Information: Vorsicht! Malware-E-Mails werden immer besser

Internet-Kriminalität wird immer ausgeklügelter. Die Zeiten, in denen virenverseuchte E-Mails mit einem Begleittext in schlechtem Englisch oder noch schlechterem Deutsch verschickt wurden, sind weitgehend vorbei. Die Profi-Kriminellen schicken nicht nur E-Mails, die sprachlich korrekt sind. Sie senden auch E-Mails mit (gefälschten) Absenderangaben und täuschen so vor, dass die E-Mail von einer dem Empfänger bekannten Person verschickt wurde. Die gefälschten Absenderangaben sind nicht ganz neu. Jetzt sind aber noch raffiniertere Fälschungen aufgetaucht, bei denen die Kriminellen vorgeben, auf E-Mails zu antworten, die man dem vorgetäuschten Absender tatsächlich einmal geschickt hat.

Vielleicht mag das auf den ersten Blick unmöglich erscheinen. Aber der Grund, warum es möglich ist, ist dann doch recht einfach: Einige Malware-Varianten lesen bei infizierten Rechnern die E-Mails aus und übertragen die Inhalte des Postfaches (zumindest teilweise, d. h. die Informationen zu Absendern, Empfängern, Betreff und den Anfang der Nachricht) an die Kriminellen. Auf Basis dieser Informationen werden dann die Bekannten des ersten Opfers angegriffen. Die Vortäuschung des Absenders wird damit natürlich sehr glaubwürdig. Es wird ja auf eine vorhergehende E-Mail geantwortet. Der Angreifer kann die richtigen Signaturen und den richtigen Sprachstil verwenden – er hat ja die vorhergehenden E-Mails und kann diese nachahmen.

Auch bei der Angabe von Links für Downloads (von Malware) in der E-Mail steht nicht mehr ein dem geschulten Empfänger vielleicht suspektes „Klicken Sie hier“, sondern ein scheinbar nachvollziehbarer Link „http://mein-institut.de/Download/Mein_Dokument.pdf“. Das scheint ja vertrauenswürdig. Nur ist hinter dem vertrauenswürdig scheinenden Linktext ein ganz anderer Link versteckt, z. B. „http://meine-malware.com/download/malware.exe“. Auch der vertrauenswürdige Text ist nur scheinbar der Link, in Wirklichkeit aber auch nur ein Text wie das „Klicken Sie hier“.

Zusätzlich wird immer mehr versucht, Schadsoftware als verschlüsselte ZIP-Archive zu verschicken, damit Virenscanner die Dateien nicht analysieren können. Ein Passwort wird dann in der E-Mail mitgeteilt. Der Virenscanner erkennt das i. d. R. nicht, der Empfänger kann es aber leider dazu nutzen, um das Archiv zu öffnen und darin enthaltene Schadsoftware auszuführen.

Hier ist nur nochmals ausdrücklich zu raten, Links genau zu prüfen, bevor man diese anklickt, bei Anhängen zu prüfen, welche Dateitypen dort wirklich verschickt wurden, und dann ausführbare Dateien nicht per Klick auszuführen sowie die Ausführung von Makros in Office-Dokumenten generell zu verbieten (oder nur in einzelnen bekannten Dateien zu erlauben, wenn darauf nicht verzichtet werden kann) und auch nicht nachträglich für per E-Mail oder Download empfangene Dateien zu erlauben.

Auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt aktuell vor diesen Gefahren.