daten löschen muss, bevor weitere Aktionen durchgeführt werden.

Dementsprechend ist die Attacke auch nicht mehr ganz so einfach durchzuführen wie damals und erfordert etwas größere Eingriffe in die Hardware. Zuallererst mussten die Forscher den Marker umgehen. Dabei fiel ihnen ein Problem auf: Wenn sie sich direkt mit dem Chip verbanden, der die Firmware des Computers und damit auch den Marker beherbergt, konnten sie diesen unbemerkt löschen. Dadurch nahm der Computer beim nächsten Neustart an, dass er zuvor korrekt heruntergefahren wurde und dass keine weiteren Daten mehr im Arbeitsspeicher gelöscht werden müssen. Und egal welche Daten der Arbeitsspeicher enthält, die Verschlüsselungscodes für den Rest der Festplatte sind immer darunter. Nachdem die Forscher ihre Angriffsmethode entwickelt hatten, testeten sie sie erfolgreich an den verschiedensten Computermodellen.

Genau da liegt auch die Gefahr: Der neue, erweiterte Cold-Boot-Angriff funktioniert, wie bereits erwähnt, eigentlich bei jedem Computer – und stellt damit eine potenzielle Gefahrenquelle für jeden Besitzer dar! Zwar braucht man direkten physischen Zugriff auf die Hardware, gerade bei Industriespionage kann das Ergebnis den Aufwand jedoch durchaus wert sein. Ebenfalls kritisch: Nutzen viele Computer in einem Netzwerk die gleichen Verschlüsselungsalgorithmen, können über einen einzigen Rechner das ganze Netzwerk und der Server kompromittiert werden. Es gibt jedoch auch Möglichkeiten, um sich zu schützen, beispielsweise indem man ein zusätzliches Verschlüsselungstool nutzt, das ein Kennwort abfragt, bevor auch nur das Betriebssystem hochfährt. So wird verhindert, dass im Arbeitsspeicher etwas Stehlenswertes zurückbleibt.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Google entdeckt Sicherheitslücke im eigenen Haus

Googles hauseigenen Sicherheitsforscher von Project Zero sind mittlerweile bekannt dafür, immer wieder gravierende Sicherheitslücken in den unterschiedlichsten Soft- und Hardwareprodukten zu entdecken. Dabei machen sie auch vor ihrem eigenen Arbeitgeber nicht halt. Auf einer Sicherheitskonferenz stellte David Tomaschik kürzlich eine physische Sicherheitslücke an Googles smartem Zugangssystem zur Zentrale in Sunnyvale vor, die jedoch noch weit mehr Unternehmen betreffen dürfte.

In der Google-Zentrale kommt ein Sicherheitssystem des Unternehmens Software House zum Einsatz. Mitarbeiter erhalten personalisierte Schlüsselkarten, die mittels RFID mit den Türschlössern und der dahinterstehenden Software kommunizieren. Damit werden Türen geöffnet und es wird protokolliert, wer wann welche Zugänge bedient hat. Die dabei übertragenen Daten werden verschlüsselt über das interne Netzwerk verbreitet. Diese Datenströme hat sich Tomaschik genauer angesehen und festgestellt, dass sie nicht randomisiert werden. Außerdem stolperte er über einen fest kodierten Verschlüsselungscode, der scheinbar in allen Geräten von Software House steckt. Diesen konnte er vervielfältigen und damit das Sicherheitssystem in Sunnyvale kapern. Getestet hat er das in seinem eigenen Büro. Er verschickte einen speziell entwickelten Schadcode über Googles Netzwerk und tatsächlich wechselten die Lichter an seinem Türschloss von Rot zu Grün. Selbst mit einer der RFID-Zugangskarten ließ sich Tomaschiks Kontrolle nicht umgehen.

Das Problem bei den Produkten von Software House: Außer dem Verschlüsselungscode gibt es keine weitere Authentifizierung der Signale, wodurch sich die Zugangskarten kompromittieren lassen. So könnten sich Angreifer ohne Weiteres Zugang zu Unternehmensräumen, Akten oder Labors verschaffen. Auch Industriespionage durch einen Insider wäre denkbar, denn die Zugangsprotokolle zu den einzelnen Räumen lassen sich ja auch umgehen. Und es gibt ein weiteres Problem. Die Sicherheitslücke betrifft nicht nur Googles Zentrale, sondern auch die anderen Kunden von Software House. Und zu allem Überfluss lässt sie sich in vielen Fällen nicht so einfach durch ein Update beheben, da ältere Versionen nicht über ausreichend Speicherplatz verfügen, um neue Firmware aufzuspielen. Das würde neue Hardware voraussetzen und immensen Aufwand bedeuten. Daher ist davon auszugehen, dass Software House das angekündigte Update zur Fehlerbehebung nur für neuere Modelle bereitstellen wird.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Faxgeräte: Alte Technik als Sicherheitsrisiko

Das gute alte Fax hat ausgedient, möchte man meinen. Schließlich gibt es E-Mails und Scanner, mit denen sich Dokumente genauso einfach verbreiten lassen. Trotzdem verfügen die meisten Büros und Behörden weiterhin über eine Faxnummer und setzen diese zumindest für einige Vorgänge auch weiterhin ein. Oft verbirgt sich die altmodische Technik in den großen Multifunktionsdruckern mit Scanner und Kopierer. Diese sind bekannterweise bereits seit einigen Jahren im Fokus von Hackern, da sie eine gute Angriffsfläche bieten, sowohl eine Verbindung zum Firmennetzwerk als auch zum Internet haben, und in vielen Fällen nur unzureichend geschützt sind. Um Angriffe aus dem Netz zu verhindern, lassen sich jedoch Maßnahmen ergreifen, beispielsweise durch eine Authentifizierung für die Auftragsfreigabe.

