Vorwort

In den vergangenen Wochen erhielten etliche Kunden sowie auch wir selbst diverse Mails mit betrügerischen und/oder infizierten Inhalten bzw. Anhängen. In den meisten Fällen waren dies Word-Dokumente, die an vermeintliche Bewerbungen oder Zahlungsaufforderungen angehängt waren. Der Text in der E-Mail selbst klingt teilweise sehr vertraulich und die deutsche Rechtschreibung wird in den meisten Fällen beachtet.


Original der erhaltenen "Bewerber-Mail" 
 

Dies hatte in zwei Fällen verhängnisvolle Folgen, da sich in der Word-Datei ein Makro-Virus befand – namentlich "GandCrab" – der nach dem Öffnen der Datei sämtliche "Dateien des täglichen Gebrauchs" verschlüsselt (E-Mails, Text-, Tabellen-, Bild-, Video-, Musik-Dateien, etc.). Freundlicherweise wird dem Betroffenen in jedes befallene Verzeichnis eine Textdatei abgelegt, die genau beschreibt, wie man vorgehen soll, um wieder an seine Daten zu gelangen.


Befallene Outlook-Dateien mit Erpresser-Hinweis
 

Krypto-Viren

Diese "Krypto-Erpresser-Viren" haben im vergangenen Jahr stark zugenommen. Wobei der Top-Kandidat 2018 wohl "Krypto-Mining" heißen dürfte. Ein schwer zu erkennender und äußerst gefährlicher Viren-Stamm, der mit wenigen Zeilen Schadcode die Kontrolle über Ihren PC – respektive Ihr Netzwerk – erlangt und fortan ihre IT-Infrastruktur nutzen wird, um digitale Gelder zu berechnen. Dies führt zu immer langsameren Systemen und durch die hohe Dauerbelastung über kurz oder lang zu Hardwareschäden.
 

Wichtige Punkte im Umgang mit betrügerischen E-Mails

 

Präventiv (vor dem Befall)

  1. Backups! Backups! Backups! Und zwar Backups nach einem ausfallsicheren Datensicherungs- und Rücksicherungs-Konzept. Das ist die beste, im Bedarfsfall hilfreichste sowie schnellste, und im Verhältnis günstigste Präventivmaßnahme die es gibt. Damit ist es möglich, selbst im Falle eines Totalausfalles, die Daten zurück zu sichern und relativ zeitnah die Arbeit fortzusetzen.
  2. Prüfen, dass das eingesetzte Virenschutzprogramm auch eingehende E-Mails prüft, dieses auf aktuellem Stand ist und regelmäßige Prüfungen des gesamten Systems konfiguriert sind.
  3. Bei Ihrem E-Mail- oder Hosting-Anbieter die Einstellungen aller E-Mail-Konten prüfen, ob am "Eingangstor" für ausreichend Schutz gesorgt ist.
  4. Sofern möglich: Spam-Filter und "Regeln" des E-Mail-Programms so konfigurieren, dass die meisten potentiell schädlichen Mails aussortiert / gelöscht werden.
  5. Die Vorschaueinstellungen Ihres Mail-Programms so einstellen, dass Sie nur Text angezeigt bekommen und keine Inhalte (z. B. Bilder in "Newslettern") automatisch angezeigt werden. Diese lassen sich bei Bedarf – und bei serösen Absendern – jederzeit mit einem Mausklick nachladen / anzeigen.
  6. Klar ersichtlich "unseriöse" E-Mails gar nicht erst öffnen und direkt löschen.
  7. Unbedingt sollten Sie E-Mails kritisch betrachten, in welchen Sie aufgefordert werden, irgendeine Aktion wie zum Beispiel das Klicken eines Links, das Öffnen eines Anhangs oder das Weiterleiten / Beantworten solcher Mails, auszuführen!
 

Reaktiv (nach dem Befall)
Hier ohne weitere Informationen zu dem Befall selbst, klare Verhaltensregeln zu nennen, fällt schwer... Doch grundsätzlich gilt:

  1. Sofort Netzwerk- und/oder Internetverbindungen (LAN / WLAN) trennen.
  2. Sofern vorhanden: umgehend Ihren Sicherheits- und/oder IT-Beauftragten informieren, der ab hier alle weiteren Schritte vorgibt oder übernimmt. Wenn Ihnen kein solcher Experte zur Verfügung steht, können Sie folgende Schritte ausführen:
  3. Virenschutzprogramm und darin manuellen "Tiefen Scan" starten.
  4. Je nach Ergebnis, die Anweisungen des Virenschutzprogramms befolgen oder in einschlägigen Foren zum Thema nach Lösungen und Rat suchen.
  5. Wenn alles nichts hilft, hoffen wir inständig, dass Ihnen Punkt 1. der Präventivmaßnahmen zur Verfügung steht: ein "sauberes" Backup Ihrer Daten.
     

