Es ist ein bereits bekanntes Problem, dass hin und wieder E-Mails mit gefährlichen Dateianhängen in Ihrem Postfach landen. Zum aktuellen Zeitpunkt sollten Sie sich vor allem vor einem Trojaner hüten – bekannt unter dem Namen Ursnif. Es handelt sich hierbei um einen Schädling, welcher unter anderem Ihre Account-Daten befällt. Eine Vorgängerversion war bereits im Jahr 2019 im Umlauf.
Innerhalb der DACH Region zeigt sich aktuell folgendes Phänomen besonders häufig: Sie erhalten E-Mails in Ihrem Posteingang, die auf den ersten Blick nicht auffällig sind. Es könnte sich dabei durchaus um reguläre und legitime Geschäft-Mails handeln. Sie öffnen die E-Mail und finden im Anhang ein gepacktes Zip-Archiv – in diesem befindet sich ein gefährliches Word-Dokument.
Das geschieht, sobald Ursnif auf Ihrem PC aktiv wird
Der unter dem Namen Ursnif bekannte Trojaner wird mit dem Ziel verbreitet, auf Windows-Computern aktiv zu werden. Er kopiert Log-in-Daten und vieles mehr: Ihre Benutzernamen, Passwörter und persönlichen Daten aus Webformularen gehören ebenso dazu. Zudem wird mit Aktivierung von Ursnif Schadsoftware auf Ihren PC geladen. Ursnif ist ausserdem in der Lage, Ihre Tastatureingaben abzufangen sowie Screenshots zu erstellen.
Das sollten Sie über die gefährlichen E-Mails und deren Anhang wissen
Das erwähnte Archiv im Anhang der in Ihrem E-Mail-Fach befindlichen Nachricht ist durch ein Passwort geschützt. Das hat zur Folge, dass das Antivirus-Programm Ihres PCs keinen Zugriff darauf hat. Sie werden dementsprechend durch Ihr Schutzprogramm nicht alarmiert.
Nun fragen Sie sich wie Sie überhaupt Zugang zum Archiv erhalten? Das Passwort ist im Text der E-Mail für Sie als Nutzer hinterlegt. Es handelt sich dabei um einen simplen Code. Nach Angaben des Internet Storm Centers wurde in der Vergangenheit häufig 777 als Passwort angegeben. Die neue Welle des Schädlings lässt sich mithilfe der Codes 111, 333 oder auch 555 öffnen – eventuell sind weitere, noch unbekannte Codes im Umlauf. Sie denken sich nun, dass Sie eine solche E-Mail – geschweige denn den Anhang – niemals öffnen würden? Das besonders Hinterhältige an dieser Sache ist, dass die besagten E-Mails häufig von bekannten Absendern stammen und von Ihnen dadurch kaum als schädlich zu identifizieren sind. Eine andere Möglichkeit ist, dass die E-Mails mit Ihnen vertrauten Projekten in Verbindung stehen – die Glaubhaftigkeit steigt dementsprechend, ebenso wie das Risiko, dass Sie die E-Mail und deren Anhang öffnen.
Schalten Sie Ihren gesunden Menschenverstand ein!
Im Falle Sie fallen auf die E-Mail herein und öffnen deren Anhang, holen Sie sich ein Word-Dokument auf Ihren Rechner, welches für den Trojaner-Download präpariert ist. Das Internet Storm Center informiert, dass diese Word-Dokumente als info_01_21.doc benannt sind. Analyse-Plattform Virustotal informiert, dass Sie zum Zeitpunkt der Meldung durch lediglich einen Bruchteil der auf Ihrem Computer installierten Antiviren-Wächter alarmiert werden. Öffnen Sie nach dem Download die besagte Word-Datei, aktivieren Sie die im Dokument beschriebene Makro-Funktion. Der Schädling befindet sich damit automatisch auf Ihrem PC. Solche Makros funktionieren üblicherweise ausschliesslich mit Microsoft Office. Nutzen Sie hingegen OpenOffice oder LibreOffice, sollte ein Download dieses Schädlings nicht möglich sein.
Aus Gründen der Sicherheit wurden Makros in Word bereits vor langer Zeit standardmässig deaktiviert. Mit wenigen Klicks können Sie diese einschalten, falls Sie dies beabsichtigen. Angreifer nutzen dies aus. Sie möchten sicherstellen, dass Sie mit Doc-Dateien sicher umgehen? Die heise Security informiert umfassend darüber: Informieren Sie sich umfassend und nutzen auch den Service, Test-E-Mails an heise Security zu verschicken und dabei Ihre Filter zu überprüfen.
Bleiben Sie stets misstrauisch!
Sollten Sie E-Mails mit Dateianhang empfangen – oder auch solche, die Links enthalten -, seien Sie auf der Hut! Überlegen Sie genau, bevor Sie Anhänge öffnen oder im Text befindliche Links anklicken. Sie fragen sich nun was Sie tun sollten, wenn Sie eine E-Mail von einem Ihnen bekannten Kontakt erhalten? Wurden Sie im Vorfeld über die Ankunft dieser E-Mail informiert, ist mit hoher Wahrscheinlichkeit nichts zu befürchten. Im Zweifelsfall greifen Sie zu Ihrer Sicherheit besser zum Telefon und kontaktieren die Person, die die E-Mail abgeschickt hat, um zu hinterfragen, ob die E-Mail aus sicherer Quelle und tatsächlich vom angegebenen Absender stammt.
Das sollten Sie tun, wenn Ursnif auf Ihrem Computer aktiv ist
In diesem Fall ist es bereits zu spät – Sie können nicht mehr viel tun. Trennen Sie schnellstmöglich Ihren PC vom Netzwerk und schalten das Internet ab. Ein Spezialist Ihres Vertrauens sollte im Anschluss Ihren PC unter die Lupe nehmen und diesen bereinigen. Um sicherzugehen, dass Ihre Daten weiterhin nicht von anderen genutzt werden, sollten Sie all Ihre Onlinekonten überprüfen und deren Passwörter ändern. Wichtig dabei ist es, sichere Passwörter zu nutzen – nicht etwa solche, die die meisten Deutschen gern verwenden.