Os Computerei

Blog von Oliver Braun vom IT-Service.berlin

...zum IT-Service.berlin 

Begeg­nen Sie einge­hen­den E‑Mails mit ein­er ordentlichen Por­tion Mis­strauen. Diese Ein­stel­lung stellt seit jeher den besten Schutz vor Com­put­er­viren und Mal­ware dar.

Das gilt für Nachricht­en von unbekan­nten Absendern, aber auch für Mails von Bekan­nten. Bei Let­zteren kön­nte es sein, dass die Nachricht gar nicht von dem schein­bar bekan­nten Absender kommt, son­dern ohne sein Wis­sen über seinen Account ver­schickt wurde. Daher gilt: Eine E‑Mail sollte immer einen einiger­maßen per­sön­lichen Bezug enthal­ten. Also eine Ref­erenz auf etwas, was die Ver­bre­it­er von Mal­ware nor­maler­weise nicht wis­sen: Die Erwäh­nung eines tat­säch­lich stattge­fun­de­nen Gespräch­es, ein gemein­samer Bekan­nter oder ein bevorste­hen­des Ereig­nis, von dem Absender und Empfänger wis­sen. Es sollte nichts all­ge­mein bekan­ntes ohne jeden per­sön­lichen Bezug sein; News­meldun­gen wie „Hund lebt elf Jahre von totem Her­rchen“ wer­den im Gegen­teil gerne von Vire­nau­toren benutzt, um die Attrak­tiv­ität der Nachricht zu steigern.

Eine andere Möglichkeit zur Ver­bre­itung von Schad­code ist die Ver­wen­dung von gefälscht­en Absender­adressen, von denen viele Men­schen E‑Mails bekom­men, zum Beispiel ange­bliche Ver­sandbestä­ti­gun­gen von amazon.de, eBay oder DHL oder vorge­bliche Rech­nun­gen von 1&1, Voda­fone oder der Telekom. Ein Com­put­er­be­trüger, der ange­bliche amazon.de-E-Mails an fünf Mil­lio­nen deutsche E‑Mail-Adressen ver­schickt, erre­icht damit hun­dert­tausende tat­säch­liche amazon.de-Kunden.

Keine Sorge — vor den neg­a­tiv­en Auswirkun­gen solch­er Mails kann man sich schützen. Ein aktuelles Beispiel illus­tri­ert dies. Schauen wir uns mal diese E‑Mails an:

Zunächst fällt auf, dass die Telekom nor­maler­weise das Buchungskon­to oder die Kun­den­num­mer in ihre Rech­nungs-E-Mails schreibt.

 Fehlt diese Infor­ma­tion oder ist sie falsch (die richtige Num­mer kön­nen wir in Com­put­ernähe auf­be­wahren), sollte noch mehr Mis­strauen als gewöhn­lich ange­sagt sein.

 In diesem Fall ist außer­dem der Absender auf­fäl­lig. Darauf kann man sich lei­der nicht ver­lassen, weil sich die Absender­adresse leicht fälschen lässt.

Die Rech­nung, so sieht es aus, ist nicht der E‑Mail ange­hängt, son­dern wir sollen eine bes­timmte Web­site besuchen. Das wird auch gerne gemacht, um uns dazu zu brin­gen, irgendwelche Zugangs­dat­en auf falschen (betrügerischen) Web­seit­en einzugeben; das nen­nt man dann „Phish­ing“.


Zur Erin­nerung: Hin­ter jed­er Web­site ste­ht ein Serv­er, den man über eine Domain erre­icht. Zusät­zlich wird beim Besuch des Servers noch mit­gegeben, welche Infor­ma­tion er liefern soll. Beispiel:

http://de.wikipedia.org/wiki/Berlin

Die Domain begin­nt hin­ter dem „http://“ und endet vor dem ersten Schrägstrich. Mod­erne Brows­er zeigen das „http://“ gar nicht mehr an, kennze­ich­nen aber die Domain optisch. So sieht das in Google Chrome aus:

Der Com­put­er (Serv­er), den wir hier erre­ichen, heißt „de.wikipedia.org”. Dahin­ter geben wir diesem Com­put­er die Infor­ma­tion, welchen Inhalt er uns genau schick­en soll.

