8 Minuten

Diese neue Betrugsmasche im Netz musst du kennen

1. Februar 2019
Themen:

Du glaubst, du hast Spam im Griff? Das dachte dieser Handwerker auch – bis er selbst zum Opfer wurde. 2 Vorschläge, die dem neuesten Trojaner das Handwerk legen.



»Hören Sie, ich werde GAR NICHTS von Ihnen bezahlen! Und jetzt lassen Sie mich in Ruhe!«, donnerte es aus dem Telefon, bevor es laut am anderen Ende der Leitung klickte. Kevin Kubis war ganz schön verwirrt, als er den Hörer auflegte. Eigentlich war es bisher ein ganz normaler Wintertag in seiner Dortmunder Glaswerkstatt. Warum aber war die Frau am anderen Ende der Leitung bloß so aufgebracht und von welcher Zahlungsaufforderung sprach sie überhaupt? Da klingelte das Telefon schon wieder …

Und steht seit 8 langen Wochen nicht mehr still, bis heute.

»Anfangs waren es bis zu 800 Anrufe an einem Tag. Normalerweise hat der Glasdesigner nach eigenen Angaben 30–130 Telefonanfragen pro Tag. Und auch jetzt haben wir noch jeden Tag damit zu tun. Wir sind hier ja nur 2 Leute, da kommen wir hier teilweise zu nichts mehr. Das legt uns völlig lahm«, klagt der Chef des Familienunternehmens gestresst.

Zum Telefonterror muss Kubis täglich Hunderte böse E-Mails aus dem Unternehmenspostfach fischen. »Da stehen dann teilweise wüste Beschimpfungen und Drohungen drin. Sie würden uns anzeigen.« In vielen Mails geht es aktuell um angebliche Verkäufe bei David Ehl hat mit Einzelhändlern gesprochen, wie sie sich gegen den übermächtigen Konkurrenten Amazon behaupten Amazon – dabei hat Kubis dort noch nicht mal ein Konto, mit dem er Produkte anbieten kann. Trotzdem beschweren sich viele Menschen, die nie etwas bei dem Betrieb gekauft haben, über die vermeintliche Zahlungsaufforderung.

Und auch wenn der Glasdesigner sich die Zeit nimmt und geduldig erklärt, dass es sich um einen Irrtum handelt, verspüren manche, die sich beschweren, den Wunsch nach digitaler Vergeltung: »Es gibt viele Leute, die alles sofort in den falschen Hals kriegen. Die verstehen einfach nicht, dass wir damit nichts zu tun haben.« So hagelt es seit Wochen schlechte Bewertungen bei Facebook oder Google. Eine klare Rufschädgung, gegen die sich Kevin Kubis aber nur schwer wehren kann.

Dabei hat der Glasdesigner gar nichts falsch gemacht. Er selbst hat keine einzelne der falschen Zahlungsaufforderungen verschickt. Kriminelle haben die Daten von Kubis Unternehmen in eine gefälschte E-Mail eingebaut und die Opfer der Spamwelle »Spam« oder »Junk« nennt man auf elektronischem Weg übertragene Nachrichten, die dem Empfänger ohne Wunsch zugeschickt werden. Wie die klassischen Werbezettelchen im Briefkasten an der Haustür enthalten sie Werbebotschaften, im digitalen Briefkasten aber oft auch Links mit Betrugsabsicht oder Schadprogramme. lassen ihrem Unmut Kubis gegenüber freien Lauf.

So perfide ist der neue Supertrojaner, der dahintersteckt

Schuld am Ärger in Dortmund ist »Emotet«, ein Schadprogramm, das sich derzeit durchs Internet frisst und Informationen wie Telefonnummern, Bankdaten und Kundennummern stiehlt.

