Menü
Archiv

Archiv

Blog.Telekom

Alice Roth

0 Kommentare

Ein verhängnisvoller Klick

Unerwünschte Werbung in Form von Spam-Mails – wer kennt’s nicht? Der Posteingang quillt über, weil man mit dem Löschen oft gar nicht mehr hinterherkommt. Zumindest geht es mir häufig so. Viele dieser Mails sind einfach nur lästig und überflüssig. Und dann gibt es solche, bei denen man besser nie draufgeklickt hätte …

Security Analyst Theresa Ludwig erklärt beim GDW Afterwork wie die Schadsoftware auf den Rechner gelangt.

Security Analyst Theresa Ludwig erklärt beim GDW Afterwork wie die Schadsoftware auf den Rechner gelangt.

Vielleicht haben einige von euch bereits was von Emotet gehört. Kürzlich erst bezeichnete das BSI (Bundesamt für Sicherheit in der Informationstechnik) Emotet als „weltweit gefährlichste Schadsoftware“. Weil sie eine fiese Kombination von bösartigen Mini-Programmen ist und die Macher immer professioneller werden. Berichte über gestoppte Produktion, Dienstausfall, sowie zahlreiche infizierte Netzwerke häufen sich in diesem Zusammenhang. Zu allem Übel sind neben Unternehmen, Organisationen und Behörden, immer öfter auch Menschen wie du und ich betroffen. Wie aber gelangt dieser Mist eigentlich auf den Rechner? 

Meine Kollegin Theresa Ludwig beschäftigt sich bei der Telekom Security genau mit solchen Fragen. Sie ist Security Analystin im CERT (Cyber Emergency Response Team) und kennt sich mit bösen Spam-Mails aller Art bestens aus. Beim vergangenen Feierabend-Treffen des Frauennetzwerks Global Digital Women hat sie über 50 Frauen (und einige Männer) aufgeschlaut. Was passiert also, wenn ich eine Mail mit fiesem Anhang öffne? Zunächst einmal ist es ist kein Zufall, dass sich der böse Schadcode oft in Dokumenten befindet, die an Mails angehängt werden. Einfach weil die meisten User tagtäglich mit Office-Dokumenten zu tun haben und sich erst einmal nichts dabei denken das geschickt zu bekommen. Ich öffne also das Dokument und dann kann es passieren, dass plötzlich eine Meldung auf dem Bildschirm erscheint. Die fordert mich auf, so genannte Makros zu aktivieren. Notwendig sei das technisch gesehen aber ganz und gar nicht, betont Theresa. Es ermöglicht lediglich, dass im Hintergrund ein Programmcode ausgeführt wird, ohne, dass ich etwas davon mitbekomme… Und schwupps – schon ist die Schadsoftware aktiv. 

20191113-verhängnisvoller-klick-02

Die Aktivierung des Inhalts sorgt dafür, dass verschiedene IPs nacheinander angesurft werden, um die eigentliche Malware nachzuladen. Die Angreifer waren clever: sobald die erste IP gesperrt wird, wird die nächste Quelle verwendet.

Was der Nutzer nämlich nicht merkt: Während er den Dokumenttext liest oder die Tabelle betrachtet, surft sein Computer nach und nach verschiedene Ziele an. Jedes dieser Ziele lädt klitzekleine Module der Schadsoftware auf das Gerät, mit dem ich das Dokument betrachte. Das passiert innerhalb von wenigen Sekunden. Ganz schön erschreckend, wie schnell sowas gehen kann, oder? 

Vor solchen Gefahren wird oft gewarnt. Ich frage mich, wie es dennoch sein kann, dass immer noch sehr viele Menschen arglos auf diese Masche reinfallen. Emotet beschäftigt die Cyber Security Branche schließlich in mehreren Wellen schon seit Jahren. Außerdem dachte ich bislang, dass die Mails selbst voller Fehler und schlecht übersetzter Sprache sind und so leicht auffallen müssten.

Wir alle waren aber überrascht, als wir aktuelle Exemplare solcher Mails vorgeführt bekamen. Die sind auf den ersten Blick nicht mehr sofort zu enttarnen. Gebrochenes Englisch und kryptische Versende-Adressen gehören in vielen Fällen der Vergangenheit an. Im Gegenteil, die sehen mittlerweile richtig attraktiv aus! Und das macht es so schwer zu entscheiden, welche Nachricht echt ist und welche besser sofort gelöscht gehört. Theresa hat uns während ihres Vortrags eine aktuelle Emotet-Mail gezeigt. Tückisch. Man könnte meinen, es sei die Antwort auf eine zuvor geschriebene, eigene Mail. Theresa warnt davor, dass sogar eine Art Mail-Verlauf von Emotet generiert wird. Das ist eine neue kriminelle Masche, den Leser glauben zu lassen „diese Nachricht sei bestimmt echt“ – weil auch die persönliche Ansprache und die genutzten Namen korrekt zu sein scheinen. Ich habe von Theresas Vortrag mitgenommen:

  • E-Mail Verläufe gründlich prüfen: kann dieser Inhalt wirklich stimmen oder wirkt der Text eher generisch?
  • Absender-Alias prüfen: nur weil der Name oder die Signatur meines Kollegen zu stimmen scheinen, muss die E-Mail Adresse noch lange nicht korrekt sein 
  • Last, but not least: Vorsicht bei aufpoppenden “Product Notices” bei Dokumenten – spätestens hier lohnt ein Anruf beim Absender zur Kontrolle, ob diese Mail in der Form so rausging

Es ist wie so oft im Leben: Vorsicht ist besser als Nachsicht – vor allem bei Cyber Security Themen. Mir wird das Feierabend-Event noch lange in Erinnerung bleiben. Danke für den spannenden Deep Dive in die Welt der Spam-Mails, Theresa!

Alice Roth

Profil und weitere Artikel

Ratgeber Digital und Sicher

Ratgeber: Sicher digital

Wir machen Sie stark gegen digitale Plagegeister und geben konkrete Antworten auf typische Fragen unserer Kunden. Übersichtlich sortiert. Leicht verständlich. Und ohne Umschweife.

Ratgeber: Sicher digital

FAQ