Darum gehts
- Das Bundesamt für Cybersicherheit warnt aktuell vor gefälschten Rechnungs-Mails
- Im Hintergrund versteckter Schadcode lädt bei bestimmten Bedingungen Malware nach
- Empfänger sollten ZIP-Dateien meiden – Liste gefährlicher Endungen auf Github
Die E-Mail sieht aus wie Dutzende andere. Eine Rechnungsnummer, ein kurzer Hinweis, im Anhang eine ZIP-Datei. Entpackt man sie, erscheint eine HTML-Datei. Darin: ein alter E-Mail-Verlauf. Kein Link, kein Formular, nichts Verdächtiges. Genau das ist das Problem.
Das Bundesamt für Cybersicherheit (Bacs) warnt: Hinter der harmlosen Fassade steckt ein mehrstufiger Angriff. In den vergangenen Wochen haben sich mehrere Firmen beim Bund gemeldet, weil sie solche Rechnungen erhalten hatten. Die Mails liessen sich keinem Auftrag zuordnen.
Versteckter Code im Hintergrund
Wer die HTML-Datei öffnet, sieht einen alten Gesprächsverlauf. Im Hintergrund aber baut die Datei unbemerkt eine Verbindung zu einer externen Webseite auf. Von dort wird ein Javascript nachgeladen – allerdings nicht immer. Die Angreifer prüfen zuerst das Betriebssystem und liefern den Code nur aus, wenn bestimmte Bedingungen erfüllt sind. Zudem funktioniert der Abruf nur bei den ersten Zugriffen. Danach ist die Seite leer. Das Bacs schreibt, der Fall zeige eindrücklich, wie viel Aufwand die Angreifer betreiben, um ihre Angriffe zu verschleiern und Vertrauen zu erwecken. Die Taktik erschwert zudem die Arbeit der Behörden: Wird kein Schadcode ausgeliefert, lässt sich die Site nicht ohne Weiteres sperren.
So läuft der Angriff ab
In einigen Fällen konnte das Bacs den Schadcode rechtzeitig analysieren. Öffnet das Opfer die HTML-Datei, erscheint eine gefälschte Webseite mit einer angeblichen PDF-Rechnung. Zuerst muss dann ein sogenanntes Captcha gelöst werden. Danach erscheint ein Download-Link. Wer klickt, lädt eine weitere ZIP-Datei herunter, mit einem Script, das Schadsoftware installiert.
Ein Schutzfaktor bleibt
Trotz der ausgefeilten Tarnung gibt es einen wichtigen Schutzfaktor: Im ersten Schritt müssen die Empfänger eine ZIP-Datei öffnen. Das schreckt glücklicherweise viele ab, schreibt der Bund. Doch warum wählen die Angreifer diesen Umweg? Weil E-Mail-Programme Javascript blockieren. Öffnet man die HTML-Datei aber lokal im Browser, gelten dessen Regeln – und es wird ausgeführt.
So schützt du dich
Der Bund gibt klare Empfehlungen ab: Seriöse Rechnungen kommen als PDF. Eine ZIP-Datei mit einer HTML-Datei darin ist kein legitimes Rechnungsformat. Solche Anhänge sollte man nicht öffnen. Achte zudem auf doppelte Dateiendungen, also etwa bei «Rechnung.pdf.html». Das ist kein PDF, sondern ein HTML-File. Dateiendungen kann man im Windows Explorer aktivieren. Wenn der Browser nach dem Öffnen eines Anhangs einen weiteren Download verlangt: sofort abbrechen. Firmen sollten auf dem E-Mail-Gateway gefährliche Dateitypen blockieren. Neben .exe und .js auch Archive wie .zip, .7z, .rar, .iso oder .cab und Office-Makros wie .docm, .xlsm und .pptm. Eine Liste der potenziell gefährlichen Endungen führt der Bund auf Github. Wer eine schädliche Datei versehentlich geöffnet hat, sollte das Gerät sofort vom Netzwerk trennen.