5 Tipps zum Schutz vor Malware in verschlüsselten E-Mail-Anhängen

Ihr E-Mail-Postfach ist ein digitales Minenfeld. Mit Phishing können sorglose Anwender dazu gebracht werden, bereitwillig ihre privaten Daten herauszugeben, und über unverdächtig aussehende Links installieren klickfreudige Angestellte unbewusst schädliche Software im Unternehmensnetzwerk. Eine besonders interessante Bedrohung dabei ist Malware in passwortgeschützten E-Mail-Anhängen. Sie infiziert einen Computer mithilfe von Makros.

Haben Sie schon einmal eine E-Mail mit passwortgeschütztem Anhang erhalten? Dann lesen Sie am besten erst einmal diesen Artikel, bevor Sie sie öffnen. Es könnte nämlich durchaus sein, dass sie schädlich ist. Schauen wir uns also an, wie mit passwortgeschützten E-Mail-Anhängen arbeitende Malware funktioniert und wie Sie sich davor schützen können.

Worum handelt es sich bei Malware in passwortgeschützten Anhängen?

Es ist längst bekannt, dass die meisten Arten von Malware per E-Mail verbreitet werden. Laut einer Erhebung von Verizon wurden 2016 zwei Drittel aller Schadprogramme über E-Mail-Anhänge installiert.

Wie der Name schon andeutet, unterscheidet sich die als passwortgeschützter Anhang verschickte Malware insofern von ihren Gefährten in herkömmlichen E-Mail-Anhängen, dass ein Passwort eingegeben werden muss, um die Datei zu öffnen. In der Vergangenheit wurde derartige Malware meist als Archivdatei verbreitet. Es kommt jedoch immer häufiger vor, dass die Angreifer auch verschlüsselte DOC- oder PDF-Dateien einsetzen.

Die E-Mails selbst sehen vertrauenswürdig aus und der Anhang wird oftmals als Geschäftsdokument ausgegeben, etwa als Versandschein, Finanzbericht oder Lebenslauf. Wenn Sie das im E-Mail-Text angegebene Kennwort zum Entschlüsseln des Dokuments eingeben, wird Ihre Software (z. B. Microsoft Word beim Öffnen einer DOC-Datei) Sie fragen, ob Sie den Inhalt aktivieren möchten. Wenn Sie dies dann bestätigen, aktivieren Sie auch die Makros und die bösartige Software wird automatisch auf Ihrem Computer gespeichert.

Was sind Makros?

In diesem Zusammenhang sind Makros kleine Programme oder Scripts, die innerhalb eines anderen Programms eingebettet sind, um allgemeine Aufgaben zu automatisieren. Auf diese Weise lassen sich zeitaufwendige Prozesse vereinfachen und zu Aufgaben zusammenfassen, die mit nur einem Klick ausgeführt werden können. In Microsoft Word können Sie beispielsweise ein Makro aufzeichnen, um eine vorformatierte Tabelle zu erstellen oder den Briefkopf Ihres Unternehmens einzufügen. In Microsoft Excel lassen sich mit Makros wiederum importierte Daten formatieren oder die Zeilenhöhen und Spaltenbreiten ändern. Aber das sind nur einige Beispiele der unzähligen Möglichkeiten, die Makros bieten.

Wie Sie sehen können, haben Makros also durchaus ihre Daseinsberechtigung. Leider können Sie aber auch für niederträchtigere Zwecke eingesetzt werden. Indem sie sich leicht nutzen und vielseitig konfigurieren lassen, sind Sie bei Cyberkriminellen überaus beliebt – etwa um eine Malware automatisch auszuführen, sobald Sie einen verschlüsselten Anhang öffnen.

Weshalb nutzen Hacker diese Art von Malware?