Phishing-Mails

Bei dieser Art von Betrugsmails wird versucht, an persönliche Daten des Empfängers zu gelangen, indem man ihn dazu auffordert, das Firmenkonto, den persönlichen Account oder ähnliches zu "bestätigen". Meist wird hierfür direkt in der Nachricht ein Link (Button) angeboten, den man "nur" zu klicken braucht. Häufig landet man nun auf einer "Phishing-Seite", die optisch stark an die Webseite des tatsächlichen Anbieters erinnert. Gibt man nun seine Daten in die angebotenen Formularfelder ein und sendet diese ab, erhält "irgendjemand auf der Welt" Ihre persönlichen (Zugangs)Daten.

Vor kurzem erhielten wir selbst eine solche Aufforderung - angeblich von "PayPal" - zur Konto-Verifizierung, die täuschend echt aussah und sogar der mit der korrekten Anrede ausgestattet war. Hier ein Auszug:


Täuschend echte Phishing-Mail 
 

Umgang mit Phishing-Mails

Abgesehen davon, dass die Präventiv-Maßnahmen "Backup" und "Antivirenschutz" unbedingt vorhanden und funktionsfähig sein sollten, können Sie folgende Maßnahmen ergreifen, um eventuelle Phishing-Mails zu "entlarven":

Direkt einloggen
Besuchen Sie direkt (nicht über den Link in der E-Mail!) die Webseite des jeweiligen Anbieters – am Beispiel unseres Falles: https://www.paypal.de – und loggen Sie sich dort mit Ihren Zugangsdaten ein. Sollte es notwendige Schritte geben, die Ihr Anbieter von Ihnen fordert, werden diese in der Regel in Ihrem Benutzer-Account aufgeführt und können dort direkt bearbeitet werden.
Sehen Sie dort keine solche Meldung, gibt es aktuell vermutlich keine "notwendigen Schritte", die Sie ausführen müssen. Im Zweifelsfall können Sie Ihren Anbieter direkt anschreiben / anrufen und fragen, ob die in der vermutlichen Phishing-Mail genannten Schritte erforderlich sind.

Als Reaktion auf diese immer mehr grassierende Masche des Identitäts-Diebstahls haben einige Anbieter eine eigene Bearbeitungsstelle für solche Betrugsversuche eingerichtet. PayPal bietet beispielsweise an, die Betrüger-Mail an die Adresse spoof@paypal.de zu schicken... Entsprechende Kontakte und Anweisungen finden Sie ganz einfach über die Suchmaschine Ihrer Wahl, z. B. mit den Suchbegriffen: "paypal phishing melden", welche folgendes Ergebnis liefert:


E-Mails mit betrügerischen Inhalten melden
 

Link prüfen
Wenn Ihnen der Absender unbekannt ist, Sie sich aber nicht ganz sicher sind, ob der angebotene Link vertrauenswürdig ist oder nicht, können Sie auch "die Adresse des Links kopieren". Das heißt, Sie kopieren die tatsächliche Internetadresse in die Zwischenablage Ihres PC’s und können sich diesen nun anzeigen lassen, um zu entscheiden, ob die verlinkte Webseite vertrauenswürdig ist.

Hierzu folgen Sie den Schritten:

  1. In der geöffneten E-Mail mit der rechten Maustaste auf den Link / Button klicken und im erscheinenden Menü etwas wie "Link kopieren" oder "Hyperlink kopieren" anklicken:

     
  2. Nun befindet sich die Adresse in der Zwischenablage und Sie können diese in einem beliebigen Textprogramm (Word, Editor) oder Ihrem Internetbrowser einfügen, um diese anzuzeigen:

     
  3. Anhand der nun sichtbaren Internetadresse des "Bestätigungslinks" aus der Ihnen zugegangenen E-Mail können Sie vermutlich schnell entscheiden, ob es sich um eine Adresse handelt, die Sie öffnen möchten oder nicht. In unserem Beispiel wird die Seite weder per SSL (https) aufgerufen, wie in der gefälschten PayPal-Mail propagiert wird, noch führt sie zu einer seriösen Seite.
     
Fraud and phishing mails are rampant
Post image