Kopierte Mails wirken täuschend echt. Enthaltene Links und Anhänge bergen aber große Gefahr.

Malware Emotet ist zurück

Veröffentlicht am

Malware Emotet ist zurück

Emotet, der Trojaner, ist zurück

Die neue Taktik des Trojaners Emotet: Mails aus infizierten Postfächern zu kopieren und erneut zu versenden, um die Malware zu verbreiten. Vorsicht also.

Gefährliche E-Mails

Wir hatten schon Tipps zu gefährlichen E-Mail-Anhängen gegeben: Dieser Artikel ist immer noch aktuell. Leider. Sowohl der CERT-Bund (Computer Emergency Response Team) als auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnen derzeit nämlich vor einer neuen Spam- und Phishing-Welle: Die Schadsoftware „Emotet“ ist zurück. Dazu erklärte BSI-Präsident Arne Schönbohm schon im Dezember letzten Jahres auf der Homepage des BSI: „Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden.“

Der Trojaner Emotet reist mit Gepäck

Ein falscher Klick auf einen scheinbar seriösen Anhang oder Link – und der Trojaner wird heruntergeladen. Nicht nur liest er dann Kontakte und E-Mail-Inhalte aus Postfächern aus – die Cyberkriminellen benutzen die kopierten Inhalte und Adressen für die weitere Verbreitung der Malware. Außerdem hat Emotet zusätzliche Schadsoftware im Gepäck, er installiert diese selbständig. Das können zum Beispiel Banking-Trojaner wie Trickbot sein. Dieser greift inzwischen nicht mehr nur auf Daten im Online-Banking zu, sondern auch auf Passwörter, Cookies, Browser-Historien, Autofillin-Daten. Oder es kann Ransomware sein, die dann den befalle Rechner verschlüsselt, Sicherheitskopien löscht und den Kriminellen Erpressungsversuche ermöglicht. „Zahle, oder du bekommst deine Daten nie wieder“.

Bitte aufpassen: Absender und Links prüfen, Anhänge nicht öffnen

Also: Bitte aufpassen, die Mails wirken absolut echt, die Anhänge sind oft Office-Dokumente im Excel- oder Word-Format. Unten im Kasten haben wir auf einen Ratgeber-Artikel auf netzwelt.de verlinkt. Es lohnt sich, da einmal rein zu lesen, da auch seriöse Absender-Adressen wie die vom Bezahldienst Paypal, der Einkaufsplattform amazon, des Versandhändlers DHL und des Internet-Dienstleisters Telekom simuliert werden.

Außerdem ist es ganz leicht, die Adresse eines Links umzubenennen. Daher folgender Tipp: Fahren (nicht klicken!) Sie mit der Maus über den Link und schon wird Ihnen in einem kleinen Pop-up-Fenster am Mauszeiger anzeigt, welche URL sich hinter dem Link verbirgt. Weichen Link und tatsächliche URL voneinander ab, sollten Sie den Link nicht öffnen.

CERT-Bund zeigt Beispiele

Der Twitter-Account des @certbund zeigt in seinen Postings übrigens immer wieder Screenshots von Beispielen verdächtiger Absender, Links und Dokumente. Einfach den soeben verlinkten Account aufrufen und im Browser mal in die Postings reinlesen, dafür braucht man nicht mal einen eigenen Twitter-Account.

Die E-Mail will partout nicht sterben. Sie ist in vielen Organisationen relevanter Bestandteil der Unternehmensorganisation. Leider hat sie ihre Tücken.

Dein Freund, die E-Mail. #nicht

Veröffentlicht am

Dein Freund, die E-Mail. #nicht

Die E-Mail hat ihre Tücken.

Klick. E-Mail gesendet. Von 65.000 Empfängern im Verteiler antworten 230 an Alle. Das machte in kürzester Zeit eine Anzahl von über 17 Millionen E-Mails innerhalb einer halben Stunde. Für uns ein Anlass, auf Fehlerquellen im Mailverkehr zu gucken.

