Begeg­nen Sie ein­ge­hen­den E‑Mails mit einer ordent­li­chen Por­ti­on Miss­trau­en. Die­se Ein­stel­lung stellt seit jeher den bes­ten Schutz vor Com­pu­ter­vi­ren und Mal­wa­re dar.

Das gilt für Nach­rich­ten von unbe­kann­ten Absen­dern, aber auch für Mails von Bekann­ten. Bei Letz­te­ren könn­te es sein, dass die Nach­richt gar nicht von dem schein­bar bekann­ten Absen­der kommt, son­dern ohne sein Wis­sen über sei­nen Account ver­schickt wur­de. Daher gilt: Eine E‑Mail soll­te immer einen eini­ger­ma­ßen per­sön­li­chen Bezug ent­hal­ten. Also eine Refe­renz auf etwas, was die Ver­brei­ter von Mal­wa­re nor­ma­ler­wei­se nicht wis­sen: Die Erwäh­nung eines tat­säch­lich statt­ge­fun­de­nen Gesprä­ches, ein gemein­sa­mer Bekann­ter oder ein bevor­ste­hen­des Ereig­nis, von dem Absen­der und Emp­fän­ger wis­sen. Es soll­te nichts all­ge­mein bekann­tes ohne jeden per­sön­li­chen Bezug sein; News­mel­dun­gen wie „Hund lebt elf Jah­re von totem Herr­chen“ wer­den im Gegen­teil ger­ne von Viren­au­toren benutzt, um die Attrak­ti­vi­tät der Nach­richt zu steigern.

Eine ande­re Mög­lich­keit zur Ver­brei­tung von Schad­code ist die Ver­wen­dung von gefälsch­ten Absen­der­adres­sen, von denen vie­le Men­schen E‑Mails bekom­men, zum Bei­spiel angeb­li­che Ver­sand­be­stä­ti­gun­gen von amazon.de, eBay oder DHL oder vor­geb­li­che Rech­nun­gen von 1&1, Voda­fone oder der Tele­kom. Ein Com­pu­ter­be­trü­ger, der angeb­li­che amazon.de-E-Mails an fünf Mil­lio­nen deut­sche E‑Mail-Adres­sen ver­schickt, erreicht damit hun­dert­tau­sen­de tat­säch­li­che amazon.de-Kunden.

Kei­ne Sor­ge – vor den nega­ti­ven Aus­wir­kun­gen sol­cher Mails kann man sich schüt­zen. Ein aktu­el­les Bei­spiel illus­triert dies. Schau­en wir uns mal die­se E‑Mails an:

Zunächst fällt auf, dass die Tele­kom nor­ma­ler­wei­se das Buchungs­kon­to oder die Kun­den­num­mer in ihre Rech­nungs-E-Mails schreibt.

 Fehlt die­se Infor­ma­ti­on oder ist sie falsch (die rich­ti­ge Num­mer kön­nen wir in Com­pu­ter­nä­he auf­be­wah­ren), soll­te noch mehr Miss­trau­en als gewöhn­lich ange­sagt sein.

 In die­sem Fall ist außer­dem der Absen­der auf­fäl­lig. Dar­auf kann man sich lei­der nicht ver­las­sen, weil sich die Absen­der­adres­se leicht fäl­schen lässt.

Die Rech­nung, so sieht es aus, ist nicht der E‑Mail ange­hängt, son­dern wir sol­len eine bestimm­te Web­site besu­chen. Das wird auch ger­ne gemacht, um uns dazu zu brin­gen, irgend­wel­che Zugangs­da­ten auf fal­schen (betrü­ge­ri­schen) Web­sei­ten ein­zu­ge­ben; das nennt man dann „Phis­hing“.

---

Zur Erin­ne­rung: Hin­ter jeder Web­site steht ein Ser­ver, den man über eine Domain erreicht. Zusätz­lich wird beim Besuch des Ser­vers noch mit­ge­ge­ben, wel­che Infor­ma­ti­on er lie­fern soll. Beispiel:

http://de.wikipedia.org/wiki/Berlin

Die Domain beginnt hin­ter dem „http://“ und endet vor dem ers­ten Schräg­strich. Moder­ne Brow­ser zei­gen das „http://“ gar nicht mehr an, kenn­zeich­nen aber die Domain optisch. So sieht das in Goog­le Chro­me aus:

Der Com­pu­ter (Ser­ver), den wir hier errei­chen, heißt „de.wikipedia.org”. Dahin­ter geben wir die­sem Com­pu­ter die Infor­ma­ti­on, wel­chen Inhalt er uns genau schi­cken soll.

