In großem Umfang werden derzeit gefälschte Rechnungen in die Mail-Postfächer gespült. Die Mails stammen oft von Kollegen, Geschäftspartnern und auch von angeblichen Telekom-Rechnungen wurde berichtet.

Die Rechnungen sind in gutem Deutsch verfasst und erzählen Geschichten von Rechnungskorrekturen oder -reklamationen wegen falscher Mehrwertsteuer. Die Gemeinsamkeit der Mails ist, dass sie als Anhang eine DOC-Datei enthalten, die versucht, das System mit Schad-Software zu infizieren.

Diese DOC-Dateien enthalten Makros, deren Aktivierung durch einen Trick versucht wird. Fadenscheinig handelt es sich um ein Dokument, das in der Online-Version "Office 365" erstellt wurde. Damit das Dokument einsehbar wird, müsse "Enable content" geklickt werden. Wer das tut, aktiviert ein Makro, das im Hintergrund via Powershell Schad-Software aus dem Internet nachlädt und startet.

Derzeit schützt eine Antiviren-Software nicht ausreichend vor dieser Gefahr. Bei Virustotal ist die statische Erkennungsquote erschreckend niedrig; die DOC-Datei und auch die nachgeladenen Malware-Programme werden von vielen bekannten AV-Programmen als sauber erklärt.

Der beste Schutz ist keine Office-Datein zu öffnen, die einen per e-Mail erreichen. Unter keinen Umständen sollte einer Aktivierung der Makros zugestimmt werden – auch wenn es noch so plausibel erscheint. Oft klärt auch schon ein kurzer Rückruf bei Kollegen, dass dieser nichts von der angeblich von ihm stammenden Mail weiß.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE