Phishing-Masche 2: Fake-Bewerbungen

Als zweite Masche präsentieren wir Ihnen eine Phishing-Mail, die nur schwer als Angriff zu entlarven ist und zudem großen Schaden anrichten kann:

„Da ich auf der Suche nach einer neuen beruflichen Herausforderung bin, möchte ich mich hiermit bei Ihnen um eine Stelle als Vermessungstechniker bewerben…“ So oder so ähnlich beginnen viele Bewerbungsschreiben, die jeden Tag bei Unternehmen ankommen. Und dank der Digitalisierung landen immer mehr Bewerbungen im E-Mail-Eingang. So auch die Bewerbung von Michael Schmidt, der neben dem E-Mail-Anschreiben auch noch Lebenslauf und Arbeitszeugnis beifügt: „Die vollständige Bewerbungsmappe habe ich in meine Dropbox geladen, weil die Datei für die Email zu groß war – Entschuldigen Sie bitte!“ Wer nun den Rest der PDF-Bewerbung herunterlädt und anklickt, erlebt eine böse Überraschung.

pdw2 bewerbung3
Der Rechner beginnt mit intensiven Festplattenaktivitäten und wenige Sekunden später erscheint ein Totenkopf auf dem Bildschirm – die Ransomware „Petya“ hat zugeschlagen. Alle Dateien auf dem Rechner sind verschlüsselt worden und sollen erst nach Zahlung eines Lösegeldes wieder freigegeben werden.


Wie erkennt man nun, dass die Mail bösartig ist?

Einfachster Phishing-Hinweis: Wer keinen Vermessungsingenieur sucht, sollte natürlich gleich stutzig werden und die E-Mail umgehend löschen. Leider machen sich die Kriminellen durchaus die Mühe, gezielt auf laufende Stellenausschreibungen zu reagieren. Ansonsten wirkt die Mail extrem echt. Der Text ist in perfektem Deutsch geschrieben und könnte wirklich von einem Bewerber stammen. Somit sieht die Phishing-Mail genauso aus, wie all die anderen digitalen Bewerbungen, die nach dem Schalten der Stellenanzeigen im Posteingang landen.
Dass die Bewerbungsunterlagen nicht direkt angehängt wurden ist zwar etwas ungewöhnlich, kommt aber durchaus vor. Dabei spielt es aber für den Angriff auch überhaupt keine Rolle, ob wie in diesem Beispiel ein Cloud-Dienst zum Einsatz kommt oder in einem anderen Fall die Datei direkt angehängt wird.
Sehr gefährlich ist auch der Umstand, dass die herunterzuladende Datei den Namensbestandteil PDF hat, schließlich gelten PDF-Dateien als vergleichsweise sicher. Erst bei genauer Betrachtung sieht man, dass die eigentliche Endung ".exe" lautet und es sich somit um ein ausführbares Programm handelt. Dies ist letztlich auch die einzige Chance, eine derartig gestaltete Phishing-Mail von einer echten Bewerbung mit angehängten Unterlagen zu unterscheiden!

Wie gefährlich ist diese Phishing-Mail?

Das Anklicken der Datei startet die Ransonmware Petya, die den kompletten Festplatteninhalt (und evtl. auch Netzwerkfreigaben) verschlüsselt. Eine Entschlüsselung ist ohne den zugrunde liegenden Schlüssel quasi unmöglich. Ob dieser jedoch nach Zahlung des Lösegeldes auch wirklich ausgehändigt wird ist natürlich nicht garantiert. Manche Experten warnen vor Zahlung des Lösegeldes, da z.B. weitere Attacken die Folge sein können.
Das einzig wirksame Mittel nach Eintritt des Schadens ist die komplette Bereinigung des Systems / Netzwerkes und die Wiederherstellung der Rechner (und ggf. Server) aus einem Backup.
Insgesamt geht von dieser Phishing-Attacke ein sehr großes Risiko aus: Das Anschreiben ist extrem gut gemacht und die Bewerbungssituation ist eine der wenigen Umstände, bei denen Mails mit Anhang aus unbekannter Quelle akzeptiert werden. Die "richtige" Endung ".exe" wird leider sehr schnell überlesen. Erschwerend kommt hinzu, dass bei vielen Windows-Rechnern die Anzeige von Dateiendungen deaktiviert ist und man als Anwender nur "BewerbungPDF" sieht!
Darüber hinaus ist der resultierende Schaden extrem groß. Es kommt zu größeren Ausfällen eines Rechners oder gar des kompletten Netzwerkes und ohne funktionierendes Backup droht der komplette Verlust aller Daten!
Da viele der Trojaner inzwischen seit längerem im Einsatz sind, besteht zumindest die Chance, dass die Echtzeiterkennung des eigenen Virenscanners den Angriff abwehrt. Hieraus sollte man sich jedoch nicht verlassen und unbedingt für regelmäßige Backups sorgen!

Ergänzung: Es wäre immer möglich und sinnvoll, die IP-Adresse des Absenders im Heading der Mail sorgfältig zu untersuchen...
- Wenn die Adresse aus dem deutschen Raum stammt, ist es aber auf gar keinen Fall eine hinreichende Bedingung für eine Seriösität des Absenders.
- Wenn jedoch die Adresse aus Rumänien stammt, sollten sofort alle Warnlampen flackern!
Herzlichen Dank an Franz-Josef Klur für diese Ergänzung.

Zurück zur Übersicht