Seit dem 05. Januar werden deutsche Internetnutzer mit einer massiven Spamwelle attackiert. Wie CISCO in seinem Blog berichtet wurde diese allem Anschein nach bereits Ende letzten Jahres in Testläufen vorbereitet und optimiert. Sie schlängeln sich dabei nicht nur an Spamfiltern vorbei, sondern unterwandern auch gezielt die Signaturen von Anti-Virenherstellern.

Bildschirmfoto 2014-01-17 um 09.06.27

Anders als bei herkömmliche Angriffen, ist die aktuelle Spam-Kampagne in sehr gutem deutsch abgefasst, sind dem original sehr täuschend ähnlich und enhalten auch keinen Datei-Anhang. Getarnt als “Information zu: Überweisung/Umbuchung“, “Ihre Telekom Mobilfunk RechnungOnline für Geschäftskunden …“, “Ihre Rechnung vom … steht als PDF bereit“, “Sendungsverfolgung 220268857055” oder “Mahnung vom 16.01.2014 Nr. 9287491390248” versuchen Sie den Nutzer über verschleierte Links zum Installieren von Schadsoftware aus der Gruppe der Bankentrojaner zu ermuntern.
Ermöglicht wird dies, durch die Verwendung von HTML-E-Mails. HTML ist die “Muttersprache” Ihres Browsers und dient im E-Mail-Umfeld dazu die E-Mail optisch ansprechend zu gestalten. So lassen sich Schriftart, Schriftgröße, Textformatierungen, Darstellung von Bildelementen, Farbdefinitionen, Links und so weiter definieren. Über HTML hat man so also auch die Möglichkeit ein tatsächliches Link-Ziel durch eine “falsche Beschriftung” zu verschleiern.
Woher haben die Spammer meine E-Mail-Adresse? Und wie können diese so selektiv auswählen?
adobe-hackedDie deutsche Telekom beschreibt in ihrem Blog, dass die Cyberkriminellen mannigfaltige Möglichkeiten haben an Adressen zu kommen. Die Palette reicht vom “bloßen Ausprobieren”, “fingierten Gewinnspielen” bis hin zum “Abernten” auf Webseiten. Wie Recherchen des deutschen Sicherheitsanbieters cyscon GmbH aber ergeben, stammt zumindest ein Teil des Datenbestandes aber aus dem Adobe-Hack bei dem mehr als 150 Millionen E-Mail-Adressen (nebst Passwörter) gestohlen wurden. Denn die oben genannten gefälschten Rechnungs-E-Mails gingen dort uns auf speziell in den Bestand von Adobe gesendeten Spamtraps-Adressen ein.
Betrachten Sie HTML E-Mails daher immer kritisch!

  1. Klicken Sie niemals auf verbaute Verlinkungen! Geben Sie Adresse des Anbieters manuell im Browser ein und loggen Sie sich dort ein. Ist die E-Mail echt, finden Sie dort ein Duplikat.
  2. Deaktivieren Sie in Ihrem E-Mail-Programm die HTML-Darstellung. Dies verringert die Gefahr, dassLinkziele mit Hilfe von Formatierungen verschleiert werden können.
  3. Anhänge in E-Mails sollten immer mit äußerster Vorsicht geöffnet werden! Sollten Sie den Verdacht haben, dass eine E-Mail komisch ist, speichern Sie die Datei auf dem Desktop ab – ohne sie zu öffnen – und prüfen Sie diese kostenfrei bei Virustotal.com.