#Security: Corona und Cyberkriminalität in der Schweiz

23. Juni 2020, 14:42
image

Missbräuchliche "Corona-Domains", Phishing-Angriffe und Cyberkriminalität. Wieviel mehr Missbrauch passiert tatsächlich in der Schweiz seit dem Ausbruch des Coronavirus?

Corona hat den Alltag grundlegend verändert und die Gesellschaft in eine Ausnahmesituation versetzt. Die damit verbundene Unsicherheit hat zu einem erhöhten Informations- und Schutzbedürfnis sowie neuen Arbeitssituationen geführt, was Kriminelle geschickt ausnutzen. Mit dem Lockdown war plötzlich fast alles nur noch virtuell möglich. Switch als .ch-Registry, IT-Infrastrukturproviderin der Hochschulen sowie als Multisektoren-CERT hat einen guten Überblick über die Cyberkriminalität, die im Schatten des gewaltigen Digitalisierungsschubes stattfindet.

Missbrauch von Domain-Namen

Vor virenverbreitenden neuen "Corona-Domains" wurde in der internationalen Presse viel gewarnt. Bei Switch, als Registrierungsstelle für .ch Domain-Namen, gingen tatsächlich übermässig viele private Meldungen zu angeblich missbräuchlich registrierten Domain-Namen lautend auf "corona", "covid" oder "virus" ein. Alle diese Meldungen wurden durch Switch geprüft. Falls Zweifel an der Identität des Halters bestanden, wurde eine Halterfeststellung veranlasst, bei der sich der Halter mit einem Identitätsdokument ausweisen musste. Es gab tatsächlich einige wenige Fälle, bei denen Anfragen nicht beantwortet wurden und der Domain-Name deshalb wieder gelöscht wurde. In den meisten Fällen haben sich die Halter jedoch korrekt identifiziert und es mussten keine weiteren Massnahmen getroffen werden.
Auch die Schweizer Behörden haben seit März der Registrierungsstelle mehr Verdachtsfälle gemeldet. Die vom Bakom anerkannten Behörden haben Zugriff auf das komplette Zonenfile mit allen Domain-Namen und können so verdächtige Neuregistrierungen erkennen. Von März bis Mai 2020 wurde die Registry insgesamt 253 mal um Amtshilfe gebeten, die Identität und Schweizer Korrespondenzadresse von Haltern eines verdächtigen Domain-Namens festzustellen und den Behörden anzugeben. Dabei handelt es sich um eine Standardprozedur, die jedes Jahr mehrere tausend Mal bei Verdacht auf Missbrauch wie zum Beispiel bei Fake-Webshops in Anspruch genommen wird. Auffällig viele Anfragen wurden beantwortet, und die Behörden konnten direkt mit den Haltern mögliche Gesetzesverstösse regeln.
In einigen wenigen Fällen wurden die neu registrierten Domain-Namen auch auf Antrag der Behörden vorübergehend blockiert. Beispielsweise wenn auf den Webseiten persönliche Information und Kreditkarteninformationen abgefragt wurden und der Verdacht bestand, dass es sich um Fake-Webshops zum Datenphising handelte. Auch hier haben sich die meisten Halter schnell gemeldet, der Webshop wurde deblockiert und die Behörden konnten den Sachverhalt mit den Haltern klären. Es wurden aber auch vereinzelt Domain-Namen von Shops gelöscht, die "Coronatests" angeboten hatten, da sich die Halter nicht innerhalb von 30 Tagen identifizierten.
Die Verbreitung von schädlicher Software und Phishing wurde von Switch auf keiner der neu registrierten "Corona"-Domain-Namen festgestellt, und auch der Melde- und Analysestelle Melani sind keine derartigen Fälle bekannt. Die Täter waren sich wohl der besonderen Aufmerksamkeit bewusst, die diese Domain-Namen erzeugen und haben für ihre Angriffe unauffälligere Domain-Namen genutzt.

