Emotet kursiert seit über zwei Jahren im Internet, wütet derzeit in Deutschland und in der Welt – jetzt jedoch außergewöhnlich erfolgreich. Der Angriff ist durch seine persönliche Note verheerend. Im folgenden wollen wir darstellen, warum der Angriff so erfolgreich ist und warum diese Angriffsstrategie weit verbreitet ist.
Gute Phishingmails machen Emotet so explosiv erfolgreich.
Im Grunde ist Emotet ein klassischer Trojaner. Nachdem eine bösartige Website besucht oder ein bösartiger Anhang heruntergeladen und geöffnet worden ist, lädt Emotet weitere Schadsoftware nach. Im Anschluss daran mutiert Emotet zu einer mehrköpfigen Hydra.
Es werden Passwörter im Passwortsafe der Browser heruntergeladen, Banking-Trojaner wie Trickbot nachgeladen und besonders kritisch: Es werden Outlook-Kontakte gestohlen und im Anschluss werden automatisch E-Mails an diese Kontakte versendet – im Namen des Opfers. Dies ist eine besonders effiziente Verbreitungsstrategie, die im folgenden Bild etwas deutlicher dargestellt wird:
Das sind die Ziele von Angreifern – auch bei Emotet!
Es sind nur drei Dinge die Angreifer von Ihren Opfern wollen:
- Es soll ein Link geklickt
- eine Datei heruntergeladen oder
- eine Handlung ausgeführt werden
Schickt ein Angreifer eine völlig austauschbare E-Mail ohne persönlichen Bezug, ist die Wahrscheinlichkeit recht gering, dass ein potenzielles Opfer auf den Link klickt. Daher ist persönlicher Bezug von höchster Wichtigkeit für den Erfolg einer Phishingmail. Dieser persönliche Bezug kann durch soziale Netzwerke und das ausspionieren von öffentlich zugänglichen, persönlichen Informationen entstehen. In Fachkreisen spricht man von Open Source Intelligence, kurz OSINT. So versucht ein Angreifer Vertrauen aufzubauen und Sie dazu zu bringen auf einen vermeintlich harmlosen Link zu klicken. Mit der Verbreitung über das Adressbuch mit dem Opfer als Absender entfällt dieser Schritt bei Emotet völlig.
OSINT, Outlook und fehlende Skepsis machen Emotet so erfolgreich.
Emotet ist also gleich aus mehreren Gründen so erfolgreich: Durch das Durchsuchen der Kontakte in Outlook und dem automatischen versenden von E-Mails im Namen des Opfers, wird der persönliche Kontakt abgebildet. Besonders tückisch ist, dass meist auch ein erhöhtes Vertrauen in Adressbuchkontakte gelegt wird und selten hinterfragt wird, ob es sich bei der E-Mail um einen Betrugsversuch handelt. (Ähnlich erfolgreich war eine automatisierte Phishing Kampagne über Facebook.)
Diese E-Mails können erkannt und die Folgen einer Infektion können verhindert werden – jedoch nur wenn weitreichende Sensibilisierungskampagnen im Unternehmen durchgeführt worden sind. Die technische Komponente muss dabei unterstützend arbeiten: Das Filtern von bekannten Kontakten ist jedoch schwierig technisch umzusetzen. Regelmäßige Updates der verwendeten Systeme sind Pflicht. Dies ist in ein paar Branchen, beispielsweise der Finanzbranche, längst der Standard. Beim Mittelständler und bei dem kleinen Unternehmen aus der Region wird aus unterschiedlichen Gründen mit Updates gewartet. Und dabei sind genau diese Unternehmen besonders wichtig.
Nicht ohne Grund werden sie als Rückgrat der Gesellschaft bezeichnet. Es ist daher enorm wichtig auch diese Firmen abzuholen und in Sachen IT-Sicherheit gut aufzustellen. Hierfür benötigt es auf der einen Seite Expertise und auf der anderen Seite Kommunikationsstärke und die Fähigkeit komplexe Sachverhalte einfach darzustellen. So kann man sich vor Emotet und anderen Angriffen schützen!
Wir haben ein paar kompakte Tipps zusammengetragen, die von den meisten Unternehmen und Privatpersonen schnell umgesetzt werden können, um eine zukünftige Infizierung zu vermeiden:
- Deaktivierung von Makros in Office Dokumenten
um die initiale Infektion zu verhindern - Nur die Programme auf dem Rechner installieren
die für die tägliche Arbeit gebraucht werden – so hält man die Angriffsfläche kleiner - Standardmäßig die Anzeige von Dateiendungen aktivieren
um Verwirrung zu vermeiden und immer den tatsächlichen Dateityp angezeigt zu bekommen. - Keine ausführbaren E-Mail Anhänge öffnen (.exe, .bat, .jar, .cmd).
- Ein seriöser Kommunikationspartner, wird Ihnen keine ausführbaren Dateien ohne vorherige Absprache schicken
- Sensibilisierung der Mitarbeiter zum Thema Social Engineering, Phishing E-Mails und allgemeinen Themen der IT-Sicherheit zur Steigerung der Awareness.
Wir hoffen, dass dieser Blogbeitrag Ihnen geholfen hat zu verstehen was Emotet ist und warum alter Wein in neuen Schläuchen sehr erfolgreich sein kann. Falls Sie Fragen haben oder Ihre Mitarbeiter sensibilisieren möchten, im Rahmen eines Impulsvortrags, eines Live-Hackings oder einer Schulung, wenden Sie sich gerne an uns unter team@aware7.de!