Neue Gefahr Dynamit-Phishing

Bereits seit Ende 2018 treibt der Trojaner Emotet sein Unwesen und sorgt in Unternehmen für große Schäden.

Ähnlich wie beim Spear Phishing gelangt der Schädling durch Phishing-Mails in Unternehmen. Diese Mails sind deshalb so gefährlich, weil sie von einem vermeintlich bekannten und vertrauenswürdigen Absender stammen, z.B. von einem Kollegen im Unternehmen. Die Mails sind so professionell gemacht, dass sie kaum von echten, ungefährlichen Mails zu unterscheiden sind.

Die Phishing-Mails sind sehr zielgenau auf den Empfänger ausgerichtet und sollen ihn dazu verleiten, den Mail-Anhang zu öffnen. Der Anhang besteht aus einem Word-Dokument, welches Makros enthält. Das Ausführen der Makros passiert nicht automatisch, der Empfänger muss es manuell per Klick zulassen. Das passiert auch immer wieder, da die Empfänger dem bekannten Absender ja vertrauen.

Durch das Aktivieren der Makros wird weiterer Schadcode aus dem Internet nachgeladen, der sich im Firmennetz verbreitet und bis zum Lahmlegen ganzer Unternehmen führen kann. Das kann z.B. ein Verschlüsselungstrojaner sein, der für das “Wieder-Entschlüsseln” der gekaperten Dateien Bitcoins als Lösegeld erpresst.

Das besondere an der aktuellen Dynamit-Phishing-Welle ist, dass Emotet das bekannte Spear-Phishing auf Massendurchführung gehoben hat. Emotet ist bereits seit mehreren Montaten in Unternehmen unterwegs und sammelt dort Daten. Bevorzugt Outlook-Mails, aus denen sich Inhalte und auch das Kommunikationsverhalten in Unternehmen auslesen lassen. Hinzu kommen Informationen darüber, wer mit wem wie oft und worüber kommuniziert.

All diese gesammelten Informationen werden dazu genutzt, automatisiert perfekte Phishing-Mails zu erstellen. Die Mails kommen z.B. vermeintlich vom Chef und betreffen ein aktuelles Projekt. Oft greifen sie sogar eine existierende Kommunikation wieder auf, indem bereits ausgetauschte Mails angehängt werden. So wird es immer unwahrscheinlicher, dass ein Empfänger Verdacht schöpft, erst recht nicht im mitunter hektischen Tagesgeschäft.

Wie also soll man sich schützen?
Da es keinen hundertprozentigen Schutz gibt, hilft auch hier nur eine Mischung aus technischen Vorkehrungen und Aufmerksamkeit der Benutzer. Die Systeme aktuell zu halten und alle Sicherheitsupdates einzuspielen, gehört zu den Grundlagen. Da im Fall von Emotet das Ausführen von Makros in einer .doc-Datei das Haupteinfallstor für die Infektionen ist, sollten Administratoren diese Funktion vorsorglich generell ausschalten.

Weitere wichtige Maßnahmen sind z.B. regelmäßige Datensicherungen und eine Offline-Lagerung von Back-up-Daten. Außerdem ist zusätzlich zur automatisierten Überwachung ein regelmäßiges manuelles Monitoring empfehlenswert. Fast ebenso wichtig ist aber die wiederkehrende Information und Sensibilisierung der Nutzer für die Gefahren. Verbunden mit dem Aufruf, im Zweifelsfall mit dem Absender einer Mail Rücksprache zu halten, bevor Anhänge und Links geöffnet werden.