Tipps & Tricks 21.11.2015, 10:08 Uhr

Niemals Anhänge im DOC-, PDF- oder ZIP-Format öffnen

Immer noch stecken Viren und Trojaner in E-Mail-Beilagen. Schliesslich funktioniert das für die Cyberkriminellen seit vielen Jahren tipptopp.
Der britische Computersicherheits-Experte Graham Cluley machte in seinem Blog kürzlich wieder einmal darauf aufmerksam, dass Cyberkriminelle offenbar ungebremst schädliche Mail-Beilagen in der Welt herumschicken.
Welche der rot markierten Mails mit Anhängen haben wohl einen Schädling an Bord? Wir wollen es gar nicht wissen – ehrlich. Es ist Spam und gehört deshalb ungeöffnet gelöscht:
Die Mails sind durchwegs gefälscht und behaupten, sie stammten von einer Lotterie-Gesellschaft, von Ihrem Provider, von einem Reisebüro, vom Kurierdienst UPS, DHL oder FedEx, von der Bank, von PayPal oder von einer sonstigen seriösen Firma. Die Texte behaupten, bei der Beilage handle es sich um eine Bestell- oder Reisebestätigung, um eine Rechnung oder um ein sonstiges wichtiges Dokument.
Angehängt sind dann Dateien in abwechselnden Formaten. Mal ist es eine Word-DOC-Datei, häufig sinds auch PDFs und ebenfalls sehr häufig ZIP. In letzteren stecken dann wiederum verschiedene Dateitypen drin, wie etwa EXE, SCR, PDF, DOC, XLS.
Die Mail suggeriert einen Lotteriegewinn. Trotzdem: Beilage nicht öffnen!
In Word- oder Excel-Dateien können gefährliche Makros stecken, die beim Ausführen (schon beim Öffnen der Datei) einen Trojaner herunterladen. In PDFs und angehängten HTML-Dateien können schädliche Scripts enthalten sein, die dasselbe tun. Und bei Dateien mit Endung EXE, SCR, COM, CMD oder BAT handelt es sich selbst um ausführbare Dateien oder Batch-Files, die enthaltene Befehle abspulen. Meistens ist das Ziel auch da ein Herunterladen oder Installieren eines Trojanischen Pferdes.
Was wohl in der Zip-Datei mit dem lustigen Namen steckt? Egal – nicht öffnen!
Ob das dann ein Erpressungstrojaner ist, der Ihre Daten unbrauchbar macht oder ein Schnüffeltrojaner, der Ihre Daten ausspioniert, ist einerlei: Sie wollen keinen Schädling auf dem PC haben. Ihr Virenscanner wird ihn womöglich entweder gar nicht entdecken, oder dann zu spät.
Mails über Lotteriegewinne oder angebliche Erbschaften können Sie gleich unbesehen löschen. 
Aber was, wenn Sie eine solche Datei in einer Mail von einer Firma bekommen, die Ihnen bekannt ist? Was, wenn Sie tatsächlich mit dem Reisebüro, mit UPS, mit jener Bank oder mit PayPal in Verbindung stehen? Ist es wirklich plausibel, dass Sie ausgerechnet jetzt eine Mitteilung jenes Unternehmens bekommen?
Wenn Sie nichts bestellt haben, dann erwarten Sie keine Rechnung. Und falls offene Rechungen vorhanden sind, haben Sie möglicherweise ein Kunden-Login, um diese zu prüfen. Benutzen Sie zum Einloggen aber keinesfalls den Link in der zweifelhaften Mail.
Eine Bank hat bessere Wege, Ihnen Nachrichten zu senden. Meistens tut sie das per Briefpost. Wenn Sie Online-Banking machen, dann kann eine Bank Ihnen auch direkt in Ihrem Online-Konto Mitteilungen senden. Loggen Sie sich nur über jenen Link beim Banking ein, den Sie auch sonst verwenden – niemals über einen Link in einer Mail. Schauen Sie in Ihrem Online-Banking-Konto nach, ob eine Mitteilung vorliegt. Selbiges gilt für PayPal.
Wenn Sie das Unternehmen zwar kennen, aber jetzt gerade keine Post von ihm erwarten, dann können Sie von einer Fälschung ausgehen. Öffnen Sie einfach um Himmels Willen die Attachments nicht. Fragen Sie beim betroffenen Unternehmen über jene Kanäle nach, die Ihnen in früherer Korrespondenz genannt wurden. Falls es sich scheinbar um die Mail eines Reisebüros handelt, nehmen Sie die Telefonnummer aus dem Briefkopf Ihrer letzten Reisebestätigung. Falls es ein Kurierdienst wie FedEx oder UPS ist, besuchen Sie die offizielle Webseite (natürlich nicht über den Link in der dubiosen Mail) und kontaktieren Sie die Hotline.
Wenn Sie in der Lage sind, den Anhang zu speichern, ohne ihn zu öffnen, können Sie ihn auch einmal bei Virustotal einwerfen: https://www.virustotal.com/. Bei dubiosen Mailanhängen sollten Sie davon ausgehen: Wenn auch nur eine der zahlreichen Scan-Engines von Virustotal etwas Verdächtiges in der Datei findet, dann ist sie wahrscheinlich präpariert. Aber auch wenn die Datei laut Virustotal unverdächtig aussieht – Sie können nicht wissen, ob das stimmt, denn die Virenscanner sehen nicht alles. 
Seien Sie vorsichtig. Öffnen Sie keine solchen Attachments.
Zum Schluss noch die Antwort auf eine häufige Frage:
«Wenn die Mail nicht von der echten Firma stammt, woher weiss der Kriminelle, dass ich dort ein Kunde bin?»
Ganz einfach: Er verschickt solche Mails an Millionen von zufällig zusammengeklauten und im Schwarzmarkt gehandelten Mailadressen. Die meisten Empfänger merken, dass es Fälschungen sind, weil sie bei den angeblichen Absender-Firmen keine Konten haben. Sie können aber davon ausgehen, dass ein Teil der Mails Personen erreicht, die dort tatsächlich Kunde sind.



