Emails von uns

Wenn Sie eine E-Mail von uns erhalten haben, die Sie über ein Problem mit Ihrer IT-Infrastruktur informiert, finden Sie hier alle relevanten Informationen

  • Für ISPs
  • Für alle anderen

Für ISPs

CERT.at erhält von diversen Quellen Informationen über IT Sicherheitsprobleme in österreichischen Netzen. "Österreichisch" meint alle .at-Domains sowie Server die sich lt. Geo-IP-Daten in Österreich befinden. Da die Daten die wir erhalten unterschiedliche Formate haben, werden sie von uns harmonisiert und dedupliziert bevor wir sie weiterleiten. Das in unseren Aussendungen verwendete Format finden Sie hier beschrieben.

Shadowserver

Von der NGO Shadowserver (https://www.shadowserver.org) bekommen wir die meisten Daten. Ob in unserer E-Mail Daten von Shadowserver sind, erkennen Sie in der Spalte "feed" im CSV File. Genauere Beschreibungen finden Sie hier.

Für alle anderen

Sie haben eine E-Mail von uns erhalten und wissen nicht so recht weiter oder hätten gerne mehr Informationen über das Problem? Auf dieser Seite werden wir in nächster Zeit Beschreibungen sowie mögliche Lösungsansätze anführen.

Defacements

Bei einem Defacement (auch "Web-Graffiti" genannt) werden das Design und/oder der Text einer Webseite (oft nur das der Startseite oder einer einzelnen Unterseite) von AngreiferInnen verändert. Häufig besteht die Webseite dann nur noch aus dem Schriftzug "Hacked by" gefolgt von einem Namen, einer Danksagung und einem Kommentar darüber, dass die/der BetreiberIn keine Ahnung von IT-Sicherheit habe. In vielen Fällen kommt auch ein neues Hintergrundbild dazu, manchmal wird auch automatisch eine Audio-Datei oder ein Video abgespielt.

Das ist in den meisten Fällen für BesucherInnen ungefährlich, allerdings kann durch den Umstand, dass die/der BetreiberIn die Seite augenscheinlich nicht mehr unter Kontrolle hat, ein Reputationsschaden entstehen.

Wenn Ihre Seite Opfer eines Defacements wurde, empfiehlt CERT.at folgende Vorgehensweise:

  1. Identifizieren und Beheben des ursprünglichen Problems. Oft reicht dazu das Aktualisieren der betroffenen Software, speziell auch aller Plugins und Themes aus.
  2. Überprüfung der betroffenen Webserver auf mögliche Hintertüren, die die AngreiferInnen eingebaut haben könnten.
  3. Bereinigung des Defacements selbst.

Wenn Sie sich nicht sicher sind, wie Sie diese Schritte durchführen, empfiehlt CERT.at, sich an einen professionellen Ihren IT-Dienstleister zu wenden.

Phishing

Phishing ist ein Angriff, der darauf abziehlt, Zugangsdaten für eine Webseite zu stehlen. Dazu wird eine Webseite erstellt, die genauso aussieht, wie die Zielseite, die aber dort eingegebene Zugangsdaten an die Kriminellen weiterleitet. Anschließend versuchen diese mit den so erworbenen NutzerInnennamen und Passwörtern, sich bei der richtigen Seite anzumelden und erlangen so Zugriff z.B. auf Bank- oder E-Mail-Konten.

Damit die Kriminellen hinter den Phishing-Seiten nicht so leicht zu identifizieren sind, brechen sie oft zuerst in Webseiten ein und installieren dort ihr Phishing-Kit, ohne dass die BetreiberInnen etwas davon mitbekommen.

Sollte Ihre Seite eine Phishing-Seite hosten, empfiehlt CERT.at folgende Vorgehensweise:

  1. Identifizieren und Beheben des ursprünglichen Problems. Oft reicht dazu das Aktualisieren der betroffenen Software, speziell auch aller Plugins und Themes aus.
  2. Überprüfung der betroffenen Webserver auf mögliche Hintertüren, die die AngreiferInnen eingebaut haben könnten.
  3. Beseitigung des Phishing-Kits und Wiederherstellen des ursprünglichen Zustands der Webseite.

Wenn Sie sich nicht sicher sind, wie Sie diese Schritte durchführen, empfiehlt CERT.at, sich an einen professionellen Ihren IT-Dienstleister zu wenden.