Mit diesen gestohlenen Daten verschicken die kriminellen Hintermänner dann mit dreisten Forderungen gespickte E-Mails, wie sie auch die Anrufer im Postfach hatten, die sich nun bei Kevin Kubis melden. Dabei geht es aber nicht um einen gezielten Angriff auf Reptilienfans. Die Mails werden als Spam blind an möglichst viele Ziele geschickt. Auch wir bei Perspective Daily haben eine solche bekommen und sollten rund 4.000 Euro bezahlen – für ein Terrarium, das wir nie gesehen haben:

Eine Phishing-Mail in meinem Perspective-Daily-Postfach. Unter diesem Fachbegriff versteht man das »Angeln« von Daten über gefälschte Webseiten oder E-Mails. Emotet ist daher präzise gesehen ein Phishing-Angriff. –

Förmlicher Ton, Anrede, Kontonummer Emotet kann sogar mehr: Etwa authentische E-Mail-Briefköpfe, Grafiken und Logos laden. – all das ist deutlich glaubhafter gemacht als bei den üblichen Spammails in gebrochenem Deutsch oder mit bizarren Lügengeschichten wie dem verschenkten Erbe Eine berühmte Betrugsmasche per Spam in den letzten Jahren lief so: Ein meist afrikanischer Prinz teilte per E-Mail mit, er wolle Millionensummen transferieren und brauche dazu ein europäisches Bankkonto. Als Belohnung für die Hilfe sollte der Empfänger dann einen Teil des Vermögens erhalten. Dahinter stand sehr wahrscheinlich ein kriminelles Netzwerk in den USA. Im Jahr 2018 wurde in dem Fall ein 67-jähriger Mann aus Louisiana verhaftet. eines »Der Spiegel« berichtet über einen mutmaßlichen Drahtzieher der Betrugsmasche aus Louisiana, der verhaftet wurde (2018) nigerianischen Prinzen.

Doch wie sie alle, so hat auch die neue Spamwelle nur ein Ziel: Betrug.

Natürlich kann man als erfahrener deutscher Internetnutzer Spam belächeln. Denn wir kennen uns hierzulande bestens damit aus: Seit Jahren ist Deutschland Spam-Weltmeister. Das aktuelle Spam-Ranking vom dritten Quartal 2018, untersucht von der IT-Sicherheitsfirma Kaspersky (englisch, 2018) Knapp 10% der weltweiten Spammails werden hierher geschickt.

Länder weltweit als Ziel schädlicher E-Mail-Angriffe

Kaspersky verdient sein Geld mit dem Schutz vor Spam und Schadsoftware.

Quelle: Kaspersky Lab

Deutschland hat sich an Spam gewöhnt – könnte man meinen. Doch das macht uns noch längst nicht gefeit gegen Emotet – wie der Fall der Dortmunder Glaswerkstatt zeigt. Trotz Warnungen und Hinweisen auf Facebook und der Webseite fallen genug Menschen auf die Spammails herein, um den Mitarbeitern dort monatelang Überstunden bis spät in die Nacht zu bescheren. Emotet arbeitet dabei in Wellen. Die Schadsoftware legte vor 8 Wochen Anfang Dezember 2018 das Unternehmen und 3 befreundete Unternehmen durch wütende Nichtkunden lahm. Danach ebbte es scheinbar ab, nur um seit Mitte Januar 2019 mit einer neuen Masche – »Bezahlt auf Amazon« – wieder zu starten.

Teilweise brauchen Kevin Kubis und sein Sohn 18 Arbeitsstunden, um neben der Telefon- und E-Mail-Flut noch die eigenen Aufträge zu schaffen. Natürlich geht das an die Substanz, von den wirtschaftlichen Schäden ganz zu schweigen: »Das Schlimme ist gar nicht die Mehrarbeit. Das Schlimme ist, dass auch Kunden von uns belästigt werden, die dann am Ende sagen: Mit der Firma wollen wir nie wieder etwas zu tun haben«, erklärt Kevin Kubis erschöpft. Dabei ist die empörende Zahlungsaufforderung in der E-Mail nur eine Ablenkung für das Ziel der Betrüger.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt die wirtschaftlichen Schäden durch Emotet bisher auf mehrere Millionen Euro.

