Seit vorigem Jahr wurde eine neue Spielart eines klassischen Angriffs via Phishing entdeckt. Der Emotet genannte Trojaner ist in Makros von Office-Dokumenten enthalten. Die infizierten Dateien werden dann massenweise in E-mails versendet.
Die perfide Neuigkeit des Trojaners ist, daß Inhalte gestohlener E-mails ausgewertet und für die betrügerischen Nachrichten weiterverwendet werden. So versuchen die Betrüger, mehr oder weniger glaubhaft, an vorangegangene Unterhaltungen anzuknüpfen und ein typisches Verhalten nachzuahmen, die ein Empfänger von seinen Gesprächspartnern erwarten würde. Den Absendernamen zu fälschen ist dann ohnehin ein Leichtes. Damit soll es gelingen das Vertrauen der Empfänger zu erschleichen und sie zum Öffnen der infizierten Datei zu bewegen.
Wie schützen Sie sich dagegen?
Seien Sie vorsichtig beim Öffnen von Dateianhängen von E-mails
Diese Warnung kann man nicht oft genug wiederholen. Trojaner bedürfen der Ausführung durch einen Benutzer um tätig zu werden. Deswegen sollten Sie mit fremden Dokumenten äußerste Vorsicht walten lassen. Wenn Sie unsicher sind, ob eine Datei tatsächlich dem Urheber entstammt die sie vorgibt, sichern Sie sich ab indem Sie Ihren Gesprächspartner kurz anrufen.
Makros deaktivieren
Makros sind in Microsoft Office standardmäßig deaktiviert und Sie sollten diese Einstellung gegebenenfalls überprüfen. Makros bedürfen dann einer Zustimmung – ein Hinweis öffnet sich bei Bedarf dem Sie zustimmen müssen. Seien Sie hier ebenfalls vorsichtig wenn es sich um eine Datei handelt, die Sie nicht selbst geschrieben haben und deren Quelle Sie nicht genau kennen.
Halten Sie Backups vor
Ebenfalls eine gebetsmühlenartig wiederholte Forderung ist das regelmäßige anzufertigende Backup. Ein Trojaner kann Ihr System verändern und Ihre Daten unzugänglich machen. Ein Backup ist dann oft die letzte Rettung vor dem vollständigen Datenverlust. Dieses muß allerdings in regelmäßigen Abständen erfolgen, mehrere zeitliche Speicherpunkte ermöglichen und vom System getrennt sein. Andernfalls besteht die Gefahr, daß die Schadsoftware bereits in das Backup eingeflossen ist.
Führen Sie eine Neuinstallation auf infizierten Geräten durch
Hat der Trojaner Ihr System erreicht muß dieses in Folge als unsicher und kompromittiert gelten. Sie können daran dann nichts mehr retten und sind nur sicher, wenn das gesamte System gelöscht und neu installiert wird.
Passwörter, welche Sie zuvor an diesem Gerät genutzt hatten, sind ab sofort als kompromittiert zu betrachten und müssen an einem anderen Gerät geändert und neu vergeben werden.
Signieren von E-mails
Elektronische Signaturen garantieren die Echtheit eine Nachricht. Sie bezeugt nachvollziehbar, daß eine Nachricht tatsächlich von jenem Urheber stammt, den Sie vorgibt. Eine Angriff mittels Phishing würde in einem Umfeld voller signierter und wahlweise auch verschlüsselter Nachrichten sofort auffallen.
Mit GnuPG und S/MIME stehen hierzu sichere Verfahren bereits seit mehreren Jahrzehnten zur Verfügung. Dennoch mangelt es in vielen Unternehmen an einer entsprechenden Implementierung. Daß die Kosten für einen Einsatz sicherer Verfahren den Schaden möglicher Angreifer übertreffen darf getrost bezweifelt werden.
Weiterführende Informationen:
BSI für Bürger – Aktuelle Information zur Schadsoftware Emotet