12. Oktober 2022 Spam und E-Mail-Viren: Funktionsweise und Schutzmaßnahmen

Die meisten Schadprogramme werden via E-Mail verbreitet. Die Infektion erfolgt dabei nicht nur über das Anklicken des E-Mail-Anhangs. Was Sie wissen sollten, um nicht in die Falle zu tappen, lesen Sie hier.

E-Mails sind der häufigste Übertragungsweg für Schadprogramme, die sich durch einen unbedachten Mausklick in den Computer einschleusen. In der Regel bieten neben E-Mail-Providern und Betriebssystemen auch E-Mail-Programme zwar einen effektiven Schutz gegen diese Form von Cyberangriffen. Betrügerische und gefährliche E-Mails landen dennoch häufig im Postfach und können eine Bedrohung für Privatpersonen sowie für Behörden aber auch für Unternehmen darstellen.

Spam-E-Mails: Unseriöse Werbung, Ransomware und Phishing

Bei Spam handelt es sich um unerwünschte sowie potenziell gefährliche E-Mails, die in hoher Zahl an Userinnen und User versandt werden. Die E-Mail-Adressen der Empfängerinnen und Empfänger werden auf unterschiedliche Weise abgegriffen: Beispielsweise mithilfe spezialisierter Programme, die im Netz gezielt nach E-Mail-Adressen suchen, oder durch Fake-Gewinnspiele und dubiose Webseiten, wo Userinnen und User freiwillig ihre E-Mail-Adressen angegeben haben.  

Nicht jede Spam-Mail ist infektiös – oft handelt es sich einfach um unseriöse Werbung. Dennoch sollten Sie Spam-Mails niemals anklicken oder gar beantworten: Sie würden damit die Richtigkeit Ihrer Empfänger-Adresse bestätigen und in weiterer Folge wohl noch mehr Spam erhalten. Im schlimmsten Fall fangen Sie sich einen Computervirus ein.  

Die Zahl der E-Mail-Viren nimmt stetig zu. Sie stellen eine Bedrohung für Computer und Netzwerke dar und verfolgen verschiedene Zwecke: Ein guter Teil der im Umlauf befindlichen Trojaner zielt darauf ab, gehackte Computer (Bots) zu sogenannten Botnetzen zusammenzuführen. Tausende von infiltrierten Rechnern können dabei von Cyberkriminellen für einen geplanten Angriff ferngesteuert werden. Diese Botnetze werden genutzt, um koordinierte DDoS-Attacken auszuführen oder für unseriöse Unternehmen gegen Bezahlung massenhaft Spam-Mails mit Werbung zu verschicken.

Besonders gefährlich ist die per E-Mail verschickte Ransomware im Behördenumfeld sowie im Unternehmenskontext: Gelingt es dem Trojaner durch den Mausklick auf den E-Mail-Anhang, die Firewall zu umgehen, werden Datenbanken und Rechner innerhalb des Netzwerks befallen und verschlüsselt. Auch private Systeme können von Trojanern angegriffen werden. Für die Entschlüsselung wird von Cyberkriminellen üblicherweise ein Lösegeld („Ransom“) gefordert.

Eine weitere Bedrohung stellt Phishing dar: Mithilfe von täuschend echt wirkenden E-Mails geben Cyberkriminelle im Namen eines bekannten Unternehmens oder sogar einer Behörde vor, persönliche Informationen (etwa: Passwörter, Zugangsdaten, Kreditkartendaten, PINs, Sozialversicherungsnummer, Steuernummer) der Userin oder des Users zu benötigen. Zu diesem Zweck kann die E-Mail mit professionell wirkenden CTA-Elementen („Call to Action“) ausgestattet sein, die dazu auffordern, auf einen Link zu klicken. Dabei werden Userinnen und User häufig auf eine gefälschte Webseite weitergeleitet, wo sie persönliche Daten bekanntgeben sollen. Die Fälschung so einer Webseite ist meist nicht erkennbar, da diese größtenteils vom Original kopiert werden. Zumeist wird dabei eine Drucksituation aufgebaut, etwa mit der Drohung, dass das betreffende Online-Konto gesperrt wird oder vergleichbare Konsequenzen zu erwarten sind, wenn nicht innerhalb kürzester Zeit die angeforderten Daten übermittelt werden.

