Verbreitung von Schadsoftware über E-Mail-Anhänge und Links / Phishing-Mails

Das URZ weist darauf hin, dass in den letzten Tagen innerhalb der Universität ein erhöhtes Vorkommen von E-Mails mit Schadsoftware bzw. Malware sowie Phishing-Mails existiert.

In den Phishing-Mails werden gefälschte Login-Seiten verschickt, die universitäre Webmail-Systeme vortäuschen. Über diese wird dann versucht, Passworteingaben auszuspähen.

Viele der uns bekannten Malware funktioniert auf allen Systemen, die mit dem Betriebssystem Microsoft Windows arbeiten und die Microsoft Office, (in diesem Fall) speziell Microsoft Outlook installiert haben. Die Malware arbeitet folgendermaßen nach der Ausführung:

  • Nachladen von weiterem Schadcode
  • Durchsuchen des Mailkontos des Opfers mit dem Ziel Gesprächsverläufe zu detektieren, maßgeblich: "Wer kommuniziert mit wem zu welchem Betreff?"
  • Eine Antwortmail wird erstellt auf Basis der letzten erhaltenen Mail eines jeden Kontakts, beispielsweise mit: "Bitte prüfen Sie die Angaben in der Dokumentation", "Bitte prüfen Sie den neuen Abschnitt im Jahresbericht"
  • Die Antwortmail wird unterschrieben mit dem korrekten Namen sowie Mailadresse des Opfers und hängt eine makrobasierte Word- oder Exceldatei, einen Link oder ein passwortgeschütztes ZIP-Archiv an, die/der/das weitere Malware nachlädt
  • Die Antwortmail wird über verschiedene variierende externe Emaildienste (vermutlich gekaperte Mailserver) versendet, weshalb auch unserer Ansicht nach eine Datenschutzmeldung erforderlich ist

Es existieren weitere Schädlinge wie bspw. Ursnif, der die Malware in E-Mail-Anhängen als komprimiertes Zip Archiv sowie dem dazugehörigen Passwort im Text mitschickt. Ein weiterer aktiver Schädling ist Gandcrab über den wir bereits berichteten.

Wir möchten Sie nochmals auf generelle Maßnahmen im Umgang mit verdächtigen Mails hinweisen:

Folgen Sie bei E-Mails, deren Betreff und Text Ihnen ungewöhnlich bzw. merkwürdig erscheinen, unter keinen Umständen dem angegebenen Link und öffnen Sie auch keine Anhänge. Dies gilt auch dann, wenn Ihnen der Absender bekannt ist, denn die sichtbaren E-Mail Absender lassen sich leicht fälschen. Bei bekannten Absendern können Sie im Zweifelsfall telefonisch nachfragen, ob die erhaltene E-Mail tatsächlich von der betreffenden Person stammt. Ansonsten löschen Sie bitte derartige E-Mails mit der Tastenkombination „Umschalt+Entf“ umgehend und unwiederbringlich, d. h. ohne den Umweg über den Papierkorb.

Wir empfehlen die folgenden Maßnahmen:

  • Öffnen Sie keine Dateianhänge oder Links in E-Mails, an deren Vertrauenswürdigkeit auch nur der geringste Zweifel besteht. Als Spam markierte E-Mails sind nie vertrauenswürdig. Nehmen Sie sich insbesondere vor E-Mails mit verdächtigen Anhängen, wie z.B. Rechnungen in Acht, die Sie nicht zuordnen können. 
  • Starten Sie keine ausführbaren Dateien, an deren Vertrauenswürdigkeit Sie zweifeln.
  • Richten Sie sich Zertifikate für Ihre E-Mail-Postfächer ein, um Ihren Kontakten eine Authentizitätsprüfung für von Ihnen gesendete E-Mails zu ermöglichen.
  • Achten Sie darauf, auf Ihren Rechnern einen aktuellen Virenscanner im Betrieb zu haben.
  • Überprüfen Sie bei vermeintlich internen E-Mails, ob der Absender tatsächlich eine E-Mail-Adresse @uni-heidelberg.de oder @uni-hd.de nutzt
  • Deaktivieren Sie unbedingt standardmäßig die Makrofunktion in allen Office-Anwendungen, falls Ihr Rechner nicht in der AD des URZ ist (Anleitung zum Deaktivieren von Macros für Microsoft Office).
  • Öffnen Sie keine Zip-Archive, insbesondere keine passwortgeschützten Zip-Archive, außer Sie haben es explizit mit dem Absender kurz vorher vereinbart und das Passwort mündlich übermittelt.
  • Bitte achten Sie unbedingt auf eine aktuelle Virenschutzsoftware, da nicht alle Schädlinge, insbesondere verschlüsselte ZIP-Archive, von den zentralen Mailvirenscannern erfasst werden können.
  • Bitte melden Sie sich umgehend bei Ihrem IT-Beauftragten und bei dem IT-Service des URZ, falls Sie einen solchen Link oder Anhang geöffnet haben sollten.
  • Bitte rufen Sie Webmailer direkt im Browser auf und nicht über E-Mail Links. In dem Zusammenhang achten Sie auch immer auf ein gültiges Zertifikat der aufgerufenen Webseite im Browser.