Fake Pharmacy Hacks

Bei einem Fake Farmacy Hack brechen Kriminelle in Server ein und platzieren dort Stichworte, die Suchmaschinen wie Google oder DuckDuckGo indexieren, während sie den normalen BesucherInnen nicht angezeigt werden.

In vielen Fällen sind diese Stichwörter "Cialis" oder "Viagra", also vorgebliche Potenzmittel, die Ihre Seite für die Suchmaschinen so aussehen lassen, als wäre Ihre Seite ein Shop für eben diese. Sind die Suchmaschinen davon erstmal "überzeugt", ist es für die Kriminellen möglich, die Suchmaschinen dazu zu bringen, dass Sie Anfragen für Ihre Webseite stattdessen auf die Shops der Kriminellen weiterleiten. Alle BesucherInnen, die dann in den Suchergebnissen von Google auf Ihre Webseite klicken, werden dann stattdessen zu (in den allermeisten Fällen betrügerischen) Shops weitergeleitet, während BesucherInnen, die Ihre Seite ansurfen, indem Sie die Adresse im Browser direkt eingeben, nicht betroffen sind.

Sollte Ihre Seite Opfer eines Fake Farmacy Hacks sein, empfiehlt CERT.at folgende Vorgehensweise:

  1. Identifizieren und Beheben des ursprünglichen Problems. Oft reicht dazu das Aktualisieren der betroffenen Software, speziell auch aller Plugins und Themes aus.
  2. Überprüfung der betroffenen Webserver auf mögliche Hintertüren, die die AngreiferInnen eingebaut haben könnten.
  3. Beseitigung des Stichwörter aus den HTML-Files und Wiederherstellen des ursprünglichen Zustands der Webseite.

Wenn Sie sich nicht sicher sind, wie Sie diese Schritte durchführen, empfiehlt CERT.at, sich an einen professionellen Ihren IT-Dienstleister zu wenden.

Search Engine Ranking Hack

Einer der Parameter, nach denen Suchmaschinen die "Wichtigkeit" einer Webseite beurteilen ist die Anzahl anderer Webseiten, die auf diese Webseite verlinken; je mehr, desto "wichtiger". Bei einem Search Engine Ranking Hack nutzen Kriminelle genau diesen Umstand aus, indem sie in möglichst viele Webseiten einbrechen und dort Links zu ihren eigenen Webseiten (sehr oft sind das Fake-Shops) einbauen. Diese Links werden oft versteckt, sodass sie nicht sichtbar sind, wenn man die Seite aufruft.

Sollte Ihre Seite Opfer eines Fake Farmacy Hacks sein, empfiehlt CERT.at folgende Vorgehensweise:

  1. Identifizieren und Beheben des ursprünglichen Problems. Oft reicht dazu das Aktualisieren der betroffenen Software, speziell auch aller Plugins und Themes aus.
  2. Überprüfung der betroffenen Webserver auf mögliche Hintertüren, die die AngreiferInnen eingebaut haben könnten.
  3. Beseitigung des Links und Wiederherstellen des ursprünglichen Zustands der Webseite.

Wenn Sie sich nicht sicher sind, wie Sie diese Schritte durchführen, empfiehlt CERT.at, sich an einen professionellen Ihren IT-Dienstleister zu wenden.

Exploit Packs

Als "Exploit Pack" bezeichnet CERT.at jede Art von Schadsoftware, die beim Besuch einer Webseite auf dem Computer der/des BesucherIn ausgeführt wird.

Ist Ihre Seite Opfer eines Exploit Packs, bedeutet das also, dass Kriminelle sich Zugriff auf Ihr System verschafft haben und dort Schadsoftware installiert haben, die nun an alle BesucherInnen verteilt wird. Um das Problem zu beheben, empfiehlt CERT.at folgende Vorgehensweise:

  1. Identifizieren und Beheben des ursprünglichen Problems. Oft reicht dazu das Aktualisieren der betroffenen Software, speziell auch aller Plugins und Themes aus.
  2. Überprüfung der betroffenen Webserver auf mögliche Hintertüren, die die AngreiferInnen eingebaut haben könnten.
  3. Beseitigung des Schadsoftware und Wiederherstellen des ursprünglichen Zustands der Webseite.

Wenn Sie sich nicht sicher sind, wie Sie diese Schritte durchführen, empfiehlt CERT.at, sich an einen professionellen Ihren IT-Dienstleister zu wenden.