Im folgenden Artikel möchte ich ihnen anhand eines konkret erlebten Beispiels erläutern, wie Sie von erhaltenen Mails Gut und Böse unterscheiden, um sich, ihren Computer und ihre Firma nicht in Gefahr zu bringen. Das Beispiel ist anonymisiert, um die Identität der Beteiligten zu schützen.

Das Wichtigste vorweg: Bitte seien Sie vorsichtig mit erhaltenen Office-Dokumenten! Am besten verweigern Sie deren Annahme und fordern stattdessen PDFs an. Wenn es sich nicht vermeiden lässt, alles genau prüfen und keinesfalls den eingebauten Makroschutz aushebeln! Wenn Sie nichts beachten, außer den Abschnitt "Makroschutz nicht aushebeln", haben Sie schonmal 60 % des Gesamtrisikos ausgeschaltet.

So, jetzt wird's ernst! Die Mail, um die es konkret ging, sah prinzipiell aus:

Die Frage war: "Ich kann den Link nicht öffnen, kannst du mir helfen?"
Meine Antwort lautete: Das ist ein Trojaner! ACHTUNG! NICHT ÖFFNEN!!!
Woran sieht man das?

Die Absenderadresse

1. Auch ihre Kunden können Opfer sein und ihnen, ohne es zu bemerken, Schadcode schicken. Das kann entweder durch deren infizierte PCs passieren oder durch Angreifer, die sich derer Postfächer bemächtigt haben und damit direkt Mails schicken. Man könnte die Metadaten der Originalmail untersuchen. Dann bekommt man heraus aus welchem Land und von welchem Server die Mail in Wirklichkeit verschickt wurde. Leider konnte ich in diesem Fall die Metadaten nicht bekommen, weil die Mail vor Schreck bereits gründlich gelöscht worden war - unnötigerweise, denn die Mail an sich ist erstmal ungefährlich. In meinem Artikel "Der klassische Phishing-Betrugsversuch" beschreibe ich das mit den Metadaten etwas ausführlicher. Es schadet also nicht, auch diesen Artikel einmal anzuschauen.

Metadaten sind technische Informationen zum Übertragungsweg und weiteren Daten einer Mail. Diesen Block zeigt Outlook z.B. nie direkt an, weil er Laien verwirrt und überfordert. Man kann in Outlook 2016 die Metadaten wie folgt ansehen:

• Die fragliche E-Mail zuerst mit einem Doppelklick in einem separaten Fenster öffnen.
• Dann: Datei > Informationen > Eigenschaften.

Die Kopfzeileninformationen werden im Feld Internetkopfzeilen angezeigt. Das sieht so aus:

Bei Mozilla Thunderbird kommen Sie schneller an die Metadaten, da reicht es, wenn Sie Strg + U drücken. Wie man diese Daten interpretiert, finden Sie in dem oben erwähnten Artikel. Letztendlich geht es darum, den ursprünglich sendenden Server zu identifizieren und nachzuweisen, dass es nicht der vorgebliche ist.

2. So kompliziert ist es aber hier gar nicht. einKunde@mailadresse.de ist an der Stelle gar nicht die Absenderadresse, sondern nur die Absenderbezeichnung. Hier könnte genausogut "Eichhörnchen" stehen oder "Guter Mensch". Manchmal ist diese Bezeichnung auch in Anführungsstriche eingeschlossen. Die eigentliche (technische) Absenderadresse zeigt Outlook 2016 neben dem Namen jedoch in spitzen Klammern an. Hier ein Screenshoot, wie das direkt in Outlook aussieht:

Also: Schauen Sie nicht nur auf den Namen, sondern auf die Mail-Adresse! Ist sie plausibel und passt sie zum Namen?

Merke!

• Mail-Adresse: In spitzen Klammern
• Absenderbezeichnung: In Anführungszeichen oder ohne Umschließungen
• Passen beide logisch zusammen? Wenn nein - Vorsicht!

Hinweis: Es kann sein, dass Ihr Mailprogramm zunächst nur die Bezeichnung anzeigt und Sie erst nach dem Einschalten einer entsprechenden Option auch den technischen Teil sehen können.

