Wie erkennt man eine E-Mail mit einem Virus?

Spammails und Phishing sind die effektivsten Methoden, die Kriminellen dabei helfen zum illegalen Geld zu kommen. Mit der immer größer werdenden Abhängigkeit von den diversen Technologien und insbesondere dem Internet, lässt sich beobachten, dass Cyberkriminelle sich zu organisierten Gruppen zusammenschließen und mit gemeinsam erarbeiteten heimtückischen Projekten sich Geld von nichtsahnenden Opfern erschwindeln.

How to identify an email infected with a virus?

Einige Experten sind der Meinung, dass es bereits keine unorganisierte Kriminalität mehr gibt. Während viele wahrscheinlich denken, dass Cyberkriminelle super intelligente Hacker sind, die mit ihren Programmierfertigkeiten Sicherheitssysteme durchbrechen und aus der Ferne Kontrolle über den Computer bekommen können, sieht die Realität gänzlich anders aus.

In den meisten Fällen sind Cyberkriminelle lediglich bewandte Betrüger, die mit Social-Engineering-Tricks zur Installation von Schadsoftware überlisten. Der Gebrauch von Spam und Phishing, um Schadsoftware zu verbreiten, ist der beste Beweis hierfür und ist tatsächlich die logische Evolution von Cyberkriminalität.

Es gibt absolut keinen Grund stundenlang ausgeklügelte Angriffspläne zu schmieden, wenn man lediglich einen naiven Mitarbeiter davon überzeugen muss einen E-Mail-Anhang in Form eines vermeintlichen Lebenslaufes zu öffnen, um das Netzwerk zu hacken.

How to identify an email infected with a virus?

Diese Verfahrensweise hat sich als äußerst wirksam bewiesen und die Verbreitung von Schadsoftware erheblich beschleunigt. Das Jahr 2017 wird zum Beispiel weitgehend als Jahr der Erpressersoftware anerkannt. Die Tatsache, dass im ersten Quartal 2017 satte 93% der Phishing-Mails Erpressungsprogramme enthielten, ist der Beweis hierfür. Es gibt eindeutig Grund zur Annahme, dass das Ausmaß an Spam und Phishing dieses Jahr noch größere Zahlen erreichen wird.

Schädliche Spammailbeispiele

Bisher sind E-Mails, die mit Schadsoftware versehen worden sind, das wirksamste Angriffsmedium. Spammer machen sich hierbei gerne besondere Ereignisse (Sport-Events, Schlussverkäufe, Steuersaison usw.) zunutze und senden entsprechend Hunderttausende von E-Mails. Manche Tricks funktionieren natürlich auch das ganze Jahr über.

Die unten aufgeführten Beispiele decken ein paar typische Phishing-Mails auf, die bei der Verbreitung von Schadsoftware Anwendung finden. Wir hoffen, dass Sie mit diesen Beispielen zukünftig Phishing-Mails identifizieren können und über die Verlässlichkeit von E-Mails von unbekannten Absendern skeptischer werden.

Beispiel Nr. 1: Lebenslauf- oder Bewerber-Mails

Phishing-Mails mit Lebensläufen im Anhang werden normalerweise an Personalvermittler, Rekrutierer, Manager oder Firmeninhaber gesendet, die Entscheidungen über Einstellungen treffen. Solche E-Mails sind meist kurzgefasst und fordern den Empfänger dazu auf den angehangenen Lebenslauf zu öffnen.

Betrüger rechnen in der Regel damit, dass die Phishing-Mails überzeugen, wenn sie es auf eine bestimmte Firma oder Organisation abgesehen haben. E-Mails dieser Art wurden vor allem bei CryptoWall 3.0, GoldenEye und Cerber benutzt. Im Folgenden einige Beispiele solcher Phishing-Mails.

Malware-laden resume

Beispiel Nr. 2: Phishing-Mails, die vortäuschen vom eCommerce-Giganten Amazon zu sein

Cyberkriminelle neigen dazu von erfundenen E-Mail-Konten Fake-E-Mails an Amazon-Nutzer zu senden, welche auf dem ersten Blick auch noch echt aussehen. Solche Phishing-Mails dienen meist dazu sich Geld von Opfern zu erschwindeln oder einen schädlichen Anhang zu überliefern, der einen ernsten Computervirus überträgt.