Die eigentliche Gefahr steckt im E-Mail-Anhang – in diesem Fall einer angeblichen Rechnung als Worddatei zum Herunterladen. Ein Klick darauf lädt per Makro Ein Makro ist eine Folge von Anweisungen, die mit nur einem Aufruf ausgeführt werden – quasi ein Mini-Programm. Sie sind Teil von verbreiteten Office-Anwendungen wie Microsoft Word und sollen dort den Nutzer unterstützen. Doch für Betrüger sind sie auch ein Einfallstor für ihre üblen Absichten. Falls die Office-Makros nicht aktiviert sind, fordert der Klick auf den Anhang den Nutzer dazu auf. Aufgrund des Drucks, den die hohe Zahlungsaufforderung auslöst, und aufgrund des offiziellen Microsoft-Logos folgen viele Nutzer der Aufforderung. Schadsoftware auf den Rechner, einen sogenannten Trojaner, Benannt sind »Trojaner« nach dem Trojanischen Pferd aus Homers Illias und heute ein gängiger Begriff in der EDV-Netz-Sprache. Darunter versteht man schädliche Anwendungen, die sich als nützliche Anwendungen tarnen und im Hintergrund eines Systems heimlich selbst ausführen, ohne das Wissen des Anwenders. Sie zählen wie Viren zur Gruppe schädlicher Programme, der »Malware«. der dann weitere Informationen ausliest und vom Rechner des Opfers an die Hintermänner sendet (und damit neue Spammails füttert). Oder er installiert heimlich weitere Schadsoftware, auch von Dritten. So mausert sich Emotet aktuell – auch das ist neu – zu einer Art Schweizer Taschenmesser für kriminelle Machenschaften im Netz. Nicht umsonst bezeichnet das Bundesamt für Sicherheit und Informationstechnik (BSI) Emotet derzeit als Die Warnung des BSI für Emotet (2018) »eine der größten Bedrohungen durch Schadsoftware weltweit«.

Da macht sich nicht nur Kevin Kubis so seine Gedanken: »Wer könnte denn bloß ein Interesse daran haben?«

Wer steckt dahinter und wie legen wir ihnen das Handwerk?

So viel lässt sich mit Sicherheit sagen: Jugendliche Hobbyhacker stecken nicht hinter Emotet, dafür ist der Trojaner einfach zu gut gemacht. »Da ist eine Menge Arbeit hineingeflossen, wahrscheinlich Jahre«, erklärt Tim Berghoff. Der Sicherheitsexperte arbeitet beim deutschen IT-Security-Unternehmen G DATA und kennt sich bestens mit aktueller Schadsoftware aus. Für ihn hat Emotet auch deshalb eine ganz neue Qualität:

Die Macher von Emotet sind nicht dieselben, die ihn verwenden. Sie bieten ihn nur auf speziellen Märkten [im Darknet] Das sogenannte »Darknet« ist kein Ort, sondern ein Peer-to-Peer-Overlay-Netzwerk, dessen Teilnehmer ihre Verbindungen untereinander und nicht mit einem zentralen Server herstellen. Vereinfacht gesagt, ist es eine andere und kaum kontrollierbare Möglichkeit, Seiten im Internet zu betreiben, die nur von Nutzern mit speziellen Browsern aufgerufen werden können. Darknet-Seiten entziehen sich jeder staatlichen Kontrolle und enthalten kriminelle Angebote, von Schadsoftware über Drogen bis zum Auftragsmord. an, wo er dann von Kriminellen gekauft und wie ein Werkzeug verwendet wird. Und die verdienen damit richtig Geld. – Tim Berghoff von G DATA

Was da durchs Netz geistert und Familienunternehmen lahmlegt, ist also kein einzelner Trojaner, sondern eine professionelle Plattform für kriminelle Schadsoftware. Etwa ein »Keylogger«, der gezielt Passwörter beim Tippen mitschneidet, oder ein »Infostealer«, der die Festplatte nach sensiblen Daten durchkämmt. Oder aber »Ransomware«, also ein Trojaner, der die Festplatte und zentrale Funktionen sperrt und dann quasi eine Lösesumme verlangt. Und die ist aktuell sehr beliebt: »Zu Spitzenzeiten gibt es von Emotet über 300 neue Varianten pro Tag – also ungefähr alle 4 Minuten eine«, erklärt Tim Berghoff.

