Auf dem ersten Blick sind die in gutem Deutsch formulierten Schreiben kaum von normalen Bewerbungsschreiben zu unterscheiden. Besondere Vorsicht ist bei Mails mit angehängtem RAR-Archiv angebracht. Das Schadprogramm wird durch eine gefälschte PDF-Datei ausgelöst (z.B. pdf.exe). In der Standardeinstellung von Windows sind diese gefälschten PDF-Dateien nicht zu erkennen, wie heise.de ausführt, denn bekannte Dateiendungen (.exe) werden ausgeblendet. Verdächtige Dateien sollten sofort gelöscht werden.

Anzeige

Existenzbedrohende Gefahren für Unternehmen

Großangelegte Cyber-Attacken mit Ransomware können enorme Schäden anrichten: Sie greifen in Steuerungsprozesse von Unternehmen ein, manipulieren Betriebssysteme und zerstören viele Daten mit einer Verschlüsselungs-Software unwiderruflich. Mit einigen Angriffen soll Geld erpresst werden. Gegen Zahlung eines Lösegeldes (engl. „ransom“) wird versprochen, die Daten wieder freizugeben.

Ransomware wird aber auch zur gezielten Sabotage von Unternehmen eingesetzt. Allein die Angriffe in der zweiten Jahreshälfte 2017 mit Petya/ NotPetya verursachten in der deutschen Wirtschaft Schäden in Millionenhöhe. Für kleine und mittelständische Unternehmen kann eine solche Schadensbilanz schnell existenzgefährdend sein.

Neue Ransomwelle: gefälschte Bewerbungsschreiben

Nun wird vor einer neuen Angriffswelle gewarnt: betrügerische Bewerbungsmails bringen derzeit einen Verschlüsselungstrojaner in Umlauf. Wie heise.de berichtet, handelte es sich bisher um Mails mit dem Betreff "Bewerbung auf die angebotene Stelle bei der Agentur für Arbeit von Peter Reif" oder um Bewerbungen mit variierenden Namen wie "Peter Schnell", "Caroline Schneider", "Viktoria Henschel". Da die Namen durch die Angreifer beliebig variiert werden können (wobei geklaute Identitäten benutzt werden), dienen sie also nicht als eindeutiger Hinweis auf die schädlichen Mails.

Gefährlicher Anhang in makellos erscheinender Bewerbung

Die vermeintliche Bewerbungsmail mit dem Schadprogramm ist in sauberem Deutsch formuliert. Beigefügt ist eine verschlüsselte Archivdatei (etwa .rar) und eine als angebliche .pdf-Datei getarnte .exe-Datei. Der Fake-Bewerber gebe an, das Archiv aus Gründen der Privatsphäre mit einem Kennwort geschützt zu haben, was laut heise.de aber völliger „Blödsinn“ sei. Stattdessen haben die Drahtzieher des Angriffs diese Passwörter vergeben, damit Virenscanner nicht in das Archiv schauen können.

Entpackt man das Archiv und öffnet die darin enthaltene Datei, droht die Infektion der Rechner. Wie das Portal unter Berufung auf den Online-Analysedienst Virustotal ausführt, versteckt sich in den gefälschten Schreiben die Ransomware GandCrab 5.0.4.

Anzeige

Bundesamt sieht Gefahr für Personalabteilungen

Das Bundesamt für Sicherheit in der Informationstechnik sieht besondere Gefahr für die Personalabteilungen von Unternehmen, die täglich derartige Bewerbungsschreiben zugeschickt bekommen. Für IT-Sicherheitsverantwortliche werden konkrete Empfehlungen gegeben als Beispiele genannt seien das Einschränken von Administratorenrechten, technische Maßnahmen zur Blockierung verschlüsselter Archive oder ein Verhindern des Startens von ausführbaren Programmen in Dokumenten- und Temporär-Ordnern mittels Blacklisting. Ein Themenpapier zu Ransomware gibt weitere Tipps und kann auf den Seiten des BSI heruntergeladen werden.