Eines haben Angreifer über die Jahre gelernt: E-Mail-Attacken sind immer dann am erfolgreichsten, wenn sie vorgeben, von einer vertrauenswürdigen Person zu kommen. In früheren Jahren war das recht einfach, da sich prinzipiell beim Mailsystem jeder als jedermann ausgeben konnte. Dass dieses Grundvertrauen in die Menschheit vielleicht nobel, aber auch ein bisschen naiv war, hat sich mittlerweile zum Glück herumgesprochen, und so wird die Mailkommunikation zumeist durch allerlei zusätzlich Technologien abgesichert, die die Authentizität des Absenders garantieren sollen.

Angriff

Dass der grundlegende Trick aber weiter sehr effektiv ist, zeigt nun ein Vorfall bei Ikea. Die internen Mailsysteme von Ikea scheinen sich derzeit mit sogenannten Reply-Chain-Attacken zu plagen. Eine offizielle Bestätigung der Firma gibt es zwar noch nicht, bei Bleepingcomputer zitiert man aber aus einer internen Mitteilung. Davon sollen sowohl mehrere Ikea-Organisationen als auch Lieferanten und Geschäftspartner betroffen sein. Da die betrügerischen Mails hier über die offiziellen Server des Unternehmens laufen, sind sie für die Nutzer nicht von echten Nachrichten zu unterscheiden.

Die eigentliche Infektion erfolgt über eine angehängte Datei, die in diesem Fall Charts.zip heißt und eine Excel-Tabelle enthält. Dort werden die Nutzer dann dazu aufgefordert, auf eine Schaltfläche zu klicken – wodurch sie aber in Wirklichkeit der Ausführung eines Schad-Makros zustimmen. In der Folge wird der Rechner mit einem Trojaner namens Qbot infiziert, zudem wird eine ähnliche Mail von der eigenen Mailadresse an die Kontakte im Adressbuch geschickt – die dann wiederum glauben, dass diese Nachricht von einem Kollegen kommt und deswegen dem Anhang vertrauen. Ikea rät insofern nun allen, auf keinen Fall diese Anhänge zu öffnen.

Eindringling

Eine Frage ist immer, wie die Attacke ursprünglich ins System gekommen ist. Bei Bleepingcomputer spekuliert man, dass dies etwa über eine der schweren Sicherheitslücken, die im vergangenen Jahr bei Microsoft Exchange bekannt wurden, passiert sein könnte. Eine Bestätigung dafür gibt es bislang aber nicht. (apo, 29.11.2021)