Umgang mit verdächtigen Mails
Nachdem es wieder einmal passiert ist möchte ich euch hier einen kurzen Leitfaden geben wie du mit potenziell verdächtinge Emails umgehen sollst und wie du überhaupt erkennst ob es verdächtige Email sind. Davon hängt ab ob dein PC wohlmöglich zum Opfer von Cyberkriminellen wird.
Sicher kennst du das, täglich kommen irgendwelche Bewerbungs Emails rein, mal sind es tatsächlich Initiativbewerbungen aber oft auch Emails die Schadsoftware enthalten.
Wie z.B. am Freitag den 31.08.2018 diese Email hier:
Sehr geehrte Damen und Herren,
anbei erhalten Sie meine Bewerbung für Ihre ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung im Vertrieb und der Kundenbetreuung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.
Ich freue mich auf ein persönliches Vorstellungsgespräch.
Mit besten Grüßen
Viktoria Hagen
Dazu noch ein Foto und ein Anhang als ZIP Datei.
Analyse des Inhalts
Auf den ersten Blick schaut ja doch alles recht ordentlich aus, die Rechtschreibung ist längst kein Thema mehr für Cyberkriminelle, die Zeiten wo mit extrem schlechten Deutsch eine Mail geschickt wird, sind schon lange vorbei.
Aber fangen wir dennoch mit dem Text der Mail an.
anbei erhalten Sie meine Bewerbung für Ihre ausgeschriebene Stelle
Du musst dir die Frage stellen, habe ich ein Inserat bezgl. einer offenen Stelle laufen? Wenn keine Stelle ausgeschrieben wurde oder wenn du kein Personal suchst => Mail löschen!
Angenommen aber du suchst gerade Personal und hast auch eine Stellenanzeige laufen dann muss der Anhang etwas unter die Lupe genommen werden.
ZIP, also ein komprimiertes Archiv, das macht bei Bewerbungen eigentlich keinen Sinn. Üblicherweise komprimiert man Dateien wenn man sie kleiner machen will oder um mehrere Dateien zusammenzufassen.
Da eine Bewerbung meistens nur aus einem PDF besteht, sollten jetzt schon die ersten Alarmgklocken klingeln.
Mein Vorschlag wäre diese Email jetzt schon zu löschen, wenn jemand kein PDF hinbekommt welches in eine Email passt, dann ist das auch keine Person die ich anstellen will.
Generell würde ich empfehlen Bewerbungen die kein PDF sind zu entfernen, bitte pass auch auf Doppelendungen auf wie z.B. Bewerbung.pdf.exe
Das Problem hier ist, dass diese Datei vom "normalen" user als PDF Datei interpretiert wird, da es doch "foo.pdf" heisst, in Wirklichkeit ist dies hier aber eine Datei namens foo.pdf.exe, erkennbar an der Spalte "typ" wo du sehen kannst, dass diese Datei eine Datei vom Typ "Anwendung" ist.
Bitte lösche dieses Datei und die Mail gleich mit.
Analyse vom Anhang
Schauen wir uns doch noch mal den Anhang etwas genauer an, du hast jetzt also diese ZIP Datei und wohlmöglich auch noch drauf geklickt zum entpacken, bis jetzt ist noch kein Schaden enstanden, dabei wird nur dieses komprimierte Archiv geöffnet und der Inhalt aus diesem Archiv wird zur Verfügung gestellt.
Wenn du jetzt nochmals schaust, sollten wirklich alle Alarmglocken läuten.
Du hast jetzt eine "Viktoria Hagen - Bewerbung und Lebenslauf - 31.08.2018.exe" und die originale ZIP Datei.
Die .EXE Datei ist eine ausführbahre Datei die vom Windows Betriebssystem ausgefuührt wird, dahinter steckt kein Dokument, keine Bewerbung nichts was dir nur irgendwie helfen könnte, diese Datei muss sofort entfernt werden.
Virenscanner
Der Virenscanner sollte nur die letzte Instanz sein, ich weiss du bist beschäftigt und schnell draufklicken ist einfacher als sich Gedanken zu machen ob diese Email in Ordnung ist oder sich dahinter doch schadsoftware verbirgt aber 10 sek genau hinsehen kann dir viel Zeit ersparen (wenn du Ordentliche Backups hast) oder deine Daten sind vielleicht ganz weg wenn du keine Backups hast.
Weiters erkennt nicht jeder Virenscanner sofort jeden Virus, da doch die meisten Virenscanner erst etwas erkennen nachdem es für diesen Virus eine "Signatur" gibt, also wenn der Hersteller vom Virenscanner diesen auch als Virus deklariert hat.
Eine Mögliche Option ist es den Anhang auf Virustotal hochzuladen und es von mehreren Virenscannern analysieren zu lassen.
In diesem Fall wurde die Datei von 32 Virenscannern als Virus eingestuft. Wenn du jetzt noch unbedingt diese Datei aufmachen willst, kannst du gleich ein paar bitcoins vorbereiten oder die Backups heraussuchen.
Virustotal zeigt aber auch das von mir angesprochene Problem auf, nur 32 von 59 Virenscannern haben diese Datei als Virus eingestuft.
Bei der .exe Datei sind es immerhin 41 von 67 Virenscannern, hast du den falschen Virenscanner und die Datei gestartet, dann hast du jetzt ein grosses Problem.
Daher verlasse dich nicht ausschliesslich auf den Virenscanner und nur wenn dein Virenscanner den Schaden diesmal verhindert hätte, wer garantiert dass es beim nächsten Virus auch der Fall sein wird? Immer zuerst kurz nachdenken bevor du eine Datei aus einer Email ausführst.
In diesem Fall hat sich der Schaden in Grenzen gehalten, dank guter Backups und stündlichen Snappshots waren die Daten am Server alle wieder schnell da, es gab aber dennoch eine gewisse Zeit wo die PC's nicht verwendet werden konnten, all das kannst du verhindern indem du jeden Anhang aus der Email genau anschaust und im zweifel einfach die Mail löschen.