In unserem Fall steht als Mail-Adresse eine .com-Adresse: <jemand1@example.com>. Und sofort wird klar: Die passt nicht zur Bezeichnung 'einKunde@mailadresse.de'. Dieser Jemand - falls er tatsächlich existiert -, ist das zweite Opfer neben ihrem Kunden. Die Angreifer bemächtigen sich dessen Mail-Server, um selbst anonym zu bleiben, nutzen das Wissen aufgrund eines Lecks bei ihnen oder ihrem Kunden, dass Sie mit <einKunde@mailadresse.de> in Kontakt stehen und setzen dessen Mail-Adresse als Absenderbezeichnung ein. Jetzt schaut es für Sie so aus, als ob die Mail von ihrem Kunden kommt. Sie sind dann das dritte Opfer.

Der Link, den man anklicken soll

In der Mail ist ein Link wiedergegeben, den man anklicken soll. Auch in dem Punkt wird es einem leicht gemacht, dessen wahres Wesen zu erkennen, denn er macht sich gar nicht erst die Mühe, sein Ziel zu verbergen. Der Linkname und das Linkziel sind identisch.

Zur Erklärung, kurz vorweg: Der Linkname ist das, was ich optisch sehe. Das hat keine Funktion, ist nur ein Text. Das kann alles sein, z.B. Sparkasse.de. Das sieht zwar aus, als ob es ein Link wäre, ist aber reiner Bluff. Es sind nur blaue, unterstrichene Buchstaben und ein Punkt. Beim Klicken darauf passiert gar nichts. Zum Link wird das ganze erst, wenn ich ein Linkziel hinzu füge. Das Linkziel stellt die eigentliche Funktion bereit. Damit es funktioniert, muss es bestimmten Regeln folgen. Hier ein Beispiel:
https://www.boeserserver.ru

Auch hier passiert nichts beim Klicken, weil dies nur der Text für ein Linkziel ist. Erst, wenn beides zusammen gefügt wird, entsteht ein funktionsfähiger und klickbarer Link: Sparkasse.de. Wer hier auf Sparkasse klickt, gelangt zum bösen Russenserver. Bevor man klickt, sollte man also erstmal kontrollieren, wohin man gebeamt wird, wenn man klickt. Dazu schwebt man den Mauszeiger über den Link und schaut sich den Inhalt des PopUp-Kästchens an. Was darin angezeigt wird, das ist das echte Link-Ziel. Kommt einem das nicht seriös oder plausibel vor: Nicht Klicken!

In unserem konkreten Fall haben sich die Bösewichte die kleine Mühe gespart, den Link mit einer beruhigenden Hülle zu tarnen. Wir sehen direkt das Linkziel. Was fällt dabei auf?
http://opferserver.com/media/zoo/Scan-52995954679/

Isolieren wir doch in Gedanken einmal den eigentlichen Domainnamen: opferserver.com - Hinweis: In der realen Mail war das 'portofalgeciras.com' - was soll das also sein? Man würde doch erwarten, dass dies jetzt der Server des Kunden ist, von dem ich die bereitgestellte Datei runter laden kann. Also meinkunde.de oder im schlimmsten Fall irgendwas mit Dropbox. Wenn man 'portofalgeciras.com' in einen Browser eingibt, landet man jedoch auf der Hafenseite der spanischen Stadt Algeciras gegenüber der Bucht von Gibraltar. Es ist mehr als unwahrscheinlich, dass ihr deutscher Kunde Eigentümer dieses Servers ist oder auch nur Zugriff darauf hat, um seine Datei dort abzulagern.

Tatsächlich wurde der Server der Hafenseite von Algeciras gehackt und wird nun von den Bösen als Downloadplattform benutzt. Die Hafenverwaltung selbst, ist also auch nur ein Opfer, ein viertes!

Wenn wir trotz alledem immer noch nichts gemerkt haben und den Link fröhlich anklicken, wird sofort ein Download in Gang gesetzt. Die Datei, die geladen wird heißt
"Scan-54828974732.doc".

