Warnmeldung – E-Mails mit Schadcode im Umlauf

24.09.2020, PP Schwaben Nord
Warnmeldung - E-Mails mit Schadcode im Umlauf
Seit Dienstag gingen bei diversen Schulen im Landkreis Aichach-Friedberg und anliegenden Landkreisen E-Mails mit Schadsoftware im Anhang ein. Es handelt sich hierbei zumeist um Anhänge wie .ZIP- oder .DOC-Dateien. Die schadhaften E-Mails verwenden hierbei augenscheinlich von mit den Schulen verbundenen Stellen/Personen verschickt (Anzeigename beispielsweise „Schule …“). Allerdings stehen die verwendeten Absender-E-Mail-Adressen in keinerlei Zusammenhang zu den besagten E-Mails.

Der Inhalt und Betreff solcher Mails stammt von in der Vergangenheit tatsächlich verschickten Mails aus dem Umkreis von Schulen, welche teilweise durch zusätzliche Textbausteine ergänzt werden. Im Anhang befindet sich dann eine oder mehrere schadhafte Datei(en) mit passendem Namen. Wird der Anhang geöffnet und je nach eingesetztem System weitere Sicherheitswarnungen bestätigt, erfolgt die Infizierung. Dies kann unter anderem zur Folge haben das wiederum E-Mails aus auf dem infizierten Rechner für weiteren Schadsoftware-Versand hergenommen werden.Kam es zu einer Infizierung, bleibt als einziger sicherer Weg, das Neuaufsetzen des betreffenden Systems. Eine Weiterverbreitung auf andere sich im gleichen Netzwerk befindende Geräte und ggf. verbundene Netzwerkspeicher kann zum jetzigen Zeitpunkt nicht ausgeschlossen werden.Bekannt ist, dass in den verschickten E-Mails als Return-Path (Antwort-Adresse für z.B. Unzustellbarkeitsnachrichten) die originalen E-Mail-Adressen vorhanden bleiben. Heißt, im Fall einer Infizierung und eines dann folgenden Versands werden Unzustellbarkeitsmitteilungen (z.B. weil eine als Ziel angegebene E-Mail-Adresse nicht mehr existiert) an die originalen E-Mail-Adressen verschickt. Es wird um erhöhte Aufmerksamkeit in Bezug auf eingehende E-Mails gebeten. Das Öffnen von Anhängen (insbesondere .ZIP, .DOC, .DOCM, .PDF) sollte erst nach Prüfung der E-Mail - gegebenenfalls erst nach telefonischer Rückversicherung beim Absender - erfolgen.
Passt der Absender (insbesondere die angegeben E-Mail-Adresse)? Passt der Inhalt der E-Mail zum Absender? Wurde die E-Mail erwartet?