Dienstag, 26. März 2019, 13 Uhr 33. Die netteste Zusammenfassung dessen, was zu diesem Zeitpunkt in Hamburg passiert ist, liest sich so (Quelle: NDR.de):

Hamborger Ämter güngen in E-Mails ünner

En E-Mail-Mallöör hett över Stünnen för Chaos in de Hamborger Ämter sorgt. En Mitarbeidersche vun’n externen Bedriev „Dataport“ harr güstern ut Versehen en interne Mail an all fiefunsösstigdusend Amtslüüd schickt. Hunnerte hefft denn dorop antert – an ehr un an de fiefunsösstigdusend. Na twee Stünnen mit Hunnertdusende vun Mails harr „Dataport“ de Saak wedder ünner Kontroll.

Was geschah

Wer den Schaden nicht hatte, konnte sich über den Vorfall gut amüsieren. Die Twitter-Gemeinde und einige Zeitungen haben gelacht und gefrotzelt. Für alle Involvierten bedeutete die Mailschwemme vor allem: Ärgernis und zum Teil Arbeitsunfähigkeit. Innerhalb von nur fünf Minuten waren 65.000 Postfächer überfüllt mit mindestens 20 Antworten an alle. Und das setzte sich noch gut eine Stunde lang so fort.

Die Hamburger Morgenpost beschrieb es so anschaulich, als wäre sie dabei gewesen, zwei Stunden später in einem Artikel: „Was soll das?“, „Warum bekomme ich diese Mail?“, „Bitte löschen Sie mich aus Ihrem Verteiler“, „Hört auf zu antworten“, „Hilfe“ – im Sekundentakt ploppten bei sämtlichen Mitarbeitern neue Nachrichten auf. Und das überlastete den Server schließlich. „Hier geht nichts mehr“, heißt es aus mehreren Behörden.

Dataport sorgte innerhalb von 30 Minuten dafür, dass an die Verteilerliste nicht mehr geantwortet werden konnte. Trotzdem waren die Server voll ausgelastet und brauchten rund zwei Stunden, um die Warteschlange an Mails abzuarbeiten. Den Mitarbeitern der Behörden blieb leider nur die Möglichkeit, ihre Postfächer von Hand „zu bereinigen“. Es hieß also: Betreff der auslösenden Mail in die Suche des eigenen Outlook-Postfachs kopieren, alle Ergebnisse markieren, alle löschen. Und das mehrmals.

Fehlerquellen aufdecken

Es macht Sinn, sich einmal anzusehen, warum so etwas passiert und wie es sich vermeiden lässt. Denn so ein Fehler – ausgelöst durch den Faktor „Mensch“ – passiert immer wieder auch vielen anderen Unternehmen, die mit Mail-Verteilern arbeiten. Und das sind etliche, in öffentlicher Hand genauso wie in Non-Profit-Organisationen oder Wirtschaftsunternehmen.

  • Als Empfänger einer Mail nicht sofort antworten. Wundern ist erlaubt – „Warum erhalte ich jetzt diese Mail? Das geht mich doch nichts an?“ – aber: Erstmal in den Kopfbereich der Mail gucken. Dort kann man einsehen, wer adressiert wird. Verteilerlisten haben in jeder Organisation bestimmte Namen und folgen einem Schema. Empfehlung: Sich einfach mal fünf Minuten Zeit nehmen und sich orientieren: Wie lauten die Namen der Listen in meinem Unternehmen?
  • Verteilerlisten lassen sich mit einem Klick aufklappen. Spätestens dann kann man erkennen, dass eine große Anzahl von Personen adressiert wird.
  • Fühle ich mich zu Unrecht adressiert, suche ich nach dem Absender und spreche diesen direkt an. Den Absender ermittele ich natürlich gleichfalls im oberen Bereich der E-Mail.
  • Niemand kann alle Funktionen eines Programms kennen. Wenn man neu im Unternehmen ist oder das Gefühl von Wissenslücken hat, die Kollegen helfen sicher gerne bei Fragen.
  • Vor allem aufmerksam bleiben. Als Beispiel: Ich möchte einen Termin über Outlook organisieren, eine Kalenderfreigabe aktivieren oder eine Mail versenden. Dabei suche ich im Adressbuch die Empfänger aus. Ein schneller Klick und ich habe jemanden hinzugefügt. Regel Nummer eins: Bevor ich auf „Senden“ klicke, prüfe ich die Empfänger(-Liste). Ein Klick kann eben auch mal daneben gehen in der Eile.
Fazit

