Erpresserbrief von der eigenen E-Mail-Adresse

Ist das Bewerbungsschreiben echt oder soll damit Schadsoftware auf den Computer geladen werden?
Foto: gettyimages/Wavebreakmedia

Fake-Rechnungen, Erpressermails, die scheinbar von der eigenen E-Mail-Adresse abgeschickt wurden, mit Schadsoftware infizierte Bewerbungen – nahezu täglich wird vor neuen Cybercrime-Attacken gewarnt. (Pharmaceutical Tribune 10/19)

Im Jänner 2016 jagte eine „Eilt“-Meldung über die Presseagenturen: Der oberösterreichische Zulieferer für die Luftfahrtindustrie, FACC, war Opfer eines Cyberbetrugs geworden – Schadenssumme rund 50 Millionen Euro. An der Wiener Börse, wo FACC notiert ist, krachte die Aktie sofort nach Eröffnung des Handels in den Keller. Am Ende des Tages blieb ein Verlust von beinahe 17 Prozent. Umgelegt auf den damaligen Marktwert des Unternehmens, kam zu den 50 Millionen Schaden ein Wertverlust an der Börse von noch einmal fast 50 Millionen Euro hinzu.

Was war geschehen? Eine Mitarbeiterin der Buchhaltung hatte, nach entsprechenden Weisungen ihrer Vorgesetzten, das Geld auf verschiedene Konten in Asien und der Slowakei überwiesen. Das Dumme daran: Die E-Mails mit den Weisungen waren nicht von den Vorgesetzten gekommen, sondern von außen. Die Täter hatten den sogenannten „Fake President“-Trick, oder auch „CEO-Fraud“, verwendet. Dabei werden E-Mails, deren Absenderadresse tatsächlich den Namen des jeweiligen Vorgesetzten enthält, an Mitarbeiter mit der Weisung gesandt, Geld auf ein bestimmtes Konto zu überweisen. Der FACC-Konzern war dabei nur die Spitze des Eisberges, tatsächlich erbeuteten unbekannte Täter damals bei vier Unternehmen in Österreich insgesamt 86 Millionen Euro. An die 300 weitere Betrugsversuche verliefen glimpflich, weil die Betroffenen nicht reagierten.

Erpressung via Mail

„Sie haben die letzte Gelegenheit, Ihr soziales Leben zu retten – ich mache keine Witze!!“ – Mails wie dieses kursieren gerade wieder einmal massenhaft. In den Schreiben wird behauptet, dass auf dem Computer des Users Schadsoftware installiert wurde, die unter Umgehung des Virenschutz-Programmes die Kamera des Computers aktiviert und den User bei Handlungen gefilmt habe, die wohl besser nicht in der Öffentlichkeit landen sollten. Um das zu verhindern, möge man doch bitte eine bestimmte Summe in Bitcoins zu überweisen. Das Perfide daran: Das Schreiben kommt von der eigenen E-Mail-Adresse, was als Beweis dafür genannt wird, dass der Computer tatsächlich infiziert wurde. Der Trick ist im Grunde derselbe wie beim CEO-Fraud, nur dass dieses Mal nicht fremde Personen in den Betrug mit einbezogen werden. Tatsächlich ist es ganz einfach, solche Mails mit fremden E-Mail-Adressen zu erzeugen. Im Internet existieren einige Plattformen, auf denen sich beliebige E-Mail-Adressen als angebliche Absender eintragen lassen. Auf diesen Plattformen kann man sich – so man will – auch eine E-Mail vom Bundespräsidenten zusenden, sofern man die entsprechende E-Mail-Adresse kennt.

Bewerbung mit Virus

Warnungen vor Betrugsversuchen wie diesen finden sich in Österreich auf der Seite „watchlist-internet.at“. Allein im heurigen Jahr hat das Redaktionsteam der Seite bereits 86 Warnungen veröffentlicht – auf gut Deutsch: Beinahe jeden Tag wurde eine Warnung veröffentlicht. Im Vorjahr haben sich mehr als 6.000 Menschen an die Plattform gewandt, um mögliche Fälle von Cyberbetrug zu melden. Neben erpresserischen E-Mails finden sich dort auch Warnungen vor Phishing-Attacken, Abofallen bei Streamingdiensten oder Datenklau durch betrügerische Jobangebote. Aktuell wird gerade vor Stellenbewerbungen gewarnt, die von Kriminellen verbreitet werden.

Um Sicherheit vorzugaukeln, enthalten die Nachrichten ein passwortgeschütztes und somit verschlüsseltes Word-Dokument. Das dazugehörige Passwort ist in der Mail zu finden. Sobald das Word-Dokument geöffnet wird, entfaltet die im Anhang enthaltene Schadsoftware ihre volle Wirkung. Da die Bewerbungen in hervorragendem Deutsch verfasst sind, erwecken sie auf den ersten Blick nicht sofort das Misstrauen. Um sich vor Attacken wie diesen zu schützen, empfehlen Experten unter anderem folgende vorbeugende Maßnahmen:

  • Schulen Sie ihre Mitarbeiter darauf, dass Dateianhänge nur mit äußerster Vorsicht geöffnet werden. Im Zweifelsfall sollte der Anhang lieber nicht geöffnet werden. Bei Unsicherheit sollte mit Vorgesetzten oder Kollegen Rücksprache gehalten werden.
  • Bei Firmenrechnern sollte ein Benutzer- und Administratorkonto angelegt werden. Wenn normalerweise nur das Benutzerkonto verwendet wird, kann der Rechner so eingestellt werden, dass die Installation von Programmen nicht ohne Freigabe durch das Administratorkonto erfolgen kann. Damit verhindert man die unbemerkte Installation von Programmen bzw. Schadsoftware.
  • Im Programm Microsoft Word sollte die automatische Ausführung von „Makros“ deaktiviert werden. Bei einer unerwarteten Abfrage, ob ein Makro ausgeführt werden soll, sollte dies abgelehnt werden. Über diese Makros können Trojaner oder Spyware ins System eindringen.

Der Telefon-Trick

„Grüß Gott, hier spricht die Rechtsanwaltskanzlei XY aus Salzburg. Haben Sie vergessen, Ihr Zahlenlotto-Abo zu kündigen? Sie wurden angezeigt, das kostet Sie 9.000 Euro. Wir können Ihnen das günstiger machen.“ Die Anruferin spricht mit deutschem Dialekt und gibt sich betont fordernd. Auf die Antwort: „Ich habe noch nie ein Zahlenlotto-Abo abgeschlossen“, wird sie laut: „Wir wollten Ihnen nur helfen“ und legt auf. Anrufe wie diese gehören mittlerweile zum Alltag. Manchmal geht es um angeblich nicht bezahlte Rechnungen, dann wieder um angebliche Gewinne. Alle Anrufe haben eines gemeinsam: Es handelt sich um Trickbetrüger, die versuchen, den Angerufenen auf die eine oder andere Art Geld aus der Tasche zu ziehen. Cyberkriminalität spielt sich nicht nur im Netz ab, sondern funktioniert schon länger auch übers Telefon. Schützen kann man sich vor solchen Anrufen nur selten. Der wirksamste Schutz ist und bleibt letztlich der gesunde Menschenverstand und eine gesunde Portion Misstrauen.

Datenklau

Selbst die besten Virenschutzprogramme auf dem eigenen Rechner können nicht verhindern, dass Ihre Daten im Internet geklaut werden. Meist handelt es sich um Hackerattacken auf Plattformen, bei denen sich User angemeldet und ihre Daten hinterlegt haben. Um herauszufinden, ob die eigenen Daten schon einmal geklaut wurden, kann man seine E-Mail-Adresse in den HPI Identity Leak Checker des Hasso-Plattner-Instituts der Universität Potsdam eingeben. Das Institut ist Deutschlands universitäres Exzellenz-Zentrum für Digital Engineering. Die komplette Adresse lautet: https://sec.hpi.unipotsdam.de/ilc/search. Probieren Sie es – Sie werden staunen.

Mit freundlicher Unterstützung von

Logo Wilke Apothekenberatung