Was wir über Emotet wissen

Emotet war ursprünglich ein Bankingtrojaner, der im Jahr 2014 zum ersten Mal auftauchte und seitdem stetig weiterentwickelt wurde.

Dass auch nur eine davon gezielt einer Glaswerkstatt schaden will, hält der Sicherheitsexperte für unwahrscheinlich. »Hier werden nur Daten als Fassade verwendet, um einer E-Mail scheinbare Legitimität zu verleihen.« Für den Betroffenen Kevin Kubis ist das nur ein schwacher Trost. Er weiß mittlerweile, dass die Daten seines Unternehmens schon im Jahr 2017 gestohlen wurden. Den Betriebs-PC hat er längst neu aufgesetzt und zahllose Sicherheitsprogramme installiert. »Ich versuche das hier einfach auszusitzen«, erklärt er stoisch. Sich von seinem Firmennamen, seiner Telefonnummer und E-Mail-Adresse trennen will er nicht – ein radikaler Schritt, der in extremen Fällen aber funktionieren könnte.

Um Menschen wie Kevin Kubis vor Emotet und Co. in Zukunft besser zu schützen, rüsten IT-Sicherheitsunternehmen wie G DATA auf und setzen dabei auch verstärkt auf künstliche Intelligenz. Denn die kann neue Varianten von Schadsoftware selbstständig finden und ausschalten, bevor sie aktiv werden können. Viele IT-Sicherheitsunternehmen arbeiten derzeit an einer solchen künstlichen Intelligenz, bei G DATA heißt sie »DeepRay« und ist in das Sicherheitspaket integriert. Dort lernt sie anhand von Merkmalen automatisch, welche Dateien schädlich sein könnten Dahinter steht ein Machine-Learning-Algorithmus, der auf einem Punktesystem anhand von mehreren Hundert Faktoren basiert, das von den Entwicklern angepasst wird. Für jede Datei berechnet DeepRay dann einen Risikowert; überschreitet der einen bestimmten Punktewert, wird sie zum Verdachtsfall und von einer Sicherheitssoftware, in die DeepRay integriert ist, in Quarantäne gesteckt. – und steckt sie proaktiv in Quarantäne.

Quelle: Tim Berghoff, G DATA copyright

Der Clou: Programme wie DeepRay lesen dabei auch den Arbeitsspeicher des Computers aus, wo sich Schadsoftware nicht mehr tarnen kann. So erkennt die KI auch die täglich neuen, kurzlebigen Varianten von Emotet, die teilweise nur für wenige Stunden aktiv sind. Die KI lernt mit und sucht bereits heute nach neuen Strategien der kriminellen Programmierer und sendet die Informationen an Sicherheitsexperten zurück. So können diese auf neue Bedrohungen schneller reagieren und die Sicherheitssoftware anpassen. Ein Allheilmittel gegen böse Absichten im Netz ist künstliche Intelligenz aber nicht, warnt Tim Berghoff von G DATA:

Man darf nur nicht glauben, dass man mit einem Sicherheitspaket, auch gestützt durch neuronale Netze, völlig sicher sei und bedenkenlos auf alles klicken kann. So etwas kann nur ein Auffangbecken sein, aber kein Ersatz für den gesunden Menschenverstand. – Tim Berghoff von G DATA

Es geht bei Sicherheitssoftware also nicht um 100%ige Sicherheit. Es geht viel eher darum, es den kriminellen Programmierern so schwer wie möglich zu machen, damit sich ihre Arbeit nicht mehr lohnt. Denn erst wenn diese mehr Aufwand betreiben müssten, als ihre Schadsoftware Gewinn einbringt, dann haben Emotet und Co. verloren und sterben aus.

