Sicherheit Trojaner-Falle in gefälschter Telekom-Rechnung
Mehr als 150 Journalistinnen und Journalisten berichten rund um die Uhr für Sie über das Geschehen in Deutschland und der Welt.
Zum journalistischen Leitbild von t-online.versuchen derzeit über den Versand gefälschter Rechnungen der Deutschen Telekom einen Trojaner zu verbreiten. Mit der E-Mail kommt eine präparierte PDF-Datei, die einen Trojaner in den PC schmuggelt. Die Mail ist zwar eine nahezu perfekte Fälschung, doch wer genau hinschaut, kann die Gefahr erkennen.
Die E-Mail sieht einer echten Online-Rechnung der Deutschen Telekom täuschend ähnlich. Die E-Mail ist in fehlerfreiem Deutsch formuliert, und selbst die Grußformel des Kundendienstleiters am Ende der gefälschten E-Mail ist mit dem Original identisch. Als E-Mail-Anhang kommt ein PDF-Dokument, in dem Empfänger angeblich die Rechnungsdetails finden können – ganz wie bei den echten Online-Rechnungen. Nur enthält das PDF der Kriminellen eine böse Trojaner-Falle. Die Cyber-Gangster nutzen eine Schwachstelle im Adobe Reader aus, um ihre bösartige Software zu installieren.
Trojaner gliedert PC in ein Botnet ein
Nach dem Öffnen der verseuchten PDF-Datei lädt der darin versteckte Trojaner zunächst mehrere Dateien namens menu.exe, favorites.exe und shadows.exe aus dem Internet herunter und führt diese auf dem PC des Opfers aus. Der Schädling verändert verschiedene Einstellungen des Systems und gliedert den PC in ein sogenanntes Botnet ein. Nun kann der Computer des Opfers von den Kriminellen ferngesteuert werden. Zudem wird das Adressbuch des Nutzers ausgelesen und die darin enthaltenen Informationen an die Hintermänner des Botnet gesendet. Das Ganze geschieht vom Nutzer unbemerkt im Hintergrund.
Fälschung auf den zweiten Blick erkennbar
Doch wer genau hinsieht, kann die auf den ersten Blick täuschend echt wirkende E-Mail trotzdem als Fälschung erkennen. Zunächst fällt auf, dass die persönliche Anrede des Kunden fehlt. Wo in der echten Mail der Empfänger mit "Guten Tag Herr/Frau ...." namentlich adressiert wird, steht in der Fälschung lediglich "Sehr geehrte Damen und Herren". Das zweite Indiz ist der Dateiname der angehängten infizierten PDF-Datei. Dieser setzt sich aus dem Wort Rechnung und einer Nummer zusammen. Beispielsweise "Rechnung042012.pdf" womit eine Rechnung für den April 2012 vorgegaukelt werden soll. Die Dateinamen der echten Rechnungen setzen sich jedoch aus dem Monatsdatum, dem klein geschriebenen Wort Rechnung und dann der Kundennummer des Anschlussinhabers zusammen. Beispielsweise: "2012_04rechnung_123456789.pdf"
Adobe Reader aktualisieren
Die Schwachstelle, welche die Angreifer nutzen, stammt bereits aus dem Jahr 2010. Daher sollten Nutzer ihren Adobe Reader aktualisieren und auf dem neuesten Stand halten; in der aktuellen Version der PDF-Software ist die Sicherheitslücke geschlossen. Dieser Sicherheitstipp gilt für alle Softwareprogramme, denn Hacker nutzen jede Schwachstelle, die sich ihnen bietet, um Schadprogramme auf Computern zu installieren. Deshalb sollten immer regelmäßig Updates eingespielt werden. Der in der PDF-Datei verpackte Schädling wird bisher kaum von Antivirenprogrammen erkannt. Laut virustotal.com erkennt derzeit nur Kaspersky einen Schädling namens Packed.Win32.Krap.it und dessen Gefahrenpotential ist bisher noch nicht analysiert.