Kommentare
Avatar
Gaby Salvisberg
23.11.2015
Hallo murphych PDFs können Scripts enthalten oder sonstigen Code, der z.B. Sicherheitslücken missbraucht. http://resources.infosecinstitute.com/analyzing-malicious-pdf/ Herzliche Grüsse Gaby

Avatar
PC-John
23.11.2015
Nicht nur ... Nicht nur Attachments in den genannten Formaten können Schad-Code enthalten, sondern auch eine ganz normale HTML-Mail. Soll eine Mail wirklich nur den gewünschten Text enthalten, so sollte sie nicht HTML-like sein, sondern "Nur-Text" sein. Denn bereits im HTML-Code kann ein Schad-Code versteckt sein, nicht direkt, sondern indirekt. Du hast im Browser dann eingestellt: Bilder werden erst auf Anforderung heruntergeladen. Das heisst also, alle Grafiken werden mit einem Quadrätchen/Rechteck angezeigt, und mit einem "X" in der Mitte. Du fährst also mit der Maus auf ein solches X, drückst die rechte Maustaste, dann erscheint ein Popup-Menue, und fragt: "Bilder herunterladen", natürlich klickst du diese Option an ... Und dann werden alle kleine Bildchen ab dem Server abgerufen, schön schön. Diese Bildchen aber schlüpfen grundsätzlich durch den Antivirus hindurch, und schon hast du möglicherweise etwas Unschönes auf der Maschine. Auch Bildchen können ja verseucht sein. Und so ein verseuchtes Bildchen kann nur 1 x 1 Pixel gross sein, irgendwo in der Mail versteckt, dieses siehst du nicht. Willst du aber wie üblich die üblichen "Bilder herunterladen", so kommt auch dieses unscheinbare Pünktchen mit. Alles klar? PC-John

Avatar
Testbirds
24.11.2015
Ich stimme allem bisher gesagten zu, aber ich halte "Nur Text" E-Mails für nicht praktikabel. - komplett auf Bilder zu verzichten ist gerade bei Logos und Signaturen oft nicht möglich - doc und pdf sind weitverbreitete Formate. Wenn ich keine Mail mehr mit solchen Anhängen öffne, entgeht mir zu viel (Rechnungen, rechtliche Dokumente, etc.) - ich will "schöne" E-Mails :) Ist genau wie in vielen anderen Bereichen auch: Soll man sich wirklich wegen einem Bruchteil "Böser" nun vor allem fürchten? :)

Avatar
Pagnol
24.11.2015
- ich will "schöne" E-Mails :) Dann musst du eben leiden. Aber ich glaube, du verwechselst da "Mail-Inhalt" mit "Attachment". Es reicht ja, wenn die angehängte Rechnung im PDF-Format "schön" ist. Übrigens: Java-Scripts kann (und sollte) man im PDF-Viewer deaktivieren! Das beeinträchtigt die Schönheit nicht.

Avatar
Testbirds
24.11.2015
Dann musst du eben leiden. Aber ich glaube, du verwechselst da "Mail-Inhalt" mit "Attachment". Es reicht ja, wenn die angehängte Rechnung im PDF-Format "schön" ist. Übrigens: Java-Scripts kann (und sollte) man im PDF-Viewer deaktivieren! Das beeinträchtigt die Schönheit nicht. Tut mir leid, meine Antwort war größtenteils auf den Beitrag von PC-John bezogen "...Nicht nur Attachments in den genannten Formaten können Schad-Code enthalten, sondern auch eine ganz normale HTML-Mail..."

Avatar
Pagnol
24.11.2015
Wenn ich keine Mail mehr mit solchen Anhängen öffne, entgeht mir zu viel (Rechnungen, rechtliche Dokumente, etc.) Nur damit es keine Missverständnisse gibt (denn obiges Zitat deutet auf ein solches hin): Sofern die automatische Bildanzeige und HTML (meist reicht vereinfachtes HTML) deaktiviert sind, kannst du auch Mails mit Attachment ohne Sorge öffnen. Erst wenn du dann auch das ("schöne" :)) Attachment öffnest, könnte etwas passieren.