Warnung vor Phishing-Attacke per angeblicher Bestell-Mail

Angreifer fokussieren auf Log-In-Daten von Unternehmensangestellten

[datensicherheit.de, 21.03.2016] Angriffsversuche per E-Mail sind nicht erst seit dem Auftauchen der Ransomware „Locky“ in den Fokus der Berichterstattung geraten. Experten gehen davon aus, dass täglich allein in Deutschland über 100 Millionen Spam-Nachrichten versendet werden, wobei es sich nicht nur um Massenangriffe, sondern auch durchaus um gezielte Attacken handeln soll.

Hinweise auf Betrug erkennen

Die E-Mail, die in die Postfächer der potenziellen Opfer gelangt, ist eine angebliche Bestellung mit einem Anhang namens „purchase-order.htm“. Bereits in der E-Mail gibt es laut G DATA Hinweise, die auf einen Betrug hindeuten. Die Firma existiere unter diesem Namen nicht, die Absender-Adresse wirke nicht seriös, auch das Anschreiben enthalte Rechtschreibfehler.

Missbrauch als Spam-Schleuder

Bekommen die Angreifer Zugriff auf ein E-Mail-Konto einer Privatperson oder einer Firma, kann dieses zum weiteren Versand von Spam verwendet werden. Gehen Zugangsdaten im Firmenkontext verloren, können daraus weitreichende Probleme erwachsen, zum Beispiel der unberechtigte Zugriff auf unternehmensinterne Daten und E-Mails.

Tarnung der Phishing-Mail als Bestellung

Die Datei tarne sich als eine Art Microsoft-„Excel“-Onlinedokument. Im Hintergrund sei eine „Excel“-Tabelle zu sehen, allerdings sei diese nur ein Bild, kein Tabellen-Dokument, das man bearbeiten kann. Geladen werde das Bild von einem Server aus Hongkong. Empfänger sollten verleitet werden, ihre Anmeldedaten in ein Formular eingeben, um einen Download zu starten. Die eingegebenen Daten, E-Mail-Adresse und Passwort, würden nach dem Klick auf „Download“ an den gleichen Server in Hongkong versendet, von dem auch die Bilder geladen würden – allerdings an eine andere Domain. Die Vermutung liege nahe, dass der gesamte Server von den Angreifern kontrolliert werde. Nach dem Absenden der Daten werde eine Webseite mit einer Fehlermeldung geöffnet, so G DATA.

Grundsätzliche Tipps von G DATA

Insbesondere Unternehmen werden grundsätzlich aufgerufen, eine umfassende Sicherheitslösung einzusetzen und diese auf dem aktuellen Stand zu halten. Lästige E-Mail sollten mit einem Mail- und Spamschutz abgeblockt werden.
Niemals sollten offensichtliche SPAM-Mails beantwortet werden. Eine Antwort zeige Betrügern nämlich, dass die angeschriebene Adresse tatsächlich existiert und damit werde diese für sie noch wertvoller. Auch sollten keine persönlichen Daten preisgegeben werden – weder per E-Mail, noch in dubiosen Formularen oder auf verdächtigen Webseiten. Speziell im Firmen-Umfeld gelte es, in Verdachtsfällen den hauseigenen IT-Administrator oder auch externe Experten anzusprechen, die als Dienstleister für das Unternehmen tätig sind.

Prüfung von E-Mails auf Plausibilität

Jeder Empfänger derartiger E-Mails sollte sich fragen, ob man selbst bzw. die eigene Firma einen Grund hat, eine Bestellung aus dem Ausland zu erhalten. Zu prüfen sei auch, ob man selbst der Empfänger der E-Mail ist oder dort eine andere Adresse steht und welchen Eindruck die E-Mail generell macht – hinsichtlich der verwendeten Sprache.
E-Mails von unbekannten Absendern sollten generell erst einmal misstrauisch betrachtet werden – erscheint eine E-Mail sehr eigenartig, dann gelte: Ignorieren, löschen, aber auf keinen Fall Anhänge öffnen oder Links anklicken!

Vorsicht bei Attachments und Links

Das Öffnen von Dateianhängen berge Risiken. Sie sollten zunächst mit einer Sicherheitslösung gescannt werden und ggf. ungeöffnet im Papierkorb landen. Wer sich unsicher sei, könne eine solche Datei vor dem Öffnen zur Datei-Analyse an die G DATA SecurityLabs einsenden.
Auch Links in E-Mails sollten keinesfalls unbedacht angeklickt werden. Zunächst sollte man die URL prüfen. Viele E-Mail-Programme erlaubten es, das eigentliche Ziel der Verlinkung zu sehen, wenn man die Maus über den sichtbaren Link bewegt, ohne ihn jedoch anzuklicken – die sogenannte „Mouseover“-Funktion. Wer sich unsicher ist, könne die zweifelhafte URL vor dem Klick zur Analyse an die G DATA SecurityLabs einsenden. E-Mails mit einem Dateianhang im HTM(L)-Format sollten prinzipiell mit großer Skepsis betrachtet werden, denn dieses Dateiformat sei nur für Webseiten gebräuchlich; für den Informationsaustausch zwischen Personen sei es sehr ungewöhnlich. Gleiches gelte für Dateien im Format „.JS“ (JavaScript).

Weitere Informationen zum Thema:

G DATA Security Blog, 17.03.2016
Bestellungs-Mail entpuppt sich als Phishing-Attacke im Excel-Look / Angreifer haben es offenbar auf Log-In Daten von Unternehmensangestellten abgesehen