Firmenlink

ESET

 

Niemals Anhänge im DOC-, PDF- oder ZIP-Format öffnen

Immer noch stecken Viren und Trojaner in E-Mail-Beilagen. Schliesslich funktioniert das für die Cyberkriminellen seit vielen Jahren tipptopp.

von Gaby Salvisberg 21.11.2015

Der britische Computersicherheits-Experte Graham Cluley machte in seinem Blog kürzlich wieder einmal darauf aufmerksam, dass Cyberkriminelle offenbar ungebremst schädliche Mail-Beilagen in der Welt herumschicken.

Welche der rot markierten Mails mit Anhängen haben wohl einen Schädling an Bord? Wir wollen es gar nicht wissen – ehrlich. Es ist Spam und gehört deshalb ungeöffnet gelöscht:

Vier der Spam-Mails haben Beilagen; möglicherweise infizierte. Vier der Spam-Mails haben Beilagen; möglicherweise infizierte. Zoom© pctipp.ch

Die Mails sind durchwegs gefälscht und behaupten, sie stammten von einer Lotterie-Gesellschaft, von Ihrem Provider, von einem Reisebüro, vom Kurierdienst UPS, DHL oder FedEx, von der Bank, von PayPal oder von einer sonstigen seriösen Firma. Die Texte behaupten, bei der Beilage handle es sich um eine Bestell- oder Reisebestätigung, um eine Rechnung oder um ein sonstiges wichtiges Dokument.

Angehängt sind dann Dateien in abwechselnden Formaten. Mal ist es eine Word-DOC-Datei, häufig sinds auch PDFs und ebenfalls sehr häufig ZIP. In letzteren stecken dann wiederum verschiedene Dateitypen drin, wie etwa EXE, SCR, PDF, DOC, XLS.

In Word- oder Excel-Dateien können gefährliche Makros stecken, die beim Ausführen (schon beim Öffnen der Datei) einen Trojaner herunterladen. In PDFs und angehängten HTML-Dateien können schädliche Scripts enthalten sein, die dasselbe tun. Und bei Dateien mit Endung EXE, SCR, COM, CMD oder BAT handelt es sich selbst um ausführbare Dateien oder Batch-Files, die enthaltene Befehle abspulen. Meistens ist das Ziel auch da ein Herunterladen oder Installieren eines Trojanischen Pferdes.

Ob das dann ein Erpressungstrojaner ist, der Ihre Daten unbrauchbar macht oder ein Schnüffeltrojaner, der Ihre Daten ausspioniert, ist einerlei: Sie wollen keinen Schädling auf dem PC haben. Ihr Virenscanner wird ihn womöglich entweder gar nicht entdecken, oder dann zu spät.

Mails über Lotteriegewinne oder angebliche Erbschaften können Sie gleich unbesehen löschen. 

Aber was, wenn Sie eine solche Datei in einer Mail von einer Firma bekommen, die Ihnen bekannt ist? Was, wenn Sie tatsächlich mit dem Reisebüro, mit UPS, mit jener Bank oder mit PayPal in Verbindung stehen? Ist es wirklich plausibel, dass Sie ausgerechnet jetzt eine Mitteilung jenes Unternehmens bekommen?

Wenn Sie nichts bestellt haben, dann erwarten Sie keine Rechnung. Und falls offene Rechungen vorhanden sind, haben Sie möglicherweise ein Kunden-Login, um diese zu prüfen. Benutzen Sie zum Einloggen aber keinesfalls den Link in der zweifelhaften Mail.

Eine Bank hat bessere Wege, Ihnen Nachrichten zu senden. Meistens tut sie das per Briefpost. Wenn Sie Online-Banking machen, dann kann eine Bank Ihnen auch direkt in Ihrem Online-Konto Mitteilungen senden. Loggen Sie sich nur über jenen Link beim Banking ein, den Sie auch sonst verwenden – niemals über einen Link in einer Mail. Schauen Sie in Ihrem Online-Banking-Konto nach, ob eine Mitteilung vorliegt. Selbiges gilt für PayPal.

Wenn Sie das Unternehmen zwar kennen, aber jetzt gerade keine Post von ihm erwarten, dann können Sie von einer Fälschung ausgehen. Öffnen Sie einfach um Himmels Willen die Attachments nicht. Fragen Sie beim betroffenen Unternehmen über jene Kanäle nach, die Ihnen in früherer Korrespondenz genannt wurden. Falls es sich scheinbar um die Mail eines Reisebüros handelt, nehmen Sie die Telefonnummer aus dem Briefkopf Ihrer letzten Reisebestätigung. Falls es ein Kurierdienst wie FedEx oder UPS ist, besuchen Sie die offizielle Webseite (natürlich nicht über den Link in der dubiosen Mail) und kontaktieren Sie die Hotline.

Wenn Sie in der Lage sind, den Anhang zu speichern, ohne ihn zu öffnen, können Sie ihn auch einmal bei Virustotal einwerfen: https://www.virustotal.com/. Bei dubiosen Mailanhängen sollten Sie davon ausgehen: Wenn auch nur eine der zahlreichen Scan-Engines von Virustotal etwas Verdächtiges in der Datei findet, dann ist sie wahrscheinlich präpariert. Aber auch wenn die Datei laut Virustotal unverdächtig aussieht – Sie können nicht wissen, ob das stimmt, denn die Virenscanner sehen nicht alles. 

Seien Sie vorsichtig. Öffnen Sie keine solchen Attachments.

Zum Schluss noch die Antwort auf eine häufige Frage:

«Wenn die Mail nicht von der echten Firma stammt, woher weiss der Kriminelle, dass ich dort ein Kunde bin?»

Ganz einfach: Er verschickt solche Mails an Millionen von zufällig zusammengeklauten und im Schwarzmarkt gehandelten Mailadressen. Die meisten Empfänger merken, dass es Fälschungen sind, weil sie bei den angeblichen Absender-Firmen keine Konten haben. Sie können aber davon ausgehen, dass ein Teil der Mails Personen erreicht, die dort tatsächlich Kunde sind.


    Kommentare

    • murphych 23.11.2015, 15.15 Uhr

      Was ist eigentlich gefährlich an pdf's? Gibt es pdf's mit eingebundenen Scripts?

    • Gaby Salvisberg 23.11.2015, 15.46 Uhr

      Hallo murphych PDFs können Scripts enthalten oder sonstigen Code, der z.B. Sicherheitslücken missbraucht. http://resources.infosecinstitute.com/analyzing-malicious-pdf/ Herzliche Grüsse Gaby

    • PC-John 23.11.2015, 19.17 Uhr

      Nicht nur Attachments in den genannten Formaten können Schad-Code enthalten, sondern auch eine ganz normale HTML-Mail. Soll eine Mail wirklich nur den gewünschten Text enthalten, so sollte sie nicht HTML-like sein, sondern "Nur-Text" sein. Denn bereits im HTML-Code kann ein Schad-Code versteckt sein, nicht direkt, sondern indirekt. Du hast im Browser dann eingestellt: Bilder werden erst auf Anforderung heruntergeladen. Das heisst also, alle Grafiken werden mit einem Quadrätchen/Rechteck [...]

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.