Menü
Security

Vorsicht vor Betrüger-Mails mit gefälschten PDF-Rechnungen

Derzeit sind erneut vermehrt E-Mails mit Fake-Rechnungen in Umlauf. Wer nicht aufpasst, fängt sich den Windows-Trojaner Emotet ein.

vorlesen Drucken Kommentare lesen 121 Beiträge
Vorsicht vor Betrüger-Mails mit gefälschten PDF-Rechnungen

Bei E-Mails mit Dateianhang sollte man argwöhnisch sein – immer. Dieser Tage landen gehäuft gefälschte Rechnungen in Mail-Postfächern. Im Anhang dieser Nachrichten befindet sich ein PDF-Dokument. Die Mails weisen Betreffzeilen wie "Zahlungsanfrage" oder "Fehlende Rechnung" auf.

Mehrere Leser haben heise Security solche Mails weitergeleitet. Der Text in den Mails ist kurz und knapp und variiert. Wirklich überzeugend wirkt das nicht – es gab schon weitaus glaubhaftere und somit gefährlichere Rechnungsmails. Das Notfallteam des Bundesamts für Sicherheit in der Informationstechnik (BSI) CERT-Bund warnt auf Twitter vor diesen Nachrichten. Auch das LKA Niedersachsen beobachtet derzeit ein erhöhtes Aufkommen.

Die gefälschten Mails stammen von kruden Absender-Adressen wie Kfz-Tchnik@moldocor.ro. Im PDF ist ein Link zu einem mit Makros präparierten Word-Dokument.

Wer so eine Mail bekommt, sollten den Anhang nicht herunterladen und die Nachricht löschen. Die Drahtzieher dieser Spam-Kampagne wollen über diesen Weg Windows-Computer mit dem Multifunktionstrojaner Emotet anstecken. Das alleinige Öffnen des PDFs löst aber noch keine Infektion aus.

In dem Dokument befindet sich ein Link, der zu einem Word-Dokument führt. Dieses ist mit Makros präpariert. Der Text darin versucht, Opfer dazu zu bringen, die Makros zu aktivieren. In der Regel ist diese Funktion standardmäßig deaktiviert. Eigentlich sollen Makros beispielsweise wiederkehrende Aufgaben bei der Erstellung eines Dokumentes zu automatisieren. In diesem Fall missbrauchen die Betrüger die Funktion aber dazu, um den Schädling herunterzuladen. Für eine erfolgreiche Infektion müssen Opfer also mehrere Schritte mitmachen.

Parallel dazu sind auch wieder Fake-Rechnungsmails mit einem gefährlichen Link unterwegs, die von vermeintlich Bekannten oder Arbeitskollegen stammen. Diese maßgeschneiderten Nachrichten (Spear Phishing) werden in großer Zahl verschickt und man kann hier von Dynamit-Phishing sprechen. Die heise Security vorliegende Mail ist aber nicht sehr gut gemacht.

Diese Form von Makros funktionieren aber nur mit Microsoft Office. Nutzer von LibreOffice und OpenOffice sollten nicht gefährdet sein. Wie man sich vor Emotet & Co. schützen kann, zeigt ein Hintergrundartikel von heise Security.

Wie sich Unternehmen auf die Gefahren durch Emotet und Co. optimal vorbereiten können, das ist auch einer der Schwerpunkte der diesjährigen Heise-Security-Tour "Wissen schützt - Cybercrime Next Generation abwehren". Das Thema spielt auch auf der im März in Hannover stattfindenden secIT 2019 eine Rolle.

Ende 2018 gab es eine große Emotet-Welle, unter der vor allem Unternehmen litten. Dabei entstanden Schäden in Millionenhöhe. Ende Januar hing Emotet an gefälschten Vodafone-Rechnungen, um Privatpersonen ins Visier zu nehmen.

Emotet ist besonders gefährlich, weil er vielseitig einsetzbar ist. Er kann etwa den Banking-Trojaner Trickbot auf Computer holen und Passwörter aus Browsern und Mail-Clients kopieren. Außerdem kann er sich in Netzwerken wurmartig verbreiten.

(des)