In den vergangenen Wochen ist bei der Melde- und Analysestelle Informationssicherung (Melani) eine Vielzahl an Meldungen über schädliche Microsoft Office Dokumente eingegangen, welche via Email verbreitet werden und das Ziel haben, den Computer des Opfers mit Schadsoftware (Malware) zu infizieren. Melani warnt deshalb explizit vor dem Öffnen solcher Office Dokumente und empfiehlt Internet-Benutzern erhöhte Wachsamkeit im Umgang mit Office Dokumenten sowie keine Office Makros auszuführen.
Gemäss Melani-Mitteilung hat sich ergo die Zahl von Spam-Kampagnen, welche schädliche Microsoft Office Dokumente verbreiten (erkennbar an den Dateiendungen .doc, .docx, .xls, .xlsx, .ppt und .pptx), in den vergangenen Wochen rapide erhöht. Fast täglich beobachte die Melde- und Analysestelle solche Spam-Kampagnen, welche das Ziel hätten, Computer von BürgerInnen mit Schadsoftware (Malware) zu infizieren, heisst es. Bei der Schadsoftware, welche über diesen Angriffsvektor verbreitet wird, handelt es sich üblicherweise um Locky (Ransomware) oder Dridex (eBanking Trojaner). Während die Schadsoftware Locky Dateien auf dem Computer des Opfers verschlüsselt und die Opfer danach erpresst, hat es Dridex auf die eBanking Konti von Schweizer Internet-Benutzern abgesehen. Derzeit stehen Kunden von mehreren Schweizer Banken im Visier von Dridex, so Melani.
Um den Computer des Opfers zu infizieren, verwenden die Angreifer Makros, klärt Melani auf. Aus Sicherheitsgründen hat Microsoft das Ausführen von unsignierten Makros standardmässig deaktiviert. Die Angreifer versuchen deshalb mit Social Engineering den Empfänger des Emails zu überzeugen, das Ausführen von Makros zu aktivieren. Werden die Makros aktiviert, laden diese automatisch Schadcode aus dem Internet nach und infizieren den Computer mit Malware.
Privaten Internetnutzerinnen und -Nutzern empfiehlt Melani daher:
- Seien Sie vorsichtig im Umgang mit Microsoft Office Dokumenten (Word, Excel, PowerPoint). Öffnen Sie keine Office Dokumente von unbekannten oder verdächtigen Absendern. Im Zweifelsfall fragen Sie beim Absender des EMails telefonisch nach, bevor Sie einen Anhang öffnen.
- Führen Sie niemals Makros in Office Dokumenten aus, welche Ihnen via Email zugesendet werden. Auch dann nicht, wenn Sie dazu aufgefordert werden. Makros können Ihrem Computer schaden!
- Seien Sie generell skeptisch gegenüber unerwarteten Emails (z.B. Rechnungen, Bestellungen etc.) oder Emails von unbekannten Absendern. Im Zweifelsfall fragen Sie beim Absender des EMails telefonisch nach, bevor Sie einen Anhang öffnen.
- Verwenden Sie stets einen aktuellen Virenschutz. Falls Sie einen kostenpflichtigen Virenschutz verwenden, stellen Sie sicher, dass Sie das Abonnement jeweils wieder für ein zusätzliches Jahr verlängern. Ansonsten wird der Virenschutz nutzlos.
- Erstellen Sie regelmässig eine Sicherungskopie (Backup) Ihrer Daten. Die Sicherungskopie sollte offline, das heisst auf einem externen Medium wie beispielsweise einer externen Festplatte gespeichert werden. Stellen Sie daher sicher, dass Sie das Medium, auf welche Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom Computer trennen.
Für Unternehmen empfiehlt Melani folgende Massnahmen:
- Verwenden Sie für die Visierung von Zahlungen via eBanking eine Kollektivunterschrift (jede Zahlung muss somit von zwei verschiedenen eBanking Verträgen bzw. Logins genehmigt werden, was das Risiko einer betrügerischen Zahlung massiv reduziert). Sprechen Sie mit Ihrer Bank über die Verwendung von Kollektivverträgen.
- Verwenden Sie für eBanking einen dedizierten Computer, welchen Sie ausschliesslich für eBanking verwenden (kein Surfen, lesen von Emails etc.).
- Stellen Sie sicher, dass potenziell schädliche Email Anhänge bereits auf Ihrem Email-Gateway bzw. Spam-Filter blockiert bzw. gefiltert werden. Gefährliche Email Anhänge verwenden unter anderem folgende Dateieendungen:
.js (JavaScript)
.jar (Java)
.bat (Batch file)
.exe (Windows executable)
.cpl (Control Panel)
.scr (Screensaver)
.com (COM file)
.pif (Program Information File)
.vbs (Visual Basic Script)
.ps1 (Windows PowerShell)
Stellen Sie sicher, dass solche gefährlichen E-Mail-Anhänge auch dann blockiert werden, wenn diese in Archiv-Dateien wie Beispielsweise ZIP, RAR oder aber auch in verschlüsselten Archiv-Dateien (z.B. in einem Passwortgeschützten ZIP) an Empfänger in Ihrem Unternehmen versendet werden.
Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten (z.B. Word, Excel oder PowerPoint Anhänge, welche Makros enthalten).
Weitere Massnahmen und Empfehlungen finden sich auf der Melani Webseite.
Umgang mit Verschlüsselungstrojanern (für Privatanwender und Unternehmen):
https://www.melani.admin.ch/ransomware
Merkblatt IT-Sicherheit für KMUs:
https://www.melani.admin.ch/it-sicherheit-fuer-kmus
Blogpost GovCERT.ch
https://www.govcert.admin.ch/blog/23/dridex-targeting-swiss-internet-users
Der Online-Stellenmarkt für ICT Professionals