Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Homeoffice“

Das Folgende ist das geänderte Mitarbeiter-Antragsformular für Krankheit gemäß dem Arbeitsrecht

Samstag, 11. April 2020

Vorab: 🚨 Diese E-Mail kommt nicht vom Bundesministerium für Gesundheit. Es ist eine Spam. Den Anhang nicht öffnen! Es ist gefährliche Schadsoftware. 🚨

Von: Emily <info@phenixa.site>
Antwort an: Emily <info@rochea.site>

Der Absender ist gefälscht. 🤥

Aber selbst dieser falsche Absender sieht nicht nach einer Mailadresse der Bundesregierung aus. 🤦

Mal schauen, ob der Spammer während des Formulierens seiner Spam ein bisschen mehr Glück beim Denken hatte. 🍀

Der überlagerte Schriftzug „Spam“ bei einem Logo der Bundesregierung ist natürlich von mir. Ich werde nicht gern zum Bildhoster für solche Honks, und schon gar nicht Bildhoster für den kriminellen Missbrauch eines Hoheitszeichens der Bundesrepublik Deutschland. Der Rest ist völlig unverändert und sieht auch im Original so kaputt aus.

Logo des Bundesminsteriums für Gesundheit
Sehr geehrter Arbeitnehmer,

dieses Schreiben geht an alle berechtigten Arbeitnehmer, um bestimmte Anpassungen weiterzugeben, welche am derzeitigen Familien- und Krankenurlaub in Bezug auf die neueste Coronavirus-Entwicklung vorgenommen wurden. Wir haben die Erwartungshaltung, dass alle Mitarbeiter diese Anpassungen lesen und diese verstehen. Diese wesentlichen Änderungen stehen grundsätzlich in Verbindung mit dem Antragsformular für Mitarbeiter auf Urlaub entsprechend dem Arbeitsrecht und sind gültig vom 11. April 2020. Bitte kontrollieren Sie auf der Grundlage des Arbeitnehmergesetzes die Unterlagen zum Urlaubsantrag sorgfältig. Gehen Sie die vorgenommenen Änderungen detailliert durchund senden Sie das ausgefüllte Antragsformular bis zum 11. April 2020 an die Personalabteilung.

Diese Benachrichtigung wurde automatisch erstellt. Bitte antworten Sie uns nicht direkt auf diese elektronische E-Mail.
.
Wir verbleiben mit freundlichen Grüßen
Arbeitsministerium
Lohn- und Stundenabteilung

So so, beim Arbeitsministerium, das vermutlich aus Gründen der Kostenersparnis das Logo des Gesundheitsministeriums benutzt, gibt es zwar eine hoffentlich gut besoldete Lohn- und Stundenabteilung, aber offenbar niemanden mehr, der einen fehlerfreien Absatz Deutsch mit korrekt codierten Umlauten schreiben kann. 🤣

Vom Fehlen jeglicher Angabe einer zuständigen Stelle, ihrer Anschrift und einer Telefonnummer will ich da gar nicht erst anfangen. Normalerweise steht selbst in E-Mails aus der Bundesverwaltung der Name und eine Büronummer des Sachbearbeiters, eine Anschrift, eine behördliche E-Mail-Adresse und eine Durchwahlnummer. Und das hat auch einen guten Grund. Eine Verwaltung, wo irgendwo im Keller alle eingehenden Briefe aufgerissen werden müssen, um dann von irgendwelchen armen Seelen so weit angelesen zu werden, dass man sie dem zuständigen Sachbearbeiter in den Posteingangskorb auf dem Schreibtisch batschen kann, mag zwar bis in die Achtziger Jahre hinein üblicher Stand in Deutschland gewesen sein, ist aber auch fürchterlich fehleranfällig und ineffizient. Und natürlich teuer, wegen der armen Seelen bei ihrem täglichen Postsack-Frühstück. Das gleiche gilt für eine Telefonzentrale, wo alle Anrufe ankommen und händisch weitergeleitet werden. Bei E-Mail konnte sich die Verwaltung an so etwas zum Glück gar nicht erst gewöhnen… 😉

Aber ich sagte es ja schon eingangs: Es ist eine Spam. Und es fällt eigentlich sehr schwer, zu übersehen, dass es eine Spam ist.

