Die aktuell im Umlauf befindlichen Schad-Mails sind als Antwort auf eine tatsächliche Konversation verfasst. Durch diesen Umstand erscheinen sie beim Überfliegen zunächst als plausibel und verleiten schneller zum Öffnen des Anhangs bzw. zum Anklicken des Links. Über die Absenderadresse war die Fälschung in den meisten Fällen zu erkennen.
Im Anhang bzw. hinter dem Link in der Mail (oder im angehängten PDF) versteckt sich bei den untersuchten Fällen eine Archivdatei, welche durch ein mitgeteiltes Passwort entpackt werden soll. Erst darin befindet sich der eigentliche Schadcode der dann ausgeführt werden müsste.
Sollten sie den Schadcode ausgeführt haben oder sie sind sich unsicher, dann nehmen sie mit dem Helpdesk Kontakt auf.
Derzeit untersuchen wir noch, woher die echten Mailtexte kommen, die hier als Grundlage verwendet werden. In einer ersten Analyse scheint es so, dass auf den Posteingang eines oder mehrerer Accounts zugriffen wurde. Dies kann unter anderem durch einen erfolgreichen Phishing-Angriff der Fall sein, aber auch durch triviale Unachtsamkeit bspw. wenn man sich an einem öffentlichen PC nicht abgemeldet oder dubiose Apps zum Abrufen seiner Mails verwendet.
Bei Unsicherheit bzw. knappen Aufforderungen Links anzuklicken oder Anhänge zu Öffnen, sollte mal über einen zweiten Kanal (Telefon, Chat) beim vermeintlichen Absender rückfragen, ob dieser diese Nachricht tatsächlich gesendet hat.
Beachten sie sie unseren allgemeinen Hinweise zum Umgang mit Phishing-Mails.
Quelle: NCC