In den letzten Tagen beobachte ich gehäuft relativ glaubwürdige E-Mails, die auf Deutsch verfasst sind, echte Firmenadressen angeben und in einigen Fällen augenscheinlich sogar echte E-Mail-Adressen eben dieser Firmen verwenden. Die E-Mails sind relativ spartanisch aufgemacht und enthalten wenig Text, was sie aber leider nicht unglaubwürdig macht, da viele Firmen unsägliche und von Spam kaum zu unterscheidende, aber legitime E-Mails versenden.
Echte und glaubwürdige Absender
In einem sehr glaubwürdig wirkenden Fall schien die E-Mail von einer Münchener Immobilienfirma zu stammen, deren Internet-Adresse tatsächlich existiert (auch wenn sich zumindest derzeit keine Webseite dort öffnet), die auch ein Facebook-Profil mit dem in der E-Mail verwendeten Logo und der passenden E-Mail-Adresse besitzt und deren postalische Adresse ebenfalls stimmt. Allerdings findet sich im Internet auch ein Auszug aus dem öffentlichen Handelsregister, nach dem diese Firma seit 2013 insolvent und erloschen ist. Die Domäne ist laut whois-Eintrag bei einem Berliner Datencenter registriert.
Das einzige nicht glaubwürdige Element ist in diesem beobachteten Fall die Empfänger-Adresse, die seit Jahren nicht mehr in Gebrauch ist und zu einem längst ausgeschiedenen Mitarbeiter gehört, also vermutlich auf irgend einer Spam-Empfängerliste steht, die als Grundlage für den Versand benutzt wird.
Im Anhang: Makroviren für Microsoft Office
Die Anschreiben geben vor, Rechnungskopien zu senden. Im Anhang befinden sich Word-Dokumente, die natürlich Makros enthalten, die ihrerseits auf virustotal.com als Trojaner-Downloader und Makroviren erkannt werden. Wer einen solchen Anhang mit Microsoft Office öffnet, riskiert also, falls die Sicherheitseinstellungen die Ausführung von Makros nicht verhindern, die Infektion seines Computers mit Schadsoftware. Makros in Microsoft Office haben sehr weitgehende Berechtigungen im System, mit denen man gehörigen Schaden anrichten kann.
Insbesondere besteht die Gefahr, dass auf diese Weise Verschlüsselungstrojaner auf die Computer gelangen, denn in letzter Zeit wird eine Zunahme dieser Art von Bedrohung beobachtet. Verschlüsselungstrojaner brauchen nicht einmal besondere Berechtigungen und Tricks, um im System ihren Schaden anzurichten. Sie verschlüsseln einfach die Daten des Benutzers und fordern ein Lösegeld. Sie funktionieren bei jedem, nicht nur einer ausgewählten Zielgruppe, haben also sehr geringe Streuverluste. Gegen sie hilft nur ein regelmäßiges Backup aller Daten, das man im Infektionsfall nach der Beseitigung des Trojaners zurückspielt.
Mit etwas Phantasie oder Überredungskunst kann man Verschlüsselungstrojaner auch gegen OS X und Linux ins Feld führen. Auf Android existieren sie bereits ebenfalls, sind allerdings derzeit noch relativ ungefährlich, da sie dort nichts wirklich verschlüsseln können. Sie scheinen nur den Zugang zum Gerät zu versperren, lassen sich aber im abgesicherten Modus recht einfach deinstallieren.
Es gibt auch bereits die Paarung von Verschlüsselungstrojanern mit Passwort-Harvestern, die die Daten nach unverschlüsselten Benutzernamen und Passwörtern für Webseiten und -dienste durchsuchen und diese an ihre Verteiler melden. Der reelle Schaden, den diese Programme bei jedem beliebigen Benutzer anrichten können, ist deutlich größer als bei den meisten anderen Formen von Schadsoftware.
Schutzmaßnahmen
Um sich zu schützen, sollte man jeden Anhang einer E-Mail, der auch nur ansatzweise glaubwürdig ist, auf virustotal.com überprüfen lassen, bevor man ihn irgendwie verarbeitet. Außerdem sollte man Office-Dokumente grundsätzlich zunächst nicht mit Microsoft Office öffnen, sondern lieber eine alternative Office-Suite wie Libre Office verwenden, die auf dem Gebiet der Makros nicht ausreichend kompatibel ist und zudem vor der Ausführung warnt. Bei PDF-Dateien sollte ein alternativer Betrachter statt Acrobat zum Einsatz kommen.
Anhänge in ZIP-Archiven sollte man zunächst auspacken. Wenn die entpackte Datei ebenfalls ein Archiv ist (ZIP, RAR oder so etwas), besteht guter Grund zum Misstrauen, da doppeltes Einpacken ein erfolgreiches Scannen durch Antiviren-Software verhindert. Das in dem oder den Archiven enthaltene Dokument sollte dann auf virustotal.com überprüft werden.
Um die Dokumente zuverlässig erkennen zu können, sollten Sie außerdem dafür sorgen, dass die höchst unsichere Voreinstellung von Windows, Dateiendungen auszublenden, abgeschaltet wird. Lesen Sie hier, wie das geht.