Herzlichen Dank, dass Sie sich für den Newsletter Cybersicherheit der FMH eingeschrieben haben. In diesem Newsletter informiert die FMH über aktuelle Cyberbedrohungen, die für Ärztinnen und Ärzte von Bedeutung sind. Unsere Informationen ersetzen keinesfalls den Datenschutzberater oder die Sicherheitsberaterin einer Arztpraxis. Wir wünschen Ihnen eine gute Lektüre.
Stellen Sie sich vor, Sie starten am Morgen Ihren Arbeitsrechner und finden im Maileingang eine E-Mail der Swisscom vor. In der E-Mail steht, dass Ihr bestehendes Telefonabonnement demnächst abläuft und dringend erneuert werden muss. Da Sie in Ihrer Praxis auf das Telefon angewiesen sind, möchten Sie das Telefonabonnement selbstverständlich verlängern. Dazu müssen Sie nur eine Telefonnummer anrufen, welche in der E-Mail angegeben ist. Tatsächlich könnte es sich dabei um ein Callback Phishing handeln.
Das Callback Phishing ist eine hybride Form und besteht aus einer E-Mail und einem Anruf. Bei der E-Mail handelt es sich in der Regel um eine gefälschte Rechnung bzw. eine Mitteilung zu einem angeblichen Abonnement. Cyberkriminelle können sich zum Beispiel als Mitarbeitende einer Bank, eines Telekommunikationsanbieters, der Post oder von bekannten IT-Dienstleistern tarnen. Der Text der E-Mail vermittelt, dass eine zeitnahe Handlung erforderlich oder die Sicherheit des Empfängers bzw. des Unternehmens gefährdet ist und das Problem schnellstmöglich behoben werden muss. Die Cyberkriminellen bauen dadurch Handlungsdruck auf. Vielfach wird auch behauptet, dass verantwortliche Personen in der eigenen Praxis Bescheid wüssten und bereits ihr Einverständnis gegeben haben.
Für die Lösung des Problems muss lediglich eine Telefonnummer gewählt werden, welche in der E-Mail erwähnt wird. Der Anruf wird jedoch nicht von einem echten Mitarbeitenden des Kundendienstes entgegengenommen, sondern von einem Cyberkriminellen. Der Anrufer wird motiviert, zur Lösung des Problems bzw. zur Verlängerung des Abonnements, eine Webseite aufzurufen und einen Download auszuführen oder sensible Informationen preiszugeben. Damit wird der Anrufer zum Opfer. Anstatt das Problem zu lösen, wird ein bösartiger Download gestartet und die Cyberkriminellen erhalten Zugang zum eigenen System.[1] Ab diesem Moment können die Cyberkriminellen Verbindungen aus der Ferne herstellen und gezielt auf den Rechner zugreifen oder es können Hintertüren (sognannte Trojaner) installiert werden. Über diese Hintertüren können dann Kreditkarten- oder Bankkontodaten ausspioniert oder Ransomware installiert werden, mit welcher die Daten auf dem Arbeitsrechner verschlüsselt werden. Durch das Abgreifen von Zugangsdaten können E-Mail-Postfächer übernommen werden.
Da die Angriffe gezielt erfolgen und die E-Mails keine bösartigen Anhänge enthalten, werden Callback Phishing-Kampagnen in der Regel nicht durch E-Mail-Filter erkannt.[2]
Eng verwandt mit dem Callback Phishing ist die Schadsoftware via Anruf. Der Unterschied bei dieser Form ist, dass das E-Mail nach einem Anruf versendet wird. Potenzielle Opfer werden in der häufigsten Variante telefonisch durch einen vermeintlichen Kurierdienstleister kontaktiert. Im Verlauf eines vertrauensfördernden Telefongesprächs wird mitgeteilt, dass Versandpapiere zu visieren sind und diese per E-Mail zugestellt werden. Die versendete E-Mail enthält vielfach eine pdf-Datei mit einem Link zu den vermeintlichen Versandpapieren. Hinter dem Link sind jedoch keine Versanddokumente, sondern eine Schadsoftware, welche in den häufigsten Fällen eBanking-Daten oder Kreditkartendaten ausspioniert.[3]
Empfohlene Massnahmen:
Die Anzahl der Fälle von Callback Phishing stieg von Anfang 2021 bis zum zweiten Quartal 2022 um 625% - 792 von 3171 Phishing-Angriffen, welche dem Nationalen Zentrum für Cybersicherheit (NCSC) in diesem Jahr gemeldet wurden.[4]
[1] https://www.cybertalk.org/2022/08/18/10-key-facts-about-callback-phishing-attacks/
[2] https://www.cybertalk.org/2022/08/18/10-key-facts-about-callback-phishing-attacks/
[3] https://www.ncsc.admin.ch/ncsc/de/home/cyberbedrohungen/anrufe-schadsoftware.html
https://www.ncsc.admin.ch/ncsc/de/home/aktuell/im-fokus/2022/wochenrueckblick_37.html
[4] https://www.scmagazine.com/brief/email-security/callback-phishing-attacks-spike
https://www.ncsc.admin.ch/ncsc/de/home/aktuell/aktuelle-zahlen.html
Nachdem versehentlich Schadsoftware installiert und die Daten durch Ransomware verschlüsselt wurden, erfolgt typischerweise eine Lösegeldforderung durch die Cyberkriminellen. Mit der Lösegeldzahlung wird die Wiederherstellung der verschlüsselten Daten bzw. die Nichtveröffentlichung der Daten im Darknet versprochen. Tatsächlich gibt es Gründe, die für oder gegen eine Lösegeldzahlung sprechen.
