{"id":252604,"date":"2021-04-30T08:09:53","date_gmt":"2021-04-30T06:09:53","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=252604"},"modified":"2023-10-21T01:26:14","modified_gmt":"2023-10-20T23:26:14","slug":"prfung-wurde-meine-e-mail-adresse-durch-die-schadsoftware-emotet-erbeutet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/30\/prfung-wurde-meine-e-mail-adresse-durch-die-schadsoftware-emotet-erbeutet\/","title":{"rendered":"Pr&uuml;fung: Wurde meine E-Mail-Adresse durch die Schadsoftware Emotet erbeutet?"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Die Schadsoftware Emotet (Trojaner und Ransomware) war recht erfolgreich und hat auf befallenen Systemen E-Mail-Adressen abgegriffen. Zum 25. April 2021 wurde die Emotet-Malware automatisch von Windows-Maschinen entfernt. Jetzt hat das FBI 4 Millionen E-Mail-Adressen, die man w\u00e4hrend der Beschlagnahme mit geloggt hat, an die Webseite <em>Have I Been Pwned<\/em> \u00fcbergeben. Dort kann man nachsehen, ob die Adressen kompromittiert sind.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/a180312fcf844bc38787228306dfaf61\" alt=\"\" width=\"1\" height=\"1\" \/>Troy Hunt, der Betreiber der Webseite <em>Have I Been Pwned<\/em> (kurz HIBP) hat diese Woche <a href=\"https:\/\/twitter.com\/haveibeenpwned\/status\/1386811581082652674\" target=\"_blank\" rel=\"noopener\">auf Twitter<\/a> die Information ver\u00f6ffentlicht, dass das FBI ihm f\u00fcr HIBP insgesamt 4 Millionen E-Mail-Adressen zur Verf\u00fcgung gestellt habe. Ziel sei es, die \u00d6ffentlichkeit bzw. Opfer \u00fcber die m\u00f6gliche Kompromittierung zu informieren.<\/p>\n<p><a href=\"https:\/\/twitter.com\/haveibeenpwned\/status\/1386811581082652674\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Have I Been Pwned and Emotet\" src=\"https:\/\/i.imgur.com\/rwHs5Nz.png\" alt=\"Have I Been Pwned and Emotet\" \/><\/a><\/p>\n<p>Von den 4.324.770 zur Verf\u00fcgung gestellten E-Mail-Adressen, die aus verschiedenen L\u00e4ndern stammen, waren bereits 39% bekannt und in der HIBP-Datenbank enthalten.<\/p>\n<ul>\n<li>Die E-Mail-Adressen samt Anmeldeinformationen wurden von Emotet f\u00fcr den Versand von Spam \u00fcber die Mail-Provider der Opfer gespeichert.<\/li>\n<li>Weiterhin sammelte Emotet in Browsern gespeicherte Web-Zugangsdaten von Opfern, um sp\u00e4tere Anmeldungen zu beschleunigen.<\/li>\n<\/ul>\n<p>Troy Hunt hat alle Daten in seine Seite <em>Have I Been Pwned<\/em> integriert, so dass potentielle Opfer pr\u00fcfen k\u00f6nnen, ob sie betroffen sind. Normalerweise erscheint nach Eingabe der E-Mail-Adresse die Information, ob diese aus einem Datenleck bekannt ist. Im aktuellen Fall hat Troy Hunt den Datenbestand aber als \"<a href=\"https:\/\/haveibeenpwned.com\/FAQs#SensitiveBreach\" target=\"_blank\" rel=\"noopener\">Sensitive Breach<\/a>\" eingestuft. Nur der Besitzer einer E-Mail-Adresse erh\u00e4lt die Information \u00fcber eine Mail, falls die Adresse durch Emotet gesammelt wurde. Dazu muss er auf der <a href=\"https:\/\/haveibeenpwned.com\/NotifyMe\" target=\"_blank\" rel=\"noopener\">Webseite notify me<\/a> diese E-Mail-Adresse eingeben.<\/p>\n<p><a href=\"https:\/\/haveibeenpwned.com\/NotifyMe\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Notify me on Have I Been Pawned\" src=\"https:\/\/i.imgur.com\/4eUfRHV.png\" alt=\"Notify me on Have I Been Pawned\" \/><\/a><br \/>\nNotify me on Have I Been Pawned<\/p>\n<p>Betroffene E-Mail-Konten werden dann \u00fcber diese E-Mail-Adresse benachrichtigt, dass die Zugangsdaten durch Emotet abgegriffen worden seien. heise <a href=\"https:\/\/www.heise.de\/news\/Emotet-Gut-4-Millionen-kopierter-Mail-Adressen-bei-Pruefdienst-Have-I-Been-Pwned-6030480.html\" target=\"_blank\" rel=\"noopener\">berichtet<\/a>, dass auch die <a href=\"https:\/\/www.politie.nl\/themas\/controleer-of-mijn-inloggegevens-zijn-gestolen.html\" target=\"_blank\" rel=\"noopener\">Website der niederl\u00e4ndischen Polizei<\/a> einen solchen Dienst anbiete. In Zusammenarbeit mit dem FBI wurden die folgenden Empfehlungen f\u00fcr diejenigen erstellt, die sich in dieser Datensammlung wiederfinden:<\/p>\n<ul>\n<li>Halten Sie Sicherheitssoftware wie Antivirenprogramme mit aktuellen Definitionen auf dem neuesten Stand. Halten Sie Betriebssysteme und Software gepatcht.