Immer wieder werden Mails versandt, die zwar von den Mail-Postfächern als "Junk" oder "Spam" eingestuft werden.
Aber eigentlich mit dem klassischen "Spam", also unerwünschter Werbung per Mail, nichts zu tun haben.
Sondern nur dazu dienen, Schädlinge zu verbreiten und per Mail einen anderen Rechner zu infizieren.
In diesem Beitrag erfahrt ihr einige Merkmale, an denen sich solche Schädling-Mails erkennen lassen.
Meist versteckt sich darin eine ausführbare Datei (z. B. als exe- oder Batch-Datei) oder ein Script (z. B. Javascript oder als vbe-Datei). Darin ist dann der Schadcode enthalten.
Die Motivation des Absenders ist recht einfach: Der Angreifer möchte Daten spionieren oder "Hintertürchen" öffnen, um Zugang zum Rechner zu gelangen. Um damit Geld zu verdienen.
Wie die Angreifer damit Geld verdienen, erfahrt ihr in diesem Beitrag.
Es kann aber noch andere Ziele geben, die damit verfolgt werden.
Meist wird jedoch versucht, das Datei-Format des Anhangs zu verschleiern. Z. B. indem eine exe-Datei oder ein Script als Word- oder PDF-Datei getarnt wird.
Dabei wird vor das eigentliche Datei-Format nochmals ein zweites Format ergänzt, z. B.
"Auftragseingang Nr. 1005812325.pdf.vbe"
Damit gaukelt die Datei dem Web-Dienst bzw. dem Betriebssystem vor, eine PDF-Datei zu sein.
Tatsächlich handelt es sich jedoch um ein Script im vbe-Format, das vermutlich dazu gedacht ist, Schaden anzurichten oder Daten am Rechner auszuspähen.
Aber leider kann nicht jeder Dienst bzw. nicht jedes (lokale) Mail-Programm dies korrekt darstellen.
Mit einer wirksamen Schutz-Software wie Kaspersky Internet Security lässt sich das Problem zwar zuverlässig lösen.
Denn diese Programme erkennen häufig, dass es ein Schädling ist. Etwa weil der Nutzer die Datei trotzdem heruntergeladen hat und öffnen möchte.
Aber nicht jede Datei lässt sich direkt prüfen. Und nicht jeder Nutzer hat einen wirksamen Schutz.
Auch habe ich schon mehrfach erlebt, dass Nutzer die Hinweise der Schutz-Programme ignoriert und die Datei trotzdem geöffnet haben. Dann hat der Schädling leichtes Spiel.
Häufig erkennt man gefälschte Mails, die von einem angeblich seriösen Anbieter stammt - im Beispiel hier vom Anbieter Globetrotter -, an Mängeln in Rechtschreibung und Grammatik.
Doch nicht auf jede Mail, die Malware auf den Rechner bringen will, trifft das zu.
Und haben kein ordentliches Impressum am Ende einer Mail, wie es - vor allem in Deutschland - für Firmen Pflicht ist.
Denn auch die Inhalte der Mails werden immer besser.
Immer wieder erreichen mich Mails, in denen selbst bei notwendigen Inhalten wie Impressum, Disclaimer und Abmelde-Link über Grammatik + Rechtschreibung bis hin zum grafischen Aufbau und der Absender-Adresse alles zu stimmen scheint.
Inklusive Link, unter der man bei Bedarf das PDF-Programm herunterladen kann.
Selbstverständlich sind diese Daten meist aus der Luft gegriffen, also vom Absender frei erfunden.
Selbst, falls der Empfänger bei der Firma ein Kunden-Konto hat, dürften die Daten nicht übereinstimmen.
Darüber kann man bei vielen gefälschten Mails anhand der Merkmale wie abweichende Server-Adresse oder Mail-Adresse leicht erkennen, dass es sich um eine gefälschte Mail handelt.
Nicht so bei gut gemachten Schädling-Mails:
Selbst im Quelltext sind keine Anzeichen für eine Fälschung zu erkennen.