Gerne ver­schleiern Vire­nau­toren die Domain, also den Serv­er:

http://mafia.ge/telekom.de/ihre-rechnung.html

In diesem Beispiel sollen wir den Serv­er „mafia.ge“ besuchen. So heißt die geor­gis­che Domain; der Rest soll uns täuschen. Die Telekom hat mit diesem Link nichts zu tun.

http://telekom-rechnungsstelle.de/ihre-rechnung-372470923.html

Dieser Link wirkt ger­adezu authen­tisch. Es wäre immer­hin denkbar, dass das Unternehmen mit dieser Adresse arbeit­et; trotz­dem soll­ten Sie sich genau anse­hen, was Sie sich herun­ter­laden, wenn Sie eine solche Adresse besuchen sollen.

http://rechnungsstelle.telekom.de/rech-3299432.html

Hin­ter dieser Adresse steckt mit aller­größter Wahrschein­lichkeit die Telekom, weil hier eine Sub­do­main der Domain „telekom.de“ ver­wen­det wird; dies kann nur der Inhab­er der Domain machen. Anders sieht es aus, wenn das Trennze­ichen kein Punkt ist, dann ist es näm­lich keine Sub­do­main, son­dern ein­fach eine ganz andere Domain, die sich jed­er­mann kurzfristig zule­gen kann:

http://rechnungsstelle-telekom.de/rech-3299432.html

Die Domain hier also „rechnungsstelle-telekom.de”. Wie wir gle­ich sehen wer­den, ver­wen­den die meis­ten Betrüger im Inter­net aber wesentlich schlechter ver­schleierte Domain­na­men.


Nun zu unser­er E‑Mail. Wenn wir diese in Microsoft Out­look lesen und mit der Maus auf den Link fahren, ohne zu klick­en, dann sehen wir nach einem Augen­blick einen Hin­weis mit der Adresse des Links.

 Der Umstand, dass die Telekom ihre Rech­nun­gen offen­bar über einen aus­tralis­chen Serv­er zum Down­load bere­it­stellt, steigert unser Mis­strauen. Vielle­icht ein extern­er Dien­stleis­ter? Nor­maler­weise würde man spätestens hier abbrechen!

Beim Ver­such, die Rech­nung herun­terzu­laden, warnt nun der Brows­er; Google Chrome ist unter Sicher­heit­saspek­ten derzeit der empfehlenswerteste Brows­er:

Trotz­dem spe­ichere ich das Doku­ment. Es ist ein ZIP-Archiv, wie es die Telekom für ihre Rech­nun­gen lei­der auch ver­wen­det. Ich ent­packe es auf den Desk­top und schaue mir den Inhalt an:

Der Dateiname hat die Erweiterung „.exe” (hier gelb markiert). Unter Win­dows sig­nal­isiert die Erweiterung den Typ der Datei; der Name sel­ber lautet „2014_05_rechnungonline_…_sign_deutsche_telekom_ag.pdf“.

Merke: Die Erweiterung ste­ht immer hin­ter dem let­zten Punkt. Hin­ter dem aller­let­zten Punkt! Alles davor ist der Name.

Fol­glich han­delt es sich um ein aus­führbares Pro­gramm (EXE­cutable), welch­es mit seinem Namen den Anschein erweck­en will, eine PDF-Datei zu sein. Ein sim­pler Täuschungsver­such, der noch mis­strauis­ch­er machen sollte (falls das über­haupt noch geht).

 In dem Augen­blick, in dem ich diese Datei öffne (aus­führe), kann das Pro­gramm auf meinem Com­put­er „etwas“ machen. Weil ich kein Inter­esse habe, auszupro­bieren, was der unbekan­nte Pro­gram­mier­er mit meinem Com­put­er anfan­gen möchte, breche ich hier die Analyse ab.

Übri­gens: Auf Viren­scan­ner kann man sich an dieser Stelle nicht ver­lassen. Zwei Stun­den nach dem Erhalt dieser E‑Mail habe ich den Anhang über VirusTotal.com ein­er Rei­he von Viren­scan­nern vorgelegt; nur zwei in Deutsch­land fast unbekan­nte Schutzpro­gramme haben den Schad­code zu diesem Zeit­punkt erkan­nt.

Einen Tag später dürften die meis­ten Scan­ner den Schädling iden­ti­fizieren, aber alle E‑Mails erst mit einem Tag Verzögerung zu öff­nen, ist gar nicht nötig. Es reicht, wenn Sie mis­strauisch und vor­sichtig bleiben!