Emotet-Trojaner mogelt mit gemeinem neuen Windows 10 Mobile-Trick

[o1] DRMfan^^ am 02.09. 23:16
+ -
"In einer E-Mail, die auch von bekannten Kontakten kommen kann, die bereits infiziert wurden" Ist das so? Ich beobachte im Spam, dass eine Mail von "Max Mustermann <mustermann@web.de>" mit Betreff "Wichtigen termin nicht vergessen" zitiert wird mit "RE: Wichtigen termin nicht vergessen" und versendet wird von "Max Mustermann <mueller@gmail.com>", also von einer ganz anderen Mailadresse - wobei ich nicht verstehe, wieso das so gemacht wird.
[re:1] Deep4 am 03.09. 07:31
+4 -
@DRMfan^^: Mailserver in Firmen erkennen, ob die Mail von innerhalb oder außerhalb der eigenen Organisation versandt wurden. Wenn Angreifer oder Spammer also die korrekte Mailadresse verwenden würde, erkennt der Mailserver dies und schreibt dick und fett in den Mailtext eben seine Erkenntnis ein.

Die Angreifer spekulieren deshalb eher darauf, das Anwender zwar auf den Absendernamen, nicht aber auf die Mailadresse achten.

Das ist der ganze Trick...
[re:1] departure am 03.09. 08:46
+ -
@Deep4: Ich versuche meinen Leuten hier auch beizubringen, gezielt genau darauf zu achten.

Perfekt gefälschte Mail der Allianz (wirklich perfekt gemacht, da hat alles gestimmt, Layout, Rechtschreibung/Grammatik). Und dummerweise haben wir Verträge bei der Allianz. Der im Textkörper der Mail enthaltene Link, der angeblich zur Rechnung führt, hätte natürlich zur Seuche geführt. Der Kollegin ist aber aufgefallen, daß der Absender, ganz anders als im "Klarnamen" der Mail, zu einer Top-Level-Mail-Domain in Rußland führt (irgendwas.ru) und wurde hellhörig. Hat gut aufgepaßt, die Kollegin. Hätte sie den Link angeklickt, wär' wahrscheinlich noch nicht gleich alles verloren gewesen, immerhin gibt's ja auch ein paar technische Schutzmaßnahmen, aber besser, man gelangt dort erst gar nicht hin.

Dummerweise siegt bei manchen immer noch die Neugier ("das ist für mich, das muß wichtig sein").

Viele Grüße
[re:1] DRMfan^^ am 03.09. 09:05
+1 -
@departure: "Woher wissen die von meiner Impotenz? Und woher haben sie das Video von mir beim masturbieren zu Kinderbildern, das habe ich doch nie gemacht"? :D
[re:1] FurRail am 03.09. 09:15
+ -
@DRMfan^^: Ich habe intime Videos gemacht, als sie auch schmutzigen Seiten waren.
Ich will Bitcoin oder ihre Kontakte werden das Video sehen!

Seotdem ich meinen eigenen Mailserver mit Domain betreibe hab ich keinen Spam mehr..
[re:2] DRMfan^^ am 03.09. 09:01
+1 -
@Deep4: Weil die Angreifer hoffen, dass die Mails, die sie zufällig ausgewählt kopieren, interne sind? Wow, darauf wäre ich nicht gekommen. Ich konnte aber noch nie verstehen, wieso Menschen zu "blöd" sind, auf die Adresse zu schaun, statt auf den Anzeigenamen.
[re:2] haichen am 03.09. 10:00
+ -
@DRMfan^^: Wenn eine E-Mail von emotet kommt, ist das nicht zu erkennen.
Die haben vorher von Firmen (alte Opfer), mit denen ihr kommuniziert, den E-Mailverkehr ausgewertet.
Die Mail, die an euch geht, die sieht genau aus wie eine Anfrage eines Geschäftspartners.
Erst die Nachfrage das Bearbeiten zuzulassen, wird euch im besten Fall stutzig werden lassen.
[re:1] DRMfan^^ am 03.09. 11:20
+ -
@haichen: Alle Mails die ich bisher gesehen habe - unter anderem, weil Adressen von mir bei betroffenen Leuten im Postfach waren - kamen von absurden Adressen. Die Mail wurde z.B. bei Christian Müller vom Verlag des Tachmagazins abgegriffen und die Mail kam dann von "Christian Müller <schumacher@kfz-teile-westermann.de>". Das ist alles andere als nicht zu erkennen, dass ist plump und offensichtlich. Die Absenderadresse ist das erste, was ich bei fragwürdigen Mails prüfe.
[o2] Nunk-Junge am 03.09. 12:53
+1 -
Angriffe per Email gibt es in extrem unterschiedlicher Qualität. Da gibt es sehr dumme Mails "Hello, I am from your provider. For a refund, fill out the form.". Und dann gibt es das andere Extrem. Dort gibt es perfektes Deutsch, eine zielgruppengerechte Ansprache, Inhalte die sich inhaltlich in vorangegangene Emailkonversation integrieren, natürlich keine gefälschten Absender haben. Ich habe schon eine Email bekommen bei der nicht einmal ich als erfahrener ITler feststellen konnte, ob die Email echt war oder von einem befallenen Rechner kam. Alle Attrribute im Mailheader in Ordnung, korrekte Anrede, Inhalt entsprechend meiner Position im Unternehmen. Kam mir nur einfach komisch vor. Ein angehängtes PDF habe ich auf einem abgeschotteten Rechner angeschaut und es war nicht plausibel, aber Malware haben wir auch keine gefunden. Das größte Problem sind aber (zum Glück) nicht solche professionellen Angriffe. Am meisten Ärger machen Makros in Office-Dokumenten bei nicht IT-affinen Kunden. "Falls Sie eine veraltete Version nutzen, dann wird oben eine Warnung angezeigt, dass dies Ihren Rechner gefährdet. Klicken Sie auf zulassen und dann nochmal auf ausführen des Makros..." Leider sind besonders bei Behörden viele Makros für automatisierte Workflows im Einsatz und daher können Makros nicht pauschal unterbunden werden.
[o3] laforma am 03.09. 13:30
+ -
warum microsoft es immer noch nicht geschafft hat eine sandbox fuer office makros zur verfuegung zu stellen ist mir absolut schleierhaft. das ist doch nun wirklich kein hexenwerk und ransom angriffe sind ja nicht erst seit office 2019 in die medien gerueckt.
oder

Zugangsdaten vergessen?

Jetzt kostenlos Registrieren!
Desktop-Version anzeigen
Hoch © 2023 WinFuture Impressum Datenschutz Cookies