Suche
Close this search box.
grid cad & computer gmbh
Kontakt

Wie Sie sich vor eMails mit EMOTET schützen können

In den letzten Monaten erreichen uns immer wieder Supportanfragen unserer Kunden bezüglich „gefälschter“ eMails, die von Geschäftspartnern, Freunden oder Kollegen empfangen wurden und angeblich von ihnen ( den Kunden ) verschickt wurden. Diese Mails haben oft den Anschein „echt“ zu sein und enthalten manchmal sogar Teile einer real verschickten Mail bzw. enthalten eine frühere Mail als reply und immer Links oder „virenverseuchte“ Anhänge. Viele Kunden werden hier nervös und fragen bei uns hektisch nach, ob sie „gehackt“ wurden und was sie jetzt tun müssen, um sich und andere zu schützen.

Ursache dieser Mails ist meist das Kapern eines Rechners oder Netzwerks durch einen Trojaner wie z.B. dem derzeit bekannten EMOTET – Trojaner. Dieser verbreitet sich durch eMails deren Anhänge meist Word, Excel oder Zip Dateien sind bzw. Links enthalten. In diesen Links und Dateien befinden sich dann meist Makros oder Programme die Schadcode herunterladen und auf dem Rechner installieren. Dieser „Schadcode“ lädt dann im Hintergrund ein ganzes Set an Schadprogrammen nach die den Rechner kapern und verschiedene Daten auf dem Rechner ausspionieren. Dies reicht von Keyloggern die versuchen Banking-Daten zu erspähen bis eben zu „Outlook-Harvesting“ Schadsoftware die das Outlook nach Mails durchforstet und diese Mails und Mailempfänger zu einer „Zentralen Infrastruktur“ zurücksendet, analysiert und eben neue Mails als „Wirt“ des Virus versendet. Im schlimmsten Fall verbreitet sich der Trojaner im gesamten Netzwerk und verschlüsselt alle Daten, so dass diese ohne geeignetes Backup unwiederbringlich verloren sind.

Das Computer-Notfallteam des BSI zeigt hier ein Beispiel, wie eine E-Mail von z.B. EMOTET beim Empfänger aussehen kann. In dem Beispiel haben Bertram Müller und Antje Meier wegen eines Fahrzeugstellplatzes hin und her gemailt ( roter Kasten unten ).

Wie Sie sich vor eMails mit EMOTET schützen können 1
Beispiel für Email von EMOTET | Screenshot: BSI

Emotet nimmt diesen Mail-Wechsel als Grundlage und setzt einen eigenen Text darüber, der wie eine neue Antwort von Antje Meier an Bertram Müller wirkt. In seinen Text fügt der Computervirus einen Link ein. Doch der muss nicht zu der Adresse führen, die lesbar ist (also im Beispiel musterfirma.de…). Wenn Sie den Mauszeiger auf den Link halten ( ohne ihn anzuklicken! ) zeigt Ihnen das E-Mail-Programm, dass der Klick auf eine ganz andere Adresse führt ( nämlich hier im Beispiel auf super-plus.pl… ). Alternativ kann eine solche Mail auch die erwähnten Anhänge (Word, Excel oder Zip) enthalten und darin befindet sich der „Schadcode“.

Ein weiteres Indiz, dass es sich um eine „Virusmail“ handelt, ist dass zwar Antje Meier als Versender in der Mail steht, aber die angegebene Mailadresse nicht ihre ist! Das sieht man, je nach Mailprogramm, manchmal nur wenn man auf den Versender klickt oder sich die eMail Header einblenden lässt.

Wie Sie sich vor eMails mit EMOTET schützen können 2
Email Header in Apple Mail einblenden
Emails mit Emotet und anderen Schadprogrammen erkennen
Vollständiger Header mit Absenderadresse einer Spam Mail

Wie kann man die Echtheit einer Email verfizieren?