Die Datei, die man öffnen soll

Je nach dem, ob man gleich auf "Öffnen" klickt (nicht zu empfehlen) oder die Datei zuerst in den Downloadordner speichert, wird entweder Word gestartet, da es sich um ein DOC handelt oder man bekommt die Datei auf der Festplatte im gewähten Verzeichnis zu Gesicht. Der Name Scan-54828974732.doc ist vom Bösewicht so gewählt, dass es nach einem gescannten Dokument aussieht. Allerdings, wer nachdenkt, erkennt, dass das nicht sein kann! Wir wir von unserer eigenen Scan-Maschine im Kopierraum wissen, erzeugt ein Scan keine Word-DOCs, sondern PDFs oder JPGs. Das sollte also die nächste Alarmglocke sein. Deswegen sollte man auch tunlichst nicht die Anzeige der Dateiendungen ausblenden, so wie Microsoft das in der Grundeinstellung tut.

Hätte die Datei die Endung .EXE, .BAT, .COM usw., müsste die Alarmglocke noch lauter schrillen. Damit würde ein einfacher Doppelklick genügen, um die Pandora zu öffnen. Glücklicherweise filtert Euer Mailserver solche bereits beim Eingang aus. .ZIP ist auch prädestiniert, weil das normalerweise nicht gefiltert wird. Dann nimmt das Unglück nach dem Entpacken der ZIP seinen Lauf. Da kommt dann z.B. eine Rechnung.PDF.exe zum Vorschein. Die Buchstaben PDF sind in dem Fall nur Tarnung und der Typ ist EXE (executable, direkt ausführbar mittels Doppelklick).

Würde man darauf klicken, würde man nichts weiter sehen. Der Trojaner würde verborgen im Untergrund anfangen, sein Unwesen zu treiben. Sie würden dann vermutlich mehrmals darauf hämmern, weil sich nichts tut. Aber da ist alles schon passiert.

Falls Sie jetzt doch irgendwie ahnen, da stimmt was nicht, sollten Sie so schnell wie möglich den Netzwerkstecker raus ziehen.

Alternativ können Sie auch einfach den Strom zum Computer kappen. Der Computer sollte dann isoliert vom Rest der Firma analysiert und im Zweifel neu installiert werden. Die Daten auf dem Computer sind im schlimmsten Fall verloren - es sei denn man hat ein Backup. Dann kann man natürlich auch eine Wiederherstellung davon machen. Zum Thema 'Backup' sehen Sie bitte meinen Artikel "Warum Sie Ihre Daten sichern sollten und wie" an.

Der Antivirus ist nicht unfehlbar

Als nächstes würde ich die Datei vom Antivirus überprüfen lassen (Rechtsklick > "Mit Avira prüfen"). In unserem Fall, bei Scan-54828974732.doc irrt der Avira jedoch leider und gibt grünes Licht. Ja! Auch das muss man einkalkulieren: Kein Antivirusprogramm ist unfehlbar! Oft erkennt es einen Schädling auch erst nach einem oder zwei Tagen, wenn die Signaturen soweit sind (Hase-und-Igel-Spiel). Eigentlich sind wir an dieser Stelle aber sowieso schon längst schlauer als der Antivirus und glauben ihm das nicht. Nach allen bisherigen Erkenntnissen kann ich mit gesundem Menschenverstand sagen, dass die Datei zu 90 % schädlich ist.

Externe Prüfung bei Virustotal

Um nun endlich Gewissheit zu bekommen, sollte man die Datei bei VirusTotal prüfen lassen. VirusTotal ist ein kostenloser Dienst, der verdächtige Dateien und URLs analysiert und das schnelle Erkennen von Viren, Würmern, Trojanern und jeglicher Art von Schadsoftware ermöglicht. Da kann man die Datei direkt hoch laden und erfährt in Form einer Statistik, wie groß die Infektionswahrscheinlichkeit ist. Unser Kandidat erreicht 34 von 59 Punkten und ein rotes Teufelchen signalisiert höchste Gefahr: https://www.virustotal.com/de/file/9611223d86b957dd8abaa4cf3e9792364aee48f89ffaa329895e856211ff0d4a/analysis/

Das würde mir auf jeden Fall genügen, um Abstand von dem Biest zu nehmen.

Den eingebauten Makroschutz nicht aushebeln!

Wer das alles ignoriert oder vergisst und dennoch versucht, das Dokument mit Word zu öffnen, den schützt jetzt immer noch die eingeschaltete Office-Makrosicherheit. Die Option Makrosicherheit sollte daher unter gar keinen Umständen ausgeschaltet werden!