In der Vergangenheit waren in Microsoft-Programmen Makros standardmäßig aktiviert, sodass die Malware ausgeführt wurde, sobald Sie ein korruptes Dokument öffnen. Inzwischen haben Microsoft und andere Software-Anbieter die Funktion jedoch standardmäßig deaktiviert. Jetzt stehen Malware-Programmierer also vor der Hürde, wie sie die Anwender nicht nur dazu bringen, die Anhänge herunterzuladen und zu öffnen, sondern auch die zum Funktionieren der Malware erforderlichen Makros zu aktivieren. Hier kommt der Passwortschutz ins Spiel. Dazu einige Gründe, weshalb Angreifer diese Art von Malware nutzen:

1. Das Vermeiden von E-Mail-Filtern

Einer der größten Vorteile von passwortgeschützten E-Mail-Anhängen liegt für Kriminelle darin, dass sie nur schwer von E-Mail-Filtern erkannt werden. Moderne E-Mail-Scanner können zwar schädliche Anhänge erkennen und entfernen, sind bei verschlüsselten Dateien jedoch hilflos. Traurig, aber wahr: Welchen Anbieter Sie auch nutzen, Ihr E-Mail-Filter hat bei verschlüsselten Anhängen keinerlei Möglichkeit, um zwischen schädlich und harmlos zu unterscheiden.

Einige Scanner können zwar durch eine einfache Hash-Überprüfung Malware erkennen, die in verschlüsselten ZIP-Archiven versteckt ist, aber auch nur, wenn die Dateien häufig und in derselben Form und Größe auftreten. Leider sind diese Anhänge jedoch fast immer einzigartig, sodass keine intelligente Signatur- oder heuristische Erkennung funktioniert.

2. Die Benutzerfreundlichkeit

Ein weiterer Punkt für die Beliebtheit dieser Malware ist, dass sie sehr leicht erstellt werden kann. Schädliche Makros werden häufig mit der Skriptfunktion in Microsoft Office angelegt, die in der Regel in Visual Basic oder JavaScript geschrieben sind. Dabei handelt es sich um zwei Programmiersprachen, für die nur relativ wenig Hintergrundwissen erforderlich ist. Dadurch können auch technisch eher unerfahrene Kriminelle schädliche und wirksame Makro-Malware entwickeln.

3. Die Manipulationstaktiken

Neben ihren technischen Vorteilen nutzen Angreifer verschlüsselte E-Mail-Anhänge auch, weil sie sich so gut für das sogenannte Social Engineering (also die Manipulation der Anwender) eignen und damit die Chancen auf eine erfolgreiche Infektion erhöhen. Anstatt die Anwender dazu zu bringen, fragwürdige ausführbare Dateien herunterzuladen, die wahrscheinlich sowieso von Antivirus-Software oder dem E-Mail-Scanner erkannt werden, nutzen sie mit verschlüsselten Dateien die menschliche Natur aus. Indem die Malware als E-Mail-Anhang verbreitet wird, der durchaus wie ein herkömmliches Geschäftsdokument aussieht, neigen Anwender dazu, ihn ohne weiteres Nachdenken zu öffnen. Durch die Nutzung eines Passwortschutzes wird außerdem ein Gefühl der Sicherheit und Glaubwürdigkeit vermittelt, das die Anwender nur noch mehr zum Öffnen der Datei bestärkt.

Wie können Sie sich vor Malware in verschlüsselten E-Mail-Anhängen schützen?

1. Bleiben Sie wachsam.

Sie können sich am besten vor Malware in verschlüsselten E-Mail-Anhängen schützen, indem Sie wachsam bleiben. Es kann auch nicht schaden, bezüglich der Manipulationstaktiken des Social Engineerings auf dem Laufenden zu bleiben. Nehmen Sie sich immer die Zeit, um zu überprüfen, ob die E-Mail sicher ist und von einem vertrauenswürdigen Absender verschickt wurde. Öffnen Sie keine Anhänge, wenn Sie den Absender nicht kennen oder als nicht vertrauenswürdig einschätzen. Denken Sie dabei unbedingt daran, dass sich Name und Adresse des Absenders auch leicht fälschen lassen.

Viele Unternehmen, die mit vertraulichen Daten arbeiten (insbesondere im finanziellen oder juristischen Bereich), verschicken standardmäßig passwortgeschützte Dokumente, damit wirklich nur der beabsichtigte Empfänger den Inhalt lesen kann. Sie müssen also wie bereits erwähnt unbedingt sicherstellen, dass das Dokument tatsächlich von einer vertrauenswürdigen Quelle stammt.