Aber gibt es bis dahin nicht eine Möglichkeit für maximale Sicherheit im Netz? Die gibt es – und sie hat einen Preis.

Würdest du deine digitale Freiheit für maximale Sicherheit opfern?

»Wir waren genauso das Ziel von Schad- und Spammails wie andere Universitäten auch. Da waren täglich vielleicht 20% echte E-Mails dabei«, berichtet Andreas Budig. Der Informatiker arbeitet an der Universität Rostock im Die Website des IT-Zentrums der Uni-Rostock zu ihren Sicherheitsverfahren IT-Zentrum und überwacht die Sicherheitssoftware. Und die ist extrem, aber wirksam, denn sie sperrt alle Schadsoftware aus. »Whitelisting« nennt sich das – und funktioniert so: Anstatt Nutzern zu erlauben, eigene Programme zu installieren, ist die Installation auf den PCs generell verboten. Software Whitelisting erlaubt nur das Ausführen von vorher festgelegten Programmen und verhindert das Ausführen von allen Programmen, welche nicht auf einer Positivliste (Whitelist) stehen. Was auf den Rechner kommt, liegt ganz in den Händen der Administratoren des IT-Teams der Universität, die das System im Hintergrund steuern. Sie verwalten auch die »Whitelist«, also die Liste von vertrauenswürdigen Anwendungen, die auf den Rechnern aufgerufen werden können. Steht ein Programm nicht auf der Liste, funktioniert es einfach nicht.

Damit hat Schadsoftware wie Emotet in Rostock keine Chance. Ein Klick auf einen sonst gefährlichen E-Mail-Anhang ist auf einem Whitelisting-Rechner absolut ungefährlich. Bisher beschränkt sich der maximale Schutz auf das Rechenzentrum der Universität. Dort mussten sich Studenten und Mitarbeiter erst mal daran gewöhnen. Doch Andreas Budig und seine IT-Kollegen sind von der Lösung und ihrem Erfolg überzeugt:

Man muss beim Thema Sicherheit erst mal eine Schwelle bei den Leuten überwinden, so wie bei vielen guten Sachen. Ich war zu Anfang auch skeptisch, nicht mehr alles starten zu können. Doch in der Praxis ist es dann doch relativ selten, dass man auf einem Dienst-PC etwas anderes braucht als E-Mail, Internet und Textverarbeitung. – Andreas Budig, Informatiker der Universität Rostock Das könnte eine Lösung für Universitäten und Unternehmen sein, denen Sicherheit vor Freiheit geht. Vielleicht in Zukunft auch für den Glasdesigner aus Dortmund gegen neue Trojaner, die seine Firmendaten abgraben wollen – wenn die aktuelle Emotet-Welle erst mal abgeebbt ist. Doch dem einzelnen Nutzer hilft das wenig, wenn er in sein ganz normales E-Mail-Postfach schaut und klickt. Doch damit Schadsoftware auch in Zukunft schlechte Karten hat, müssen wir letztlich alle mitdenken: mit gebotener Vorsicht, das Wissen um die neuesten Gefahren – und ja, auch gesundem Menschenverstand:

Die Leute werden nicht schlauer mit ihrer Technik, sondern dümmer. Es ist doch eigentlich ganz einfach: Wenn ich nichts bestellt habe, muss ich auch nichts zahlen und auf nichts klicken. – Kevin Kubis, Glasdesigner

Mit Illustrationen von Tobias Kaiser für Perspective Daily

Die Diskussionen sind leider nur für Mitglieder verfügbar.

Weitere Themen

Diesen Artikel schenkt dir das zahlende Mitglied Gerald Scharf.

Jetzt Mitglied werden ›