Phishing-Angriffe im Homeoffice

Was sich aber feststellen liess, waren vermehrt Phishing-Angriffe auf Schweizer Internetnutzende, die von zuhause aus gearbeitet haben. Das Arbeiten ausserhalb des meist geschützten Netzes bei der Arbeit hat diese Angriffe erleichtert. Die Angriffe, die SWITCH-CERT beobachtet hat, richteten sich gezielt gegen Hochschulangehörige und Nutzende von Schweizer IT-Dienstleistern wie Webhoster. Die erbeuteten Zugänge zum Webhosting wurden dann häufig missbraucht, um dort weitere Phishingseiten auf den vorhandenen Domain-Namen und Webservern zu hosten. Glücklicherweise konnten diese Kompromittierungen schnell erkannt und beseitigt werden. Verschiedene Hoster haben ihre Kunden vor den Angriffen gewarnt, auch die Melde- und Analysestelle Melani hat von mehr Phishing berichtet.
image
Anzahl von Phishing-Sites, die Schweizer Webhoster benutzten. Grafik: Melani
Einer der prominentesten Phishing-Angriffe international, gleich zu Beginn der Pandemie, wurde im Namen der WHO ausgeführt. Die WHO hatte es versäumt, ihren Domain-Namen who.int vor Missbrauch zu schützen. Und zwar weder mit DNSSEC noch mit DMARC. Während DNSSEC vor missbräuchlichen Umleitungen auf andere Websites schützt, dient DMARC dem Schutz vor E-Mail-Spoofing, damit Angreifer E-Mails nicht im Namen eines anderen versenden können. Genau das passierte der WHO. So wurden in ihrem Namen – als globale, oberste Autorität in der Gesundheitskrise – Phishing-E-Mails versendet, welche die Pandemie als Aufhänger nutzten, um schädliche Software zu verteilen. Eine einfache virtuelle Hygienemassnahme wie DMARC zur Authentisierung von E-Mails wurde nicht angewandt.
Mittlerweile hat die WHO für ihren Domain-Namen DMARC aktiviert. Damit ist nicht nur ihre Organisation vor Missbrauch geschützt. DMARC erleichtert auch den E-Mail-Empfängern, Phishing-Mails leichter zu erkennen. In der Schweiz wurde, vielleicht auch als Reaktion auf die vermehrten Phishing-Angriffe, von einigen Organisationen und auch IT-Dienstleistern DMARC eingeführt. Einige Schweizer Anbieter berichten, dass sie dadurch grosse Phishing-Kampagnen herausfiltern und so ihr Kunden schützen konnten. Auch wenn die Verwendung von DMARC in der Schweiz auf 8% gestiegen ist, ist hier, wie bei der Anwendung anderer Standards in der Schweiz noch dringender Handlungsbedarf, um die Cyberhygiene zu verbessern.
Die gestiegene Cyberkriminalität im Zusammenhang mit der Corona-Pandemie macht einmal mehr deutlich, wie empfindlich die Internetinfrastruktur ist. Die Anwendung von Sicherheitsstandards wie DMARC und DNSSEC sollte deshalb dringend priorisiert werden, um die Resilienz der digitalen Schweiz für die Zukunft zu stärken und damit imageschädliche Cyberangriffe zu erschweren.

Über den Autor:

Michael Hausding studierte Informatik an der TU Darmstadt und MTEC an der ETH Zürich. Seit 2008 arbeitet er als Sicherheitsexperte im Team von SWITCH-CERT und ist auf DNS- und Domain-Missbrauch spezialisiert.

Über #Security:

Die Kolumne von Switch über Sicherheit erscheint sechs Mal jährlich. Die Autoren äussern unabhängig ihre Meinung, die sich nicht mit der Redaktionsmeinung von inside-it.ch und inside-channels.ch decken muss.

Loading

Mehr zum Thema

image

Vor 170 Jahren: Eine Computer-Pionierin ist gestorben

Ada Lovelace war der erste Mensch der Welt, der einen Computer-Algorithmus programmierte. Die Pionierin der heutigen Informatik starb 1852 und war der Zeit weit voraus.

publiziert am 2.12.2022
image

Viola Amherd sichert sich das neue NCSC

Der Kampf ums NCSC ist entschieden. Das neue Bundesamt für Cybersicherheit landet im VBS.

publiziert am 2.12.2022
image

Zürcher Daten-Skandel: Kriminelle in Besitz interner Justizinformationen

Die Zürcher Justizdirektion hat mutmasslich über Jahre bei der Entsorgung von Hardware geschlampt. Hoch sensible Daten landeten im Zürcher Rotlichtmilieu.

publiziert am 2.12.2022
image

SATW insights: Der geringe Frauen­anteil in der IT ist proble­matisch

Der Frauenanteil in der IT verharrt in der Schweiz auf tiefem Niveau. In ihrer Kolumne erklärt Iris Hunkeler, warum das ein Problem ist und wie sich das ändern könnte.

publiziert am 1.12.2022