Pre Loader

Neuartige Emotet gestütze Phishing Mail Welle

/, IT Sicherheit, User Awareness/Neuartige Emotet gestütze Phishing Mail Welle

Seit Freitag 11.April 2019 ist eine neue Welle an schadsoftbehafteten Mails in Umlauf, die es auch versierten Anwendern nahezu unmöglich macht, die gefälschte Herkunft zu erkennen. Diese neue Bedrohung wird von Experten als extrem gefährlich eingestuft!

Hintergründe:

Die ersten sogenannten Phishing-Mails, die vor vielen Jahren auftraten, waren auch für ungeübte Anwender im Allgemeinen schnell zu erkennen. Rechtschreib- und Grammatikfehler, falsche oder fehlende Anrede waren offensichtliche Zeichen, dass es sich um unseriöse Mails handelte. Meist kamen derartige Mails auch von ungekannten Absendern. Seither hat sich die Qualität der Phishing-Mails, also e-Mails, die vorgeben von seriösen Absendern zu stammen und so den Anwender verleiten wollen, Links oder Anhänge zu öffnen, deutlich verbessert. Zu Anfang wurden oftmals große Firmen nachgeahmt,  wie  etwa vermeintliche Telekom Rechnungen oder DHL Mails. Das Aussehen derartiger Mails war hinlänglich bekannt und konnte einfach kopiert werden. Seit den ersten großen Sicherheitslücken, die bekannt wurden, also massenweise kompromitierten Nutzerkonten in sozialen Netzwerken, aber auch bei seriösen Mailprovidern gelang es den „Bösewichten“ erstmalig Beziehungen zwischen realen Personen herzustellen, seitdem tarnen sich Phishing Mails oftmals als Mail von vermeintlich bekannten Absendern.

Für Sie als Nutzer wird es damit immer schwieriger gefälschte e-Mails zu erkennen (https://www.esck-consulting.de/2016/12/02/phishig-mails-was-ist-das-und-sie/). Kriterien wie Rechtschreibung, korrekte Anrede, oder Warnungen wie „seien Sie vorsichtig bei Mails von unbekannten Absendern“ sind natürlich nach wie vor richtig, reichen aber in der heutigen Welt nicht mehr aus, um Angriffsversuche zuverlässig zu erkennen. Mehr und mehr muss auf Expertenwissen, etwa die Headeranalyse (https://www.netcos.de/absenderermitteln/), um den Weg und damit den ursprünglichen Absender zu erkennen, zurückgegriffen werden, um Phishing Mails mit hoher Wahrscheinlichkeit zu identifizieren. Einzig die Frage, ob eine E-Mail eines vermeintlichen Geschäftspartner mit einem Schriftstück als Anhang oder auch eine Rechnung wirklich erwartet wird oder unerwartet kommt, bot noch Hinweise, ob ein möglicher Angriffsversuch vorlag.

Neue Bedrohungslage:

Seit einigen Wochen/Monaten taucht immer wieder eine Schadsoftware in den Medien auf, die in Fachkreisen als „Emotet“ (https://de.malwarebytes.com/emotet/)  bezeichnet wird. Unter anderem greift Emotet nicht nur die Mailadressen von kompromittierten Systemen ab, um daraus Beziehungen zwischen Personen zu generieren (siehe oben), Emotet nutzt auch echte Mailinhalte (https://twitter.com/certbund/status/1116259956934602752), um Phishing Mails als Antworten auf echte E-Mail Kommunikation zu tarnen. Diese stellt eine bisher ungeahnte  neue Qualität an Phishing Mails, also etwa die Antwort eines Gesprächspartners auf eine echte Mail an ihn, dar, die faktisch nicht mehr als solche zu erkennen ist.

Erkennung durch Virenscanner:

Wie alle modernen Schadsoftwarevarianten ist Emotet selber polymorph, d.h. er tritt in laufend leicht veränderter Form auf, bzw. ist der Lage sich selber zu verändern, und wird daher von Virenscannern nur schlecht oder zumeist mit einer Verzögerung von mehreren Tagen erkannt. Bei der Abwehr dieser neuen Welle an Phishing Mails geht es aber auch nicht darum, Emotet an sich zu erkennen. Das ganze Szenario basiert auf Daten von bereits in der Vergangenheit liegenden erfolgreichen Angriffen, die auch nicht notwendiger Weise direkt auf Ihre Systeme ausgerichtet waren. Auch die in einer Phishing Mail versteckte Schadsoftware ist heute so ausgereift, dass Sie in vielen Fällen nicht direkt von Virenscannern erfasst wird. Zumeist werden die Signaturen der namhaften Hersteller von Sicherheitssoftware zwar auf diese Bedrohungen hin angepasst, jedoch wie oben angesprochen oftmals mit deutlichen Verzögerungen.