Nun haben Sicherheitsforscher von Check Point eine weitere Möglichkeit gefunden, über solche Multifunktionsgeräte ein Netzwerk zu infiltrieren: Das Fax, an das wohl kaum jemand denkt, wenn es um Cybersicherheit geht. Dabei ist der Gedanke gar nicht so abwegig, aus verschiedenen Gründen: Zum einen weil die Protokolle beim Versand und beim Empfang in den letzten Jahrzehnten kaum oder gar nicht geändert wurden und zum anderen, weil es seit der Erfindung des Fax nur einen sehr ungenauen Industriestandard für diese Protokolle gibt, der dazu geführt hat, das er in vielen Geräten nur unzureichend eingehalten wurde. Als dritter Faktor kommt hinzu, dass Faxe nie verschlüsselt übertragen werden. Wer also die Telefonleitung anzapfen kann, kann auch alle per Fax geschickten und empfangenen Daten abfangen.

Den Sicherheitsforschern gelang es außerdem, mit einem manipulierten Fax einen Stack Overflow zu provozieren. Dabei wird das System des angegriffenen Geräts überlastet und schließlich zum Absturz gebracht. Das wiederum können Angreifer ausnutzen, um sich Rechte zu sichern und weiter ins System vorzudringen. Im Test dauerte es weniger als eine Minute, ein Fax mit entsprechendem Schadcode zu versenden. Das Problem: Faxnummern fast aller Unternehmen lassen sich mit wenigen Klicks im Impressum finden – und weitere Schutzmaßnahmen wie ein Spamfilter oder ein Virenschutzprogramm gibt es für den Faxempfang nicht.

Die Angriffe funktionierten bei allen Officejet-Druckern von HP. Der Hersteller hat nach der Warnung durch die Sicherheitsforscher mittlerweile ein Update herausgegeben, das den Stack Overflow unterbindet. Viele, gerade neuere, Geräte sollten dieses auch automatisch herunterladen und aufspielen. Wirklichen Schutz vor Angriffen über manipulierte Faxe bietet allerdings nur ein eigenständiges Faxgerät, das über keine Internetanbindung und auch keine Anbindung zum internen Netz verfügt.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Microsoft Patchday schließt 56 Sicherheitslücken

Patchday bei Microsoft – nach dem ungeplanten Sicherheitsupdate im Zusammenhang mit den Sicherheitslücken Meltdown und Spectre (wir berichteten), folgt damit nun eine geplante Aktualisierung der Microsoft-Programme. Und das ist aktuell auch dringend nötig, denn Hacker nutzen derzeit eine Schwachstelle in Microsoft Office aktiv aus, die mit dem neuesten Patch behoben werden soll.

Dafür setzen sie einen Verarbeitungsfehler ein, den Office im Umgang mit RTF-Dateien begeht. Das sind Daten im sogenannten Rich-Text-Format, das seit rund 20 Jahren als Austauschformat zwischen unterschiedlichen Textverarbeitungsprogrammen dient. Um die Sicherheitslücke auszunutzen, müssen die Kriminellen lediglich entsprechend manipulierte Daten im Netz platzieren und Nutzer dazu bringen, diese anzuklicken. Eine andere Variante setzt auf die Verbreitung der Dateien per Mail, wofür sich Methoden des Social Engineering anbieten. Hat der Nutzer das präparierte Dokument ausgeführt, können sich die Hacker ohne weitere Legitimation Zugang zum Rechner des Nutzers verschaffen. Dort breiten sie sich mit den Rechten des angemeldeten Nutzers aus, spionieren oder installieren weiteren Schadcode.

Glück hat in diesem Fall, wer nur mit einem Benutzerkonto ohne Admin-Rechte im Internet surft, denn dann kann zumindest keine weitere Malware installiert werden. Und auch abseits vom aktuellen Fall ist es ganz grundsätzlich eine gute Idee, nicht ständig mit vollen Lese- und Schreibrechten im Internet unterwegs zu sein. Allein diese Maßnahme trägt schon einiges zum Schutz vor Schädlingen aus dem Netz bei, denn die Programme können sich nicht unbemerkt im Hintergrund installieren.

Insgesamt stopft Microsoft mit dem Januar-Update 56 Sicherheitslücken. Davon wurden 16 als kritisch eingestuft, darunter Fehler in den Browsern Internet Explorer und Edge. Weitere 39 Patches fallen in die Kategorie „Wichtig“, so wie auch das Update zur oben genannten Sicherheitslücke in Office. Daher empfehlen wir, den Patchday nicht ausfallen zu lassen!

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox