Malware Phishing Spam

Was ist Phishing?

Phishing werden Versuche genannt, über gefälschte Websites an Daten eines Internet-Benutzers zu gelangen. Der Begriff ist ein englisches Kunstwort, das sich an fishing (angeln, fischen), bildlich das "Angeln nach Passwörtern mit Ködern", anlehnt.

Phisher erstellen gefälschte Websites die aussehen, wie die Seiten bekannter und vertrauenswürdiger Anbieter. Anschließend wird mit Hilfe von E-Mail-Datenbanken oder zufällig generierten Adressen der Köder ausgeworfen. Eine Nachricht mit einem glaubwürdigen Betreff wird per E-Mail oder Instant-Messenger verschickt. Darin wird nach vertraulichen Daten gefragt, die auf einer Website (Verknüpfungen wie „Hier klicken“, URL-Verknüpfungen, Bildverknüpfungen, Textverknüpfungen) oder direkt in einem Formular in der E-Mail eingegeben werden sollen. Die Anfrage erscheint logisch und im Normalfall wird bei Nichtbeachtung mit Folgen gedroht, um eine sofortige Reaktion zu erwirken.



Was ist Spam?

Als Spam oder Junk (englisch für Abfall oder Plunder) werden unerwünschte, in der Regel auf elektronischem Weg übertragene Nachrichten bezeichnet, die dem Empfänger unverlangt zugestellt werden und häufig werbenden Inhalt haben.



Was ist Malware?

Malware ist ein Sammelbegriff für "malicious software": sich selbst verbreitende Programme/Codes, die dafür sorgen, dass auf einem Rechner schädliche Aktionen ausgeführt werden. Dies passiert meist unbemerkt, so dass der Nutzer des PCs nichts davon mitbekommt. Beispiele für die verschiedenen Arten von Malware sind Computerviren, Würmer, Trojaner, Spionageprogramme ("Spyware") etc.

Malware kann sich auf unterschiedlichste Art verbreiten. Stark zugenommen hat in jüngster Zeit etwa die Verbreitung über so genannte "Drive-By-Downloads". Dabei kann ein PC bereits beim blossen Aufruf einer Website unbemerkt infiziert werden.

Angreifer platzieren versteckten Code auf Ihrer Website – meist durch eine Softwareschwachstelle oder durch gestohlene bzw. erratene Passwörter. Öffnet ein Benutzer dann die Website im Browser, wird der schädliche Code im Hintergrund ausgeführt. Die Folgen davon fallen je nach Art der Malware unterschiedlich aus – vom Daten- und Passwortdiebstahl bis hin zum Absturz des gesamten Rechensystems.



Wie reagiert NOVATREND bei einem Hinweis Dritter, dass eine Website infiziert ist?

Der Hosting-Account wird deaktiviert, um (weiteren) Schaden zu vermeiden. NOVATREND informiert den Halter (auf die bei NOVATREND registrierte E-Mail-Adresse) über den Missbrauch des Hosting-Accounts. Der Kunde wird aufgefordert Kontakt aufzunehmen in dem er...

• auf das E-Mail antworten
• während den Bürozeiten anruft: 044 500 40 70
• oder über den Live Support unter www.novatrend.ch chattet

Meine Website ist infiziert. Wie muss ich vorgehen?

Die schnellste und beste Lösung ist die Website komplett zu löschen und neu zu erstellen. Einzelne Komponenten wie Bilder können wiederverwendet werden, keines Falls jedoch Codes oder Skripte. NOVATREND wird Ihre neue Website dann auf einem anderen Server hosten. Somit werden Sie neue FTP-Zugangsdaten und eine neue IP-Adresse erhalten, was die Sicherheit vor einem erneuten Missbrauch erhöht. Alternativ können Sie versuchen die Daten auf Ihrem Hosting-Account zu säubern. Dies setzt allerdings fundierte IT-Kenntnisse voraus. Falls Sie dies wünschen, können wir Ihnen mit einem Passwortschutz wieder Zugriff auf Ihre Website gewähren. Es ist auch möglich einen Restore (= Wiederherstellung einer Datensicherung) zu machen. Für diese Dienstleistung stellt NOVATREND 45.00 CHF in Rechnung. In jedem Fall sollten Sie nach Entfernen des schädlichen Codes oder der schädlichen Dateien Massnahmen ergreifen, die einen erneuten Missbrauch Ihrer Website verhindern können. Wird Ihre Website mehrfach infiziert, behält sich NOVATREND das Recht vor den Hosting-Account komplett zu löschen.



Wie kann ich meine Website vor Missbrauch schützen?

• Verwenden Sie starke Passwörter für Ihren FTP-Account.
• Stellen Sie sicher, dass auf Ihrem Hosting-Account immer die aktuellsten Skripte, Komponenten, Module und Plug-ins installiert sind.
• Untersuchen Sie Ihren PC regelmässig auf Malware und Viren.

Weitere Tipps zum Schutz vor Internetangriffen finden Sie auf der Website des Swiss Security Day.



Beim Aufruf meiner Website zeigt der Browser eine Warnung an. Warum?

Verschiedene Browserhersteller haben Massnahmen getroffen, um die Benutzer vor Malwareinfektion zu schützen. Sie warnen deshalb Internetnutzer beim Besuch mancher Websites, die Malware verbreiten. Beispiel:



NOVATREND hat hierauf keinerlei Einfluss. Die Warnung ist unabhängig von den Massnahmen, die NOVATREND ergreift, und sie wird auch noch einige Zeit nach dem Entfernen des schädlichen Codes angezeigt werden. Sie können allerdings nach erfolgreichem Entfernen des schädlichen Codes mit den
Google-Webmastertools eine erneute Prüfung Ihrer Website veranlassen. Weitere Informationen dazu finden Sie bei Googles Webmaster Central sowie bei der Organisation Stopbadware.



Wie finde ich den Code zur Verbreitung von Malware auf meiner Website?

Suchen Sie im Quellcode nach Code-Teilen, die nicht von Ihnen stammen. Oft besteht der Schadcode aus iframes, die Schadcode nachladen, zum Beispiel:



oder aus Javascript-Code:





Weshalb wird NOVATREND bei Malware, Phishing und Spamming aktiv?

Websites, die Malware verbreiten, stellen eine grosse Gefahr für die Besucher dar. Ein Aufruf der manipulierten Seiten genügt bereits, um einen Besucher per "Drive By", also im "Vorbeigehen", mit Malware zu infizieren. Phishing ist eine bekannterere Form der Cyberkriminalität, trotzdem fallen noch immer täglich Internetbenutzer dieser Machenschaft zum Opfer.

Ebenfalls sind solche Attacken von Crackern (Personen die Zugriffsbarrieren von Computern und Netzwerken umgehen) mit grossem Aufwand für NOVATREND verbunden. Wird ein Hosting-Account zum Beispiel zum Spammen missbraucht, kann dies einen ganzen Server lahm legen. Zugleich gelangt die IP-Adresse des Servers in Blacklisten, wodurch alle E-Mails von diesem Server geblockt werden. Bei einem Shared-Server wären somit mehrere Hundert E-Mailadressen betroffen.

Seit dem 01.01.2010 besteht nun eine gesetzliche Grundlage gegen Cyberkriminalität vorzugehen.

Art. 14fbis 1 Blockierung eines Domain-Namens bei Missbrauchsverdacht

1. Die Registerbetreiberin muss einen Domain-Namen blockieren und die diesbezügliche Zuweisung zu einem Namenserver aufheben:
   
   • a. wenn der begründete Verdacht besteht, dass dieser Domain-Name benutzt wird:
     
     1. 1. um mit unrechtmässigen Methoden an schützenswerte Daten zu gelangen, oder
     2. 2. um schädliche Software zu verbreiten, und
   • b. wenn eine in der Bekämpfung der Cyberkriminalität vom BAKOM anerkannte Stelle die Blockierung beantragt hat.
2. Wenn die Bedingungen gemäss Absatz 1 Buchstabe a erfüllt sind, aber der Antrag auf Blockierung
   einer Stelle gemäss Absatz 1 Buchstabe b fehlt, kann die Registerbetreiberin für höchstens fünf
   Werktage einen Domain-Namen blockieren und die diesbezügliche Zuweisung zu einem Namenserver aufheben. Nach Ablauf der festgelegten Frist hebt sie jede Massnahme auf, die nicht durch einen
   Antrag einer Stelle gemäss Absatz 1 Buchstabe b bestätigt wird.

http://www.admin.ch/ch/d/sr/784_104/a14bist.html

Als Registerbetreiberin ist Switch in der Pflicht nach diesem Gesetzt zu handeln. NOVATREND ist als akkreditierte Partnerin von Switch berechtigt Domains mit den Endungen .ch und .li zu verwalten. NOVATREND hat ihr Vorgehen im Bezug auf Malware, Phishing und Spam daher an die gesetzlichen Vorgaben angepasst.