Betrüger sendeten beispielsweise von der E-Mail-Adresse auto-shipping@amazon.com tausende von E-Mails, die die Erpressersoftware Locky übertragen haben. Die E-Mails waren mit der Betreffzeile „Your Amazon.com Order Has Dispatched (#bestellnummer)” versehen und enthielten einen ZIP-Anhang, der eine schädliche JS-Datei in sich trug, welche nach dem Öffnen von einer bestimmten Webseite die Erpressersoftware heruntergeladen hat.

Unten ist ein Beispiel für eine schädliche E-Mail zu sehen, die die Erpressersoftware Locky überlieferte, sowie ein Beispiel, das während der Verbreitungsanalyse von Spora beschafft wurde.

Amazon email scams

Beispiel Nr. 3: Rechnungen

Eine weitere sehr erfolgreiche Methode, die die Verbreitung von Locky ankurbelte, umfasste Phishing-Mails mit einem Anhang namens “ATTN: Invoice-[beliebiger Code]”. In den listigen E-Mails wird mit wenigen Textzeilen im Nachrichtenfeld darum gebeten die angehangene Rechnung (Microsoft Word-Dokument) zu begutachten. Das einzige Problem ist, dass das Word-Dokument ein schädliches Skript in sich trägt und es über die Makro-Funktion aktiv wird. Ein Beispiel für die beschriebene Phishing-Mail im Folgenden.

Malicious emails distributing Locky

Beispiel Nr. 4: Spammails, die sich große Sportereignisse zu nutzemachen

Sie lieben Sport? Dann müssen Sie sich vor Spammails in Acht nehmen, die auf Sport ausgerichtet sind. Forscher von Kaspersky haben eine Steigerung in E-Mails vernommen, die Nutzer, die an der europäischen Meisterschaft, den anstehenden Weltmeisterschaften 2018 und 2022 oder den olympischen Spielen in Brasilien interessiert sind, anvisieren.

Solche Nachrichten enthalten ebenfalls schädliche ZIP-Archive, die mit Trojanern (Schadsoftware-Downloader) in Form von JavaScript-Dateien verseucht sind. Laut Experten laden die Trojaner weitere Schadsoftware auf dem Computer. Unten ein Beispiel für solch eine schädliche Nachricht.

Malicious spam targeting FIFA fans

Beispiel Nr. 5: Spammails in Bezug auf Terrorismus

Cyberkriminelle vergessen nicht, dass Terrorismus ein aktuelles Thema ist. Es ist also nicht überraschend, dass sie es auch für schädliche Spammails nutzen. Auf Terrorismus ausgerichteter Spam gehört bei den Betrügern sicher nicht zu den Favoriten, aber trotzdem muss man wissen, was zu erwarten ist.

Wir zeigen daher im Folgenden ein Beispiel von solch einer E-Mail. Berichten zufolge dienen Spammails dieser Art üblicherweise dazu persönliche Daten zu stehlen, DDoS-Attacken durchzuführen und Schadsoftware zu verbreiten.

Terrorism-based phishing emails

Beispiel Nr. 6: E-Mails, die „Sicherheitsberichte“ liefern

Forscher haben eine weitere E-Mail-Kampagne entdeckt, wo schädliche Word-Dokumente versendet werden. Es hat sich herausgestellt, dass die Dokumente wieder einmal infizierende Makros enthalten, die die Erpressersoftware CryptXXX herunterladen und ausführen, sobald das Opfer die benötigte Funktion aktiviert hat. Solche E-Mails weisen meist eine Betreffzeile wie “Security Breach – Security Report #[beliebiger Code]” auf.

Die Nachricht listet die IP-Adresse und den Standort des Computers, womit Opfern das Gefühl gegeben werden soll, dass die Nachricht echt und vertrauenswürdig ist. In der Nachricht werden Opfer normalerweise auf nicht existente Bedrohungen hingewiesen, wie bspw. Sicherheitsverstoße, die angeblich verhindert worden sind. Für weitere Informationen wird auf den angehangenen Bericht verwiesen. Der Anhang ist natürlich schädlich.