Als Empfänger so einer solchen eMail sollten Sie also auf mehrere Dinge achten:

  • Stimmt die Sprache? In diesem Fall ist das Deutsch fast fehlerfrei. Aber Empfänger Bertram Müller könnte sich fragen, warum ihn Antje Meier plötzlich duzt. Oft sind diese Mails nämlich über irgendwelche Übersetzungsprogramme gelaufen und grammatikalisch nicht korrekt.
  • Stimmt der angezeigte Link? Wenn Sie den Mauszeiger auf den Link halten und nicht drauf klicken, zeigt Ihnen Ihr E-Mail-Programm an, welche Internet-Adresse sich tatsächlich dahinter verbirgt. Erscheint eine andere als die lesbare, dürfte etwas faul sein!
  • Ist die Absenderadresse mit der bekannten eMail-Adresse des Versenders identisch?
  • Beinhaltet eine solche eMail einen Anhang als .doc, docx, .xls, .xlsx oder zip Format sollten Sie vorsichtig damit sein. Kommt beim Öffnen einer solchen Datei eine Word oder Excel Makro Warnung, dann keinesfalls die Makros aktivieren oder ausführen, bzw. einen Link innerhalb der Dokumente anklicken!
  • Passwort geschützte ZIP Dateien ( Komprimierte Dateien oder Ordner ) deren Passwort in der gleichen Mail stehen sind ebenfalls fast immer solche „Virenschleudern“, da diese ZIPs von den Virenscannern nicht entpackt und geprüft werden können!

So können Sie sich vor einer Gefährdung durch EMOTET und andere Schadprogramme schützen:

  • Prüfen Sie auch E-Mails von Ihnen bekannten Absendern immer kritisch. Stimmt die Sprache? Ist das Anliegen realistisch? Bevor Sie Links oder Anhänge öffnen: Fragen Sie im Zweifel in einer neuen E-Mail (nicht als Antwort auf die Empfangene!) beim vermeintlichen Absender nach, ob er Ihnen tatsächlich etwas geschickt hat.
  • Halten Sie Betriebssystem, Virenschutzprogramm und Ihre anderen Programme immer aktuell. Neu erscheinende Sicherheits-Updates sollten zeitnah installiert werden. Ältere Betriebssysteme wie Windows7 und 8 oder MacOS vor 10.14 werden nicht mehr mit solchen Sicherheits- Updates versorgt und sind potenziell gefährdet!
  • Sichern Sie Ihr System/Server regelmäßig mit einem Backup das physisch vom Netzwerk getrennt ist.
  • Surfen Sie nicht als Admin-Benutzer! Legen Sie bei Windows und Mac ein Nutzerkonto ohne Admin-Rechte an und nutzen Sie das Internet und E-Mails nur damit. So kann keine Software ohne Rückfrage durch das Betriebssystem installiert werden.
  • Schalten Sie Makros in Office-Programmen ab. Schädliche Software wird oft auf diesem Weg auf Computer geschleust. Sofern Sie nicht zwingend mit Makros in Ihrer Office-Software arbeiten müssen, schalten Sie sie gänzlich ab.
  • Verwenden Sie aktuelle Anti-Viren Software wie zum Beispiel ESET (besonders auf Windows Systemen).
  • Deaktivieren Sie den Empfang von potenziell gefährdeten eMail – Anhängen sofern dies Ihr Mailserver unterstützt!

Nachdem bereits viel Schaden angerichtet wurde, hat Europol und das BKA Ende Januar 2021 die EMOTET-Infrastruktur übernommen und zerschlagen. Daneben gibt es aber immer noch eine Reihe anderer Schadprogramme, die auf ähnliche Weise arbeiten und Viren und Trojaner verbreiten. Vorsicht ist also weiterhin geboten!

Weitere Informationen:

  • EMOTET, trojaner

grid cad & computer gmbh ist ein Systemhaus für Kreative. Unser Team versteht sich als Partner für Architekten, Ingenieure, Designer und Agenturen in allen Hard- und Softwarefragen.

Wir sind langjähriger Apple Support Dienstleister sowie HP Business Partner und betreuen gemischte Netzwerke mit macOS-, Windows- und Linux-Systemen.

Abgerundet wird unser Portfolio durch die Kerio Groupware und Security Lösungen (Gold Partner), Synology NAS-Systemen, Starface VoIP Telefonanlagen ( Starface Excellence Partner) sowie Filewave Softwareverteilungs-Lösungen (Silver Partner).

Ähnliche Artikel aus dem GRID.BLOG
  • Mac
Soll ich meinen Mac auf macOS 13 Ventura updaten?
Seit gestern steht die neueste macOS Version zum Download bereit: macOS 13 Ventura. Wer seinen Mac beruflich nutzt, sollte trotzdem gut überlegen, ob das Update notwendig ist und unsere Hinweise beachten.
Weiterlesen
  • Architektur
7. Architekturwoche in München feierlich eröffnet
Während seiner siebten Architekturwoche (A7) lädt der BDA Bayern dazu ein, den Stadtraum wie eine Bühne zu bespielen und mit der städtischen Umwelt in einen Dialog zu treten.
Weiterlesen
Impressum
Datenschutz
AGB