Ger­ne ver­schlei­ern Viren­au­toren die Domain, also den Server:

http://mafia.ge/telekom.de/ihre-rechnung.html

In die­sem Bei­spiel sol­len wir den Ser­ver „mafia.ge“ besu­chen. So heißt die geor­gi­sche Domain; der Rest soll uns täu­schen. Die Tele­kom hat mit die­sem Link nichts zu tun.

http://telekom-rechnungsstelle.de/ihre-rechnung-372470923.html

Die­ser Link wirkt gera­de­zu authen­tisch. Es wäre immer­hin denk­bar, dass das Unter­neh­men mit die­ser Adres­se arbei­tet; trotz­dem soll­ten Sie sich genau anse­hen, was Sie sich her­un­ter­la­den, wenn Sie eine sol­che Adres­se besu­chen sollen.

http://rechnungsstelle.telekom.de/rech-3299432.html

Hin­ter die­ser Adres­se steckt mit aller­größ­ter Wahr­schein­lich­keit die Tele­kom, weil hier eine Sub­do­main der Domain „telekom.de“ ver­wen­det wird; dies kann nur der Inha­ber der Domain machen. Anders sieht es aus, wenn das Trenn­zei­chen kein Punkt ist, dann ist es näm­lich kei­ne Sub­do­main, son­dern ein­fach eine ganz ande­re Domain, die sich jeder­mann kurz­fris­tig zule­gen kann:

http://rechnungsstelle-telekom.de/rech-3299432.html

Die Domain hier also „rechnungsstelle-telekom.de”. Wie wir gleich sehen wer­den, ver­wen­den die meis­ten Betrü­ger im Inter­net aber wesent­lich schlech­ter ver­schlei­er­te Domainnamen.

---

Nun zu unse­rer E‑Mail. Wenn wir die­se in Micro­soft Out­look lesen und mit der Maus auf den Link fah­ren, ohne zu kli­cken, dann sehen wir nach einem Augen­blick einen Hin­weis mit der Adres­se des Links.

 Der Umstand, dass die Tele­kom ihre Rech­nun­gen offen­bar über einen aus­tra­li­schen Ser­ver zum Down­load bereit­stellt, stei­gert unser Miss­trau­en. Viel­leicht ein exter­ner Dienst­leis­ter? Nor­ma­ler­wei­se wür­de man spä­tes­tens hier abbrechen!

Beim Ver­such, die Rech­nung her­un­ter­zu­la­den, warnt nun der Brow­ser; Goog­le Chro­me ist unter Sicher­heits­aspek­ten der­zeit der emp­feh­lens­wer­tes­te Browser:

Trotz­dem spei­che­re ich das Doku­ment. Es ist ein ZIP-Archiv, wie es die Tele­kom für ihre Rech­nun­gen lei­der auch ver­wen­det. Ich ent­pa­cke es auf den Desk­top und schaue mir den Inhalt an:

Der Datei­na­me hat die Erwei­te­rung „.exe” (hier gelb mar­kiert). Unter Win­dows signa­li­siert die Erwei­te­rung den Typ der Datei; der Name sel­ber lau­tet „2014_05_rechnungonline_…_sign_deutsche_telekom_ag.pdf“.

Mer­ke: Die Erwei­te­rung steht immer hin­ter dem letz­ten Punkt. Hin­ter dem aller­letz­ten Punkt! Alles davor ist der Name.

Folg­lich han­delt es sich um ein aus­führ­ba­res Pro­gramm (EXE­cu­ta­ble), wel­ches mit sei­nem Namen den Anschein erwe­cken will, eine PDF-Datei zu sein. Ein simp­ler Täu­schungs­ver­such, der noch miss­traui­scher machen soll­te (falls das über­haupt noch geht).

 In dem Augen­blick, in dem ich die­se Datei öff­ne (aus­füh­re), kann das Pro­gramm auf mei­nem Com­pu­ter „etwas“ machen. Weil ich kein Inter­es­se habe, aus­zu­pro­bie­ren, was der unbe­kann­te Pro­gram­mie­rer mit mei­nem Com­pu­ter anfan­gen möch­te, bre­che ich hier die Ana­ly­se ab.

Übri­gens: Auf Viren­scan­ner kann man sich an die­ser Stel­le nicht ver­las­sen. Zwei Stun­den nach dem Erhalt die­ser E‑Mail habe ich den Anhang über VirusTotal.com einer Rei­he von Viren­scan­nern vor­ge­legt; nur zwei in Deutsch­land fast unbe­kann­te Schutz­pro­gram­me haben den Schad­code zu die­sem Zeit­punkt erkannt.

Einen Tag spä­ter dürf­ten die meis­ten Scan­ner den Schäd­ling iden­ti­fi­zie­ren, aber alle E‑Mails erst mit einem Tag Ver­zö­ge­rung zu öff­nen, ist gar nicht nötig. Es reicht, wenn Sie miss­trau­isch und vor­sich­tig bleiben!