IT Sicherheit

Im Augenblick grassiert eine E-Mail, die vorgibt, eine Bestellung zu sein. Im Anhang befindet sich wieder einmal ein Word-Dokument, das statt einer Bestellung einen Makrovirus enthält, sehr wahrscheinlich einen Trojaner-Downloader.

Die Besonderheit dieser E-Mail ist, dass sie sehr glaubwürdig aussieht. Hier der Text:

Betreff: Bestellung

Sehr geehrte Damen und Herren,

anbei unsere Bestellung.

Bitte senden Sie uns Ihre Auftragsbestätigung kurzfristig zu.

Für Rückfragen stehe ich Ihnen gerne zur Verfügung.

Wir freuen uns auf eine gute und erfolgreiche Zusammenarbeit.

Mit freundlichen Grüßen
luis

JAD AG
Deutschland

München, Deutschland
Tel.: +49 89 9798

Sitz der Gesellschaft: Berlin und München, Deutschland; Registergericht: Berlin Charlottenburg, HRB 12300, München, HRB 6621; WEEE-Reg.-Nr. DE 23696923

Sieht man einmal davon ab, dass „luis“ seine Unterschrift klein geschrieben hat und der Absender mit „elis martin.zacharias“@t-online.de (inklusive der Anführungsstriche) ungewöhnlich ist und nicht zu dem Namen in der E-Mail passt, wirkt diese E-Mail deutlich glaubwürdiger, als das bei derartigen Angriffen sonst der Fall ist. Vor allem im Vergleich zu dem, was Firmen sonst oft versenden, denn nicht selten sind Firmen-E-Mails von Spam minderster Qualität kaum zu unterscheiden.

Update 28.03.2017: Aktuell kursiert eine völlig glaubwürdig erscheinende Telekom-E-Mail mit einer Festnetzrechnung im Anhang, die ebenfalls ein Makrovirus ist. Sichtbarer (und gefälschter) Absender und sämtliche Links in der Mail sind korrekt. Die Mail als Bildschirmfoto:

Makrovirus in Word-Dokument, vorgeblich Festnetz-Rechnung
Makrovirus in Word-Dokument, vorgeblich Festnetz-Rechnung

Albern natürlich die Angabe einer No-Reply-Adresse als Antwortadresse… Das Word-Dokument enthält dafür aber ebenfalls die unten abgebildete Bitte, das Makro zuzulassen, in deutlich besserem Deutsch.

Das Word-Dokument trägt eine Bestellnummer und das Datum von heute im Dateinamen. Öffnet man die Datei bei abgeschalteten Makros in einem Office-Programm, erscheint folgende Meldung als erste Dokumentseite:

Word Makro Trojaner bittet um Aktivierung der Makrofunktionen
Word Makro Trojaner bittet um Aktivierung der Makrofunktionen

Hier wird das Deutsch holpriger, aber trotzdem wirkt das ganze vielleicht glaubwürdig genug, die Anweisung zu befolgen. Tut man dieses, wird der Trojaner (-Downloader) aktiviert und das Unheil nimmt seinen Lauf.

Also: Doppelte und dreifache Vorsicht bei allen Office-Dokumenten. Die Makro-Einstellungen müssen mindestens so eingerichtet sein, dass vor dem Ausführen gefragt wird. Bei unbekannten Dateien sollte die Ausführung niemals erlaubt werden.

War dieser Beitrag für Sie nützlich? [thumbs-rating-buttons]

Verwandte Beiträge:

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert