Warnung des BSI CERT-Bund
Das Emergency-Response-Team des BSI CERT-Bund warnt derzeit vor einer Spam-Kampagne, die unter dem Namen des beliebten Filehosting-Dienstes Dropbox den Verschlüsselungstrojaner Locky verteilt, wie heise.de dazu berichtete.
Wie die IT-Sicherheitsorganisation Internet Storm Center (ISC) analysierte, lockt die Spam-Mail mittels Link zu einer Kontobestätigung auf eine falsche Dropbox-Webseite. Dort wird der Nutzer darüber informiert, dass der Vorgang aufgrund eines fehlenden Fonts namens "HoeflerText" nicht abgeschlossen werden könne. Mit dem Klick auf „Update“ erscheint ein JavaScript-Downloader, der nach Angaben des ISC die Windows-spezifische Malware Locky in der bereits seit August bekannten Variante mit ".lukitus"-Endung auf dem System.
Pop-ups auf Browser abgestimmt
Wie das ISC in seinen Untersuchungen feststellte ist das Design der Pop-ups auf das Look and Feel des jeweiligen Browsers abgestimmt. Wie es weiter dazu heißt werden in Firefox und Chrome die Mozilla Corporation beziehungsweise Google als Urheber des zu installierenden Font-Packs angegeben, um die Täuschung abzurunden.
Die Echtheit der Spam-Mail wird bestimmt durch:
- die gefälschter Absenderadresse (no-reply@dropbox.com)
- typisches Dropbox-Design
Die gefälschte Dropbox-Webseite fällt auf durch:
- den Domainnamen ("dar-alataa")
- die unverschlüsselte Verbindung
Zu denken gibt daneben auch der Dateiname des Font-Updates mit JavaScript-Endung „Win.JSFontlib09.js“.
Das BSI rät:
Wie soll ich mit Spam umgehen?
Grundsätzlich gilt für solche oder ähnliche E-Mails: Auf keinen Fall antworten! Auf keinen Fall einem Link folgen! Auf keinen Fall einen Dateianhang öffnen! Versuchen Sie ebenso wenig, die Betrüger mit falschen Angaben auszutricksen oder nur zum Schein auf das Angebot einzugehen. Entsprechende E-Mails sollten vielmehr sofort gelöscht werden. Im Zweifel nehmen Sie Kontakt zu Personen auf, die wissen, ob es sich um zum Beispiel einen schlechten Scherz oder tatsächlich um eine Warnung handelt. Verwenden Sie dafür jedoch nie die Kontaktdaten aus der E-Mail!