2. Achten Sie darauf, worauf Sie klicken.

Natürlich sollten Sie auch bei Anhängen oder Links im Text einer E-Mail wachsam bleiben und niemals unbedacht darauf klicken. Bevor Sie einen Anhang öffnen, stellen Sie sicher, dass die Dateiendung auch passt. Freunde werden ihre Urlaubsbilder beispielsweise nicht als EXE- oder JS-Datei versenden. Prüfen Sie auch immer die komplette URL eines Links, bevor Sie ihn öffnen. Noch mehr Vorsicht ist geboten, wenn eine E-Mail, ein Anhang oder eine Website Sie dazu auffordert, Ihr Kennwort oder Log-in-Daten anzugeben.

3. Verwalten Sie Ihre Makros.

Theoretisch ist es das Beste, Makros in Ihrer Software generell deaktiviert zu lassen, sofern Sie sie nicht aus einem triftigen Grund benötigen. Da viele Unternehmen in ihrem Geschäftsalltag jedoch häufig mit Makros arbeiten, ist das im Büro wahrscheinlich eher nicht möglich. Digital signierte Makros bieten zwar auf kurze Sicht eine Alternative, könnten jedoch mit dem Wachstum der Firma zu einer Herausforderung werden. Unter dieser Voraussetzung sind eine zuverlässige Antivirus-Software und Schulungen der Mitarbeiter bezüglich der Grundlagen zur IT-Sicherheit immer noch die beste Option. Damit lässt sich auch langfristig die Gefahr einer Infektion – nicht nur durch Makro-Malware – minimieren.

4. Aktualisieren Sie Ihre Software regelmäßig.

Wie bereits erwähnt waren die Makros in älteren Versionen von Microsoft Office standardmäßig aktiviert. Bei neuen Versionen ist die Standardeinstellung „deaktiviert“ und es gibt zudem eine geschützte Ansicht. Dabei handelt es sich um einen Nur-Lesen-Modus, der das Ausführen möglicherweise schädlicher Inhalte verhindert und damit das Risiko einer Malware-Infektion reduziert. Scheuen Sie sich nicht, wann immer möglich in neue Software zu investieren und halten Sie Ihre Programme immer mit den aktuellen Patches auf dem neuesten Stand, um Sicherheitslücken zu schließen, die der Hersteller kürzlich behoben hat.

5. Verwenden Sie eine zuverlässige Antivirus-Software.

Zu guter Letzt spielt auch eine zuverlässige Antivirus-Software eine wichtige Rolle beim Schutz vor Malware, die sich in verschlüsselten E-Mail-Anhängen versteckt. Eine Schutzsoftware für Endgeräte kann mithilfe einer Verhaltensanalyse verdächtige Aktivitätsmuster von Malwares erkennen und diese aufhalten, bevor sie ausgeführt werden. Damit bleiben Sie auch dann geschützt, wenn Sie doch einmal versehentlich einen schädlichen E-Mail-Anhang öffnen.

Die ultimative Verteidigung gegen Makro-Malware

Mithilfe passwortgeschützter E-Mail-Anhänge können Angreifer ihre Malware sehr wirksam in Ihren Posteingang schmuggeln, ohne dass es Ihre Filter bemerken. Zum Glück gibt es einige Maßnahmen, wie Sie sich davor schützen können. Indem Sie auf eventuelle Manipulationstaktiken achten, mit Makros vorsichtig umgehen und eine vertrauenswürdige Antivirus-Software einsetzen, können Sie das Risiko durch diese Bedrohung erheblich minimieren. Sollten Sie eine Antivirus-Software suchen, die zuverlässigen Schutz vor Malware in E-Mail-Anhängen bietet, probieren Sie doch einmal die kostenlose Testversion von Emsisoft Anti-Malware aus.

Wir wünschen eine schöne (Malware-freie) Zeit.

Übersetzung: Doreen Schäfer