Viren-Mails erkennen

Blog, IT-Security, , , , , , , , ,

Die Zeiten ändern sich.

Dieser Beitrag scheint älter als 10 Jahre zu sein – eine lange Zeit im Internet. Der Inhalt ist vielleicht veraltet.

Ein immer wieder beliebtes Thema ist, wie man Viren-Mails erkennt. Darunter gibt es zwei Kategorien: 1. die Schadsoftware kommt direkt als Anhang mit und 2. man wird dazu verleitet, auf einen Link zu klicken, hinter dem sich Schadsoftware verbirgt.

Die erste Methode hat den „Nachteil“, dass die Viren erst gar nicht beim Empfänger ankommen könnten, weil sie möglicherweise von einem Anti-Virus-Gateway, der dem Mailserver vorgeschaltet ist, erkannt und entfernt werden. Der Vorteil ist, dass man dem User auf direktem Wege die Schadsoftware unterjubeln kann, ohne dass er durch einen weiteren Download vielleicht misstrauischer wird. Bei Methode zwei ist es dann quasi genau anders herum.

Ich gehe aber mal von der Situation aus, dass die Schadsoftware nicht erkannt wurde und bei dem Benutzer nun im Postfach liegt. Da so eine Schadsoftware im Anhang ja nicht direkt als solche erkannt werden soll, heißt sie natürlich nicht „ichbineinvirusalsoklickmich.exe“, sondern der Dateiname wird verschleiert. Dann wird daraus eben „Rechnung_08154711.exe“ oder – in Anlehnung an das Format digitaler Kameras „IMG_000234.jpg.exe“. Gerne wird eine solche ausführbare Datei dann auch mit einem üblichen Icon von Adobe PDF, Microsoft Word Dokument, Bilddateien oder einem anderen, dem vorgetäuschten Format entsprechenden Icon, versehen. Dass die Dateiendung .exe lautet, übersehen dann viele Benutzer oder – weil unter Windows die Anzeige von bekannten Dateierweiterungen standardmäßig nicht angeschaltet ist – sehen es erst gar nicht. Im guten Glauben, dass es sich dabei um den suggerierten Dokumententyp handelt, wird die Schadsoftware dann ausgeführt. Häufig kommt es auch vor, dass doppelte Dateiendungen verwendet werden. So wird aus unserem Beispiel dann „Rechnung_08154711.pdf.exe“. Das hat natürlich auch was mit der Standardeinstellung von Windows zu tun, soll und könnte aber auch bei aktivierter Anzeige von bekannten Dateiendungen den nicht so versierten Benutzer in die Irre führen. Da viele Mailprogramme, zumindest die aktuellen Generationen, aber .exe-Dateien selbständig als potentiell gefährlich blockieren und dem Benutzer dann nicht ohne Weiteres Zugriff auf den Anhang gewähren, sind die Virenschreiber dazu übergangen, die .exe-Datei in einer Zip-Datei zu verpacken. Dann kommt eine E-Mail mit dem Anhang „Rechnung_08154711.pdf.zip“, in der sich jedoch die schadhafte .exe-Datei befindet.

Solche Viren-Mails setzen darauf, dass der Empfänger entweder aufgrund seiner täglichen Arbeit (z.B. Buchhaltung), Neugierde („hier guck mal, das Foto von dir“) oder Angst (Mahnungen oder horrende Rechnungsbeträge) den Anhang öffnet oder einen bösartigen Link anklickt. Gerade weil auch manche Unternehmen keine Rechnungen als Anhang versenden, sondern in ihren echten E-Mails den Benutzer dazu auffordern, sich die Rechnung im jeweiligen Kundencenter herunter zu laden (am besten mit direktem Link zur Rechnung), können die Virenschreiber die Empfänger relativ einfach dazu verleiten, den bösartigen Link aufzurufen. Dahinter verbirgt sich dann direkt eine schadhafte Datei oder ein Exploit. Zum Beispiel könnte die aus dem vorherigen Abschnitt bekannte Schadsoftware unter dem Namen „Rechnung_08154711.pdf.exe“ dort direkt als Download starten. Oder aber eine manipulierte Dokumentendatei, die eine Sicherheitslücke (entweder eine alte oder eine Zero-Day-Lücke) ausnutzt, um Schadsoftware zu installieren. Und selbstverständlich eine Webseite, die versucht, mit Exploits den Browser zu kompromittieren und darüber die Schadsoftware in das System zu bringen.

Und auch wenn Nutzer von Linux-Systemen oder MacOS X weniger selbst gefährdet sind, sich eine Schadsoftware einzufangen, so habe ich es dennoch erlebt, dass diese solche E-Mails stumpf, ohne nachzudenken, an die Buchhaltung oder Geschäftsführung ihres Unternehmens weiterleiten, wo wiederum Windows eingesetzt wird. Auch solche Nutzer sollten also sensibilisiert werden, um Gefährdung anderer Nutzer vermeiden.

Die Zeiten, in denen böswillige E-Mails oft noch leicht zu erkennen waren, sind vorbei. Die Virenschreiber geben sich beim Verfassen und Versenden der Viren-Mails immer mehr Mühe, so dass es auch versierten Nutzern immer schwerer fällt, eine bösartige Mail von einer legitimen Mail zu unterscheiden.