<\/li>\n<li>\u00c4ndern Sie das Passwort Ihres E-Mail-Kontos. \u00c4ndern Sie auch die Passw\u00f6rter und Sicherheitsfragen f\u00fcr alle Konten, die Sie entweder in Ihrem Posteingang oder in Ihrem Browser gespeichert haben, insbesondere bei sensitiven Onlinekonten (z.B. f\u00fcr Bankenkonten).<\/li>\n<\/ul>\n<p>F\u00fcr Administratoren mit betroffenen Anwendern sind die von <a href=\"https:\/\/web.archive.org\/web\/20210427101639\/https:\/\/www.bka.de\/SharedDocs\/Kurzmeldungen\/DE\/Warnhinweise\/210416_Emotet.html?nn=3806\" target=\"_blank\" rel=\"noopener\">DFN Cert ver\u00f6ffentlichten YARA-Regeln<\/a> zu beachten, die auch die vom deutschen BKA ver\u00f6ffentlichten Regeln beinhalten schreibt Hunt.Zudem empfiehlt sich die Verwendung unterschiedlicher Anmeldeinformationen bei den diversen Online-Konten (also nie das gleiche Passwort). Ob man dies in einem Passwort-Manager speichert, weil man sich die starken, und eindeutigen Passw\u00f6rter nicht merken kann, muss jeder selbst entscheiden (es gab zu viele Datenlecks und Hacks aus diesem Bereich &#8211; ich f\u00fchre eine Papierliste). Die weitere Empfehlung: Schalten Sie die 2-Faktor-Authentifizierung ein, sofern verf\u00fcgbar (obwohl das kein Allheilmittel ist.<\/p>\n<h2>Emotet: Ein R\u00fcckblick<\/h2>\n<p><a href=\"https:\/\/de.wikipedia.org\/wiki\/Emotet\" target=\"_blank\" rel=\"noopener\">Emotet<\/a> ist eine Familie von Computer-Schadprogrammen in Form von Makroviren, welche die Empf\u00e4nger \u00fcber den Anhang sehr echt aussehender E-Mails mit Trojanern infizieren. Wenn ein Empf\u00e4nger die Anlage bzw. den Anhang der E-Mail \u00f6ffnet, werden Module mit Schadfunktionen nachgeladen und zur Ausf\u00fchrung gebracht.<\/p>\n<p>Die Emotet-Gruppe war f\u00fcr zahlreiche erfolgreiche Ransomware-Angriffe auf Firmen, Beh\u00f6rden und Institutionen weltweit verantwortlich. Emotet galt als derzeit gef\u00e4hrlichste Schadsoftware weltweit und hat neben Computern hunderttausender Privatpersonen eine hohe Anzahl von IT-Systemen von Unternehmen, Beh\u00f6rden und Institutionen infiziert.<\/p>\n<p>Emotet besa\u00df als sogenannter \u201eDownloader\" die Funktion, unbemerkt ein Opfersystem zu infizieren und weitere Schadsoftware nachzuladen, etwa zur Manipulation des Online-Bankings, zum Aussp\u00e4hen von gespeicherten Passw\u00f6rtern oder zur Verschl\u00fcsselung des Systems f\u00fcr Erpressungen. Die Nutzung dieses durch die T\u00e4ter geschaffenen \u201eBotnetzes\" wurde zusammen mit der Nachladefunktion von beliebiger Schadsoftware in der \u201eUnderground Economy\" gegen Entgelt angeboten. Deshalb kann das kriminelle Gesch\u00e4ftsmodell von Emotet als \u201eMalware-as-a-Service\" bezeichnet werden. In den am Beitragsende verlinkten Artikeln habe ich die Malware umfangreich thematisiert.<\/p>\n<p>Durch die \u00dcbernahme der Emotet Command &amp; Control-Server (C&amp;C) im Januar 2021 konnten die Strafverfolger die Nachladefunktion f\u00fcr Schadsoftware \u00fcber die C&amp;C-Server modifizieren, eigene Module auf den infizierten Opfer-Systemen installieren und die Schadfunktionen gleichzeitig deaktivieren. Bis April 2021 wurde aber protokolliert, welche Systeme mit Emotet infiziert waren. Erst zum 25. April 2021 wurde die Emotet-Schadsoftware von betroffenen Systemen deinstalliert (siehe <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/26\/malware-wird-automatisch-am-25-april-2021-deinstalliert\/\">Emotet Malware wurde automatisch am 25. April 2021 deinstalliert<\/a>).