Neben diesem hochnotlächerlichen Text hat die Spam noch einen Anhang. Es handelt sich um ein 79 KiB großes Dokument für Microsoft Word mit Dateinamen Krankschreibung.doc. In dem Dokument steht nicht viel drin, es ist nur ein einziges Bild eingebettet (komme ich noch drauf zurück). Aber dafür…

Screenshot des Dialogfensters, das beim Öffnen des Dokumentes mit Libre Office angezeigt wird. -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras - Optionen - LibreOffice-Sicherheit unterbunden. -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. -- [OK]

…enthält es Makros, die beim Öffnen des Dokumentes automatisch ausgeführt werden. Der Makrocode lädt eine ausführbare Datei für Microsoft Windows von einem gecrackten Webserver herunter, führt diese Datei aus und macht den Prozess unsichtbar, wenn der angemeldete Benutzer dafür ausreichende Privilegien hat. Es handelt sich um klare Schadsoftware.

Kurz gesagt: Wer ein unsicher konfiguriertes Microsoft Office hat, so dass Makros in Dokumenten ausgeführt werden, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Im Moment arbeiten viele Menschen im Homeoffice, und das wissen leider auch die Verbrecher, die davon ausgehen können, dass Heimrechner wesentlich anfälliger als administrativ gewartete Arbeitsplatzrechner sind. Wenn dann bei der Arbeit Zugänge zu betrieblichen Dateiablagen offen sind, werden schnell große Teile der betriebswichtigen Daten eines Unternehmens „entführt“ (meist durch Verschlüsselung) und anschließend gibt es eine erpresserische Forderung. 🙁

Und was ist, wenn jemand keine Makros in Microsoft Office ausführt? Dann kommt die Grafik ins Spiel, die der einzige Inhalt des Dokumentes ist:

DocuSign -- To view the document you need to download it. -- This steps are required to fully decrypt the document, encrypted by DocuSign -- Eine bebilderte Beschreibung, wie man mit zwei Klicks die Ausführung von Makros freischaltet -- Why I cannot open this document? -- * You are using iOS, Android. -- * You are trying to view this document using an online viewer.

Es handelt sich um eine Aufforderung, „das Dokument herunterzuladen und zu entschlüsseln“, indem man die Ausführung von Makros in Microsoft Word gestattet. Und hinterher steht ein Computer anderer Leute auf dem Schreibtisch. 🙁

Wie ich schon am 5. April anlässlich einer ähnlichen Schadsoftware gesagt habe, liebe Menschen, die ihr gerade im „Homeoffice“ arbeitet: Fasst E-Mail-Anhänge nur mit der Kneifzange an! Auch, wenn ihr den Absender kennt, denn der Absender einer E-Mail kann beliebig gefälscht sein, genau so, wie man auf einen Briefumschlag einen beliebigen Absender schreiben kann… ach, klickt doch einfach den Link und lest es dort weiter. Welchen Link? Den da oben, auf „wie ich am 5. April“. Muss ich den wirklich noch einmal wiederholen? Na gut, click here. 🙃

Aber bitte auf gar keinen Fall auf so etwas hereinfallen! Und bitte die Warnung weitergeben! E-Mail-Anhänge nur mit äußerster Vorsicht behandeln, keine Anhänge von Unbekannten öffnen (und auch nicht in E-Mail von Unbekannten klicken), bei bekannten Absendern im Zweifelsfall vor dem Klicken in eine E-Mail zum Telefon greifen und fragen!

Nachtrag: Siehe auch bei Heise Online.
Nachtrag Zwei: Siehe auch beim LKA Niedersachsen.

⏰✋bewerbung⏰

Sonntag, 5. April 2020

Abt.: 🚨 Home-Office-Arbeitende, aufgepasst! 🚨

Von diesen Spams gibt es im Moment eine Menge. Die Texte in den Mails sind sehr unterschiedlich, immer völlig unpersönlich, meist ein wenig schlampig geschrieben und geben stets vor, dass eine Bewerbung an die E-Mail angehängt ist. Das folgende ist die häufigste Textvariante, immer wieder wird auch das Wort „Bewerbung“ noch einmal über der Anrede wiederholt, als wisse der Absender nicht, was der Zweck eines E-Mail-Betreffs ist.

Sehr geehrte Damen und Herren,

ich möchte mich hiermit noch auf die Ausbildungsstelle als Verkäufer für dieses Jahr bewerben. Ich könnte sofort anfangen und bin sehr motiviert! Im Anhang befinden sich meine Bewerbungsunterlagen.

Mit freundlichen Grüßen.

