Image
Handwerk Archiv
Foto: handwerk.com

Cyberkriminalität

Trojaner wirkt wie „richtige Bewerbung“

Handwerksmeister Matthias Walter ist in die Falle getappt – durch einen als Bewerbung getarnten Trojaner. Um die Lösegeldforderung kam er gerade noch herum, gezahlt hat er trotzdem.

Wer die Bewerbungsunterlagen lädt, muss Lösegeld zahlen.
Foto: Glebstock – fotolia.com

Matthias Walter ist ein vorsichtiger Mensch. Obskure Angebote, schlechtes Deutsch, womöglich noch eine exe-Datei im Anhang? Solche E-Mails landen bei dem Dachdeckermeister aus Stuttgart sofort im Papierkorb. Doch selbst ihn hat es kürzlich erwischt: Der Handwerker klickte auf einen Link in einer
E-Mail – und fing sich damit einen Verschlüsselungs-Trojaner ein.

Seriöse Wirkung – „wie eine richtige Bewerbung“
Hereingelegt hatten ihn findige Cyberkriminelle, die den Fachkräftemangel für ihre Zwecke nutzen. Mit einer als Bewerbung getarnten E-Mail locken sie Unternehmen in die Falle. Statt Lebenslauf und Zeugnisse laden sich Betroffene einen Trojaner auf die Festplatte. Diese sogenannte Ransomware verschlüsselt unbemerkt nach und nach alle Dateien. Ist sie damit fertig, verhindert die Schadsoftware den Zugriff auf den PC. Stattdessen erscheint eine Lösegeldforderung auf dem Bildschirm.

Die Masche funktioniert. Bundesweit berichten Landeskriminalämter und Polizei von aktuellen Fällen – und warnen vor den scheinbar seriösen E-Mails.

 „Die E-Mail sah wie eine richtige Bewerbung aus“, bestätigt Matthias Walter. Persönliche Anrede, gutes Deutsch und ein freundlicher Gruß am Ende, all das habe auf ihn seriös gewirkt. Auch der Schlusssatz machte ihn nicht misstrauisch: „Die vollständige Bewerbungsmappe habe ich in meine Dropbox geladen, weil die Datei für die E-Mail zu groß war – Entschuldigen Sie bitte!“ Größere Dateien per Dropbox zu empfangen, das gehört für den Unternehmer zum Alltag. Also öffnete Walter den Link und installierte so die Schadsoftware.

Teure Falle: Ein paar hundert Euro werden fällig
Doch der Dachdeckermeister hatte Glück: Der Trojaner nahm sich zuerst die Excel-Dateien vor, zufällig auch eine Datei, die der Unternehmer gerade nutzen wollte. „Die Datei ließ sich nicht mehr öffnen und hatte auch eine andere Endung im Datei-Namen.“ Walter reagierte schnell, schaltete den Rechner aus und informierte seinen EDV-Berater. Der nahm sich den PC vor, formatierte die Festplatte komplett und installierte danach wieder Walters Original-Dateien aus einem Backup. „Aber auch dabei hatten wir richtig viel Glück“, berichtet der Unternehmer. „Hätten wir das nicht gleich bemerkt, dann hätte der Trojaner über Nacht alle Dateien verschlüsselt und auch gleich unsere Backups mit den verschlüsselten Dateien überschrieben.“

Der Einsatz des EDV-Experten hat Matthias Walter „ein paar hundert Euro“ gekostet. Wieviel die Erpresser sonst verlangt hätten, ist ungewiss. Ein Krankenhaus in den USA war kürzlich in die Schlagzeilen geraten, das in einem ähnlichen Fall rund 14.000 Euro an die Erpresser gezahlt hat. Aktuell liegt der Preis nach Angaben des Bayerischen Landeskriminalamtes (LKA) deutlich niedriger, bei 350 Euro. Das LKA rät jedoch davon ab, den Betrag zu zahlen. Es gebe keine Gewähr dafür, dass Betroffene tatsächlich den Key erhalten.

Vorsorge statt zahlen
Vor allem aber empfiehlt das LKA höchste Vorsicht bei unbekannten E-Mails, ständige Aktualisierung der Antivirensoftware und vom Netzwerk getrennten Backups. Und bei der neuesten, „Petya“ genannten, Fassung dieser Schadsoftware gebe es noch eine letzte Möglichkeit: Petya will Nutzer durch einen „Bluescreen“, einen blauen Bildschirm, zum Neustart zwingen, danach lädt Windows nicht mehr. Bei so einem Bluescreen sollten Betroffene den Netzwerkstecker ziehen, rät das LKA. Das verhindere die Verschlüsselung und IT-Experten könnten die Daten dann wieder herstellen.

Ärgerliche Nebeneffekt: Bewerber kommen nicht mehr durch
Soweit will es Matthias Walter künftig nicht kommen lassen. Er hat seine Konsequenzen gezogen: Verdächtige Links und Anhänge öffne er grundsätzlich nicht mehr, sondern schiebe solche Mails in einen „Quarantäne-Ordner“. Dort lasse er solche Mails mindestens eine Woche liegen, „bis dahin dürfte die Antiviren-Software dann auch ganz neue Trojaner erkennen“. Und wenn er Absender nicht kennt, dann löscht er Mails sofort, auch wenn im Betreff „Bewerbung“ steht. „Das tut mir schon leid, zumal wir ja auch Fachkräfte und Azubis suchen“, sagt der Dachdeckermeister. „Aber was soll ich machen? Ich kann nur darauf hoffen, dass echte Bewerber noch einmal telefonisch nachfassen.“

Auch interessant:

(jw)
Image
Handwerk Archiv
Foto: handwerk.com

Effektive Backup-Strategie

So schützen Sie sich vor Datenverlust

Egal ob ein Verschlüsselungsvirus zuschlägt oder die Festplatte den Geist aufgibt: Datenverluste sind schwer zu verkraften. Mit dieser Backup-Strategie sind Sie sicher.

Image
Handwerk Archiv
Foto: handwerk.com

Cyberattacken

Vorsicht: Kriminelle Bewerber!

Was für eine fiese Masche: Ein Unternehmen sucht online neue Mitarbeiter. Ein Interessent bewirbt sich – per E-Mail. Doch statt Anschreiben und Lebenslauf verschickt er eine Erpressersoftware. Und die hat es in sich.

Image
Handwerk Archiv
Foto: handwerk.com

Tools gegen Verschlüsselungstrojaner

Das kleine Heer gegen Ransomware

Diese Virenkiller machen Erpressersoftware kampfunfähig. Sie kommen von Polizei, Antivirenherstellern und sogar von den Kriminellen selbst. Hier lesen Sie, wo Sie die kostenlosen Helfer finden.

Image
Handwerk Archiv
Foto: handwerk.com

Der digitale Supergau

Und plötzlich sind die Daten weg

Diese Viren befallen Windows-Rechner und Smartphones mit wirklich miesen Tricks – und teils fatalen Folgen. Gesunder Menschenverstand hilft dagegen wenig. Schützen können Sie sich trotzdem. So geht’s.

Wir haben noch mehr für Sie!

Praktische Tipps zur Betriebsführung und Erfahrungsberichte von Kollegen gibt es dienstags und donnerstags auch direkt ins Postfach: nützlich, übersichtlich und auf den Punkt.
Melden Sie sich jetzt für unseren Newsletter an - schnell und kostenlos!
Wir geben Ihre Daten nicht an Dritte weiter. Die Übermittlung erfolgt verschlüsselt. Zu statistischen Zwecken führen wir ein anonymisiertes Link-Tracking durch.