Im ersten Moment wird eine Lösegeldzahlung als die schnellste Variante zur Wiederherstellung der verschlüsselten Daten wahrgenommen [1]. Auch kann es sein, dass die Lösegeldforderung niedriger ist als der Wiederherstellungsaufwand und die Umsatzeinbussen [2]. Da die Zahlungen vielfach in einer Kryptowährung (z.B. Bitcoin) getätigt werden, kann die Erpressung «geheim» gehalten werden [1]. Der Handlungsdruck, welcher durch die Cyberkriminellen ausgeübt wird, kann mit einer Zahlung des Lösegelds schnell und effektiv verringert werden [3].
Dieser schnellen Lösungsvariante stehen jedoch gravierende Nachteile gegenüber.
Eine Zahlung bietet keine Garantie für die Wiederherstellung verschlüsselter Daten. Schliesslich können gegen Cyberkriminelle keine Rechtsansprüche durchgesetzt werden [4]. Auch wenn die Wiederherstellungsschlüssel vorhanden sind, bleibt die Rekonstruktion der Daten aufwändig [5]. Der Aufwand und der Zeitbedarf für die Wiederherstellung sinken bei einer Lösegeldzahlung nicht [6].
Erfahrungen zeigen, dass Daten auch bei einer Lösegeldzahlung in circa der Hälfte der Fälle beschädigt wurden und nicht vollständig wiederhergestellt werden konnten. Auch schützt die Zahlung des Lösegelds nicht vor weiteren Angriffen [7].
Jede Zahlung unterstützt das Ransomware-Geschäftsmodell und motiviert Cyberkriminelle zum Weitermachen. Sollte eine Lösegeldzahlung bekannt werden, kann sich dies negativ auf das Unternehmensimage auswirken. Kryptowährungen (z.B. Bitcoins), welche häufig zur Lösegeldzahlung eingesetzt werden, müssen beschafft werden, wodurch weitere Risiken resultieren [1]. Abhängig vom geografischen Standort der Cyberkriminellen, wird mit der Lösegeldzahlung der Straftatbestand der Geldwäsche oder der Terrorismusfinanzierung erfüllt [8]. Ausserdem gesteht eine Arztpraxis damit ein, dass der Angriff erfolgreich war [9].
Die Gegenüberstellung zeigt, dass es gute Gründe gibt, auf eine Lösegeldzahlung nicht einzugehen. Denn eine Garantie für eine vollständige Wiederherstellung gibt es bei einer Zahlung nicht. Die Entscheidung, ob ein Lösegeld gezahlt werden soll, ist gründlich zu überlegen und muss durch die Geschäftsleitung getroffen werden.
Das Nationale Zentrum für Cybersicherheit (NCSC) und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) raten deutlich von einer Zahlung des Lösegelds ab. Auch die FMH empfiehlt der Lösegeldforderung nicht nachzukommen und sich schnellstmöglich an die zuständige Kantonspolizei zu wenden.
Sollte dennoch beabsichtigt werden, das Lösegeld zu zahlen, sind weitere Schritte mit der Kantonspolizei zu koordinieren [10].
