veröffentlicht am 14.11.2018 / geändert am 02.10.2019
Augen auf beim Blick ins Emailpostfach UPDATE
Seit einer Woche häufen sich bei uns die Meldungen über kompromitierte Emailkonten unserer Kunden. Diese hatten kurz zuvor auf gut gemachte, aber gefälschte Rechnungen geklickt. Wir klären auf und geben Tipps wie man sich davor schützen kann.
Dieses Bild wird von www.cybox.net geladen. Es gelten deren Datenschutzbestimmungen.
Die Emails sind in gutem Deutsch geschrieben, enthalten eine persönliche Ansprache und stammen angeblich von Geschäftspartnern - aktuell rollt also eine gut gemachte Trojanerwelle durchs Netz.
Im Anhang dieser Emails befindet sich ein Worddokument (.doc) mit der angeblichen Rechnung. Einmal angeklickt und schon wird ein Trojaner auf dem Rechner installiert, welcher anschließend die lokal gespeicherten Zugangsdaten z.B der Emailkonten ausforscht. Kurz danach wird das eigene Emailkonto Teil eines global agierenden Botnetzes zur weiteren Verbreitung des Trojaners.
Immer wenn dies einem unserer Hostingkunden geschieht, verzeichnen unsere Server Zugriffe auf das betroffene Emailkonto aus aller Welt von Argentinien über Russland bis nach Südafrika. Zudem füllen sich die Postfächer mit Rückläufern aufgrund ungültiger Emailadressen. Mit einer gewissen Verzögerung wird dies automatisch erkannt und die Zugangsdaten geändert. Ab diesem Zeitpunkt kann weder unser Kunde noch das Botnetz das Konto weiternutzen.
Wie komme ich wieder an mein Emailkonto?
Üblicherweise wenden wir uns dann umgehend an unseren Kunden - ohne Emailadresse geht dies jedoch nur noch telefonisch während der Geschäftszeiten. Anschließend gilt es erstmal den betroffenen Rechner zu säubern. Auch sollten die Kennwörter aller Dienste, welche von dem Rechner genutzt werden, z.B. Onlinebanking, geändert werden.
Zur Überbrückung kann -von einem anderen Rechner natürlich- mit neuen Kennwörtern per Webmailer das Konto umgehend wieder genutzt werden. Doch Vorsicht - ist der Trojaner noch aktiv dauert es nur weniger Minuten bis auch die neuen Zugangsdaten entwendet werden.
Ich habe einen Virenscanner, warum bin ich trotzdem betroffen?
In diesem Fall enthält weder die Email noch das beiliegende Worddokument Schadcode. Dieser wird erst beim Öffnen aus dem Internet nachgeladen. Somit kann der Virenscanner des Mailservers als auch des lokalen Computers den Angriff nicht erkennen.
Zudem hinkt ein Virenscanner immer hinterher. Im Prinzip gleicht ein Virenscanner eine zu untersuchende Datei nur gegen eine regelmäßig aktualisierte Liste ab. Was dem Hersteller noch nicht bekannt ist, steht nicht in der Liste und kann auch nicht gefunden werden.
Wie kann ich mich sonst dagegen schützen?
Bei diesen gut gemachten Fake-Emails ist es häufig schwer den Schwindel auf den ersten Blick zu durchschauen.
Grundsätzlich sollte man bei Anhängen immer sehr vorsichtig sein. Diese sollte man erst öffnen, wenn man sich auch wirklich sicher ist, dass die Information tatsächlich vom echten Absender zugeschickt wurde. Im Zweifel ist man immer auf der sicheren Seite, den Anhang nicht zu öffnen.
Am besten ist es, grundsätzlich keine per Email erhaltenen Office-Dateien zu öffnen. In größeren Unternehmen ist es natürlich schwer, alle Mitarbeiter davon zu überzeugen, sich auch wirklich daran zu halten. Wir kennen das alle - zu schnell siegt die Bequemlichkeit, wenn es darum geht sich im Stress oder kurz vor Feierabend die Datei nochmal in einem anderen Format schicken zu lassen.
Unsere Empfehlung - Gefährdende Dateianhänge erst gar nicht annehmen
Unsere Emailserver bieten die Möglichkeit Anhänge ganz oder mit bestimmten Dateiendungen zu sperren. Mit einem gesunden Maß an Beschränkung schützt man sich nicht nur vor dieser Trojanerwelle.
Auf unseren Cloudtarifen können die zu sperrenden Dateiendungen in der Konfigurationsoberfläche angeben. Auf unseren Dedicated-Tarifen haben Sie Zugriff auf das mächtige procmail-Mailfiltertool. Mit diesem ist es auch möglich den Absender über abgelehnte E-Mails zu informieren.