Phishing emails delivering ransomware

Beispiel Nr. 7: Schädlicher Spam von vermeintlich legitimen Firmen

Um Opfer davon zu überzeugen angehangene Dateien zu öffnen, geben Betrüger immer vor jemand zu sein, der sie nicht sind. Am einfachsten überlisten sie die Empfänger, indem sie ein E-Mail-Konto erstellen, das dem einer legitimen Firma fast identisch ist. Mit schön verfassten E-Mails, Scheinadressen und Schadsoftware im Anhang greifen die Betrüger ihre Opfer an. Das folgende Beispiel zeigt eine E-Mail, wo sich Betrüger als Mitarbeiter von Europcar ausgeben.

Scammers impersonate Europcar employees

Das unten aufgeführte Beispiel zeigt eine Nachricht, die in einem Angriff gegen Kunden der Firma A1 Telekom verwendet wurde. Die Phishing-Nachrichten enthalten irreführende DropBox-URLs, die zu schädlichen ZIP- oder JS-Dateien führten. Weitere Untersuchungen haben gezeigt, dass die Dateien den Crypt0l0cker-Virus überlieferten.

Mail spam targeting A1 Telekom users

Beispiel Nr. 8: Die dringende Aufgabe des Chefs

Betrüger haben sich neulich eine neue Masche ausgedacht, um in wenigen Minuten Geld von nichtsahnenden Opfern zu erschwindeln. Stellen Sie sich vor, dass Sie eine E-Mail von Ihrem Chef erhalten und er Ihnen mitteilt, dass er im Urlaub ist und dringendst eine Überweisung zu einer Firma erledigt werden muss, da er gleich nicht mehr erreichbar ist.

Wenn Sie Anweisungen von Ihrem Chef zügig durchführen und nicht auf die kleinen Details achten, kann es passieren, dass Sie einem Kriminellen Firmengeld überweisen oder schlimmer noch: Das ganze Firmennetzwerk mit Schadsoftware infizieren.

Ein weiterer Trick, der zum Öffnen von schädlichen Anhängen verleiten kann, ist sich als Kollege auszugeben. Der Trick funktioniert insbesondere, wenn man in einer großen Firma tätig ist und man nicht alle seine Mitarbeiter kennt. Im Folgenden sind einige Beispiele solcher Phishing-Mails aufgeführt.

Task from boss spam

Beispiel Nr. 9: Phishing-Mails bezüglich Steuern

Betrüger verfolgen die Steuerzeiträume in verschiedenen Ländern und Regionen mit Freude mit und lassen keine Chance aus, um mit steuerbezogene Spamkampagnen ihre schädlichen Programme zu verbreiten. Sie nutzen eine Anzahl von Social-Engineering-Tricks, um dürftige Opfer zum Herunterladen schädlicher Dateien zu bringen.

Die Anhänge übertragen meist Banktrojaner (Keylogger), die nach der Installation persönliche Informationen wie den Vor- und Zunamen, Anmeldedaten, Kreditkarteninformationen und Ähnliches stehlen. Das schädliche Programm kann in einem E-Mail-Anhang lauern oder in einem in der Nachricht integrierten Link. Unten sehen Sie ein Beispiel von einer E-Mail, die eine falsche Bestätigung für das Bezahlen von Steuern enthält, welche in Wahrheit natürlich ein Trojaner ist.

Income Tax Receipt virus

Des Weiteren versuchen Betrüger die Aufmerksamkeit ihrer Opfer zu bekommen und dazu zu bringen schädliche Anhänge zu öffnen, indem sie sie darüber in Kenntnis setzen, dass eine Gesetzesvollstreckung aussteht. Die Nachricht besagt, dass etwas gegen die Vorladung des IRS gemacht werden muss, welche sich im Anhang befindet.

Das angehangene Dokument ist natürlich keine Vorladung, sondern ein schädliches Dokument, das in geschützter Ansicht geöffnet wird und das Opfer darum bittet die Bearbeitung zu aktivieren. Anschließend lädt der schädliche Code im Dokument die Schadsoftware auf dem Computer herunter.

