Das passiert, wenn man Emotet-Trojaner-Mails öffnet
![Screenshot Screenshot](https://images.t-online.de/2021/07/85327872v2/0x0:1129x1153/fit-in/1129x0/screenshot.jpg)
Der Emotet-Trojaner wird unter anderem über gefälschte Mails im Namen von großen Unternehmen verbreitet. Die Täter tarnen sie zum Beispiel als Telekom-Rechnung. Die Schadsoftware verbirgt sich hinter einem Link oder im Mail-Anhang. (Quelle: CERT-Bund auf Twitter)
![Screenshot Screenshot](https://images.t-online.de/2021/07/85327866v2/0x0:962x828/fit-in/962x0/screenshot.jpg)
Der Link wird zum Teil auch in einem PDF-Dokument verbreitet. Wer darauf klickt, lädt ein schädliches Word-Dokument herunter.
![Screenshot Screenshot](https://images.t-online.de/2021/07/85327852v3/0x0:824x1169/fit-in/824x0/screenshot.jpg)
Zuletzt ging auch eine gefälschte Mail im Namen von Microsoft herum. Über den Twitter-Account @CERT-Bund werden solche aktuellen Fälle gemeldet. (Quelle: CERT-Bund auf Twitter)
![Screenshot Screenshot](https://images.t-online.de/2021/07/85327870v4/0x0:743x726/fit-in/743x0/screenshot.jpg)
Diese Phishing-Mail versucht Sparkassen-Kunden zum Öffnen des PDF-Anhangs zu verleiten. In dem PDF-Dokument wird der Nutzer einen Download-Link zur infizierten Word-Datei finden. (Quelle: CERT-Bund auf Twitter)
![Screenshot Screenshot](https://images.t-online.de/2021/07/85327868v2/0x0:1030x813/fit-in/1030x0/screenshot.jpg)
In diesem Beispiel wurde der Link bereits in den Text der Nachricht integriert.
![Screenshot Screenshot](https://images.t-online.de/2021/07/85327862v3/0x0:965x566/fit-in/965x0/screenshot.jpg)
Manchmal scheinen die Trojaner-Mails von einer bekannten Adresse zu kommen, zum Beispiel von einem Geschäftspartner oder Firmenkunden. Die Schadsoftware liest nämlich die Kontakte der infizierten Systeme aus und trägt so zur Verbreitung des Emotet-Trojaners bei. (Quelle: CERT-Bund auf Twitter)
![Screenshot Screenshot](https://images.t-online.de/2021/07/85327856v2/0x0:1012x482/fit-in/1012x0/screenshot.jpg)
Auch hier führt der Link mit der Beschreibung "Rechnungskopie" zu einem schädlichen Word-Dokument.
![Screenshot Screenshot](https://images.t-online.de/2021/07/85327860v2/0x0:1752x1005/fit-in/1752x0/screenshot.jpg)
Doch was passiert, wenn man ein solches Dokument öffnet? Das CERT-Bund führt es in einer sogenannten Sandbox vor. (Quelle: CERT)
![Screenshot Screenshot](https://images.t-online.de/2021/07/85327854v2/0x0:1752x1002/fit-in/1752x0/screenshot.jpg)
Der Nutzer wird beim Öffnen der infizierten Datei aufgefordert, die Makros auszuführen. Dadurch wird die Schadsoftware aktiviert.
![Screenshot Screenshot](https://images.t-online.de/2021/07/85327864v2/0x0:685x330/fit-in/685x0/screenshot.jpg)
Die Täter ändern immer wieder das Layout dieser Aufforderung, um die Nutzer zum Aktivieren zu bewegen. Hier wird behauptet, der Nutzer brauche "Admin-Rechte", um das Dokument anzusehen. (Quelle: CERT-Bund auf Twitter)