#Security: Corona und Cyberkriminalität in der Schweiz

23. Juni 2020, 14:42
image

Missbräuchliche "Corona-Domains", Phishing-Angriffe und Cyberkriminalität. Wieviel mehr Missbrauch passiert tatsächlich in der Schweiz seit dem Ausbruch des Coronavirus?

Corona hat den Alltag grundlegend verändert und die Gesellschaft in eine Ausnahmesituation versetzt. Die damit verbundene Unsicherheit hat zu einem erhöhten Informations- und Schutzbedürfnis sowie neuen Arbeitssituationen geführt, was Kriminelle geschickt ausnutzen. Mit dem Lockdown war plötzlich fast alles nur noch virtuell möglich. Switch als .ch-Registry, IT-Infrastrukturproviderin der Hochschulen sowie als Multisektoren-CERT hat einen guten Überblick über die Cyberkriminalität, die im Schatten des gewaltigen Digitalisierungsschubes stattfindet.

Missbrauch von Domain-Namen

Vor virenverbreitenden neuen "Corona-Domains" wurde in der internationalen Presse viel gewarnt. Bei Switch, als Registrierungsstelle für .ch Domain-Namen, gingen tatsächlich übermässig viele private Meldungen zu angeblich missbräuchlich registrierten Domain-Namen lautend auf "corona", "covid" oder "virus" ein. Alle diese Meldungen wurden durch Switch geprüft. Falls Zweifel an der Identität des Halters bestanden, wurde eine Halterfeststellung veranlasst, bei der sich der Halter mit einem Identitätsdokument ausweisen musste. Es gab tatsächlich einige wenige Fälle, bei denen Anfragen nicht beantwortet wurden und der Domain-Name deshalb wieder gelöscht wurde. In den meisten Fällen haben sich die Halter jedoch korrekt identifiziert und es mussten keine weiteren Massnahmen getroffen werden.
Auch die Schweizer Behörden haben seit März der Registrierungsstelle mehr Verdachtsfälle gemeldet. Die vom Bakom anerkannten Behörden haben Zugriff auf das komplette Zonenfile mit allen Domain-Namen und können so verdächtige Neuregistrierungen erkennen. Von März bis Mai 2020 wurde die Registry insgesamt 253 mal um Amtshilfe gebeten, die Identität und Schweizer Korrespondenzadresse von Haltern eines verdächtigen Domain-Namens festzustellen und den Behörden anzugeben. Dabei handelt es sich um eine Standardprozedur, die jedes Jahr mehrere tausend Mal bei Verdacht auf Missbrauch wie zum Beispiel bei Fake-Webshops in Anspruch genommen wird. Auffällig viele Anfragen wurden beantwortet, und die Behörden konnten direkt mit den Haltern mögliche Gesetzesverstösse regeln.
In einigen wenigen Fällen wurden die neu registrierten Domain-Namen auch auf Antrag der Behörden vorübergehend blockiert. Beispielsweise wenn auf den Webseiten persönliche Information und Kreditkarteninformationen abgefragt wurden und der Verdacht bestand, dass es sich um Fake-Webshops zum Datenphising handelte. Auch hier haben sich die meisten Halter schnell gemeldet, der Webshop wurde deblockiert und die Behörden konnten den Sachverhalt mit den Haltern klären. Es wurden aber auch vereinzelt Domain-Namen von Shops gelöscht, die "Coronatests" angeboten hatten, da sich die Halter nicht innerhalb von 30 Tagen identifizierten.
Die Verbreitung von schädlicher Software und Phishing wurde von Switch auf keiner der neu registrierten "Corona"-Domain-Namen festgestellt, und auch der Melde- und Analysestelle Melani sind keine derartigen Fälle bekannt. Die Täter waren sich wohl der besonderen Aufmerksamkeit bewusst, die diese Domain-Namen erzeugen und haben für ihre Angriffe unauffälligere Domain-Namen genutzt.