Tax Subpoena scam

Das letzte Beispiel zeigt, wie Betrüger versuchen Steuerberater zum Öffnen von schädlichen Anhängen zu bringen. Die E-Mail scheint von einem interessierten Klienten zu kommen, der Hilfe von einem Buch- und Rechnungsprüfer benötigt. Die E-Mail enthält natürlich wieder einmal ein oder zwei Anhänge. Die Anhänge sind ebenfalls typische schädliche Word-Dokumente, die über ein Skript Schadsoftware von einem entfernten Server herunterladen, sobald sie geöffnet werden.

Tax Phishing

Wie erkennt man schädliche E-Mails und bleibt sicher?

Es gibt einige Grundsätze an die man sich halten muss, wenn man versucht schädliche E-Mails zu meiden.

  • Vergessen Sie den Spamordner. Es gibt einen Grund, warum E-Mails in die Kategorie Spam oder Junk fallen. Dies bedeutet nämlich, dass der Filter automatisch erkannt hat, dass die gleiche oder eine ähnliche E-Mail an tausende von Empfängern geschickt worden ist oder unzählige Empfänger sie als Spam markiert haben. Legitime E-Mails fallen in diese Kategorie nur in sehr, sehr seltenen Fällen. Es ist aus diesem Grund äußerst ratsam von den Spam- und Junk-Ordnern fernzubleiben.
  • Kontrollieren Sie den Absender, bevor Sie eine E-Mail öffnen. Wenn Sie sich über den Absender nicht sicher sind, sollten Sie auf jegliche Interaktion mit den Inhalten der E-Mail verzichten. Selbst wenn Sie ein Antivirenprogramm oder eine Anti-Malware installiert haben, sollten Sie nicht ohne zu überlegen auf die Links in der Nachricht klicken oder angehangene Dateien öffnen. Vergessen Sie nicht, dass selbst das beste Sicherheitsprogramm einen brandneuen Virus nicht erkennen kann, wenn Sie zu den ersten Zielen gehören. Wenn Sie über eine E-Mail Zweifel haben, haben Sie immer noch die Möglichkeit die Firma anzurufen und die E-Mail zu verifizieren.
  • Halten Sie Ihren PC-Schutz auf dem aktuellsten Stand. Es ist wichtig, dass man keine alten Programme auf dem System hat, da sie normalerweise voller Sicherheitslücken sind. Um diese Risiken zu mindern, sollten die automatischen Softwareupdates angeschaltet werden. Zu guter Letzt sollte natürlich auch von einer guten Anti-Malware Gebrauch gemacht werden, um schädliche Programme abzuwehren. Achtung: Nur aktuelle Sicherheitsprogramme können den Computer schützen! Wenn Sie veraltete Software nutzen oder sie die Installation der Updates hinauszögern, erlauben Sie quasi schädliche Programme auf dem Computer, ohne dass sie erkannt und blockiert werden.
  • Finden Sie heraus, ob die URL sicher ist ohne darauf zu klicken. Wenn eine E-Mail eine verdächtige URL enthält, bewegen Sie die Maus darüber, um sie zu kontrollieren. Schauen Sie dann unten Links in der Ecke des Browsers. Sie sollten dort die echte URL sehen, zu der Sie nach dem Anklicken weitergeleitet werden. Wenn die URL verdächtig ist oder auf .exe, .js oder .zip endet, sollten Sie sie auf keinen Fall anklicken!
  • Die eher dürftigen Schreibfertigkeiten von Cyberkriminellen. Selbst bei kurzen Mitteilungen sind oft Rechtschreib- oder Grammatikfehler vorhanden. Wenn Ihnen welche auffallen, sollten Sie von den URLs oder den angehangenen Dateien fernbleiben.
  • Überstürzen Sie nichts! Wenn Druck gemacht wird und man unbedingt den Anhang oder einen bestimmten Link öffnen soll, sollten Sie sich das gut überlegen. Die angehangene Datei enthält der Wahrscheinlichkeit nach Schadsoftware.
Über den Autor
Olivia Morelli
Olivia Morelli - Schadsoftwareanalystin

...

Olivia Morelli kontaktieren
Über die Firma Esolutions

In anderen Sprachen