Manche Mails sprechen den Empfänger allerdings mit "Liebe Kundin, lieber Kunde", also anonym an. Das sollte in einem System, indem die Kundennummer enthalten ist, nicht passieren.
Denn jedes Mal, wenn ich eine solch gut gemachte Mail erhalte, stelle ich mir erst einmal folgende Frage:
"Habe ich mit dem Unternehmen, also dem vermeintlichen Anbieter schon einmal zu tun gehabt? Habe ich deren Newsletter abonniert oder dort etwas bestellt?"
In den wenigsten Fällen ist der Fall.
Deshalb ist es meist gar nicht möglich, dass ich von denen eine Rechnung erhalte.
Zwar kenne ich die Firma Globetrotter vom Namen her.
Aber: Keine Bestellung -> keine Relevanz für eine Rechnung.
Deshalb schaue ich mir die Mail erst gar nicht an.
Im Zweifel müsste außerdem die Firma mir beweisen, dass ich etwas bestellt habe. Nicht umgekehrt.
In dem Fall wäre es aber eine richtige PDF und kein gefälschtes Datei-Format.
Und vor allem erst mal ruhig zu überlegen, ob man mit dem Anbieter etwas zu tun hat.
Überstürztes Handeln, aus Stress und Hektik, bringt hier gar nichts.
Erstens werden solche Mails per "Autobot", also von einem automatischen Programm versendet. Antwortet man auf eine solche Mail, weiß das Programm, dass der Versand erfolgreich war. Und schickt künftig mehr solcher Mails.
Außerdem:
Warum sollte man einem Betrüger, der vermutlich anonym im Ausland sitzt, auch noch antworten.
Der "Datendieb" wird deshalb nicht damit aufhören.
Und der angebliche Absender - also die Firma, deren Daten für die Mail missbraucht wurden - kann dazu am Allerwenigsten und an den gefälschten Mails nichts ändern.
Aber eigentlich mit dem klassischen "Spam", also unerwünschter Werbung per Mail, nichts zu tun haben.
Sondern nur dazu dienen, Schädlinge zu verbreiten und per Mail einen anderen Rechner zu infizieren.
In diesem Beitrag erfahrt ihr einige Merkmale, an denen sich solche Schädling-Mails erkennen lassen.
Warum solche Schädling-Mails verschickt werden
Primär soll der Empfänger einer solchen Mail den Anhang herunterladen und die Datei darin öffnen.Meist versteckt sich darin eine ausführbare Datei (z. B. als exe- oder Batch-Datei) oder ein Script (z. B. Javascript oder als vbe-Datei). Darin ist dann der Schadcode enthalten.
Die Motivation des Absenders ist recht einfach: Der Angreifer möchte Daten spionieren oder "Hintertürchen" öffnen, um Zugang zum Rechner zu gelangen. Um damit Geld zu verdienen.
Wie die Angreifer damit Geld verdienen, erfahrt ihr in diesem Beitrag.
Es kann aber noch andere Ziele geben, die damit verfolgt werden.
Getarnter Schädling im Anhang
Die per Mail verschickten Anhänge, in denen sich meist die Schädlinge verstecken, haben ein bestimmtes Datei-Format.Meist wird jedoch versucht, das Datei-Format des Anhangs zu verschleiern. Z. B. indem eine exe-Datei oder ein Script als Word- oder PDF-Datei getarnt wird.
Dabei wird vor das eigentliche Datei-Format nochmals ein zweites Format ergänzt, z. B.
"Auftragseingang Nr. 1005812325.pdf.vbe"
Damit gaukelt die Datei dem Web-Dienst bzw. dem Betriebssystem vor, eine PDF-Datei zu sein.
Tatsächlich handelt es sich jedoch um ein Script im vbe-Format, das vermutlich dazu gedacht ist, Schaden anzurichten oder Daten am Rechner auszuspähen.