[1] https://www.voelker-gruppe.com/stuttgart/ransomware_zahlung_rechtswidrig/
[2] https://www.coveware.com/blog/2019/4/15/ransom-amounts-rise-90-in-q1-as-ryuk-ransomware-increases
[7] https://www.ncsc.admin.ch/ncsc/de/home/infos-fuer/infos-unternehmen/vorfall-was-nun/ransomware.html
[8] https://home.treasury.gov/system/files/126/ofac_ransomware_advisory_10012020_1.pdf
[10] https://www.ncsc.admin.ch/ncsc/de/home/infos-fuer/infos-unternehmen/vorfall-was-nun/ransomware.html
Eine weitere und nicht auf dem ersten Blick erkennbare Art des Phishings ist das sogenannte Mail-Spoofing. Im Unterschied zum herkömmlichen Phishing enthält das Spoofing gezielte Komponenten, die den Anschein einer vertrauenswürdigen Kommunikation erwecken und eine Handlung verlangen. Dabei wird mit viel Aufwand und Akribie die Identität von alltäglichen Kontakten oder das Design von bekannten Marken nachgeahmt.
Um das Vertrauen noch weiter zu erhöhen, werden die gefälschten E-Mails im Namen von Vorgesetzten, Partnerunternehmen bzw. -praxen oder Spitälern verfasst.[1]
Cyberkriminelle sammeln frei im Internet verfügbare Informationen, um gezielte Angriffe auszuführen. Es können jedoch auch Informationen aus bereits gehackten E-Mail-Accounts genutzt werden.
Wer schöpft schon Verdacht, wenn eine Arztpraxis oder ein Spital eine E-Mail mit einem Anhang zu einem gemeinsamen Patienten versendet? Diese Art der Kommunikation ist alltäglich. Es werden jedoch auch E-Mails durch die Cyberkriminellen versendet, welche die Identität von Banken, Kreditkarteninstituten oder Telekommunikationsanbieter vorgeben.
Durch die gezielte Platzierung von Schadsoftware in Anhängen können Zugangsdaten, Kreditkartendaten und Bankdaten abgefangen werden.
Weitere mögliche Szenarien sind die Weiterleitung auf eine gefälschte Webseite unter Aufforderung zum Wechsel des Login-Passwortes, des PIN-Codes der Kreditkarte oder zur Verlängerung des Internetabonnements.[2]
Es gibt auch noch andere Gefahren. Würden Sie beim Thema Phishing Ihren Multifunktionsdrucker verdächtigen? Anfang September wurden dem Nationalen Zentrum für Cybersicherheit (NCSC) zwei Fälle gemeldet, die aufzeigen, welche Risiken aus der Scan-to-E-Mail-Funktion von Multifunktionsdruckern ausgehen. Die Scan-to-E-Mail-Funktion ermöglicht es, Dokumente zu scannen und automatisch auf ein vorher definiertes E-Mail-Postfach zu senden. Im Arbeitsalltag ist diese Funktion sehr hilfreich.
Allerdings können Sie auch eine E-Mail von Ihrem Multifunktionsdrucker erhalten, obwohl Sie vorher kein Dokument eingescannt haben.
Cyberkriminelle versenden E-Mails, welche vortäuschen, dass ein Scan von einem Multifunktionsdrucker gesendet wurde und unter einem Link heruntergeladen werden kann bzw. als Anhang verfügbar ist. Beim Öffnen der angehängten Dateiwird der Download einer Schadsoftware gestartet oder Sie werden zu einer Webseite weitergeleitet, auf welcher vertrauliche Daten eingegeben werden sollen. Häufig sollen die Zugangsdaten des E-Mail-Postfachs eingegeben werden. Danach können Cyberkriminelle z.B. E-Mails mitlesen oder E-Mail-Weiterleitungsregeln einrichten. Eingehende E-Mails werden ab diesen Moment an die Cyberkriminellen weitergeleitet.
Da die Anzahl der Hersteller für Multifunktionsdrucker überschaubar ist, ist diese Art von Angriff relativ einfach umzusetzen. Die Wahrscheinlichkeit ist hoch, die richtige Bezeichnung des Druckers zu erraten.
Empfohlene Massnahmen:
Die wöchentliche Anzahl der Fälle von Spoofing bewegte sich bis Mitte 2022 im niedrigen einstelligen Bereich. Ab der Woche 22 schnellte die Anzahl nach oben, sodass sich die Anzahl der Fälle von Spoofing in der Woche 36 bei 68 Fällen und in der Woche 37 bei 104 Fällen bewegte.
[1] https://www.kaspersky.de/resource-center/definitions/ip-and-email-spoofing
https://www.avg.com/de/signal/what-is-spoofing#topic-3
[3] https://www.ncsc.admin.ch/ncsc/de/home/aktuell/im-fokus/2022/wochenrueckblick_35.html