<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2020\/03\/02\/cryptolaemus-und-der-kampf-gegen-emotet\/\">Cryptolaemus und der Kampf gegen Emotet<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/08\/17\/emocrash-impfschutz-vor-emotet-infektionen\/\">EmoCrash: Impfschutz vor Emotet-Infektionen hielt 6 Monate<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/09\/11\/warnung-vor-neuer-emotet-ransom-welle-sept-2020\/\">Warnung vor neuer Emotet-Ransomware-Welle (Sept. 2020)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/08\/09\/emotet-wtet-bei-der-studienstiftung-des-deutschen-volkes\/\">Emotet w\u00fctet bei der Studienstiftung des deutschen Volkes<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/08\/02\/emotet-trojaner-ransomware-weiter-aktiv\/\">Emotet-Trojaner\/Ransomware weiter aktiv<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/07\/18\/microsoft-warnt-vor-massiver-emotet-kampagne\/\">Microsoft warnt vor massiver Emotet-Kampagne<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/04\/05\/emotet-kann-computer-im-netzwerk-berhitzen\/\">Emotet-Trojaner kann Computer im Netzwerk \u00fcberlasten<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/11\/01\/emotet-malware-als-vermeintliches-word-update-getarnt\/\">Emotet Malware als vermeintliches Word-Update getarnt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/10\/02\/emotet-trojaner-befall-in-berliner-oberlandesgericht\/\">Emotet-Trojaner-Befall in Berliner Oberlandesgericht<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/09\/27\/emotet-infektion-an-medizinische-hochschule-hannover\/\">Emotet-Infektion an Medizinischer Hochschule Hannover<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/09\/10\/emotet-cc-server-liefern-neue-schadsoftware-aus\/\">Emotet C&amp;C-Server liefern neue Schadsoftware aus\u2013Neustadt gerade infiziert<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/06\/11\/emotet-trojaner-bei-heise-troy-hunt-verkauft-website\/\">Emotet-Trojaner bei heise, Troy Hunt verkauft Website<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/10\/14\/emotet-zielt-auf-banken-in-dach\/\">Emotet zielt auf Banken in DACH<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/08\/23\/ransomware-befall-in-drk-einrichtungen-einfallstor-bekannt\/\">Ransomware-Befall in DRK-Einrichtungen: Einfallstor bekannt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/12\/22\/neu-emotet-kampagne-zu-weihnachten-2020\/\">Neu Emotet-Kampagne zu Weihnachten 2020<br \/>\n<\/a><a href=\"https:\/\/borncity.com\/blog\/2021\/01\/27\/bka-infrastruktur-der-emotet-schadsoftware-bernommen-und-zerschlagen\/\">BKA: Infrastruktur der Emotet-Schadsoftware \u00fcbernommen und zerschlagen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/01\/28\/emotet-deinstalliert-sich-angeblich-am-25-mrz-2021\/\">Emotet deinstalliert sich angeblich am 25. April 2021<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/01\/30\/details-zur-emotet-deinstallation-durch-strafverfolger\/\">Details zur Emotet Deinstallation durch Strafverfolger<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/26\/malware-wird-automatisch-am-25-april-2021-deinstalliert\/\">Emotet Malware wurde automatisch am 25. April 2021 deinstalliert<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Schadsoftware Emotet (Trojaner und Ransomware) war recht erfolgreich und hat auf befallenen Systemen E-Mail-Adressen abgegriffen. Zum 25. April 2021 wurde die Emotet-Malware automatisch von Windows-Maschinen entfernt. Jetzt hat das FBI 4 Millionen E-Mail-Adressen, die man w\u00e4hrend der Beschlagnahme mit &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/30\/prfung-wurde-meine-e-mail-adresse-durch-die-schadsoftware-emotet-erbeutet\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-252604","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252604","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=252604"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252604\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=252604"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=252604"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=252604"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}