Nach dem Öffnen des Dokuments zeigt Word diese Seite an und fordert dazu auf, auf "Inhalt aktivieren" (so würde es auf Deutsch lauten) zu klicken und damit die Makros zu aktivieren:

Dass die Instruktionen auf Englisch da stehen, ist ein weiteres Indiz dafür, dass es nicht unser deutscher Kunde gewesen sein konnte, der das geschrieben hat. Das kann natürlich auch besser gemacht sein, z.B. das Logo der Arbeitsagentur tragen und in fehlerfreiem Deutsch verfasst sein. Dadurch würde es wesentlich seriöser und echter aussehen. Guter Schein, böses Sein - das ist die Leitlinie der Angreifer. Das muss man sich immer vergegenwärtigen.

Wie auch immer - allerspätestens an dieser Stelle ist absolut Schluss mit Lustig! Wer jetzt gedankenlos, den Anweisungen folgt und das unsichere Öffnen in dem gelben Bereich in Word (oder Excel oder Powerpoint) anklickt, dem ist nicht mehr zu helfen.

Also: Wenn Sie das alles stinklangweilig finden und Sie keine Lust haben, die genannten Checks zu machen, tun Sie sich nur den einen Gefallen und aktivieren Sie niemals aktive Inhalte in fremden Dokumenten. Auch wenn ihnen der Absender noch so vertrauenswürdig erscheint - niemals diese Sicherheit abschalten!

Und wenn Sie denken, dass vielleicht schon was passiert ist, wie gesagt, Stecker raus ziehen und Computer checken lassen.

Kunden erziehen

Sollten ihnen tatsächlich nachweislich echte Absender Dokumente mit Makros schicken, dann weisen Sie sie zurück und sagen Sie, dass ihnen ihre Firmenrichtlinie verbietet, solche Dokumente zu öffnen. Weisen Sie ihre Kontakte darauf hin, dass Sie aus Sicherheitsgründen alle Mails ungelesen löschen, die ohne Absprache außer PDF und JPG noch weitere Formate enthalten.

Sollten die sich nicht abwimmeln lassen und darauf bestehen und ihr Leben hängt davon ab, dann machen Sie erst alle obigen Prüfungen und öffnen das Dokument nicht auf einem ans Netz angeschlossenen Rechner, sondern nur auf einem isolierten - am besten unter "ärztlicher Aufsicht" :-)

Sie könnten evtl. mit einzelnen Kunden für einzelne Projekte spezielle Absprachen treffen, dass auch andere Dokumente zum Zweck der gemeinsamen Bearbeitung ausgetauscht werden dürfen. Bitte machen Sie sich jedoch dabei klar, dass darüber dennoch schädlicher Code eingeschleust werden kann, wenn nämlich ihr 'vertrauenswürdiges' Gegenüber z.B. selbst einem Angriff zum Opfer gefallen ist. Dann gilt wieder die oberste Maxime: Keine Dokumente öffnen, die "Inhalte aktivieren" erfordern!

Alarmglocken

Hier nochmal in Kürze alle Indizien, auf die Sie sich sensibilisieren müssen - ihre Alarmglocken:

• Stimmt der angezeigte Absender mit der technischen Absender-Mailadresse überein? (Im Zweifel Mail-Metadaten checken.)
• Ist ein anzuklickender Link verschleiert und führt woanders hin als angezeigt? (Schildchen beim Schweben mit der Maus.)
• Führt der Link auf einen unbekannten Server?
• Läd der Link andere Dokumente, als PDF oder JPG herunter?
• Enthält die Mail andere, als diese Dokumente?
• Was sagt ihr Antivirus?
• Was sagt VirusTotal?
• Kommt beim Öffnen mit Word oder Excel ein gelber Balken mit einer Warnung? (Achtung! Es gibt eine Option, mit der dieser Warnmechanismus generell abgeschaltet werden kann. Das darf natürlich nicht deaktiviert sein!)
• Sind die übermittelten Texte in sauberem, fehlerfreiem Deutsch?

Und zum Schluss nochmal - ich kann es nicht oft genug wiederholen: Generell keine Dokumente öffnen, die "Inhalte aktivieren" erfordern!

Bitte lesen Sie auch mein beiden anderen Artikel zu diesem Thema:

• Hilfe! Nur noch Spam, Betrug, Trojaner!
• Der klassische Phishing-Betrugsversuch

8. 11. 2017