t-online - Nachrichten für Deutschland
t-online - Nachrichten für Deutschland
Such IconE-Mail IconMenü Icon



HomeDigitalAktuelles

Das passiert, wenn man Emotet-Trojaner-Mails öffnet


Das passiert, wenn man Emotet-Trojaner-Mails öffnet

Screenshot
1 von 10
Quelle: Screenshot/T-Online-bilder

Der Emotet-Trojaner wird unter anderem über gefälschte Mails im Namen von großen Unternehmen verbreitet. Die Täter tarnen sie zum Beispiel als Telekom-Rechnung. Die Schadsoftware verbirgt sich hinter einem Link oder im Mail-Anhang. (Quelle: CERT-Bund auf Twitter)

Screenshot
2 von 10
Quelle: Screenshot/T-Online-bilder

Der Link wird zum Teil auch in einem PDF-Dokument verbreitet. Wer darauf klickt, lädt ein schädliches Word-Dokument herunter.

Screenshot
3 von 10
Quelle: Screenshot/T-Online-bilder

Zuletzt ging auch eine gefälschte Mail im Namen von Microsoft herum. Über den Twitter-Account @CERT-Bund werden solche aktuellen Fälle gemeldet. (Quelle: CERT-Bund auf Twitter)

Screenshot
4 von 10
Quelle: Screenshot/T-Online-bilder

Diese Phishing-Mail versucht Sparkassen-Kunden zum Öffnen des PDF-Anhangs zu verleiten. In dem PDF-Dokument wird der Nutzer einen Download-Link zur infizierten Word-Datei finden. (Quelle: CERT-Bund auf Twitter)

Screenshot
5 von 10
Quelle: Screenshot/T-Online-bilder

In diesem Beispiel wurde der Link bereits in den Text der Nachricht integriert.

Screenshot
6 von 10
Quelle: Screenshot/T-Online-bilder

Manchmal scheinen die Trojaner-Mails von einer bekannten Adresse zu kommen, zum Beispiel von einem Geschäftspartner oder Firmenkunden. Die Schadsoftware liest nämlich die Kontakte der infizierten Systeme aus und trägt so zur Verbreitung des Emotet-Trojaners bei. (Quelle: CERT-Bund auf Twitter)

Screenshot
7 von 10
Quelle: Screenshot/T-Online-bilder

Auch hier führt der Link mit der Beschreibung "Rechnungskopie" zu einem schädlichen Word-Dokument.

Screenshot
8 von 10
Quelle: Screenshot/T-Online-bilder

Doch was passiert, wenn man ein solches Dokument öffnet? Das CERT-Bund führt es in einer sogenannten Sandbox vor. (Quelle: CERT)

Screenshot
9 von 10
Quelle: Screenshot/T-Online-bilder

Der Nutzer wird beim Öffnen der infizierten Datei aufgefordert, die Makros auszuführen. Dadurch wird die Schadsoftware aktiviert.

Screenshot
10 von 10
Quelle: Screenshot/T-Online-bilder

Die Täter ändern immer wieder das Layout dieser Aufforderung, um die Nutzer zum Aktivieren zu bewegen. Hier wird behauptet, der Nutzer brauche "Admin-Rechte", um das Dokument anzusehen. (Quelle: CERT-Bund auf Twitter)




TelekomCo2 Neutrale Website