Aktuell sind wieder neue Phishing Emails unterwegs, die eine angebliche Rechnung im Anhang enthalten. Anders als bei den meisten Phishing-Mails versteckt sich die Gefahr aber nicht in einer ausführbaren EXE-Datei – dies erkennen viele Anwender mittlerweile als Gefahr. Stattdessen wird ein normales Word-Document (DOC Datei) mitgeschickt. Statt dem Text enthält die Datei aber ein Makro-Skript, das im Hintergrund Befehle ausführen soll.
Hat man in den Makro- oder Sicherheitseinstellungen die Ausführung von Makro-Skripten zugelassen, wird das Makro in dem Dokument ausgeführt: Es versucht anscheinend, eine Browser-Verbindung zu einem fremden Server aufzubauen und von dort die ausführbare Datei „presentation[de].exe“ herunterzuladen – die wahrscheinlich einen Virus oder Trojaner enthält.
Die Emails haben Betreff-Zeilen wie „Versand 24.11.2014“ oder „Rechnug vom 24.11.2014“ (mit Tippfehler oder aktualisiert als „Rechnung vom 24.11.2014“), angehängt ist die Datei „RECHNUNG_vom_24112014.doc“. Beim Öffnen, wenn Makros nicht erlaubt wurden, wird der folgende Text ausgegeben: „Um diesen Text zu sehen, müssen Makros aktiviert werden.“. Natürlich sollte man die Makros nicht aktivieren und die Email am besten direkt löschen, ohne den Anhang zu öffnen.
Der Text der Email lautet:
Sehr geehrter Kunde,
Vielen Dank für die Bestellung.
Bitte überprüfen Sie die Bestellmenge, die Bestellsumme und die Lieferadresse.
Die Rechnung finden Sie im Anhang.
Bei Fragen stehen wir Ihnen gern zu Verfügung.
Mit freundlichen Grüßen
Geschäftsführer. Dirk Schirakowski ; Schütze Uwe
Vertreter Schütze Uwe ; Schirakowski Dirk
Umsatzsteuer-Identifikationsnummer gemäß § 27a
Umsatzsteuergesetz: DE189964006 Stnr.: 2636530279
Registernummer: KS HR A8707
Inhaltlich Verantwortlicher gemäß § 6 MDStV: Dirk Schirakowski
Das kostenlose Office-Paket „OpenOffice“ warnt beim Öffnen einer Datei, die ein integriertes Makro enthält. In den Einstellungen unter „OpenOffice“ » „Sicherheit“ lässt sich dies anpassen: Wenn man nicht selbst regelmäßig mit den Word-Makros arbeitet, sollte man die Funktion am besten abschalten.