Phishing und Ransomware im Unternehmenskontext

Cyberkriminelle scheuen bei ihren Attacken keinen Aufwand, um E-Mails echt aussehen zu lassen und ihre Opfer zu täuschen. Im Unternehmenskontext haben diese Täuschungsmanöver mit dem Aufkommen von Spear-Phishing und Whaling ein hohes Gefahrenpotenzial erreicht. Die Betrügerinnen und Betrüger geben sich dabei als Vorgesetzte aus und kennen häufig auch den Namen der Empfängerin oder des Empfängers. Solche gezielten Angriffe richten sich oft gegen größere Betriebe mit elektronischem Datenverkehr. Bei verdächtigen E-Mails sollten Sie sich via Anruf oder Chat bei der mutmaßlichen Absenderin beziehungsweise dem mutmaßlichen Absender rückversichern, bevor sie die Nachricht öffnen.

Neben Phishing-Attacken stellen insbesondere Ransomware-Mails eine Gefahr für Betriebe und Organisationen dar: Eines der bekanntesten per E-Mail versandten Schadprogramme heißt „Emotet“ und ist darauf spezialisiert, ganze IT-Systeme zu infizieren und zu verschlüsseln. Der Virus versteckt sich dabei in einer Word-Datei im E-Mail-Anhang, die etwa als „Rechnung“ ausgewiesen ist. Beim Öffnen des Anhangs wird der Schadcode ausgeführt. Nach erfolgter Infektion können weitere Schadprogramme nachgeladen werden, die den Angreiferinnen und Angreifern etwa das Auslesen von Zugangsdaten oder einen Remotezugriff ermöglichen. 

Die Angriffswellen von „Emotet“ zeichnen sich durch ein kontinuierlich verbessertes Täuschungspotenzial aus – die E-Mails verwenden auf den ersten Blick seriös wirkende Absenderadressen und vermitteln den Eindruck einer authentischen internen Kommunikation. Der Erpressungstrojaner ist seit 2014 im Umlauf und richtet sich überwiegend gegen Unternehmen und Behörden. Auch derzeit ist dieser wieder vermehrt aktuell. Bereits im Jahr 2019 hat das deutsche BSI Maßnahmen zum Schutz vor Emotet und gefährlichen E-Mails im Allgemeinen veröffentlicht und geht dort insbesondere auf ausführbare Dateien ein, die blockiert werden sollten.

Virus im E-Mail-Anhang: Funktionsweise

Die Aufgabe eines E-Mail-Virus ist es, mittels ausführbarer Dateien einen Schadcode in das Computersystem einzuschleusen. Wenn Sie die mitversandte Datei beispielsweise per Mausklick öffnen, wird der Schadcode von Ihrem Computer gelesen und ausgeführt. Wird die Infektion nicht von einem Antivirenprogramm detektiert, kann sich der Virus im gesamten System ausbreiten.

Für die sogenannte Wirtsdatei wird mit wenigen Ausnahmen das ausführbare EXE-Dateiformat genutzt, das für den Start der meisten Programme auf einem Windows-Rechner notwendig ist. Der Programmlader des Betriebssystems führt beim Programmstart die EXE-Datei aus – nachdem der Viruscode von Ihrem System in Sekundenschnelle abgearbeitet wurde, öffnet sich das aufgerufene Programm. So gelangen Trojaner wie zum Beispiel Password-Stealer unbemerkt auf Ihren Computer.

Woran erkennt man gefährliche E-Mails?