Manche Mails haben einen Datei-Anhang, der sich als gefährlicher Schädling heraus stellt:
Doppeltes Datei-Format: Falsch-Interpretation bei manchen Mail-Diensten
Die meisten Mail-Dienste zeigen dieses Datei-Format zwar im kompletten Zustand, also mit dem richtigen Dateiformat an.Aber leider kann nicht jeder Dienst bzw. nicht jedes (lokale) Mail-Programm dies korrekt darstellen.
Mit einer wirksamen Schutz-Software wie Kaspersky Internet Security lässt sich das Problem zwar zuverlässig lösen.
Denn diese Programme erkennen häufig, dass es ein Schädling ist. Etwa weil der Nutzer die Datei trotzdem heruntergeladen hat und öffnen möchte.
Aber nicht jede Datei lässt sich direkt prüfen. Und nicht jeder Nutzer hat einen wirksamen Schutz.
Auch habe ich schon mehrfach erlebt, dass Nutzer die Hinweise der Schutz-Programme ignoriert und die Datei trotzdem geöffnet haben. Dann hat der Schädling leichtes Spiel.
Schädliche Anhänge in Mails versuchen teilweise, sich durch ein doppeltes Datei-Format zu tarnen:
Gut gemachte SPAM- / Schädling-Mail
"Fairerweise" muss man hier sagen: Verschiedene Schädlingsmails sind wirklich gut gemacht.Häufig erkennt man gefälschte Mails, die von einem angeblich seriösen Anbieter stammt - im Beispiel hier vom Anbieter Globetrotter -, an Mängeln in Rechtschreibung und Grammatik.
Doch nicht auf jede Mail, die Malware auf den Rechner bringen will, trifft das zu.
gefälschte Absender-Mail-Adresse und fehlendes Impressum
Meist stammen SPAM- oder Schädling-Mails außerdem von einer fremden E-Mail-Adresse.
Selbst seriöse Mail-Adressen, meist von Unternehmen, werden für Schädlinge in Mails missbraucht:
Und haben kein ordentliches Impressum am Ende einer Mail, wie es - vor allem in Deutschland - für Firmen Pflicht ist.
Eine seriöse Mail von Unternehmen muss ein Impressum am Ende der Mail enthalten.
Auch Schädling-Mails nutzen das immer häufiger:
Auch Schädling-Mails nutzen das immer häufiger:
gefälschte Mails werden immer besser
In den letzten Jahren werden Versender von SPAM und Schadcode-Mails aber immer trickreicher.Denn auch die Inhalte der Mails werden immer besser.
Immer wieder erreichen mich Mails, in denen selbst bei notwendigen Inhalten wie Impressum, Disclaimer und Abmelde-Link über Grammatik + Rechtschreibung bis hin zum grafischen Aufbau und der Absender-Adresse alles zu stimmen scheint.
Hinweis auf notwendige Zusatz-Programme
Selbst ein Hinweis, dass die PDF-Datei im Anhang mit dem Adobe Reader geöffnet werden soll, ist teilweise vorhanden.Inklusive Link, unter der man bei Bedarf das PDF-Programm herunterladen kann.
Zum Öffnen von Rechnungen benötigt man ggf. Zusatz-Programme wie den Adobe Reader.
Sogar Schädling-Mails enthalten teilweise Hinweise darauf, um Seriosität vorzutäuschen:
Sogar Schädling-Mails enthalten teilweise Hinweise darauf, um Seriosität vorzutäuschen:
Erfundene Kunden-Daten
Sogar die Mühe, Kunden- und Auftragsnummer zu ergänzen, macht sich so mancher Ersteller von Schädling-Mails.Selbstverständlich sind diese Daten meist aus der Luft gegriffen, also vom Absender frei erfunden.
Selbst, falls der Empfänger bei der Firma ein Kunden-Konto hat, dürften die Daten nicht übereinstimmen.
