Einen netten Versuch, uns unfreundliche Schadsoftware unterzujubeln, habe ich heute morgen aus meiner Mailbox gefischt. Eine Bewerbung bei der Redaktion des RSV-Blogs:
Dazu muß man wissen, daß das RSV-Blog den aktiven Betrieb eingestellt hat. Deswegen stellen die Blogger auch niemanden mehr ein. Und bei der Arbeitsagentur haben die Redakteure auch keine Stelle ausgeschrieben.
Wenn man dann mal in die ZIP-Datei schaut, was uns der Martin da zuschickt, werden die Hintergedanken dieses Schlingels deutlich:
Zwei Java-Script-Dateien. Ich habe nicht ausprobiert, was da drin ist und ob ich mich wirklich auf unseren Security Agent verlassen kann. Uffbasse!
Man sollte sich niemals auf Security Software verlassen.
Um einen nicht-technischen Vergleich zu bemühen.
Sicherheitssoftware ist wie eine Einbruchsmeldeanlage, im besten Fall hilft sie Maßnahmen zu treffen sobald jemand Unfug treibt.
In der Wohnung ist dennoch jemand Unbefugtes, dagegen helfen nur Schlösser usw.
Auf Computern hilft ein entsprechend Konfiguriertes System um die Wahrscheinlichkeiten zu ändern.
Der beste Schutz vor Malware ist meiner Meinung nach, der Menschliche Verstand.
Trojaner Locky (Ransomware / Verschlüsselungsschadware mit Erpressungsbegehren in Bitcoins) bewirbt sich jetzt also brav um Stellen. Gewisse Allegorie-Qualitäten – sofern man nicht Mitglied der Inneren oder Äußeren Partei ist – kann man der Sache zynisch im Sinne der Hündigkeit bzw. des ethischen Skeptizismus abgewinnen.
Für weitere Informationen:
https://de.wikipedia.org/wiki/Locky
Selbstverständlich kann es sich auch um einen elektronischen Trittbretttrojaner handeln.
bei einer kanzlei in köln kam vor 2 wochen unter anderem namen, aber gleichem betreff auch eine sehr ähnliche bewerbungs-email rein. da war allerdings in der Zip eine weiter Zip, und darin ein MS-DOS kommando. habe ich dann auch mal lieber nicht ausgepackt und ausgeführt.
Man beachte die Größe der zip-Datei mit 3 KB!
Allein schon das Öffnen der zip-Datei kann dazu führen, dass Schadcode ausgeführt wird.
War keine gute Idee, diese zu öffnen.
Das schlimme ist: Die Virenscanner versagen da alle! Bei mir landen hunderte solcher E-Mails im Spam-Ordner, in letzter Zeit sind es „Voice Mails“, „requested Documents“, Scans, Images oder Bewerbungen.
Darin entweder docm, js.zip, wsf.zip, wobei die windows script files echt neu sind.
Die meisten dürften einen Downloader für einen Erpressungstrojaner enthalten. Ich lad regelmäßig auf virustotal die zip und die beinhaltenden Dateien hoch. Das wirklich schlimme: Die ZIP finden mehr AVs verdächtig als die entpackte Datei. Also inhaltliche Analyse = 0. Und selbst 2 Tage später finden nur 4 von 50 AVs, dass die Datei verdächtig ist.
Die Bewerbungs-Mails kamen mit fast identischem Wortlaut schon vor einigen Wochen bei uns an – unser Virenscanner hat dann die Ausführung verhindert. Allerdings hatten wir auch Stellen ausgeschrieben
Das wirklich perfide: die Bewerbung ist herrlich neutral (kein „ich bewerbe mich auf die Stelle als …“), kommt aber oft genug exakt so rein. Und: manche (alle?) Arbeitsagenturen übernehmen anderweitig ausgeschriebene Stellen in ihren Pool, so dass „ihre bei der Arbeitsagentur ausgeschriebene Stelle“ laut unseren Personalern nicht mal wirklich falsch ist.
Die „beste“ Email in dieser Hinsicht war jedoch eine Mail mit angeblichem Druckbild als Anhang, wobei der Anhang aber lediglich einige hundert Byte hatte (normalerweise Megabyte-Bereich) — und von einem Geschäftspartner kam. Da muss jemand einen *richtig* perfiden Trojaner geschrieben haben, der alte Mails als Vorbild nimmt.