Aktuelles

Brandaktuell: Spam-Mails mit gefälschten Absendern

Dein Kollege hat dir geschrieben. Ausserdem will ein Mitarbeiter dringend Antwort und das Steueramt auch ...

Du meinst, die E-Mail-Absender zu kennen, doch die angeblichen Einladungen, das Steuerrückerstattungsversprechen, der Gerichtstermin – alles mit offiziellen Absendern von Behörden, Firmen oder Kollegen garniert – ist gefakt! Das Vorgehen der Internet-Betrüger wird immer ausgeklügelter. Und gefährlicher!

Einmal mehr rollt per E-Mail eine wahre Schädlingswelle über die Computer, genauer, direkt ins E-Mail-Postfach! Besonders brisant: Diesmal könnten auch versierte Anwender den Betrügern ins Netz gehen, denn die äusserst clevere Wahl der gefälschten Absender verleitet auch geübte Computernutzer dazu, dem in der E-Mail enthaltenen Link arglos zu folgen. Doch der führt zu bislang weitgehend unerkannter Malware.


Eine aktuelle Spam-Kampagne setzt auf starke Personalisierung: Sie täuscht als Absender reale E-Mail-Adressen vor. Zum Beispiel von Mitarbeitern desselben Unternehmens. Neben E-Mails mit eher nichtssagendem Betreff wie "Rechnungsdetails 3719-8" beinhalten einige Betreffzeilen zusätzlich auch den Namen des Absenders. Etwa so: «WG: Gescannte Rechnung 3719-8 Max Muster» – und weil du Max Muster, deinen Arbeitskollegen, bestens kennst, hinterfragst du weder die Betreffzeile noch den Mail-Inhalt.

Dieser enthält einen Link, der dich – je nach Wortlaut – zu einem Überweisungsbeleg oder zu einem angeblich von dir angeforderten Dokument führen soll. Angesichts des dir bekannten Absenders lässt du dich zum «reflexhaften» Anklicken des Spam-Links verleiten ... dies, obwohl du bisher über solch unbedarfte Naivlinge, die auf Spam-Mails reinfallen, bloss gelacht hast.

Auf der Zielseite des Links gelangst du zu einem Word-Dokument. Es trägt vielleicht die Bezeichnung Dokumente #3719-8.doc oder Informationen #3719-8.doc und wartet auf deinen Download oder das Öffnen der Datei (die Namensgebung kann natürlich variieren).
Ich empfehle dringend: Solltest du eine Office-Datei erhalten, prüfe sie via VirusTotal Upload-Link, denn angesichts der Word-Datei schlägt eScan zwar Alarm, doch erst beim Versuch, die Datei zu öffnen.


Vermeintliche Rechnung enthält schädlichen Makro-Code

Die kurze Analyse einer solchen Spam-Rechnung fördert einen Makrocode zutage, der mittels der Auto-Open-Funktion automatisch startet. Der später im Code auftauchende Begriff «Shell» legt ausserdem nahe, dass weiterer Schadcode nachgeladen und ausgeführt wird. Um mit dem Office-Dokument einen Rechner zu infizieren, bedarf es also mehrerer Nutzer-Interaktionen. Gefährlich wird es allerdings, wenn die – mittlerweile standardmässige – Deaktivierung von Makros vom Nutzer im Vorfeld aufgehoben wurde.
 

MEIN TIPP

Eine schnelle Überprüfung eines Dokuments ist auch möglich, indem du die Office-Datei im Download Ordner speicherst und im Windowsexplorer die Einstellung Vorschau wählst. Zeigt die Vorschau ein Bild an oder das Office-Logo, ist es zu 100 % ein Virus (Spyware). Zeigt es normalen Text an, der sogar markiert werden kann, kannst du davon ausgehen, dass die Datei sauber ist. Trotzdem: 100-prozentige Garantie gibt's nicht, deshalb die Datei gegebenenfalls noch hier prüfen.
Aktuelle Spam-Mails
 Eine schnelle Überprüfung ist auch möglich wenn du die Office Datei

Allgemein gilt für Anhänge:

Überprüfe mit gesundem Menschenverstand, ob der in einer E-Mail mitgelieferte Anhang plausibel ist! Denn keine Firma der Welt versendet Rechnungen als Word-Dokument (.doc; .docx) oder Excel-Dokument (.xls; .xlsx) und schon gar nicht als zip-Datei.
Anhänge, die auf .zip enden, sind in der Regel Angriffe über das Windows-Archivierungsprogramm. Beim Auspacken des Archivs wird ein Trojaner oder ein Wurm installiert. Öffne solche Anhänge niemals! Auch ausführbare Programme (.exe) oder JavaScript-Codes (.js) machen in der Regel keinen Sinn -- es sei denn, du hast die Sendung dieses Anhangs vorher mit dem Sender abgesprochen.