Dennoch gelten nachfolgende Regeln nach wie vor:

  1. Begrüßung
    Wird man mit Namen gegrüßt, wie es die meisten Unternehmen machen, oder steht dort nur sowas unpersönliches wie „Guten Tag“ oder „Sehr geehrter Kunde“? Da die Virenschreiber in eigentlich keinem Fall die Namen der Empfänger wissen (Achtung, es gibt hier natürlich auch Ausnahmen!), wird keine persönliche Anrede genutzt, sondern man versucht sich allgemein zu halten.
  2. Rechtschreibung und Grammatik
    Zwar wird es immer besser, aber viele Viren-Mails sind in einem so grausamen Deutsch verfasst, dass der Empfänger, so er denn nicht selbst über sehr eingeschränkte Deutsch-Kenntnisse verfügt, stutzig werden sollte. Wer bei „Wolle kucke rechnung dan du klicke hierr!!!!“ immer noch glaubt, dass sich dahinter was seriöses verbirgt, dem sollte man den Zugang zu einem Computer verbieten. Verlässlich ist dieses Kriterium natürlich nicht. In letzter Zeit habe ich etliche E-Mails gesehen, deren Rechtschreibung und Grammatik zwar nicht tadellos war, aber für viele wohl auch nicht auf den ersten Blick auffällig.
  3. Neugierde oder Angst weckend
    Wenn wildfremde Leute dir ein Foto schicken, auf dem du angeblich drauf bist. Oder ein Video verlinken, in dem du vorkommen sollst. Oder du eine Mahnung erhälst, wo du richtig viel Ascha abdrücken sollst. Oder eine solche Rechnung. Dann überleg doch mal: kann das überhaupt sein? Ist das, was behauptet wird, schlüssig? T-Mobile verschickt zum Beispiel ihre Rechungen immer nur für den vorausgegangenen Monat. Wenn ich also am 15. Januar eine Rechnung über 325,76 € für Januar erhalten soll, dann kann ich sicher sein, dass diese Rechnung nicht wirklich von T-Mobile kommt.
  4. Dubiose Server
    Ein Link ist nicht immer so, wie er scheint. Unter dem Link http://www.bing.de habe ich die Suchmaschine Google versteckt. Das gleiche Prinzip wird auch bei Viren-Mails verwendet. Dort wird augenscheinlich eine legitime Adresse angegeben, stattdessen wird aber, weil der Link-Text unabhängig vom verlinkten Inhalt ist, auf einen dubiosen Server im Ausland verlinkt. Wer ein gutes E-Mail-Programm einsetzt, dem wird auf irgendeine Weise (bspw. unten im Status oder als PopUp-Information) die Adresse angezeigt, auf die tatsächlich verlinkt wird, wenn man den Mauszeiger über den Link bewegt. Doch auch hier sollte man aufpassen. Ist eine Adresse wie http://kjdhgnkkk67rdnizu7.au.br/telekom/ noch recht auffällig, so könnte man sich von http://www.telekom.de.security-server.djmhbgsz.au.br/ eher in die Irre führen lassen. Ganz wichtig zu wissen ist also, dass eine Server-Adresse erst nach dem ersten Slash endet. Die Server der Telekom wäre http://www.telekom.de/ und im oben genannten Beispiel wäre der tatsächliche Server http://djmhbgsz.au.br/ (der Teil „www.telekom.de.security-server.“ ist nur eine Subdomain und die kann man sich selbst so anlegen, wie man gerade möchte).
  5. Absender
    Ist der Absender wirklich der, für den er sich ausgibt? Den Absender einer E-Mail-Adresse zu fälschen ist leicht. Das ist von technischer Seite sogar so gewollt, auch wenn man sich damals, als das SMTP-Protokoll erschaffen wurde, noch nicht so viele Gedanken über Missbrauch gemacht hat. Aber letztendlich kann man ja auch auf einen Briefumschlag einen falschen Absender drauf schreiben. Manche Virenschreiber geben sich Mühe und spiegeln dem Empfänger vor, die falsche Telekom-Rechnung komme tatsächlich von . Manche machen es eher halbherzig und bringen es nur fertig, dass als Absendername bspw. „Telekom Kundenservice“ steht, als Adresse ist dann aber eingetragen. Jedes vernünftige E-Mail-Programm zeigt die (wenn auch gefälschte) Absenderadresse an. Wer hier jedoch bei einer plausiblen Absenderadresse herausfinden möchte, ob die E-Mail legitim ist, kommt um eine Prüfung des E-Mail-Headers und der übrigen Kriterien nicht herum.
  6. Empfängeradresse
    In Unternehmen gehen Rechungen in aller Regel an entsprechend eingerichtete Buchhaltungs-Adressen. Wer in einem Unternehmen unerwartet eine Rechnung erhält, obwohl er bisher noch nie Rechungen erhalten hat und auch gar nicht dafür zuständig ist, der muss sich dann auch in der Regel gar keine Gedanken darüber machen, ob er die E-Mail an die Buchhaltung weiterleiten oder lieber direkt löschen sollte. Und wer in der Buchhaltung arbeitet, sollte prüfen, ob die E-Mail wie gewohnt an die Service-Adresse gegangen ist oder ungewöhlich an die eigene. Aber auch im privaten Rahmen sollte man sich fragen, ob es plausibel ist, dass man an seine E-Mail-Adresse die Rechnung erhält. Hatte man zum Beispiel noch nie irgendeinen Kundenkontakt zu T-Mobile, weil man möglicherweise Vodafone-Kunde ist, braucht man einer angeblichen T-Mobile-Rechnung auch keine Aufmerksamkeit zu schenken.

Ich hoffe, ich konnte mit dieser kurzen Erklärung es etwas vereinfachen, auch gut gemachte Viren-Mails zu erkennen. Um einige Sachen besser zu verstehen und nachzuvollziehen, müsste ich womöglich viel weiter ins Detail gehen. Das kann ich gerne auch machen, hier in diesem Beitrag würde das jedoch den Rahmen sprengen. Und ich glaube auch, das zu viele technische Hintergründe für weniger versierte Nutzer eher ermüdend und langweilig sind oder zu Resignation führen, obwohl das gar nicht nötig wäre.


Leave A Reply

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Arne Schadagies