Fake-Attachments

Schon „normale“ Attachments stellen im heutigen E-Mail-Verkehr eine Gefahr dar, weil sich diese als virenverseuchte PDF- oder Office-Dokumente entpuppen können.

Eine andere, altbekannte Variante besteht darin, ein Attachment „vorzugauckeln“. Folgendes Beispiel zeigt einen solchen Fall.

Das Attachment ist lediglich ein Bild, welches auf einen Computer mit Schadsoftware verlinkt ist.
Klickt man darauf, wird das Unheil auf dem Computer installiert, ausser das AntiVirus-Programm kann als letzte Möglichkeit den Schaden noch abwenden.

Erkennungs-Merkmale eines Fake-Attachments

Folgende Erläuterungen und PrintScreens beziehen sich auf den Mail-Client MS-Outlook.

Öffnen Sie das Mail, sodass es im Fenster angezeigt wird.

Drücken Sie dann (ohne etwas mit der Maus anzuklicken) die Tastenkombination
CTRL + a
um alles zu markieren.

Wird das vermeintliche Attachment ebenfalls wie unten angezeigt mitmarkiert, ist es kein Anhang, sondern nur ein Bild, welches wie erwähnt einen bösartigen Link beinhalten kann.

Erkennungs-Merkmale eines echten Attachments

Ein normales Attachment wird nicht mitmarkiert.

Fährt man mit der Maus über das Attachment (ohne zu klicken), dann reagieren die Mailprogramme entsprechend.

Outlook zum Beispiel hebt den Pfeilschalter hervor, sobald man die Maus darüber parkiert (ohne zu klicken!):

Bleiben Sie vorsichtig und misstrauisch.

Cyberkriminelle im Corona-Modus

Die Corona-Müdigkeit greift um sich. Dies Nutzen Cyberkriminelle, um an Ihre Daten zu kommen. Gut möglich, dass vermehrt Phishing-Mails den Weg in Ihr Postfach finden. Bekommen Sie unerwartet Mails, die angeblich von Amazon oder anderen vertrauten Diensten stammen, ist Vorsicht geboten. Auch in Bezug auf Covid-19 kursieren gefährliche Mails. Im folgenden Beispiel ein Mail von Amazon, das auf Sicherheitsprobleme hinweisen will:

Öffnen Sie keine Anhänge und klicken Sie auf keine Links im Mail. Diese führen nicht zum vermeintlichen Absender, sondern auf präparierte Hackerseiten, um dann Ihre Login-Daten abzugreifen.

Melden Sie sich über den Browser mit der offiziellen Adresse

www.amazon.com

direkt an Ihrem Amazon-Konto an.
Genau so sollten Sie bei anderen Diensten verfahren, von denen Sie unerwartet angeschrieben werden.

Gefährliche Mails im Namen von Google

Vorsicht bei Mails, die angeblich von Google stammen und berichten, dass ihre Fotos erfolgreich publiziert wurden. Es handelt sich um eine betrügerische E-Mail und gehört unverzüglich und vollständig gelöscht!

Löschen Sie die Mail, ohne nur irgend etwas anzuklicken. Die Links führen auf eine gefälschte Google-Anmeldeseite und/oder es wird schadhafter Code ausgeführt.

Diese fiese Masche wird im Namen von vielen bekannten Instituten wie Post, DHL, Steuerbehörden, Polizei usw. genutzt. Wenn Sie nicht sicher sind, ob sich etwas in Ihrem Google-Konto getan hat, dann melden Sie sich über die offizielle Webseite www.google.com sicher an Ihrem Konto an.

Neue E-Mail-Welle mit dem Banking-Trojaner „Retefe“

Aktuell sind E-Mails im Namen der Post unterwegs, die ein verseuchtes Office-Dokument im Anhang haben. Wird dieser Anhang geöffnet, kann sich – je nach Einstellungen von Office – der Banking-Trojaner Retefe auf Ihrem System einnisten.

Das aktuelle Beispiel zeigt, dass der Inhalt sauber formatiert ist und nur wenige Fehler in der Formulierung aufweist.

Die Absenderadresse sollte allerdings die Alarmglocken läuten lassen. Diese sieht mit „activetreeservices.com.au“ ganz und gar nicht nach „post.ch“ aus.

Ein täuschend echt aussehendes Mail, das aber nicht von der Post stammt

Auch werden gerne Mails im Namen der Polizei verschickt, wie folgendes Beispiel zeigt:

Die Kantonspolizei warnt vor verseuchten Mails auf Twitter

Trojaner „Retefe“

Diese Variante der E-Banking-Trojaner ist besonders heitückisch, da sie kaum Spuren hinterlässt.

  • Wird durch verseuchte Dateianhänge (häufig als Worddokument getarnt) in Mails in Umlauf gebracht.
  • Beim Öffnen des Anhangs wird der Trojaner aktiv.
  • Er nimmt Änderungen an den Computereinstellungen vor und leitet Sie an falsche Stellen weiter.
  • Der Trojaner „vernichtet“ sich dann selber und hinterlässt so praktisch keine Spuren, weshalb es für AntiViren-Programme schwierig ist, den Befall im Nachhinein zu erkennen.

