Firmen im Visier

Polizei warnt vor falschen Bewerbungsschreiben

Armin Weiler kümmert sich um die rechercheintensiven Geschichten rund um den ITK-Channel und um die Themen der Distribution. Zudem ist er für den Bereich PCs und Peripherie zuständig. Zu seinen Spezialgebieten zählen daher Notebooks, PCs, Smartphones, Drucker, Displays und Eingabegeräte. Bei der inoffiziellen deutschen IT-Skimeisterschaft "CP Race" ist er für die Rennleitung verantwortlich.
Mit gefälschten Bewerbungsschreiben infizieren und verschlüsseln derzeit Internet-Erpresser Firmenrechner. Nur gegen Lösegeld werden die Computer wieder entsperrt, berichtet die Polizei Niedersachsen.

Die Masche ist nicht neu: Durch infizierte E-Mail-Anhänge werden einzelne Rechner bis zu ganzen Firmennetzwerken so manipuliert, dass die Nutzer keinen Zugriff mehr auf ihre Daten haben. Nur gegen Zahlung von Lösegeld, meist in der Cyber-Währung Bitcoin, geben die Internet-Erpresser die Rechner wieder frei.

Nachdem Cyber-Gauner Rechner mit falschen Bewerbungsschreiben infiziert haben, geben sie die Daten nur gegen Zahlung eines Lösegelds wieder frei.
Nachdem Cyber-Gauner Rechner mit falschen Bewerbungsschreiben infiziert haben, geben sie die Daten nur gegen Zahlung eines Lösegelds wieder frei.
Foto: Bacho - shutterstock.com

Nun warnt die Polizei Niedersachsen vor einer neuen Variante der Verschlüsselungserpresser: Mit gefälschten Bewerbungsschreiben sollen Mitarbeiter von Firmen dazu gebracht werden, die schädlichen Anhänge zu öffnen. Da mittlerweile Bewerbungen häufig per E-Mail eingereicht werden, ist die Gefahr hoch, dass die üblicherweise in Zip-Dateien eingebetteten EXE-Files ausgeführt werden.

Die Täter versenden beispielsweise die Mail mit dem Betreff "Bewerbung auf die ausgeschriebene Stelle - Nadine Bachert". Die Namen können dabei variieren. Dann folgt ein kurzer Begrüßungstext mit einem Portraitfoto einer jungen Frau bei. Alles weitere sei dann in den "Bewerbungsunterlagen" (ZIP-Datei) im Anhang zu finden.

"Sehr geehrte Damen und Herren,

anbei erhalten Sie meine Bewerbung für Ihre ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung im Vertrieb und der Kundebetreuung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.

Ich freue mich auf ein persönliches Vorstellungsgespräch.

Mit besten Grüßen

Nadine Bachert"

Wer nun die angehängte Datei entpackt und die darin enthaltene EXE-Datei ausführt, lässt der Schadsoftware freien Lauf. Die Computer werden verschlüsselt und ein Lösegeld über Bitcoin-Zahlung wird erpresst. Wenn der Rechner infiziert ist, bekommt der Nutzer eine Nachricht wie diese:

"---= GANDCRAB V4 =---

Achtung!

Alle Ihre Dateien, Dokumente, Fotos, Datenbanken und andere wichtige Dateien wurden verschlüsselt und haben die Dateiendung: .KRAB. Die einzige Methode zum Wiederherstellen Ihrer Dateien besteht darin, Ihren persönlichen privaten Schlüssel zu erwerben. Nur wir können Ihnen diesen Schlüssel geben und nur wir können Ihre Dateien wiederherstellen. Die komplette Anleitung, um Ihren privaten Schlüssel zu erwerben, finden Sie auf unserer Webseite welche sich im TOR-Netzwerk befindet. Bitte folgen Sie diesen Schritten um auf unsere Webseite zu gelangen:

----------------------------------------------------------------------------------------

| 0. Laden Sie den Tor-Browser herunter - www.torproject.org

| 1. Installieren Sie den Tor-Browser

| 2. Öffnen Sie den Tor-Browser

| 3. Öffnen Sie den folgenden Link im TOR-Browser: gandcrabmfe6mnef.onion/c746bae0f8f8df8c

| 4. Folgen Sie den Anweisungen auf der Seite

----------------------------------------------------------------------------------------

Auf unserer Seite finden Sie eine Anleitung zur Bezahlung und erhalten die Möglichkeit, 1 Datei kostenlos zu entschlüsseln. ACHTUNG! UM DATENSCHADEN ZU VERMEIDEN: * NEHMEN SIE KEINE ÄNDERUNGEN AN DEN VERSCHLÜSSELTEN DATEIEN VOR [...]"

Die auf Windows-Systeme ausgelegte Schad-Software wird laut Polizei derzeit noch nicht von allen Antivirenprogrammen erkannt. Eine Überprüfung unter virustotal.com ergab, dass 26 von 65 verfügbaren Programmen die Gefahr aktuell erkennen. Vermehrt wird die Gefahr auch von namhaften Programmen als gefahrlos eingestuft.

Lesen Sie auch: Die 5 größten Ransomware-Attacken

Zur Vorbeugung empfiehlt die Polizei Niedersachsen eine Schulung der Mitarbeiter. Zudem könnte mit Vorkehrungen wie einem alternativen Betriebssystem oder einem Rechner, der von der übrigen Unternehmens-IT getrennt ist, die Gefahr minimiert werden. Eine gute Antiviren-Software sollte ohnehin zum Standard gehören. Schließlich helfen regelmäßige Backups im Schadensfall den Datenverlust möglichst gering zu halten.

Ist der schädliche Anhang bereits ausgeführt und somit das System geschädigt, so raten die Cyper-Cops, die geforderte Zahlung nicht zu tätigen. Der betroffen Computer muss sofort vom Netzwerk getrennt werden. Zudem sollen die Geschädigten Anzeige erstatten. Weitere Hilfe zum Thema Ransomware hält die Polizei unter https://www.polizei-praevention.de/themen-und-tipps/pc-gesperrt-ransomware.html bereit.

Zur Startseite