GRID.BLOG

Mac, CAD & Architektur

Wie Sie sich vor eMails mit EMOTET schützen können

Emotet und andere Schadprogramme können ihren Rechner infizieren und im schlimmsten Fall sogar zu Datenverlusten führen. Wir zeigen Ihnen in diesem Artikel, wie Sie gefährliche Emails erkennen können und welche Schutzmaßnahmen es gibt.
Foto: PEXELS / Sora Shimazaki

In den letzten Monaten erreichen uns immer wieder Supportanfragen unserer Kunden bezüglich „gefälschter“ eMails, die von Geschäftspartnern, Freunden oder Kollegen empfangen wurden und angeblich von ihnen ( den Kunden ) verschickt wurden. Diese Mails haben oft den Anschein „echt“ zu sein und enthalten manchmal sogar Teile einer real verschickten Mail bzw. enthalten eine frühere Mail als reply und immer Links oder „virenverseuchte“ Anhänge. Viele Kunden werden hier nervös und fragen bei uns hektisch nach, ob sie „gehackt“ wurden und was sie jetzt tun müssen, um sich und andere zu schützen.

Ursache dieser Mails ist meist das Kapern eines Rechners oder Netzwerks durch einen Trojaner wie z.B. dem derzeit bekannten EMOTET – Trojaner. Dieser verbreitet sich durch eMails deren Anhänge meist Word, Excel oder Zip Dateien sind bzw. Links enthalten. In diesen Links und Dateien befinden sich dann meist Makros oder Programme die Schadcode herunterladen und auf dem Rechner installieren. Dieser „Schadcode“ lädt dann im Hintergrund ein ganzes Set an Schadprogrammen nach die den Rechner kapern und verschiedene Daten auf dem Rechner ausspionieren. Dies reicht von Keyloggern die versuchen Banking-Daten zu erspähen bis eben zu „Outlook-Harvesting“ Schadsoftware die das Outlook nach Mails durchforstet und diese Mails und Mailempfänger zu einer „Zentralen Infrastruktur“ zurücksendet, analysiert und eben neue Mails als „Wirt“ des Virus versendet. Im schlimmsten Fall verbreitet sich der Trojaner im gesamten Netzwerk und verschlüsselt alle Daten, so dass diese ohne geeignetes Backup unwiederbringlich verloren sind.

Das Computer-Notfallteam des BSI zeigt hier ein Beispiel, wie eine E-Mail von z.B. EMOTET beim Empfänger aussehen kann. In dem Beispiel haben Bertram Müller und Antje Meier wegen eines Fahrzeugstellplatzes hin und her gemailt ( roter Kasten unten ).

Wie Sie sich vor eMails mit EMOTET schützen können 1
Beispiel für Email von EMOTET | Screenshot: BSI

Emotet nimmt diesen Mail-Wechsel als Grundlage und setzt einen eigenen Text darüber, der wie eine neue Antwort von Antje Meier an Bertram Müller wirkt. In seinen Text fügt der Computervirus einen Link ein. Doch der muss nicht zu der Adresse führen, die lesbar ist (also im Beispiel musterfirma.de…). Wenn Sie den Mauszeiger auf den Link halten ( ohne ihn anzuklicken! ) zeigt Ihnen das E-Mail-Programm, dass der Klick auf eine ganz andere Adresse führt ( nämlich hier im Beispiel auf super-plus.pl… ). Alternativ kann eine solche Mail auch die erwähnten Anhänge (Word, Excel oder Zip) enthalten und darin befindet sich der „Schadcode“.

Ein weiteres Indiz, dass es sich um eine „Virusmail“ handelt, ist dass zwar Antje Meier als Versender in der Mail steht, aber die angegebene Mailadresse nicht ihre ist! Das sieht man, je nach Mailprogramm, manchmal nur wenn man auf den Versender klickt oder sich die eMail Header einblenden lässt.

Wie Sie sich vor eMails mit EMOTET schützen können 2
Email Header in Apple Mail einblenden
Emails mit Emotet und anderen Schadprogrammen erkennen
Vollständiger Header mit Absenderadresse einer Spam Mail

Wie kann man die Echtheit einer Email verfizieren?