Äusserste Vorsicht geboten

Öffnen Sie keine Mails und insbesondere deren Anhänge, welche folgende Eigenschaften aufweisen:

  • Angebliche Mails der Post oder auch der Polizei, welche eine Verfehlung zum Inhalt haben (siehe Beispiel oben).
  • Bei Mails der EWZ oder der Stadt Zürich wird die Beurteilung schwieriger, aber folgende Kennzeichen sind typisch:
    • Der Text ist häufig in schlechtem Deutsch verfasst und beinhaltet oftmals Schreibfehler.
    • Der Inhalt hat nichts mit dem angeblichen Absender zu tun.

Allgemein gilt: Mails, welche unerwartet von einer Dienststelle der Stadt, Polizei, Bank usw. stammen, sind mit höchster Vorsicht zu behandeln. Die Mails sind meistens in schlechtem Deutsch verfasst – noch.

Falls Sie nicht sicher sind, nehmen Sie mit der entsprechenden Stelle direkt Kontakt auf, um die Situation zu klären.

Erpresser-Malware WannaCry – eine beispiellose Cyberattacke

Eine neue Variante von Erpresser-Software namens „WannaCry“ macht in beispielloser Art die Runde. In England wurden unter anderem das Nationale Gesundheitssystem Opfer. Renault in Frankreich musste in einigen Werken den Betrieb stoppen. Ebenso hatte die Deutsche Bahn mit dem Wurm zu kämpfen. Viele der betroffenen werden noch einige Zeit mit der Bereinigung aufwenden müssen. Die Anzeigetafeln gaben dann statt Reiseverbindungen die Erpresser-Mitteilung aus:

Der Fall zeigt einmal mehr, wie verwundbar man durch die weltweite Vernetzung ist. Durch Zufall (!) konnte die Verbreitung des Wurms gestoppt werden.

Häufig werden die Verschlüsselungs-Trojaner durch verseuchte Anhänge in E-Mails verbreitet. Dies können Office-Dokumente mit schädlicher VBA-Programmierung sein, Java-Scripts usw. Bei diesem weltweiten Cyberangriff mit WannaCry wurde ausserdem eine Sicherheitslücke in Windows zur Verbreitung in internen Netzwerken missbraucht. Unterdessen hat Microsoft sogar für die eingestellte Windows XP-Version eine Korrektur angeboten.

Die Entschlüsselung Ihrer verschlüsselten Daten ist erst nach Zahlung eines Lösegeldes möglich, was jedoch nicht garantiert ist. Schlussendlich sind hier kriminelle Mächte am Werk.

Daher ist es äusserst wichtig, dass Sie die Mails genau prüfen und niemals voreilig Anhänge öffnen oder Links anklicken. Achten Sie besonders darauf, dass Sie keine Makros von unbekannten Absendern ausführen.

Erhalten Sie unerwartet ein Office-Dokument mit Makros von einem bekannten Absender: Fragen Sie lieber telefonisch nach, ob das Mail wirklich von der entsprechenden Person stammt.

Hier zeigt sich ausserdem der unbezahlbare Wert einer funktionierenden Datensicherung.

Mail von der Steuerverwaltung oder Swisscom erhalten?

Findige Betrüger wollen mit einem Phishing-Mail wieder einmal an Ihr Geld, oder Schadsoftware unterjubeln. Passend zur (wahrscheinlich) schon eingereichten Steuererklärung kursiert ein angebliches Mail der Schweizerischen Steuerbehörde, das Ihnen vorgaukelt, Sie bekämen Geld zurück, oder es seien Fragen offen, die in einem Anhang aufgeführt seien.

Es sieht auf den ersten Blick vertrauenswürdig aus. Sogar alle vier Landessprachen sind ohne Schreibfehler neben dem Schweizerwappen vermerkt – wahrscheinlich von einer offiziellen Seite kopiert. Aber der weitere Text zeigt dann ein schlecht formuliertes Deutsch, das stutzig machen muss. Das Steueramt verschickt keine solchen Mails. Übrigens auch keine Finanzinstitute.

So tappt man in die Falle, wenn man die Links anklickt und den Anweisungen folgt und seine Kontodaten und Passwörter preisgibt.

Die Eidgenössische Steuerverwaltung schreibt dazu:

„Die ESTV macht ihre Forderungen gegenüber Steuerpflichtigen ausschliesslich in brieflicher Form und unter Angabe der Dossiernummer geltend. Vertrauliche Informationen fragt die ESTV bei den Steuerpflichtigen nie per E-Mail ab.

Falls betrügerische E-Mails an Sie gerichtet wurden, so melden Sie das bitte der ESTV und leiten Sie diese E-Mails an folgende Adresse weiter: media@estv.admin.ch