Phishing-Angriffe im Homeoffice

Was sich aber feststellen liess, waren vermehrt Phishing-Angriffe auf Schweizer Internetnutzende, die von zuhause aus gearbeitet haben. Das Arbeiten ausserhalb des meist geschützten Netzes bei der Arbeit hat diese Angriffe erleichtert. Die Angriffe, die SWITCH-CERT beobachtet hat, richteten sich gezielt gegen Hochschulangehörige und Nutzende von Schweizer IT-Dienstleistern wie Webhoster. Die erbeuteten Zugänge zum Webhosting wurden dann häufig missbraucht, um dort weitere Phishingseiten auf den vorhandenen Domain-Namen und Webservern zu hosten. Glücklicherweise konnten diese Kompromittierungen schnell erkannt und beseitigt werden. Verschiedene Hoster haben ihre Kunden vor den Angriffen gewarnt, auch die Melde- und Analysestelle Melani hat von mehr Phishing berichtet.
image
Anzahl von Phishing-Sites, die Schweizer Webhoster benutzten. Grafik: Melani
Einer der prominentesten Phishing-Angriffe international, gleich zu Beginn der Pandemie, wurde im Namen der WHO ausgeführt. Die WHO hatte es versäumt, ihren Domain-Namen who.int vor Missbrauch zu schützen. Und zwar weder mit DNSSEC noch mit DMARC. Während DNSSEC vor missbräuchlichen Umleitungen auf andere Websites schützt, dient DMARC dem Schutz vor E-Mail-Spoofing, damit Angreifer E-Mails nicht im Namen eines anderen versenden können. Genau das passierte der WHO. So wurden in ihrem Namen – als globale, oberste Autorität in der Gesundheitskrise – Phishing-E-Mails versendet, welche die Pandemie als Aufhänger nutzten, um schädliche Software zu verteilen. Eine einfache virtuelle Hygienemassnahme wie DMARC zur Authentisierung von E-Mails wurde nicht angewandt.
Mittlerweile hat die WHO für ihren Domain-Namen DMARC aktiviert. Damit ist nicht nur ihre Organisation vor Missbrauch geschützt. DMARC erleichtert auch den E-Mail-Empfängern, Phishing-Mails leichter zu erkennen. In der Schweiz wurde, vielleicht auch als Reaktion auf die vermehrten Phishing-Angriffe, von einigen Organisationen und auch IT-Dienstleistern DMARC eingeführt. Einige Schweizer Anbieter berichten, dass sie dadurch grosse Phishing-Kampagnen herausfiltern und so ihr Kunden schützen konnten. Auch wenn die Verwendung von DMARC in der Schweiz auf 8% gestiegen ist, ist hier, wie bei der Anwendung anderer Standards in der Schweiz noch dringender Handlungsbedarf, um die Cyberhygiene zu verbessern.
Die gestiegene Cyberkriminalität im Zusammenhang mit der Corona-Pandemie macht einmal mehr deutlich, wie empfindlich die Internetinfrastruktur ist. Die Anwendung von Sicherheitsstandards wie DMARC und DNSSEC sollte deshalb dringend priorisiert werden, um die Resilienz der digitalen Schweiz für die Zukunft zu stärken und damit imageschädliche Cyberangriffe zu erschweren.

Über den Autor:

Michael Hausding studierte Informatik an der TU Darmstadt und MTEC an der ETH Zürich. Seit 2008 arbeitet er als Sicherheitsexperte im Team von SWITCH-CERT und ist auf DNS- und Domain-Missbrauch spezialisiert.

Über #Security:

Die Kolumne von Switch über Sicherheit erscheint sechs Mal jährlich. Die Autoren äussern unabhängig ihre Meinung, die sich nicht mit der Redaktionsmeinung von inside-it.ch und inside-channels.ch decken muss.

Loading

Mehr zum Thema

image

70% der Schweizer Industriebetriebe Opfer von Cyberattacken

Eine Mitgliederbefragung des Branchenverbands Swissmem zeigt, dass mehr als Zweidrittel der Firmen mindestens einmal attackiert wurden, einzelne sogar mehr als 20-mal.

publiziert am 23.6.2022
image

Cloud-Anbieter wie Mega könnten Daten ihrer Kunden manipulieren

Ein ETH-Kryptografie-Team nahm die Verschlüsselung der Cloud Services des neuseeländischen Anbieters Mega unter die Lupe und fand gravierende Sicherheitslücken. Das dürfte kein Einzelfall sein.

publiziert am 23.6.2022
image

Mehrere kritische Datenschutzvorfälle im Kanton Zürich

Seit rund einem Jahr müssen Behörden im Kanton Zürich Datenschutzvorfälle melden. Die Datenschutzbeauftragte zieht eine erste Bilanz. Die Nutzung von Cloud-Angeboten wird kritisch gesehen.

publiziert am 22.6.2022
image

Facebook saugt Gesundheitsdaten mit Tracker ab

Eine US-NGO hat ein Tracking-Tool entdeckt, mit dem Facebook Einblick in sensible Daten erhält. Ein Drittel aller untersuchten Krankenhäuser ist betroffen.

publiziert am 21.6.2022