In den vergangenen Stunden haben die Mail-Security-Teams von WEB.DE und GMX eine Vielzahl der Emotet Phishing-Links identifizieren können. Darüber hinaus konnten die Sicherheitsingenieure auch weitere Angriffsvektoren unter anderem mit Hilfe von Spam-Traps ausmachen. Das sind Lockvogel-Mailadressen, in denen sich möglichst viel Spam sammeln soll, der anschließend analysiert werden kann. Um die rund 33 Millionen Nutzer von WEB.DE und GMX aktiv vor Emotet zu schützen, wurden auf Basis der so gewonnen Erkenntnisse die Spam-Filter der beiden E-Mail-Anbieter weiter angepasst. Verdächtige Nachrichten werden so direkt in die Spam-Ordner einsortiert oder gar nicht erst in die Mailserver hineingelassen.
Eine erhöhte Gefahrensituation für Nutzer mit WEB.DE oder GMX-Konto kann also aktuell ausgeschlossen werden. Generell empfehlen die Mailsecurity-Experten folgende Grundsätze im Umgang mit verdächtigen E-Mails:
- Öffnen Sie keine dubiosen Anhänge, auch wenn Sie vermeintlich von Freunden oder Kollegen kommen.
- Klicken Sie nicht unbedacht unbekannte URLs an.
- Achten Sie auf die System-Warnungen der Mail-Clients von WEB.DE und GMX, zum Beispiel dann, wenn Sie eine verdächtige URL aufrufen möchten und per Warnmeldung daran gehindert werden.
Der Trojaner Emotet ist unter Cybersecurity-Experten ein alter Bekannter: Die Schadsoftware zielt darauf ab, sich von Rechner zu Rechner zu verbreiten und dabei sensible Nutzerdaten an die Verursacher der Attacken zu versenden. Emotet funktioniert anfangs wie ein regulärer Trojaner: Der Empfänger erhält scheinbar eine E-Mail von einem Freund oder Kollegen, in der er aufgefordert wird, ein angehängtes Office-Dokument, beispielsweise eine Rechnung, zu öffnen. Kommt er dieser Aufforderung nach, infiziert ein Word-Skript den Rechner im Hintergrund mit der Schadsoftware, die dann allerdings in der Folge unbemerkt Zugangsdaten zu Netzwerken oder Internetseiten mitschneidet und so sukzessive ganze lokale Netzstrukturen übernehmen kann. Darüber hinaus werden die sensiblen Daten zusätzlich an die Hintermänner der Attacke ausgeleitet, die so zum Beispiel in den Besitz wertvoller Logins gelangen können.