Und schon wieder eine E-Mail mit vergiftetem Anhang, diesmal keine Excel-Mappe, sondern eine Javascript-Datei.

Please, accept our apology for the delay in refunding your money. Unfortunately, the delay will last a little longer for the reasons we’ve sent to you in the file attached.

Aha, der namenlose Absender weiß also nicht, wie ich heiße, fummelt aber mit meinem Geld herum. Um was zum hackenden Henker es dabei geht und welche Probleme dabei aufgetreten sind, konnte er leider nicht mehr in die E-Mail schreiben, weil das Mailpapier alle war – und deshalb steht es angeblich in einem Anhang.

Und genau dieses Schema bedeutet: ALARM!

Solche Spams, die keinerlei konkrete Information enthalten und mit allerlei Begründungen zum Öffnen eines Anhanges verleiten, aus dem man erst erfährt, um was es überhaupt geht, sind immer Schadsoftware. Wer den Anhang mit Doppelklick öffnet, hat verloren und hinterher einen Computer anderer Leute auf dem Tisch stehen.

Das gilt auch in diesem Fall.

An der Spam hängt ein ZIP-Archiv. Dieses enthält eine einzige Datei, und zwar ein vorsätzlich kryptisch und unverständlich gecodetes Javascript-Programm¹. Warum das vorsätzlich unverständlich programmiert wurde? Na, um eine Analyse zu erschweren, denn es handelt sich um Schadsoftware. Diese ist auch schon zwei oder drei Tage alt, so dass sie inzwischen von gut der Hälfte der gängigen Antivirus-Schlangenöle als Schadsoftware erkannt wird.

Da man sich auf Antivirus-Schlangenöle nicht verlassen kann, gilt Folgendes: Niemals einen zugesendeten Mailanhang öffnen, der nicht vorher explizit abgesprochen wurde. Dies gilt auch für „harmlose“ Dateiformate wie PDF. Wenn ein Anhang in einer Standardspam kommt, in deren Text nicht die geringste Information steht (außer vielleicht ein paar technokratisch anmutende Nummern und Daten) und wenn behauptet wird, dass die Information im Anhang ist, handelt es sich immer um Schadsoftware, und oft sogar um so aktuelle, dass das Antivirus-Programm dagegen machtlos ist.

Solche Mails immer unbesehen löschen! Es gibt keinen objektiven Grund, im Text der Mail nicht klarzumachen, um was zum hackenden Henker es eigentlich geht. Es gibt aber – vor allem, wenns um Geld geht – sehr viele Gründe, sich so klar und unmissverständlich wie nur irgend möglich auszudrücken. Kurz: Niemand, der bei Sinnen ist, schreibt so etwas wie „Hallo, sie müssen wegen der Registriernummer 08/15 grundlos achthundert Euro bezahlen, näheres finden sie heute nur im Anhang, tschüss!“. Wer in diesem Stil schreibt, dessen Mails sollten als Mail gefährlicher Irrer oder Krimineller behandelt werden.

Es gibt im Moment eine ganze Flut von E-Mail mit angehängter Schadsoftware. Diese Pest kommt immer mal wieder. Im Moment sind es vor allem Office-Dokumente mit Makrocode und originelle Versuche wie diese Javascript-Datei. Das einzige, was sicher dagegen schützt, ist ein solides Misstrauen gegen das Medium E-Mail, das sich grob an folgenden Regeln orientiert:

1. E-Mail ist eines der Hauptmedien für Kriminelle. Über E-Mail werden Betrugsgeschäfte eingeleitet, über E-Mail wird Schadsoftware versendet, über E-Mail werden Helfershelfer gesucht. E-Mail ist gefährlich, sowohl in technischer als auch in psychologischer Hinsicht. Schade, dass sie auch so unendlich praktisch ist, dass man sie nicht einfach vermeiden kann…
2. Das Öffnen eines E-Mail-Anhanges eines Unbekannten ist russisches Roulette. Manchmal geht es gut, aber das Risiko ist gewaltig. Und auch Menschen, die glauben, dass ihre Computer „völlig uninteressant“ sind, werden sich umschauen, wenn erst einmal an Adressen ihres Adressbuches mit ihrem Absender Betrugsmails mit persönlichen Ansprachen aus dem Adressbuch gehen – und sie sich in Kürze darauf einstellen können, ihre Geschichte einem Untersuchungsgericht zu erzählen. So etwas läuft bereits. Die Trojaner der Kriminellen sind keine harmlosen Spielzeuge kleiner Kinder!
3. Niemals an den Absender einer E-Mail glauben! Der Absender einer E-Mail ist leicht und völlig beliebig fälschbar. Das einzige, was eine gewisse Sicherheit über den Absender schafft, ist die digitale Signatur von E-Mail – sie erfordert, im Besitz des privaten Schlüssels des Absenders zu sein. Wo immer das irgend möglich ist, sollte digital signiert werden und die Signatur eingehender E-Mail auch überprüft werden.
4. Jede nicht digital signierte E-Mail ist als E-Mail eines Unbekannten zu betrachten! Auch bei der Oma, auch beim Chef, auch beim alten Schulfreund. Das Fälschen des Absenders ist so einfach, dass es jeder fortgeschrittene Fünfjährige hinbekommt. Wenn ein Anhang dranhängt, der wirklich so dringlich sein könnte, dass man ihn schnell öffnen sollte: Niemals öffnen, bevor telefonisch abgeklärt wurde, dass die E-Mail echt ist!
5. Selbst so schnell wie möglich damit beginnen, E-Mail digital zu signieren und andere Menschen dazu anleiten, dies ebenfalls zu tun! Es ist die einzige einfach anzuwendende Schutzmaßnahme gegen kriminelle Irreführungen, die uns zur Verfügung steht².

Einen anderen Weg zur Herstellung von E-Mail-Sicherheit als diese Umsicht gibt es nicht. Zum Glück ist es ein relativ einfacher Weg, der nichts kostet und nur ein wenig Aufmerksamkeit und Bewusstsein verlangt – jeder Mensch von normaler, alltagspraktischer Intelligenz sollte damit klarkommen. Wer wissen möchte, wie man E-Mail digital signiert, findet relativ leicht verständliche Hinweise im Web. Nutzer des Thunderbird gehen einfach hier lang.

¹Kein Programmierer, der seinen Code noch pflegen muss oder pflegen können möchte, würde so programmieren.

²Warum die vom Phishing mutmaßlich um einen zwei- bis dreistelligen Millionenbetrag geschädigten Banken nicht dazu übergehen, ihre gesamte E-Mail-Kommunikation digital zu signieren und ihre Kunden über diese Maßnahme aufzukären, damit jeder in die Lage versetzt wird, den Absender eine Bank-Mail sicher feststellen zu können, gehört zu den Fragen, die wohl nur die Banken beantworten können. Kleiner Tipp von mir: Kostengründe sind es nicht. Die Software ist nicht nur (mit ausgereifter Schnittstelle zu jeder gängigen Programmiersprache) verfügbar, diese Software ist auch frei; die einmaligen Kosten für eventuelle Programmanpassungen amortisieren sich binnen kürzester Zeit. Es fällt mir schwer, einen anderen Grund als Trägheit, Dummheit und Kundenverachtung zu finden.