Aktuell verbreiten sich neue, schädliche Phisingmails, die sogenannte Qakbot/Qbot Malware enthalten. Die meisten schadhaften Mails werden zwar von unseren Sicherheitssystemen abgefangen, in Einzelfällen misslingt das allerdings, da diese Phishingmails zum Teil neue Methodiken verwenden, um bestehende Sicherungsmaßnahmen zu umgehen.
Wir bitten Sie daher, eingehende E-Mails besonders sorgfältig zu prüfen und vor allem vorsichtig zu sein vor dem Öffnen von Mail-Anhängen oder Anklicken von Links.
Wir geben Ihnen gerne ein paar Beispiele an denen Sie aber mittels verschiedener Prüfungen diesen Angriffsvektor besser erkennen können.
Merkmale dieser Phishingmails können sein:
- Absende-Adresse: Die Absende-Adresse passt meistens nicht zum Namen des erwarteten Kommunikationspartners.
- Betreff: Meist tauchen doppelte Buchstaben im ursprünglichen Betreff auf.
- Erwartete Handlung: In der Mail werden Sie meistens aus dem Kontext gerissen zum Herunterladen oder Öffnen einer verschlüsselten Datei aufgefordert.
- Vorangegangene Kommunikation: Die Mails beziehen sich auf vorangegangene Kommunikation mit einer Ihnen bekannten Person. Das Vorgehen nennt sich Thread Hijacking. Meist fehlen jedoch Umlaute in den zitierten Texten. Oft lässt sich auch nicht mehr nachvollziehen wann die letzte Kommunikation mit der ursprünglichen Kontaktperson stattgefunden hat.
![Screenshot Qbot mit den oben erwähnten Erkennungsmerkmalen:1. Absende-Adresse: Die Absende-Adresse passt meistens nicht zum Namen des erwarteten Kommunikationspartners. Beispiel: Fernuni hagen <nesenesrweook.iakbjlu@pantaujkn.com> 2. Betreff: Meist tauchen doppelte Buchstaben im ursprünglichen Betreff auf. Beispiel: [Extern] Wichtige Hinwweisse zu den 3. Erwartete Handlung: In der Mail werden Sie meistens aus dem Kontext gerissen zum Herunterladen oder Öffnen einer verschlüsselten Datei aufgefordert. Beispiel: Hi. Hier sind Dokumente für Ihre Filiale: https://fis***ios.ch/ia/mtcuu Dateikennwort BN*** 4. Vorangegangene Kommunikation: Die Mails beziehen sich auf vorangegangene Kommunikation mit einer Ihnen bekannten Person. Das Vorgehen nennt sich Thread Hijacking. Meist fehlen jedoch Umlaute in den zitierten Texten. Oft lässt sich auch nicht mehr nachvollziehen wann die letzte Kommunkation mit der ursprünglichen Kontaktperson stattgefunden hat. Beispiel: Liebe Studierende, auf diesem Wege informieren wir Sie, dass die Modulabschlussprfungen der Fakultt fr Wirtschaftswissenschaft im September – abhngig vom einzelnen Modul – entweder online oder in Prsenz durchgefhrt werden.](https://blog.fernuni-hagen.de/zdi/wp-content/uploads/2022/11/qbot.png)
Bislang haben wir in sehr vielen untersuchten Fällen Hinweise gefunden, dass die Kommunikationspartner Opfer von Identitätsdiebstahl (Mailadresse + Passwort) geworden sind. In keinem der untersuchten Fälle gab es Hinweise, dass die Daten auf unserer Seite kompromittiert worden sind.
Durch folgende Merkmale ist die automatisierte Kategorisierung durch unsere Sicherheitssysteme nicht in allen Fällen zuverlässig möglich:
- Betreff ist nicht einheitlich
- Absende-Adressen sind meist unterschiedlich
- Text ist nicht einheitlich
- Malware wird teilweise als Anhang (verschlüsseltes ZIP-Archiv), teilweise auch mit Links zu Webseiten, von wo aus der Schadcode dann heruntergeladen wird, auch sind die jeweiligen Dateien randomisiert
Falls Sie sich unsicher beim Öffnen von Mail sind, wenden Sie sich gerne schriftlich an den ZDI Helpdesk (helpdesk@fernuni-hagen.de) und leiten uns die Originalmail als Anhang weiter.