Durch erfundene Kunden-Daten versuchen schädliche Mails den Eindruck der Glaubwürdigkeit zu erwecken:
Keine Abweichungen im erweiterten Header
Der erweitere Header (bei den meisten Mail-Anbietern) - bzw. bei meinem Anbieter outlook.com von Microsoft: der HTML-Quelltext zur Mail - liefert Auskunft mit weiteren Details zur Mail, u. a. zum genutzten Mail-Server (Domain) und einige Dinge mehr.Darüber kann man bei vielen gefälschten Mails anhand der Merkmale wie abweichende Server-Adresse oder Mail-Adresse leicht erkennen, dass es sich um eine gefälschte Mail handelt.
Nicht so bei gut gemachten Schädling-Mails:
Selbst im Quelltext sind keine Anzeichen für eine Fälschung zu erkennen.
Selbst in den Hintergrund-Daten der Mail (der erweiterte Header) sind teilweise keine Anzeichen von Betrug zu erkennen:
Keine persönliche Ansprache
Für seriöse Mail-Dienste ist es kein Problem, den Empfänger direkt, also mit Vor- und Nachnamen oder z. B. mit "Herr Müller" anzusprechen.Manche Mails sprechen den Empfänger allerdings mit "Liebe Kundin, lieber Kunde", also anonym an. Das sollte in einem System, indem die Kundennummer enthalten ist, nicht passieren.
Häufig fehlt es SPAM und schädlichen Mails an einer persönlichen Ansprache:
Kein Kontakt mit dem (vermeintlichen) Absender
Selbst wenn eine Mail inhaltlich stimmig ist und selbst das Design täuschend echt aussieht, hilft vor allem der Sachverstand.Denn jedes Mal, wenn ich eine solch gut gemachte Mail erhalte, stelle ich mir erst einmal folgende Frage:
"Habe ich mit dem Unternehmen, also dem vermeintlichen Anbieter schon einmal zu tun gehabt? Habe ich deren Newsletter abonniert oder dort etwas bestellt?"
In den wenigsten Fällen ist der Fall.
Deshalb ist es meist gar nicht möglich, dass ich von denen eine Rechnung erhalte.
Zwar kenne ich die Firma Globetrotter vom Namen her.
Aber: Keine Bestellung -> keine Relevanz für eine Rechnung.
Deshalb schaue ich mir die Mail erst gar nicht an.
Im Zweifel müsste außerdem die Firma mir beweisen, dass ich etwas bestellt habe. Nicht umgekehrt.
Möglicher Missbrauch durch Fremde
Zwar gäbe es die Chance, dass ein Fremder unter meinem Namen etwas bestellt hat und ich nun die Rechnung bekomme.In dem Fall wäre es aber eine richtige PDF und kein gefälschtes Datei-Format.
Fazit:
Bevor man eine Mail öffnet und den Anhang herunter lädt, hilft es, sich verschiedene Merkmale wie schlechte Grammatik und Schreibfehler, eine falsche Mail-Adresse oder das Datei-Format vom Anhang anzuschauen.Und vor allem erst mal ruhig zu überlegen, ob man mit dem Anbieter etwas zu tun hat.
Überstürztes Handeln, aus Stress und Hektik, bringt hier gar nichts.
Tipp:
Es bringt auch nichts, auf eine solche Mail zu antworten.Erstens werden solche Mails per "Autobot", also von einem automatischen Programm versendet. Antwortet man auf eine solche Mail, weiß das Programm, dass der Versand erfolgreich war. Und schickt künftig mehr solcher Mails.
Bei SPAM + Mails mit Malware ist eine Antwort keine Option:
Außerdem:
Warum sollte man einem Betrüger, der vermutlich anonym im Ausland sitzt, auch noch antworten.
Der "Datendieb" wird deshalb nicht damit aufhören.
Und der angebliche Absender - also die Firma, deren Daten für die Mail missbraucht wurden - kann dazu am Allerwenigsten und an den gefälschten Mails nichts ändern.
Keine Kommentare:
Kommentar veröffentlichen