Als Empfänger so einer solchen eMail sollten Sie also auf mehrere Dinge achten:

  • Stimmt die Sprache? In diesem Fall ist das Deutsch fast fehlerfrei. Aber Empfänger Bertram Müller könnte sich fragen, warum ihn Antje Meier plötzlich duzt. Oft sind diese Mails nämlich über irgendwelche Übersetzungsprogramme gelaufen und grammatikalisch nicht korrekt.
  • Stimmt der angezeigte Link? Wenn Sie den Mauszeiger auf den Link halten und nicht drauf klicken, zeigt Ihnen Ihr E-Mail-Programm an, welche Internet-Adresse sich tatsächlich dahinter verbirgt. Erscheint eine andere als die lesbare, dürfte etwas faul sein!
  • Ist die Absenderadresse mit der bekannten eMail-Adresse des Versenders identisch?
  • Beinhaltet eine solche eMail einen Anhang als .doc, docx, .xls, .xlsx oder zip Format sollten Sie vorsichtig damit sein. Kommt beim Öffnen einer solchen Datei eine Word oder Excel Makro Warnung, dann keinesfalls die Makros aktivieren oder ausführen, bzw. einen Link innerhalb der Dokumente anklicken!
  • Passwort geschützte ZIP Dateien ( Komprimierte Dateien oder Ordner ) deren Passwort in der gleichen Mail stehen sind ebenfalls fast immer solche „Virenschleudern“, da diese ZIPs von den Virenscannern nicht entpackt und geprüft werden können!

So können Sie sich vor einer Gefährdung durch EMOTET und andere Schadprogramme schützen:

  • Prüfen Sie auch E-Mails von Ihnen bekannten Absendern immer kritisch. Stimmt die Sprache? Ist das Anliegen realistisch? Bevor Sie Links oder Anhänge öffnen: Fragen Sie im Zweifel in einer neuen E-Mail (nicht als Antwort auf die Empfangene!) beim vermeintlichen Absender nach, ob er Ihnen tatsächlich etwas geschickt hat.
  • Halten Sie Betriebssystem, Virenschutzprogramm und Ihre anderen Programme immer aktuell. Neu erscheinende Sicherheits-Updates sollten zeitnah installiert werden. Ältere Betriebssysteme wie Windows7 und 8 oder MacOS vor 10.14 werden nicht mehr mit solchen Sicherheits- Updates versorgt und sind potenziell gefährdet!
  • Sichern Sie Ihr System/Server regelmäßig mit einem Backup das physisch vom Netzwerk getrennt ist.
  • Surfen Sie nicht als Admin-Benutzer! Legen Sie bei Windows und Mac ein Nutzerkonto ohne Admin-Rechte an und nutzen Sie das Internet und E-Mails nur damit. So kann keine Software ohne Rückfrage durch das Betriebssystem installiert werden.
  • Schalten Sie Makros in Office-Programmen ab. Schädliche Software wird oft auf diesem Weg auf Computer geschleust. Sofern Sie nicht zwingend mit Makros in Ihrer Office-Software arbeiten müssen, schalten Sie sie gänzlich ab.
  • Verwenden Sie aktuelle Anti-Viren Software wie zum Beispiel ESET (besonders auf Windows Systemen).
  • Deaktivieren Sie den Empfang von potenziell gefährdeten eMail – Anhängen sofern dies Ihr Mailserver unterstützt!

Nachdem bereits viel Schaden angerichtet wurde, hat Europol und das BKA Ende Januar 2021 die EMOTET-Infrastruktur übernommen und zerschlagen. Daneben gibt es aber immer noch eine Reihe anderer Schadprogramme, die auf ähnliche Weise arbeiten und Viren und Trojaner verbreiten. Vorsicht ist also weiterhin geboten!

Weitere Informationen:

Willy von Müller

Willy von Müller

Dipl. Ing. Architektur / Geschäftsführer grid cad & computer gmbh