Ransomware-, Phishing- und Spam-Mails, die mit bereits bekannten Viren infiziert sind, landen in der Regel gleich nach der Erkennung durch ein Anti-Malware-Programm im Spam-Ordner. Gelangt eine betrügerische E-Mail in das reguläre E-Mail-Postfach, können Sie diese an folgenden Merkmalen erkennen:

• Betreffzeile erregt Aufmerksamkeit. Rabattaktionen oder dringende Anfragen des Geschäftsführers („CEO-Fraud“) die insbesondere Zeitdruck aufbauen sollten Ihr Misstrauen wecken.
• Fehlerhafte oder nicht vorhandene Anrede. Da Spam automatisiert erstellt und an tausende Adressen versandt wird, fehlt meist die korrekte Anrede.  
• Rechtschreibfehler und ungeschickte Formulierungen. Angreiferinnen und Angreifer im Ausland verwenden einfache Übersetzungsprogramme, die häufig unübliche Formulierungen anbieten.
• Absender-Adresse. Achten Sie auf ungewöhnliche Absender-Adressen. Weichen diese in ihrer Schreibung auch nur geringfügig von bekannten Unternehmensnamen ab, handelt es sich mit Sicherheit um eine betrügerische E-Mail. Achtung, auf kleineren Smartphone-Bildschirmen können diese Adressen täuschend echt wirken, da dort im Browserfenster meistens nur Teile der Adresse angezeigt werden und die Angreiferinnen oder Angreifer solche Adressen vor diesem Hintergrund optimieren.
• Dateianhänge mit Dateiformaten „.exe“ und „.zip“. E-Mail-Viren werden typischerweise über ausführbare Dateien verschickt, die am Formatkürzel „.exe“ oder in Archiven etwa „.zip“ am Ende des Dateinamens erkennbar sind. Häufig wird zur Tarnung eine weitere Buchstabenkombination angehängt.

Tipps und technische Schutzmaßnahmen gegen E-Mail-Viren

Betrügerinnen und Betrüger werden bei ihren Täuschungsmanövern immer professioneller. Oft ist der Unterschied zwischen einer gefährlichen E-Mail und einer Nachricht von einem vertrauenswürdigen Absender nicht klar zu erkennen. Zumeist sind solche betrügerischen Emails jedoch eines, nämlich unerwartet oder nicht bestellt. Aus diesem Grund sollten Sie sich bei einem unangekündigten Anhang stets über einen anderen Kanal beispielsweise per Mail, Anruf oder Chat vergewissern, ob die Nachricht tatsächlich von dem angezeigten Absender stammt. Beachten Sie zudem die folgenden Regeln, um das Risiko eines Cyberangriffs zu reduzieren:

• Spam-Filter aktivieren. Die wichtigste Maßnahme zum Schutz Ihres E-Mail-Posteingangs ist der Spam-Filter. E-Mail-Provider setzen Mailserver, die für den Spamversand genutzt werden, auf eine sogenannte Greylist. Anhand dieser Liste kann der Server des E-Mail-Providers potenziell gefährliche Mails vorab aus dem Verkehr ziehen oder diese direkt an den Spam-Ordner weiterleiten. Auch in den meisten E-Mail-Programmen ist oft zusätzlich die Aktivierung solcher Spam-Filter möglich.
• Spam-Mails löschen. Gibt es klare Anzeichen für eine unseriöse E-Mail, löschen Sie diese direkt. E-Mail-Anhänge mit den Dateienden „.exe“ oder „.zip“ sollten niemals angeklickt werden, wenn Herkunft und Inhalt unbekannt sind.
• Automatisch aktualisierte Antivirenprogramme verwenden. Die im Betriebssystem von Windows (Defender) und macOS (XProtect) integrierten Virenschutzprogramme erkennen zuverlässig bereits bekannte Virentypen.
• Herkunft einer Mail überprüfen. Falls Sie eine unerwartete Benachrichtigung eines Online-Händlers erhalten haben, bei dem Sie tatsächlich registriert sind: Überprüfen Sie in Ruhe auf Ihrem Online-Konto, ob die Nachricht auch wirklich vom Händler stammt, bevor Sie diese öffnen. Tippen Sie jedoch den Ihnen bekannten Link selbst in das Browserfenster ein und klicken Sie nicht auf den Link in der E-Mail.
• Anzeige im HTML-Format deaktivieren. Im Quellcode einer in HTML formatierten E-Mail kann ein Schadcode versteckt sein, der bereits beim Öffnen der Nachricht auf dem Computer ausgeführt wird. Da die Anzeige in HTML hauptsächlich für Grafiken und visuelle Elemente benötigt wird, können Sie die Funktion ohne Weiteres deaktivieren und im Bedarfsfall wieder einschalten.