Es ist ein bereits bekanntes Problem, dass hin und wieder E-Mails mit gefährlichen Dateianhängen in deinem Postfach landen. Zum aktuellen Zeitpunkt solltest du dich vor allem vor einem Trojaner hüten – bekannt unter dem Namen Ursnif. Es handelt sich hierbei um einen Schädling, welcher unter anderem deine Account-Daten befällt. Eine Vorgängerversion war bereits im Jahr 2019 im Umlauf.
Innerhalb der DACH-Region zeigt sich aktuell folgendes Phänomen besonders häufig: Du erhältst E-Mails in deinem Posteingang, die auf den ersten Blick nicht auffällig sind. Es könnte sich dabei durchaus um reguläre und legitime Geschäftsmails handeln. Du öffnest die E-Mail und findest im Anhang ein gepacktes Zip-Archiv – in diesem befindet sich ein gefährliches Word-Dokument.
Das geschieht, sobald Ursnif auf Ihrem PC aktiv wird
Der unter dem Namen Ursnif bekannte Trojaner wird mit dem Ziel verbreitet, auf Windows-Computern aktiv zu werden. Er kopiert Log-in-Daten und vieles mehr: deine Benutzernamen, Passwörter und persönlichen Daten aus Webformularen gehören ebenso dazu. Zudem wird mit Aktivierung von Ursnif Schadsoftware auf deinen PC geladen. Ursnif ist ausserdem in der Lage, deine Tastatureingaben abzufangen sowie Screenshots zu erstellen.
Das sollten Sie über die gefährlichen E-Mails und deren Anhang wissen
Das erwähnte Archiv im Anhang ist durch ein Passwort geschützt. Das hat zur Folge, dass dein Antivirus-Programm keinen Zugriff darauf hat – du wirst also nicht alarmiert.
Das Passwort findest du direkt im Text der E-Mail. Es handelt sich um einen simplen Code. Nach Angaben des Internet Storm Centers wurde in der Vergangenheit häufig 777 als Passwort angegeben. Die neue Welle des Schädlings lässt sich mit den Codes 111, 333 oder 555 öffnen – eventuell sind weitere Codes im Umlauf.
Du denkst, du würdest eine solche E-Mail niemals öffnen? Das besonders Hinterhältige: Die E-Mails stammen oft von bekannten Absendern und sind kaum als schädlich zu erkennen. Manchmal stehen sie sogar in Verbindung mit Projekten, die dir vertraut sind – das erhöht die Glaubhaftigkeit und damit das Risiko erheblich.
Schalten Sie Ihren gesunden Menschenverstand ein!
Falls du auf die E-Mail hereinfällst und den Anhang öffnest, landest du bei einem Word-Dokument, das für den Trojaner-Download präpariert ist. Das Internet Storm Center berichtet, dass diese Dokumente als info_01_21.doc benannt sind. Laut der Analyse-Plattform Virustotal wurde zum Zeitpunkt der Meldung nur ein Bruchteil der installierten Antiviren-Wächter angeschlagen. Öffnest du die Datei und aktivierst die beschriebene Makro-Funktion, ist der Schädling auf deinem PC. Solche Makros funktionieren üblicherweise nur mit Microsoft Office – bei OpenOffice oder LibreOffice sollte ein Download nicht möglich sein.
Makros sind in Word bereits seit langer Zeit standardmässig deaktiviert. Angreifer setzen darauf, dass du sie aktivierst. Möchtest du wissen, wie du mit Doc-Dateien sicher umgehst? Die heise Security informiert ausführlich darüber – du kannst dort auch Test-E-Mails einsenden und deine Filter überprüfen.
Bleiben Sie stets misstrauisch!
Erhältst du E-Mails mit Dateianhang oder Links, sei auf der Hut. Überleg genau, bevor du Anhänge öffnest oder Links anklickst. Wenn du eine E-Mail von einem bekannten Kontakt erhältst: Wurdest du vorab über deren Ankunft informiert, ist meist nichts zu befürchten. Im Zweifelsfall greif zum Telefon und frag direkt nach, ob die E-Mail tatsächlich vom angegebenen Absender stammt.
Das sollten Sie tun, wenn Ursnif auf Ihrem Computer aktiv ist
In diesem Fall ist es bereits zu spät – handle sofort. Trenne deinen PC vom Netzwerk und schalte das Internet ab. Dann: Einen Spezialisten deines Vertrauens den PC bereinigen lassen. Anschliessend alle Onlinekonten prüfen und Passwörter ändern – sichere Passwörter, keine einfach zu erratenden.