Irren ist menschlich, eine Sekunde der Unaufmerksamkeit hat sich bitter gerächt. Uns in der Redaktion hat dieser bedauerliche Vorfall aber auch zum Nachdenken angeregt. Die Technik könnte „besser“ – oder sagen wir „hilfreicher“ – sein. Zum Beispiel wäre eine Warnung in Form einer Bestätigungsabfrage sinnvoll. Sie sind im Begriff, eine E-Mail an XY Personen zu versenden. An dieser Stelle wären die Software-Hersteller gefragt.

Verteilerlisten sind unumgänglich in der Unternehmensorganisation – zumindest solange, wie diese noch über Mails abgewickelt wird. Wir werden uns in der dritten Ausgabe des Kundenmagazins im Herbst daher einmal mit modernen, kollaborativen Tools beschäftigen, die die E-Mail in Organisationen ablösen können oder es zum Teil auch schon tun.

Der Schaden hätte sich sicher minimieren oder sogar ganz vermeiden lassen mit etwas mehr Aufmerksamkeit der Situation gegenüber. Das gilt für ernsthafte Fragen wie „Warum bin ich in diesem Verteiler. Bitte austragen“ genauso wie für scherzhafte Kommentare oder gut gemeinte Handlungsempfehlungen á la „Bitte nicht mehr auf diese Mails antworten. Ihr crasht gerade den Server.“

Sie haben eine Meinung zu diesem Thema? Dann schreiben Sie an die Redaktion unter redaktion@datareport.de. Wir werden Ihre Anregungen gerne aufgreifen und weiter thematisieren.

Gerade eine ernste Bedrohung: Der Trojaner "Emotet" verbreitet sich über Phishing-Mails in großem Stil. Ein paar Tipps, wie man sich schützt.

Erst denken – dann klicken

Veröffentlicht am

Risiko E-Mail

Der Trojaner Emotet bedroht ganze Unternehmensnetzwerke: So schützen Sie sich vor Pishing-Mails

Die Zahl der verschickten E-Mails steigt von Jahr zu Jahr explosionsartig. 2017 werden jeden Tag weltweit knapp 270 Milliarden Mails durch die Netze übertragen, für 2021 gehen die Prognosen bereits von fast 320 Milliarden Mails am Tag aus. Bei einem großen Teil dieser Nachrichtenflut handelt es sich um unerwünschte Mails (Spam), die im besten Falle lästig, im schlimmsten Falle gefährlich für den eigenen Computer sein können. Der drastische Anstieg des Mailverkehrs kommt nicht von ungefähr: Über keinen anderen Weg können Cyberkriminelle ihre Viren, Würmer, Trojaner und Betrugsattacken so einfach verbreiten wie über E-Mails. Laut dem Jahresbericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat sich die Anzahl der Spam-Mails mit Schadsoftware in Anhängen oder auf verlinkten Seiten seit Ende 2015 um 1.270 Prozent erhöht.