Ja, ohne irgendeinen Namen. Aber immer wieder den Betreff verdoppeln! 😉

Die angehängten Dokumente sind entweder völlig leer oder enthalten eine gleichermaßen patzig-technisch wie irreführend formulierte Aufforderung…

Screenshot einer derartigen Aufforderung, Makros freizuschalten

…dass man die Ausführung von Makros freischalten soll, um ein Problem zu beheben. Natürlich ist dies keine Fehlermeldung, sondern Text im Dokument.

Wer Microsoft Office unter Microsoft Windows verwendet, so ein Dokument öffnet und die Ausführung von Makros erlaubt (oder standardmäßig freigeschaltet hat), hat verloren und einen Computer anderer Leute auf dem Tisch stehen. 🙁

Aber niemand sage, dass er vorher nicht gewarnt wurde!

Screenshot des Dialogfensters, das beim Öffnen des Dokumentes mit Libre Office angezeigt wird. -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras - Optionen - LibreOffice-Sicherheit unterbunden. -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. -- [OK]

Bei allen diesen Spams – es waren gestern schon einige, und heute ist es eine Pest – laden die Makros eine Datei namens update.exe oder setup.exe von einem gecrackten Webserver herunter und führen diese unsichtbar aus.

Das erstaunlichste an dieser Spamflut ist aber, dass es sich im Grunde um sehr alten Schadcode handelt. Diese Makros habe ich vor über einem Monat schon gesehen, sie sollten also inzwischen von jedem Antivirus-Schlangenöl erkannt werden.

Ich gehe deshalb davon aus, dass die „Zielgruppe“ dieser Spammer die vielen Menschen sind, die zurzeit Corona-bedingt im „Homeoffice“ arbeiten. Offenbar gehen die Kriminellen davon aus, dass bei den meisten Menschen zuhause Computer herumstehen, die an ein weites Spektrum persönlicher Nutzungsformen angepasst und weniger gut abgesichert sind, auf denen sie sich also „austoben“ können. Vermutlich ist das sogar eine gute kriminelle Strategie. Selbst, wenn man sofort einem Administrator meldet, dass man eine „komische Mail“ aufgemacht hat, ist Abhilfe weit entfernt, während die Kollegen längst ebenfalls mit Schadsoftware angegriffen werden. Und wenn dann erst einmal betriebliche „Cloud“-Verzeichnisse von Erpressern verschlüsselt sind, droht die Insolvenz eines eh schon angeschlagenen Unternehmens so sehr, dass auch hohe fünfstellige Erpressungsgelder oder gar noch höhere Summen gezahlt werden. Auch auf striktes, aber in diesem Kontext weltfremd wirkendes Abraten der Kriminalpolizei hin. Die asozialen Verbrecher haben gewonnen. 🙁

Mit dem Geld für den so angerichteten Schaden lässt sich wahrlich Schöneres und Erfreulicheres anstellen. 💸

Deshalb, liebe Menschen, die ihr gerade im „Homeoffice“ arbeitet: Fasst E-Mail-Anhänge nur mit der Kneifzange an! Auch, wenn ihr den Absender kennt, denn der Absender einer E-Mail kann beliebig gefälscht sein, genau so, wie man auf einen Briefumschlag einen beliebigen Absender schreiben kann. (Deshalb gibt es seit über zwei Jahrzehnten die digitale Signatur von E-Mail in freier, kostenloser Software, aber niemand nutzt dieses einfache Sicherheitsmerkmal und kein Journalist erklärt euch, wie man es nutzt.) Erlaubt niemals Makro-Code in Office-Dokumenten! Öffnet keine Dokumente aus ZIP-Archiven! Seid selbst mit PDFs noch vorsichtig, denn der Acrobat Reader hat eine beachtliche und furchteinflößende Sicherheitsgeschichte! Nutzt einen anderen PDF-Betrachter! Und generell: Haltet eurer Betriebssystem und eure Anwendungen auf aktuellem Stand, denn ein behobener Fehler kann nicht mehr kriminell ausgenutzt werden. Wenn es möglich ist (und das ist häufiger der Fall, als die meisten Menschen denken), verwendet ein anderes Betriebssystem als Microsoft Windows! Das ist einfach und kostet nichts. Zurzeit ist Microsoft Windows aber noch so allgegenwärtig, dass andere Betriebssysteme so gut wie gar nicht angegriffen werden. Auch die zurzeit in einer Flut von Spam kommenden Mailanhänge „funktionieren“ nur unter Windows. Dettelbach ist überall. Seid nicht Dettelbach! Seid nicht naiv und dumm! Seid vorsichtig und schlau! 👍