Vorsicht Trojaner: E-Mail von Geschäftspartnern mit Betreff „Wichig! Neue DSGVO“

Informationen zur DSGVO sind im geschäftlichen Alltag keine Seltenheit. Seit einiger Zeit erhalten Unternehmen von ihren Geschäftspartnern eine E-Mail mit dem Betreff „Wichig! Neue DSGVO“ mit einem Einzeiler und einer DOC-Datei im Anhang. Diese Nachricht ist extrem gefährlich. 

Kriminelle denken sich immer wieder neue Anlässe aus, um ahnungslose Nutzer in eine Falle zu locken. Entweder geht es um das Ausspähen von vertraulichen Daten oder es soll ein Virus eingeschleust werden. Beides ist extrem gefährlich, da Cyberkriminelle auf diese Weise oft Zugang zu EDV-Systemen bekommen. Gerade in Unternehmen kann ein erfolgreich platzierter Virus sehr hohen Schaden anrichten. Im schlimmsten Fall breitet sich die Schadsoftware über das Firmennetzwerk aus und gelangt so bis in die Produktion. Im Jahr 2017 haben wir beispielsweise über ein Unternehmen berichtet, welches durch Schadsoftware einen Schaden im sechsstelligen Bereich zu verbuchen hatte. 

Aktuell wird wieder eine E-Mail versendet, die es primär auf Selbständige, Freiberufler, Gewerbetreibende und Unternehmen abgesehen hat. Doch auch private Nutzer können auf die Fake-Mail hereinfallen. Aktuell sind bereits zahlreiche Rechner in Deutschland infiziert. Inhaltlich geht es in der E-Mail um die Datenschutzgrundverordnung, kurz DSGVO. Dabei ist die E-Mail mit dem Betreff „Wichig! Neue DSGVO“ und einem kurzen Text zunächst sehr unscheinbar. Die Gefahr lauert jedoch im Anhang. Deshalb gleich vorab unsere Warnung:

Öffnen Sie auf keinen Fall die Datei im Anhang!

So sieht die Infomail mit Virus zur DSGVO aus

Der Betreff und auch der Text der Nachricht kann sich selbstverständlich sehr schnell ändern. Unabhängig davon ist der Text so kurz und unverbindlich, dass er als Erkennungsmerkmal kaum dienlich ist. Die enthaltene Signatur stammt von einem Ihrer Geschäftspartner und ist deshalb auch kein Indiz für die Identifizierung. Ganz im Gegenteil, da der Empfänger den Absender scheinbar kennt, vertraut er diesem und öffnet die Nachricht. Allerdings hat der vermeintliche Absender die E-Mail gar nicht selbst versendet. Die Schadsoftware hat das übernommen.

Im Betreff der gefährlichen E-Mail ist „Wichig! Neue DSGVO“ zu lesen. Der Schreibfehler könnte den Spam verraten, wenn der Empfänger genau liest. Als Absendername ist der bekannte Geschäftspartner angegeben. Allerdings passt die hinterlegte E-Mail im Absenderfeld nicht dazu. Dort ist beispielsweise zu lesen:

Max Absender <[email protected]>

Während Sie in diesem Beispiel „Max Absender“ kennen, passt die angegebene E-Mail-Adresse „[email protected]“ nicht zur Firma des Ihnen bekannten Absenders.

In der E-Mail selbst wird der Empfänger mit seinem Namen oder Firmennamen angesprochen. 

Guten Tag, Empfängerfirma GmbH

Im Anhang dieser E-Mail finden Sie eine .DOC-Datei mit den gewünschten Informationen.

Mit freundlichen Grüßen,
Max Absender 
[email protected]

In der Signatur der E-Mails wird in der Regel der korrekte Name und die dazu passende E-Mail-Adresse des Geschäftspartners oder Kunden angegeben.

Schadsoftware befindet sich im Anhang

Im Anhang befindet sich eine Word-Datei mit der Endung .DOC. In dieser Word-Datei befindet sich ein Makro. Öffnen Sie das Dokument, wird das Makro aktiviert und nutzt eine Sicherheitslücke im Word aus, um einen Trojaner auf den PC einzuschleusen.

Nach bisherigen Erkenntnissen ist der Virus in der Lage das Adressbuch des Nutzers auszulesen und sich selbst an alle Kontakte zu versenden. Vermutlich kann die Schadsoftware jedoch auch weitere Malware nachladen. Dadurch ist der Computer des Nutzers von extern weitestgehend steuerbar. Kriminelle bestimmen, was die Schadsoftware zu welchem Zeitpunkt macht. Auf diese Weise könnte auch Ransomware auf den Computer kommen. Dieser auch als Erpressungstrojaner bezeichnete Virus verschlüsselt alle Daten auf der Festplatte und macht diese dadurch unbrauchbar. Anschließend wird ein Lösegeld gefordert. Denkbar ist auch, dass auf diese Weise der gefährliche Trojaner Emotet den Weg auf Ihren Computer findet.

Welche Betriebssysteme sind von dem Trojaner betroffen?

Aktuell scheinen nur Windows-Rechner von dem Angriff betroffen zu sein. Nicht auszuschließen ist, dass auch Mac-PCs betroffen sind, die über das Parallels-Programm auch das Windows-Betriebssystem nutzen. Es lässt sich nicht ausschließen, dass in Zukunft auch andere Betriebssysteme angegriffen werden. Schließlich verändern die Hacker ihre Viren sehr schnell und passen diese neuen Gegebenheiten an.

Wie können Sie sich vor derartigen Gefahren schützen?

Zunächst sollten Sie sich um einen aktuellen Virenscanner auf Ihrem Computer kümmern. Ebenso sollten Betriebssysteme und verwendete Software immer auf dem aktuellsten Stand sein. Noch wichtiger ist aber Ihr gesunder Menschenverstand. Öffnen Sie keine Links oder Dateianhänge, wenn Sie die Datei nicht erwarten, auch wenn diese von einem Freund kommt. Fragen Sie lieber noch einmal bei dem Absender nach, bevor Sie den Link anklicken.

Datei geöffnet und nun?

Sollte diese Warnung zu spät kommen, und Sie haben die Word-Datei geöffnet, dann sollten Sie schnell aktiv werden. Trennen Sie zunächst Ihren Computer vom Netzwerk und vom Internet. Dann sollten Sie die folgenden Schritte tun:

• Lassen Sie den Trojaner von einem Experten entfernen.
• Ändern Sie alle Passwörter von Onlinekonten, die Sie verwendet haben über ein anderes Gerät.
• Schreiben Sie Ihre Kontakte über ein anderes Gerät per E-Mail an und informieren Sie diese per E-Mail, dass Sie keine Nachricht mit einem Link versendet haben. Warnen Sie vor dem Klick und teilen Sie als Erläuterung am besten diesen Artikel mit den Empfängern.

Ihre Fragen und Hinweise

Haben Sie Fragen oder Hinweise zu diesem Thema und zu der E-Mail? Dann nutzen Sie die Kommentare unter diesem Beitrag. In der Regel bekommen Sie innerhalb von 48 Stunden eine Antwort auf Ihre Fragen.

Sind Sie auch auf eine mysteriöse Nachricht gestoßen, die Sie nicht einordnen können, oder wissen gar von einem neuen Trojaner oder Virus? Dann senden Sie uns die Nachricht an [email protected]. Wir überprüfen diese und veröffentlichen bei Bedarf eine Warnung.