Hacker starten neuen Angriff auf Gewerbetreibende

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und mehrere Online-Portale warnen derzeit vor betrügerischen Bewerbungsschreiben, die per E-Mail versendet werden. Beim Öffnen der Anhänge wird der Computer mit Schadprogrammen infiziert. Verdächtige Dateien sollen sofort gelöscht werden. Im Schadensfall wird professionelle Hilfe empfohlen.

Man nennt sie „Ransomware“ – schädliche Programme, die dazu dienen, Unternehmen und Firmen zu erpressen oder zu sabotieren. Die Programme schränken den Zugriff auf Systeme ein und verschlüsseln oder zerstören Daten. Oft stellen die Täter Forderungen nach Lösegeld (engl. „ransom“) und versprechen, im Gegenzug die Daten wieder freizugeben. Die Schäden sind enorm: Allein die Angriffe in der zweiten Jahreshälfte 2017 mit Petya/ NotPetya verursachten in der deutschen Wirtschaft Schäden in Millionenhöhe. Wochenlang waren sogar Betriebsabläufe großer Unternehmen gestört.

Neue Angriffswelle: Bewerbungsmails infizieren Computer

Nun wird vor einer neuen Angriffswelle durch Ransomware gewarnt. Die neue Masche der Erpresser: Verschlüsselungstrojaner werden durch gefälschte Bewerbungsschreiben per E-Mail versendet. Die Bewerbungsschreiben fallen zunächst kaum auf und sind in gutem Deutsch abgefasst. Sie enthalten aber bösartige Anhänge – ein angehängtes RAR-Archiv sowie eine gefälschte PDF-Datei mit der Endung „pdf.exe“. Da, wie das Onlineportal heise.de ausführt, Standardeinstellungen in Windows bekannte Dateiendungen (z.B. „exe“) ausblenden, werden die Dateien tatsächlich für PDF-Dateien gehalten.

Viele Mails wurden unter dem Betreff „Bewerbung auf die angebotene Stelle bei der Agentur für Arbeit von Peter Reif“ versendet, jedoch variierten die Namen bereits („Peter Schnell“, „Caroline Schneider“, „Viktoria Henschel“). Weil beliebige Namen durch die Angreifer genutzt werden könnten, dient der Name somit nicht als eindeutiger Hinweis auf die schädlichen Mails. Auffallend ist aber: Der falsche Bewerber gibt an, das Archiv aus Gründen der Privatsphäre mit einem Kennwort geschützt zu haben.

In Wirklichkeit dient dieses Passwort dazu, den Virenscannern einen Blick ins Archiv mit der schädlichen Software zu verweigern. Entpackt ein Empfänger der schädlichen Mail das Archiv durch das Passwort und öffnet die darin enthaltene Datei, droht die Infektion der Rechner. Bei dem Schadprogramm handelt es sich um eine Variante der Ransomware „GandCrab“.

Wie sollte man sich verhalten?

Verdächtige Mails sollten sofort gelöscht werden. Wurde der Computer durch Öffnen der Anhänge infiziert, sollten Betroffene zunächst den Computer so schnell wie möglich vom Netz nehmen, indem Netzwerkkabel gezogen und WLAN-Adapter abgeschaltet werden. Dann ist professionelle Hilfe vonnöten, um Zwischenspeicher und Festplatten zu sichern, denn nach Reparaturversuchen oder Neustarts sind forensische Untersuchungen oft nicht mehr durchführbar.

Wichtig ist: Betroffene sollten auf keinen Fall das geforderte Lösegeld zahlen. Denn Fälle sind bekannt, in denen nach Zahlung die Daten nicht rückentschlüsselt wurden. Auch sind zahlende Opfer ein attraktives Angriffsziel für weitere Angriffe. Stattdessen empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI), stets Anzeige zu erstatten.

Ohne die Hilfe von fachkundigen Experten wird der Schaden nicht zu beheben sein. Landeskriminalämter haben für Opfer von Cyberkriminalität besondere Anlaufstellen geschaffen. Auf den Webseiten der Allianz für Cyber-Sicherheit (ACS) finden sich außerdem BSI-zertifizierte IT-Sicherheitsdienstleister für den Notfall.

Weitere Tipps bietet ein Themenpapier des Bundesamts für Sicherheit in der Informationstechnik (BSI), das im Internet heruntergeladen werden kann.