Schwachstelle Unvorsichtigkeit

Die Attacke über die E-Mail scheint sich zu lohnen, denn die Angreifer nutzen dabei einen gravierenden Schwachpunkt im Schutz eines Computers vor Viren aus: die Unvorsichtigkeit des Nutzers. Ein gefährlicher Anhang oder Link ist in Eile, vor Schreck oder aus Unwissenheit schnell angeklickt und das Schadprogramm kann bei unzureichend geschützten Systemen sein Werk beginnen. Dabei ist die Qualität der trügerischen Mails inzwischen beachtlich und von Originalnachrichten zum Beispiel der Telefongesellschaft, der Versicherung oder des Energieversorgers kaum noch zu unterscheiden.

Misstrauen ist gefragt

Es heißt also: Augen auf und genau hingucken. Wie kann man sich am besten schützen? Angesichts der rasant steigenden Bedrohung ist für E-Mail-Nutzer neben aktuellem technischem Schutz wie Virenscannern und sicheren Systemeinstellungen vor allem das Misstrauen der Nutzer gefragt. Mit etwas Besonnenheit und einfachen Plausibilitätsprüfungen lässt sich das Risiko schon deutlich minimieren.

  • Niemals Links oder Anhänge in Mails von unbekannten Absendern öffnen. Sollte es sich um etwas Authentisches handeln, wird sich der Betreffende mit Sicherheit wieder melden.
  • Dateiformat von Anhängen prüfen: Auch wenn es sich offenbar um ein PDF-Dokument handelt, kann sich dahinter eine ausführbare Datei (*.exe)
  • Übersetzungen aus anderen Sprachen sind mittlerweile sehr gut. Doch oft finden sich in der Anrede oder im Text noch merkwürdige Formulierungen und Fehler. Ein Indiz für eine Fälschung.
  • Bei bekannten Absendern misstrauisch sein: Ist es plausibel, dass mir derjenige einen Anhang oder einen Link schickt? Im Zweifelsfalle per Telefon oder Messenger nachfragen.
  • Bei Rechnungen und Mahnungen von bekannten Unternehmen genau überlegen: Hat man wirklich einen Vertrag oder etwas bestellt? Hat es zu einer Mahnung überhaupt eine Rechnung gegeben? Im Zweifelsfall lieber über die Internetseite des Unternehmens das eigene Benutzerkonto öffnen und nachschauen, ob es aktuelle Dokumente gibt.
  • Gewinne und Schnäppchen: Mails mit Links auf angebliche Gewinne, Erbschaften oder Super-Schnäppchen sind immer verdächtig. Niemand Seriöses hat etwas zu verschenken.
  • Nicht erschrecken lassen: Abmahnungen oder Schreiben von Rechtsanwälten bekommt man per Post, niemals per E-Mail. Drohungen, dass Benutzerkonten gesperrt werden, dass es „dringenden Handlungsbedarf“ gibt oder Links auf Fotos, auf denen man angeblich zu sehen ist, sollen nur zu unbedachten Klicks verleiten.
  • Aufforderungen zur Bestätigung von Nutzerdaten ignorieren: Fordert ein bekanntes Unternehmen Sie auf, Ihre Nutzerdaten über einen Link zu verifizieren, ist Vorsicht geboten. Kein seriöses Unternehmen geht so vor. Anmeldebestätigungen erhalten Sie nur dann, wenn Sie sich für einen Newsletter eintragen.
  • Hinweise von WhatsApp, Dropbox und Co. in englischer Sprache löschen: Mails von diesen großen Onlinediensten erhält man normalerweise auf Deutsch.
  • Es empfiehlt sich, mehrere Mailadressen für verschiedene Zwecke zu verwenden. Zum Beispiel eine für Bestellungen, eine für private Korrespondenz, eine für Hobbies. Wenn dann eine Telefonrechnung in der falschen Mailbox eintrudelt, ist die Fälschung offensichtlich.

Für den Nutzer gilt also vor allem die Regel: Erst nachdenken und prüfen – dann klicken. Das ist zwar lästig und kostet Zeit, doch der Aufwand lohnt sich, wenn man den Schaden bedenkt, der durch infizierte Rechner und kompromittierte Benutzerkonten entstehen kann.