Vorsicht vor Betrüger-Mails mit gefälschten PDF-Rechnungen

Steppenwolf

Thread Starter
grauer Wolf
Teammitglied
Moderator
Trusted Uploader
Seit
17. Oktober 2015
Beiträge
198
Likes
67
Punkte
780
Standort
Parterre
Vorsicht vor Betrüger-Mails mit gefälschten PDF-Rechnungen
Derzeit sind erneut vermehrt E-Mails mit Fake-Rechnungen in Umlauf. Wer nicht aufpasst, fängt sich den Windows-Trojaner Emotet ein.

Bei E-Mails mit Dateianhang sollte man argwöhnisch sein – immer. Dieser Tage landen gehäuft gefälschte Rechnungen in Mail-Postfächern. Im Anhang dieser Nachrichten befindet sich ein PDF-Dokument. Die Mails weisen Betreffzeilen wie "Zahlungsanfrage" oder "Fehlende Rechnung" auf.

Mehrere Leser haben heise Security solche Mails weitergeleitet. Der Text in den Mails ist kurz und knapp und variiert. Wirklich überzeugend wirkt das nicht – es gab schon weitaus glaubhaftere und somit gefährlichere Rechnungsmails. Das Notfallteam des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor diesen Nachrichten. Auch das LKA Niedersachsen beobachtet derzeit ein erhöhtes Aufkommen.

Vorsicht vor Betrüger-Mails mit gefälschten PDF-Rechnungen

Die gefälschten Mails stammen von kruden Absender-Adressen wie Kfz-Tchnik@moldocor.ro. Im PDF ist ein Link zu einem mit Makros präparierten Word-Dokument.

Vom PDF zum Word-Dokument zum Trojaner
Vorsicht vor Betrüger-Mails mit gefälschten PDF-Rechnungen

Zum Glück sind Makros in Word standardmäßig ausgeschaltet. Empfänger von solchen Dokumenten sollten die Funktion unter keinen Umständen aktivieren, sonst nistet sich ein Trojaner ein.

Wer so eine Mail bekommt, sollten den Anhang nicht herunterladen und die Nachricht löschen. Die Drahtzieher dieser Spam-Kampagne wollen über diesen Weg Windows-Computer mit dem Multifunktionstrojaner Emotet anstecken. Das alleinige Öffnen des PDFs löst aber noch keine Infektion aus.

In dem Dokument befindet sich ein Link, der zu einem Word-Dokument führt. Dieses ist mit Makros präpariert. Der Text darin versucht, Opfer dazu zu bringen, die Makros zu aktivieren. In der Regel ist diese Funktion standardmäßig deaktiviert. Eigentlich sollen Makros beispielsweise wiederkehrende Aufgaben bei der Erstellung eines Dokumentes zu automatisieren. In diesem Fall missbrauchen die Betrüger die Funktion aber dazu, um den Schädling herunterzuladen. Für eine erfolgreiche Infektion müssen Opfer also mehrere Schritte mitmachen.

Parallel dazu sind auch wieder Fake-Rechnungsmails mit einem gefährlichen Link unterwegs, die von vermeintlich Bekannten oder Arbeitskollegen stammen. Diese maßgeschneiderten Nachrichten (Spear Phishing) werden in großer Zahl verschickt und man kann hier von Dynamit-Phishing sprechen. Die heise Security vorliegende Mail ist aber nicht sehr gut gemacht.

So schützt man sich

Diese Form von Makros funktionieren aber nur mit Microsoft Office. Nutzer von LibreOffice und OpenOffice sollten nicht gefährdet sein. Wie man sich vor Emotet & Co. schützen kann, .

Wie sich Unternehmen auf die Gefahren durch Emotet und Co. optimal vorbereiten können, das ist auch einer der Schwerpunkte der diesjährigen "Wissen schützt - Cybercrime Next Generation abwehren". Das Thema spielt auch auf der im März in Hannover stattfindenden eine Rolle.

Perfider Schädling

Ende 2018 gab es , unter der vor allem Unternehmen litten. Dabei entstanden Schäden in Millionenhöhe. Ende Januar , um Privatpersonen ins Visier zu nehmen.

Emotet ist besonders gefährlich, weil er vielseitig einsetzbar ist. Er kann etwa den Banking-Trojaner Trickbot auf Computer holen und Passwörter aus Browsern und Mail-Clients kopieren. Außerdem kann er sich in Netzwerken wurmartig verbreiten.
(des [7])

Links in diesem Artikel:
[1] [2]
[3]
[4]
[5]
[6]

 

KNUTTEL BÄR

Board Mitarbeiter (der Knuddlige Bär)
Teammitglied
Moderator
Trusted Uploader
Seit
15. April 2015
Beiträge
10.658
Likes
253
Punkte
2.320
Auf unbekannte Emails reagiere ich sowieso nicht werden gleich sofort gelöscht von mir. ;)
 

Steppenwolf

Thread Starter
grauer Wolf
Teammitglied
Moderator
Trusted Uploader
Seit
17. Oktober 2015
Beiträge
198
Likes
67
Punkte
780
Standort
Parterre
Auf unbekannte Emails reagiere ich sowieso nicht werden gleich sofort gelöscht von mir. ;)
War ja auch nicht für Dich gedacht.
Es gibt aber immer noch Leute die auf sowas reinfallen sonst würde man das nicht veröffentlichen. Ich hatte letztens auch wieder eine E-Mail zum anklicken von Amazon. Dumm war nur das mein Amazon Konto über eine andere Adresse läuft und ich Rechtschreibfehler sofort sehe obwohl diesmal nur zwei drin waren.
 
Oben Unten