Sie oder ein Geschäftspartner erhalten derartige Mails:

Die Tatsache, dass Sie oder ein Kommunikationspartner derartige Mails bekommen, ist nicht notwendigerweise gleichbedeutend mit der Tatsache, dass aktuell ein Security-Incident vorliegt. Wie erwähnt bezieht diese Angriffswelle Daten aus in der Vergangenheit liegenden Security Breaches, die nicht notwendigerweise andauern müssen, sondern lange bereits abgewehrt worden sein können. Wie bekannt ist auch der Absender einer Mail einfach zu verfälschen. Eine E-Mail mit Ihrem Namen als Absender ist nicht gleichbedeutend mit der Tatsache, dass Ihre Systeme (im Augenblick) gehackt worden sind. Besteht der Verdacht einer noch andauernden Attacke auf Ihre Systeme, so kann diese (auch solange sie aktiv ist) z.B. mit neuartigen Methoden den Netzwerkverkehr eine Zeit lang zu beobachten (https://cyber-defense-service.de/) mit hoher Sicherheit erkannt und auch bekämpft werden. Suchen Sie hierzu auch die Kommunikation mit Ihren Kunden, erklärende Antworttexte auf Fragen können Sie auf Wunsch von uns bekommen.

Wie kann man sich also schützen?

Hier ist keine pauschale Antwort möglich, im Augenblick gilt daher die Aussage: Zweifeln Sie jede Mail mit Anhang oder Links bezüglich deren Herkunft an. Dies mag auf den ersten Blick als nicht umsetzbar klingen, aber jede Mail, die zu einem unerwarteten Zeitpunkt kommt, evtl. als doppelte Antwort auf eine Anfrage oder ähnliches, stellt ein hohes Risiko dar.  Weitere Möglichkeiten sind:

Da Virenscanner sich an neue Bedrohungen erst anpassen müssen, ist die Chance einer Erkennung von Schadsoftware mit technischen Mitteln höher, je älter eine Datei (und damit ein möglicher Virus als Inhalt)ist. Bei Mails, die per se keiner schnelle Antwort bedürfen (etwa eine Initiativbewerbung oder Mobilfunkrechnung zur Ablage) mag es im Einzelfall sinnvoll sein, diese mit einigen Tagen Verzögerung zu bearbeiten.

Haben Sie alternative Methoden an die Daten zu kommen, nutzen Sie diese! So sollten Sie niemals eine angehängte  Rechnung in einer Mail öffnen, wenn Sie diese auch aus einem Webportal laden können. Wenn es Ihnen möglich ist, stellen Sie die Zustellung der Rechnung per Mail komplett ab und lassen sie sich nur noch über neue Rechnungen informieren, die Sie dann aktiv aus dem Webportal des Anbieters/Lieferanten laden.

Anhänge können Sie vor dem Öffnen auf der Webseite https://www.virustotal.com/gui/home/upload kostenlos mit diversen anderen Scannern prüfen. Aber Achtung, auch hier gilt: Virenscanner brauchen eine gewisse Zeit sich an neue Bedrohungen anzupassen. Falls eine Datei, die Sie dort prüfen lassen, bereits von anderen Usern hochgeladen wurde (bzw. eine andersbenannte Datei mit gleichen Hash-Wert, also identischem Inhalt), ist dies ein nahezu sicheres Indiz, dass die Datei Schadsoftware behaftet ist, auch wenn sie noch nicht  flächendeckend von Virenscannern erkannt wird. Das reine Abspeichern von Anhängen, ohne diese mit der zugehörigen Anwendung zu öffnen, stellt nach aktuellem Kenntnisstand noch keine Gefahr dar. Löschen Sie die gespeicherte Datei im Nachgang auf jeden Fall wieder!

Wenn möglich, stimmen Sie sich mit Ihren Geschäftspartnern über Modalitäten zum Dateiaustausch aus, etwa indem Sie ein eindeutiges Benennungsschema nutzen (jeder Anhang erhält im Dateinamen etwa ein Kürzel und das Datum).

Fragen Sie telefonisch nach.

Setzen Sie mindestens SPF ein, um eigene Mails rudimentär vor Fälschung zu schützen, besser aber moderne Methoden DKIM/DMARC, wenn Ihr Provider das unterstützt. Sprechen Sie auch Ihre Geschäftspartner darauf an.

Reden Sie mit uns zur Umsetzung weitergehender Schutzmaßnahmen.

Dr. Christian Kompa, Geschäftsführer der ESCK Consulting UG (hatftungsbeschränkt), zuvor bei EDV Service Christian Kompa Systemadministrator für kleine und mittelständische Unternehmen und Berater in allen Fragen zur Erhöhung der IT Sicherheit in Anbetracht der aktuellen Bedrohungslage durch Ransomware.