Kurz nach 18 Uhr kam ich zu Hause an und checkte dann auch meine E-Mails. Dort hatte ich eine E-Mail, die vorgab, von den Wasserwerken zu sein. Allerdings passte sie vom Aufbau her haargenau auf die Qakbots, die wir in der Firma aktuell zu Hunderten abwehren. Auch diese E-Mail hatte einen „unverfänglich-wichtigen“ Mailtext, in dem es hauptsächlich um den Anhang der E-Mail ging. Der Anhang war ein PDF-File, in dem ein Link sein soll und man wurde aufgefordert, diesen Link zu klicken. Ganz genau solche Phisching-Mails erreichen unsere Anwender gerade vermehrt und beschäftigen uns damit, die Domains in den Links ungültig zu machen.
Heute erreichte mich also schon auf der privaten Adresse eine solche wirklich gut gemachte E-Mail. Wobei man sagen muss, dass die Mails der aktuellen Qakbot-Wellen alle sehr gut gemacht sind. Fielen früher solche Fishing-Mails regelmäßig doch schlechte Rechtschreibung auf, sind sie aktuell eher vorbildlicher, als „normale E-Mails“. Bei der RWW-Mail wollte ich natürlich auf keinen Fall auf ein Fishing hereinfallen, andererseits wollte ich natürlich auch keinen weiteren Stress mit den Zahlungseintreibern der Wasserwerke haben. Schon im vergangenen Jahr hatten wir einige „Telefonate“ mit den „Pflegern“ geführt und es hatte sich nicht gut angefühlt, wie man dort behandelt wurde.
Also extrahierte ich jetzt erst mal den PDF-Anhang und analysierte ihn ausgiebig an der Linux-Konsole. Zuerst wandelte ich es in ein JPG-File um. Tatsächlich sah es aus, wie bei den Qakbot-Anhängen. Es gab einigen Text, der auch teilweise farblich abgesetzt war und auch einen Link, der in dünnem weiß auf blauem Hintergrund geschrieben war. Das PDF wollte ich trotzdem nicht öffnen und so versuchte ich das PDF-File in ein Text-File um zu wandeln, um so an den Link zu kommen. Das klappte und ich ließ den Link dann einmal durchchecken. VirusTotal befand „No security vendors flagged this URL as malicious„. Offensichtlich gab es nichts Aktives in dem PDF-Anhang – aber es gab auch nichts, das nicht schon in dem E-Mail-Text gekonnt hätte. Es sah einfach nur wie ein einfaches Anschreiben aus, welches von einem ignoranten Blödmann in ein PDF-File exportiert wurde.
Jetzt kann man natürlich sagen, dass man ja regelmäßig E-Mails mit PDF-Anhängen bekommt, zum Beispiel mit Rechnungen. Was mich aber an dieser E-Mail ärgert, ist die unnötige Nähe zu Qakbot-Mails. Alles, was in dem PDF steht, hätte man bequem auch in die Mail stecken können und wenigstens der Link hätte nicht zwingend in das PDF gemusst. Und das alles in einer Zeit, in der eine Qakbot-Welle die nächste ablöst.
Hoffen wir mal, dass der unhöfliche RWW-Dienstleister eine gute IT-Abteilung hat, die alle Qakbot-Mails abfängt. Ich glaube nämlich nicht, dass Anwender, die solche E-Mails verschicken, dann erkennen, dass eine original-gleiche E-Mail ihnen den Rechner und das Firmennetz verschlüsselt.
Hinterlasse einen Kommentar